Tweet
Vấn đề split tunneling trong IPSec VPN
Split tunneling là quá trình gửi một vài traffic trên một tunnel và một vài traffic khác ở dạng clear text. Trong mô hình dùng remote access Ipsec VPN, việc sử dụng split tunneling là một chính sách được định nghĩa trên vpn gateway và sau đó áp đặt (push) xuống client. Trong cách hiện thực của cisco, mặc định split tunneling là tắt trong gateway. Vì vậy, khi Ipsec tunnel đã up giữa client và gateway, tất cả các traffic gửi từ client sẽ chui vào tunnel. Không có tuỳ chọn nào trên client cho phép thay đổi tình trạng này. Do đó, ta phải kiểm soát traffic nào sẽ được bảo vệ (đi vào tunnel).
Trong cisco, có hai loại lưu lượng là ngoại lệ đối với chính sách này:
* Arp: các client nếu dùng cổng Ethernet có thể học địa chỉ mac của thiết bị ở phía ISP.
* Dhcp: các client có thể xin địa chỉ thường là từ isp và sẽ renew khi địa chỉ hết hiệu lục.
Cấu hình trên VPN server lúc này như sau:
Creating Groups
Nếu bạn dùng local authorization trong câu lệnh aaa authorization, bạn phải định nghĩa các nhóm (group) một cách cục bộ trên router. Dùng đoạn cấu hình dưới đây để định nghĩa một nhóm Easy VPN server cho các người dùng:
Code:
[I]Router(config)# ip local pool pool_name first_IP_address last_IP_address
Router(config)# crypto isakmp client configuration address-pool local pool_name
Router(config)# crypto isamkp client configuration group {group_name | default}
Router(config-isakmp-group)# key pre_shared_key
Router(config-isakmp-group)# pool pool_name
Router(config-isakmp-group)# domain domain_name
Router(config-isakmp-group)# dns 1st_DNS_server [2nd_DNS_server]
Router(config-isakmp-group)# split-dns domain_name
Router(config-isakmp-group)# wins 1st_WINS_server [2nd_WINS_server]
Router(config-isakmp-group)# include-local-lan
Router(config-isakmp-group)# acl ACL_name_or_#
Router(config-isakmp-group)# firewall are-u-there
Router(config-isakmp-group)# backup-gateway {IP_address | hostname}
Router(config-isakmp-group)# save-password
Router(config-isakmp-group)# pfs
Router(config-isakmp-group)# max-logins #_of_simultaneous_logins
Router(config-isakmp-group)# max-users #_of_users
Router(config-isakmp-group)# access-restrict interface_name
Router(config-isakmp-group)# group-lock
Router(config-isakmp-group)# exit[/I]
Code:
[I]Router(config)# ip access-list extended splitengineering Router(config-ext-nacl)# remark Protect this traffic Router(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 any Router(config-ext-nacl)# remark Send all other traffic in clear-text Router(config-ext-nacl)# deny ip any any[/I]
Tóm lại, split tunneling giúp ta chỉ định rõ những traffic nào sẽ được mã hóa, những traffic nào gửi ở dạng không mã hóa, clear text. Việc phân loại thường dựa trên công cụ ACL.