主要目的是希望Remote AP下的使用者可以存取與AP同段的Subnet以及控制返回TUNNEL的資料
Split Tunnel不支援IPv6,只能用在802.1x與PSK的認證方式.
1.Configuring the Session ACL 產生使用者登入後所套用的User Role
- netdestination corp_subnet
network 10.1.1.0 255.255.255.0
network 10.1.2.0 255.255.255.0 - ip access-list session split-acl
any any svc-dhcp permit
any alias corp_subnet any permit
user any any route src-nat - user-role user-split-tunnel
session-acl split-acl
2.Configuring the AAA Profile and the Virtual AP Profile 目前的版本Split Tunnel須用在802.1x上(3.4.2.1)
- aaa profile <name> (configure the AAA profile)
authentication-dot1x <dot1x-profile>
dot1x-default-role <role>
dot1x-server-group <group> - wlan ssid-profile <profile> (configure split tunneling in the virtual AP profile)
essid <name>
opmode <method>
wlan virtual-ap <profile>
ssid-profile <name>
forward-mode split-tunnel
vlan <vlan id>
aaa-profile <profile> - ap-group <name>
virtual-ap <profile>
3.關於User Role的套用若需要針對個別的USER那必須使用Server Rule,但大部分的需要使用Default role(802.1x)即可
4.一般來說Split Tunnel的使用是讓使用者分開Internet(網際網路,由Local下)與Internal(內部網路,經由Tunnel回),但是也可以換個方向,主要是在User Role的ACL定義的不同