Gateway

分割トンネリングの構成

分割トンネリングを有効にして、NetScaler Gateway プラグインがNetScaler Gateway に不要なネットワークトラフィックを送信しないようにすることができます。

分割トンネリングを有効にしない場合、NetScaler Gateway プラグインはユーザーデバイスから発信されるすべてのネットワークトラフィックをキャプチャし、VPNトンネルを介してNetScaler Gateway にトラフィックを送信します。

分割トンネリングを有効にすると、NetScaler Gateway プラグインは、NetScaler Gateway によって保護されているネットワーク宛てのトラフィックのみをVPNトンネル経由で送信します。NetScaler Gateway プラグインは、保護されていないネットワークを宛先とするネットワークトラフィックをNetScaler Gateway に送信しません。

NetScaler Gateway プラグインが起動すると、NetScaler Gateway からイントラネットアプリケーションのリストを取得します。NetScaler Gateway プラグインは、ユーザーデバイスからネットワーク上で送信されるすべてのパケットを調べ、パケット内のアドレスをイントラネットアプリケーションのリストと比較します。パケット内の宛先アドレスがイントラネットアプリケーションの1つ内にある場合、NetScaler Gateway プラグインはVPNトンネルを介してNetScaler Gateway にパケットを送信します。宛先アドレスが定義済みのイントラネットアプリケーションにない場合、パケットは暗号化されず、ユーザーデバイスはパケットを適切にルーティングします。分割トンネリングを有効にすると、イントラネットアプリケーションによって傍受されるネットワークトラフィックが定義されます。

注:ユーザーがCitrix Receiverを使用してサーバーファーム内の公開アプリケーションに接続する場合、分割トンネリングを構成する必要はありません。

NetScaler Gateway は、NetScaler Gateway が傍受しないネットワークトラフィックを定義するリバース分割トンネリングもサポートしています。分割トンネリングをリバースに設定すると、イントラネットアプリケーションは、NetScaler Gateway が傍受しないネットワークトラフィックを定義します。リバース分割トンネリングを有効にすると、内部IPアドレスに向けられたすべてのネットワークトラフィックはVPNトンネルをバイパスし、他のトラフィックはNetScaler Gateway を経由します。リバース分割トンネリングを使用して、すべての非ローカル LAN トラフィックをログに記録できます。たとえば、ユーザーがホームワイヤレスネットワークを持ち、NetScaler Gateway プラグインを使用してログオンしている場合、NetScaler Gateway は、ワイヤレスネットワーク内のプリンターまたは別のデバイス宛てのネットワークトラフィックを傍受しません。

イントラネットアプリケーションの詳細については、「 クライアント代行受信の構成」を参照してください。

分割トンネリングは、セッションポリシーの一部として設定します。

分割トンネリングを設定するには

  1. 構成ユーティリティの[構成]タブのナビゲーションペインで、[ Citrix Gateway ポリシー ]を展開し、[ セッション]をクリックします。
  2. 詳細ペインの [ プロファイル ] タブで、プロファイルを選択し、[ 開く] をクリックします。
  3. クライアントエクスペリエンス ]タブで、[ 分割トンネル]の横にある[ グローバルオーバーライド]を選択し、オプションを選択して[ OK] を 2 回クリックします。

分割トンネリングおよび認可の設定

NetScaler Gateway の展開を計画するときは、分割トンネリングと、デフォルトの承認アクションと承認ポリシーを考慮することが重要です。

たとえば、ネットワークリソースへのアクセスを許可する認可ポリシーがあるとします。分割トンネリングがオンに設定されており、NetScaler Gateway 経由でネットワークトラフィックを送信するようにイントラネットアプリケーションを構成していない。NetScaler Gateway にこの種類の構成がある場合、リソースへのアクセスは許可されますが、ユーザーはリソースにアクセスできません。

承認ポリシーがネットワークリソースへのアクセスを拒否し、分割トンネリングがオンに設定されており、イントラネットアプリケーションがネットワークトラフィックをNetScaler Gateway 経由でルーティングするように構成されている場合、NetScaler Gateway プラグインはトラフィックをNetScaler Gateway に送信しますが、リソースへのアクセスは拒否されます。

分割トンネリングの構成