Aruba AP設定Split Tunnel

主要目的是希望Remote AP下的使用者可以存取與AP同段的Subnet以及控制返回TUNNEL的資料

Split Tunnel不支援IPv6,只能用在802.1x與PSK的認證方式.

設定步驟

1.Configuring the Session ACL 產生使用者登入後所套用的User Role

• netdestination corp_subnet
  network 10.1.1.0 255.255.255.0
  network 10.1.2.0 255.255.255.0
• ip access-list session split-acl
  any any svc-dhcp permit
  any alias corp_subnet any permit
  user any any route src-nat
• user-role user-split-tunnel
  session-acl split-acl

2.Configuring the AAA Profile and the Virtual AP Profile 目前的版本Split Tunnel須用在802.1x上(3.4.2.1)

• aaa profile <name>                       (configure the AAA profile)
  authentication-dot1x <dot1x-profile>
  dot1x-default-role <role>
  dot1x-server-group <group>
• wlan ssid-profile <profile>       (configure split tunneling in the virtual AP profile)
  essid <name>
  opmode <method>
  wlan virtual-ap <profile>
  ssid-profile <name>
  forward-mode split-tunnel
  vlan <vlan id>
  aaa-profile <profile>
• ap-group <name>
  virtual-ap <profile>

3.關於User Role的套用若需要針對個別的USER那必須使用Server Rule,但大部分的需要使用Default role(802.1x)即可

4.一般來說Split Tunnel的使用是讓使用者分開Internet(網際網路,由Local下)與Internal(內部網路,經由Tunnel回),但是也可以換個方向,主要是在User Role的ACL定義的不同