AppleiOS版思科AnyConnect安全移动客户端用户指南,版本4.
0.
xAnyConnect用户指南2安装和启动AnyConnect2配置VPN连接5建立VPN连接14响应AnyConnect通知15可选AnyConnect配置和管理16对AnyConnect进行监控和故障排除20Revised:October21,2017,AnyConnect用户指南安装和启动AnyConnectAnyConnect概述CiscoAnyConnect安全移动客户端AppleiOS版可提供安全无缝的企业网络远程访问.
通过AnyConnect,安装的应用可如同直接连接到企业网络一般进行通信.
AnyConnect是一款高级网络应用,可使您按照管理员的建议设置首选项、控制AnyConnect的操作,以及使用设备上的诊断工具和程序.
AnyConnect可在您的企业中与移动设备管理软件配合使用.
在这种情况下,请与管理员合作,确保遵守设备管理规则因为这些规则可能包括对一些已核准应用的VPN访问限制.
您的组织可能会提供有关使用AnyConnectAppleiOS版的其他文档.
您的AppleiOS应用商店提供用于初始安装和所有升级的应用.
思科自适应安全设备(ASA)是授权访问VPN的安全网关,但不支持AnyConnect适用于移动设备的更新.
显示帮助如果帮助可用,AnyConnect会在屏幕的右下角显示一个信息图标.
轻触此图标可显示有关当前选项的帮助信息.
或者,轻触About(关于)可显示用于访问本指南的链接.
开放式软件许可证说明此产品包括OpenSSLProject开发的、可在OpenSSLToolkit中使用的软件(http://www.
openssl.
org/).
此产品包括EricYoung(eay@cryptsoft.
com)编写的加密软件.
此产品包括TimHudson(tjh@cryptsoft.
com)编写的软件.
可用于AppleiOS的AnyConnect版本AppleiOS版思科AnyConnect目前有多个版本:思科AnyConnect这是此新应用的初始版本.
新思科AnyConnect是适用于AppleiOS的最新版本,建议使用此版本.
(在试用版周期中,这个版本的AnyConnect命名为AnyConnect2017.
)如果使用的是AppleiOS10.
3及更高版本,我们建议使用此版本.
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能.
为了确保您已收到最新的AppleiOS漏洞修复,请使用最新版本.
2现在AnyConnect4.
0.
07x完全支持PerAppVPN隧道功能.
新扩展框架允许支持TCP和UDP应用.
自此以后,此新思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本.
其编号为4.
0.
07x.
思科旧版AnyConnect旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.
0及更高版本.
此版本将随时间推移而退出,但目前仍然可用,以便轻松过渡到建议的最新版本.
旧版AnyConnect应用中的PerAppVPN隧道功能不会获得TAC支持.
客户若要使用PerAppVPN,应迁移到新版本.
旧版AnyConnect仅会更新严重的安全问题.
此版本继续编号为4.
0.
05x.
.
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同.
因此:不能将AnyConnect应用从旧版4.
0.
05x或更早版本升级到新的4.
0.
07x版本.
思科AnyConnect4.
0.
07x是单独的应用,使用不同的名称和图标进行安装.
AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作.
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同.
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境.
新AnyConnect应用版本4.
0.
07072或更高版本不能访问或使用以旧版AnyConnect版本4.
0.
05069及任何更早版本导入的证书.
两个应用版本均可访问和使用MDM部署的证书.
如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件.
否则,它们将继续显示在系统VPN设置中.
在卸载旧版AnyConnect应用之前删除应用数据.
当前的MDM配置文件不会触发新应用.
EMM供应商必须支持VPNType(VPN)、VPNSubType(com.
cisco.
anyconnect)和ProviderType(packet-tunnel).
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息.
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持.
在AnyConnect4.
0.
07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.
0.
05x中的行为发生以下变化:在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复.
您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入.
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书.
在使用UI创建连接条目时,用户必须接受显示的iOS安全消息.
用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名.
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中.
支持的AppleiOS设备思科AnyConnect4.
0.
07x作为最新的建议版本,可用于运行AppleiOS10.
3及更高版本的所有iPhone、iPad和iPodTouch设备.
3如果设备不支持AppleiOS10.
3或更高版本,则仅可使用适用于运行AppleiO6.
0及更高版本的所有iPhone、iPad和iPodTouch设备的旧版AnyConnect4.
0.
05x.
旧版AnyConnect中的PerApp隧道需要AppleiOS8.
3或更高版本.
AnyConnect在iPodTouch上的显示和操作与在iPhone上相同.
注释安装AppleiOSAnyConnect应用从Apple应用商店安装适用于AppleiOS的思科AnyConnect或旧版AnyConnect安全移动客户端.
开始之前如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件.
否则,它们将继续显示在系统VPN设置中.
在卸载旧版AnyConnect应用之前删除应用数据.
过程步骤1打开应用商店.
步骤2选择搜索(Search).
步骤3在搜索框中输入anyconnect,然后依次轻触建议列表中的思科anyconnect或旧版anyconnect.
步骤4轻触AnyConnect.
步骤5轻触免费(Free),然后轻触安装应用(INSTALLAPP).
步骤6选择安装(Install).
在AppleiOS上升级AnyConnectAnyConnect的升级是通过Apple应用商店进行管理的.
在Apple应用商店通知用户思科AnyConnect或旧版AnyConnect升级可用后,他们将按照此程序进行升级.
不能将AnyConnect应用从旧版4.
0.
05x或更早版本升级到新的4.
0.
07x版本.
思科AnyConnect4.
0.
07x是单独的应用,使用不同的名称和图标进行安装.
在安装新版本4.
0.
07xxx之前,请参阅可用于AppleiOS的AnyConnect版本,第2页.
思科建议您删除所有旧版AnyConnect应用数据,删除旧版AnyConnect应用,然后再安装新版本.
注释开始之前在升级设备之前,必须断开AnyConnectVPN会话(若已建立)并关闭AnyConnect应用(若已打开).
如果不这样做,AnyConnect会要求您重启设备,然后才能使用新版本的AnyConnect.
4使用Apple按需连接功能时,只有运行早于4.
0.
05032的旧版AnyConnect版本或早于9.
3的AppleiOS版本,此功能才适用于您的环境.
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接.
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息"VPN连接需要启动应用"(TheVPNConnectionrequiresanapplicationtostartup).
注释过程步骤1轻触iOS主页上的应用商店图标.
步骤2轻触AnyConnect升级通知.
步骤3阅读新功能.
步骤4点击更新(Update).
步骤5输入您的AppleID密码.
步骤6点击OK(确定).
系统将开始执行AnyConnect升级.
启动AnyConnect过程轻触iPhone或iPad主屏幕上的AnyConnect图标.
如果这是您在安装或升级后首次启动AnyConnect,请选择确认(OK)启用AnyConnect,以便此应用可以扩展您设备的虚拟专用网络(VPN)功能.
从AnyConnect主屏幕,您可以:使用AnyConnectVPN开关,建立或终止VPN连接.
识别活动连接并导航至连接(Connections)窗口,以查看或选择配置的其他连接条目.
查看当前VPN连接的状态和其他详细信息.
导航到设置(Settings)、诊断(Diagnostics)和关于(About)窗口.
配置VPN连接AnyConnect需要以下信息以建立VPN连接:用于访问您的网络的安全网关的地址.
5此地址在连接条目中配置.
连接条目列在AnyConnect主屏幕上.
活动的连接条目会在AnyConnect主屏幕上或连接列表中标识出来.
VPN连接条目可在设备上手动配置,或由企业管理员自动配置.
用于成功完成连接的身份验证信息.
该信息的形式为您必须牢记的用户名和密码,或者包含在已在您的设备上配置的数字证书中.
某些VPN连接可能同时需要这两种身份验证方法.
数字证书可在设备上手动配置,或由设备管理员自动配置.
请按照管理员的指示配置您的AnyConnect客户端.
如果您没有获得明确的说明,请与管理员联系.
配置连接条目连接条目指定安全网关,该安全网关提供您的专用网络的访问权限以及其他连接属性.
在AnyConnect主屏幕中选择连接,以查看您的设备上已配置的条目.
此处可能会列出多个连接条目,部分位于Per-AppVPN标题之下.
连接条目可能具有以下状态:已启用-此连接条目由移动设备管理器启用,可用于连接.
活动-此连接即当前处于活动状态的连接,会被标记或高亮显示.
已连接-此连接条目处于活动状态,当前已连接并正在运行.
已断开连接-此连接条目处于活动状态,但目前已断开连接,没有运行.
Per-AppVPN连接条目由企业移动设备管理器配置,可能包括一个应用列表,这些应用是允许访问企业专用网络的仅有应用.
过程连接条目可在设备上手动配置,或按以下方式自动配置:手动配置.
您必须知道网络的安全网关的地址.
该地址是安全网关的域名或IP地址,它还可以指定您所属的组.
还可以配置其他连接属性.
请参阅手动添加或修改连接条目,第7页.
通过点击管理员提供的链接自动配置.
AnyConnectURI链接可能包括在邮件中或发布在网页上.
应用首选项ExternalControl(外部控制)必须设置为Prompt(提示)或Enable(启用),才能在您的设备上使用此功能.
请参阅控制AnyConnect的外部使用,第16页在连接到下载了包含连接条目的AnyConnect客户端配置文件的安全网关后进行自动配置.
请参阅管理VPN配置文件,第17页.
通过您企业的移动设备管理软件进行配置.
可在您的设备的GeneralSettings(常规设置)下找到设备管理配置文件.
6手动添加或修改连接条目开始之前您能够修改您创建的连接条目,但不能完全编辑已从AnyConnectVPN配置文件或iPhoneConfigurationUtilitymobileconfig导入的连接.
注释过程步骤1在AnyConnect主屏幕中,轻触Connections(连接).
然后选择要修改的连接或选择AddVPNConnection(添加VPN连接).
将显示基本VPN连接参数.
可随时轻触Cancel(取消)取消配置过程或轻触Save(保存)保存连接条目.
步骤2(可选)轻触说明,指定连接条目的唯一名称.
此名称显示在AnyConnect主屏幕的连接列表中.
建议名称长度不超过24个字符,以确保名称正常显示在连接列表中.
使用键盘上的字母、空格、数字或符号.
AnyConnect会将字母保留为您指定的大写或小写格式.
例如:Example1.
步骤3轻触ServerAddress(服务器地址)以输入用于连接的思科自适应安全设备的域名、IP地址或组URL.
例如,vpn.
example.
com.
步骤4轻触Advanced(高级)以配置高级VPN连接参数.
a)(可选)为此连接配置NetworkRoaming(网络漫游).
请参阅配置网络漫游.
b)(可选)配置此连接使用的证书.
请参阅配置证书的使用.
c)(可选)查看应用规则.
如果您的设备由企业移动设备管理软件管理,您可能会在此处找到允许访问专用网络的应用列表.
如果允许且安装了应用,此处将列出它们.
所有其他应用的数据流都不会使用VPN连接,但会在VPN隧道外部不受阻碍地发送和接收数据.
d)(可选)为此连接配置按需连接.
请参阅配置按需连接.
e)(可选)将此连接配置为ConnectwithIPsec(使用IPsec连接)而不是使用SSL连接.
请参阅配置IPsec.
a)轻触AddVPNConnection(添加VPN连接)返回到初始配置窗口.
步骤5轻触Save(保存)以保留连接值.
配置网络漫游网络漫游配置AnyConnect在设备唤醒或更改连接类型(如EDGE(2G)、1xRTT(2G)、3G或Wi-Fi)后重新连接所花费的时间量.
可以开启或关闭网络漫游:ON(开启)-(默认值)此选项优化VPN访问.
如果AnyConnect失去连接,它将尝试建立新连接,直到成功为止.
此设置让应用依赖于与VPN的持续连接.
AnyConnect不限制其重新连接所花费的时间.
7OFF(关闭)-此选项优化电池寿命.
如果AnyConnect失去连接,它会在20秒内尝试建立新连接,然后停止尝试.
如有必要,您必须建立新VPN连接.
开始之前注释网络漫游仅适用于低于iOS8的版本.
iOS8及更高版本始终如同已启用网络漫游一样运行,会尝试重新建立连接,直到成功.
此参数不影响数据漫游或使用多个移动服务提供商.
iPhoneConfigurationUtility生成的VPN配置不支持网络漫游.
如果在iOS8或更早版本上需要网络漫游,必须手动或通过AnyConnectVPN配置文件配置连接条目.
过程在高级连接条目配置屏幕中,轻触网络漫游字段中的"开启"或"关闭".
配置证书的使用过程步骤1在高级连接条目配置屏幕中,轻触证书以显示选择证书屏幕.
步骤2轻触以下选项之一:Disabled(禁用)-(默认)身份验证从不使用客户端证书.
Automatic(自动)-AnyConnect自动选择用于身份验证的客户端证书.
在这种情况下,AnyConnect将查看所有已安装的证书、忽略那些过期证书、应用VPN客户端配置文件中定义的证书匹配条件,然后使用与条件匹配的证书进行身份验证.
每次建立VPN连接时,都会执行此操作.
CertificateName(证书名称)-如果设备上已安装证书,则选择一个要与此VPN连接关联的证书.
步骤3轻触Advanced(高级)返回到高级配置窗口.
配置按需连接配置按需连接功能的方法是创建规则列表,当其他应用发起网络连接时将核对这些规则.
如果匹配,这些规则将产生以下按需连接行为之一:NeverConnect(从不连接)-当匹配此列表中的规则时,iOS从不尝试发起VPN连接.
此列表中的规则优先于所有其他规则.
8启用按需连接功能时,AnyConnect会自动将服务器地址添加到此列表.
这可以防止当您在Web浏览器上访问服务器的无客户端入口时自动建立VPN连接.
如果您不希望发生此行为,请删除此规则.
ConnectifNeeded(需要时连接)-仅当系统无法使用DNS解析地址且匹配此列表中的规则时,iOS才会尝试发起VPN连接.
AlwaysConnect(始终连接)-在AppleiOS6中,当匹配此列表中的规则时,iOS将始终尝试发起VPN连接.
在iOS7.
x中,不支持"AlwaysConnect(始终连接)",当匹配此列表中的规则时,行为与"ConnectifNeeded(需要时连接)"规则产生的行为相同.
在更高版本中,不使用"AlwaysConnect(始终连接)",配置的规则将移动到"ConnectifNeeded(需要时连接)"列表中,并且行为与其相同.
这些规则包括主机名(host.
example.
com)、域(.
example.
com)或部分域(.
internal.
example.
com)的列表,但不能包括IP地址(10.
0.
0.
1).
AnyConnect在每个列表条目的域名格式上很灵活,具体如下:示例匹配失败示例匹配示例条目说明匹配www.
example.
comemail.
1example.
comemail.
example1.
comemail.
example.
orgemail.
example.
comemail.
example.
com输入前缀、点和域名.
完全域名匹配.
anytext.
example.
comanytext.
1example.
organytext.
example1.
organytext.
example.
org.
example.
org输入一个点,后面紧跟要匹配的域名.
离散子域到顶级域的顺序完全匹配.
前导点可阻止连接到以*example.
com(例如notexample.
com)结尾的主机.
anytext.
example1.
netanytext.
example.
comanytext.
anytext-example.
netanytext.
example.
netexample.
net输入要匹配的域名的末尾部分.
以您指定的文本结尾的任何域名.
只有以下所有条件均符合时,AppleIOS才会为应用建立VPN连接:VPN连接尚未建立.
某个应用通过其完全限定域名(而不是IP地址)指定目标.
连接条目配置为使用有效证书,并且按需连接功能已启用.
AnyConnect未能将域请求与NeverConnect(从不连接)列表中的字符串匹配.
符合以下两个条件之一:AnyConnect将域请求与始终连接列表中的字符串匹配.
DNS查找失败,并且AnyConnect将域请求与ConnectifNeeded(需要时连接)列表中的字符串匹配.
9当通过iOS的按需连接功能发起VPN连接时,如果隧道在特定时间间隔内处于非活动状态(没有流量通过隧道),iOS会断开隧道.
有关详细信息,请参阅Apple的https://support.
apple.
com/en-us/HT203743文档.
注释开始之前连接条目必须配置为使用有效证书进行身份验证,有关详细信息,请参阅配置证书的使用,第8页.
该连接条目必须由用户创建.
用户不能在从ASA下载的连接配置文件中配置按需连接.
过程步骤1在Advanced(高级)连接条目配置屏幕中,轻触ConnectOnDemand(按需连接)旁边的ON(开启).
步骤2轻触DomainList(域列表).
步骤3要添加域,请执行以下操作之一:轻触AlwaysConnect(始终连接)、NeverConnect(从不连接)或ConnectifNeeded(需要时连接)部分下的AddDomain(添加域)以向该列表添加域字符串.
Domains(域)屏幕会向该列表添加一行,并显示屏幕键盘以供您输入域字符串.
轻触屏幕顶部的Edit(编辑)可添加、编辑或删除域字符串.
要将域名从一个列表移动到另一个列表,请触摸域条目右侧的三条横线图标,然后将其拖到目标列表标题下方的区域.
要删除域名,请轻触域名左侧的红色圆圈,然后轻触域右侧的Delete(删除).
步骤4点击Save(保存).
配置IPsec过程步骤1在Advanced(高级)连接条目配置屏幕中,轻触ConnectwithIPsec(使用IPsec连接)以对此VPN连接使用IPsec而不是SSL.
如果选择的VPN连接协议为IPsec,则会显示身份验证参数.
步骤2(可选)轻触Authentication(身份验证)并选择该IPsec连接的身份验证方法:EAP-AnyConnect(默认)IKE-RSA10EAP-GTCEAP-MD5EAP-MSCHAPv2步骤3轻触Advanced(高级)返回到高级配置窗口.
如果已指定使用EAP-GTC、EAP-MD5或EAP-MSCHAPv3进行身份验证,将显示IKEIdentity(IKE标识)参数.
步骤4(可选)轻触IKEIdentity(IKE标识)以输入所需客户端标识.
该标识由管理员提供.
删除连接条目此过程可删除手动配置的VPN连接条目.
删除从VPN安全网关导入的连接条目的唯一方法是删除下载的包含连接条目的AnyConnect配置文件.
过程步骤1在AnyConnect主屏幕中,轻触VPN连接条目右侧的详细信息披露按钮.
步骤2依次轻触删除VPN连接.
配置证书关于证书证书用于对VPN连接的两端进行数字识别:安全网关或服务器,以及AnyConnect客户端或用户.
服务器证书可标识AnyConnect的安全网关,用户证书可标识安全网关的AnyConnect用户.
证书从证书颁发机构(CA)获取并由其验证.
当建立连接时,AnyConnect始终预期从安全网关处获得服务器证书.
安全网关仅预期从AnyConnect处获得证书(如果其已配置进行此操作).
验证VPN连接的另一种方式是,预期AnyConnect用户手动输入凭据.
事实上,安全网关可配置为使用数字证书、手动输入的凭据或二者组合来验证AnyConnect用户.
仅证书验证允许建立VPN连接,同时无需用户干涉.
由管理员将证书分发并用于安全网关和您的设备.
按照管理员提供的说明导入、使用,并管理服务器和AnyConnectVPN的用户证书.
本文档中提供的关于证书和证书管理的信息和流程供您了解和参考.
AnyConnect将用户和服务器证书存于自身的证书存储区,以便用于身份验证.
在诊断>证书屏幕可管理AnyConnect证书存储区.
用户证书管理为了使用数字证书对安全网关进行身份验证,必须导入和配置用于VPN的用户证书.
11按照管理员的指示,使用以下方法之一导入用户证书:导入邮件中附加的证书,第12页从超链接导入证书,第13页手动导入证书,第13页导入安全网关提供的证书,第13页导入后,可以将证书与特定连接条目关联,或者在建立连接进行身份验证期间自动选择证书.
请参阅配置证书的使用,第8页.
服务器证书管理在建立连接时,从安全网关接收到的服务器证书将自动验证AnyConnect连接的服务器,前提是该服务器证书必须有效且受信任.
其他:有效但不受信任的服务器证书将经过审核、授权,并导入到AnyConnect证书存储区.
当服务器证书导入到AnyConnect存储区后,后续的使用该数字证书建立的与服务器的连接会被自动接受.
无效证书无法导入到AnyConnect存储区中.
只有证书被接受,才能完成当前连接.
不推荐进行此操作.
如果不再用于身份验证,AnyConnect存储区中的服务器证书可以删除.
导入邮件中附加的证书开始之前您的管理员必须通过邮件向您传送用于身份验证的证书.
过程步骤1轻触证书的图标.
AppleiOS可识别您刚打开了证书,并会打开安装向导.
步骤2轻触安装(Install).
步骤3按照安装向导中的提示操作.
步骤4如果系统提示您,请输入证书的身份验证代码.
步骤5轻触下一步(Next).
AppleiOS将安装证书.
12从超链接导入证书开始之前确保AnyConnect设置内的外部控制设置为提示或启用,以允许此活动.
有关详细信息,请参阅控制AnyConnect的外部使用,第16页.
您的管理员必须向您提供指向要在iOS设备上安装的证书位置的超链接.
过程步骤1轻触管理员提供的超链接.
步骤2如果看到提示,请提供证书的身份验证代码,并轻触下一步.
AppleiOS随即会导入证书并显示证书注册消息.
手动导入证书开始之前您的管理员必须向您提供证书的URL.
过程步骤1在AnyConnect主屏幕中,依次轻触诊断>证书.
步骤2轻触User(用户)选项卡.
步骤3轻触导入证书可手动导入证书.
步骤4输入管理员提供的URL.
导入安全网关提供的证书开始之前您的管理员必须向您提供配置的连接条目名称,以便使用SCEP协议分发证书.
13过程步骤1在AnyConnect主屏幕的选择连接区域,轻触可以将证书下载到移动设备的连接的名称.
步骤2轻触AnyConnect的打开(On)按钮.
步骤3如果存在,轻触GetCertificate(获取证书),或选择已配置为将证书下载到您的移动设备的组.
步骤4输入管理员提供的身份验证信息.
安全网关会将证书下载到您的设备,断开VPN会话,并且您会收到证书注册成功的消息.
步骤5点击OK(确定).
接下来的操作AnyConnect现在即可自动使用证书,您也可以将其分配给特定的连接条目.
有关详细信息,请参阅配置证书的使用,第8页.
查看和删除证书过程步骤1在AnyConnect主屏幕中,依次轻触诊断>证书.
步骤2轻触用户选项卡查看AnyConnect证书存储区的用户证书.
轻触编辑删除单个证书,或轻触删除所有用户证书删除所有用户证书.
步骤3轻触服务器选项卡查看AnyConnect证书存储区的服务器证书.
轻触编辑删除单个证书,或轻触删除所有服务器证书删除所有服务器证书.
建立VPN连接开始之前您必须有活动的Wi-Fi连接或已经与服务提供商连接才能连接到VPN.
要发起VPN连接,AnyConnect主窗口的"选择连接"下必须至少列出一个连接条目.
要完成VPN连接,您必须有安全网关所需的身份验证信息.
过程步骤1在AnyConnect主屏幕上,轻触要使用的连接条目.
14AnyConnect将复位连接条目旁边的复选标记,并将断开当前所有VPN连接.
步骤2轻触AnyConnectVPN旁边的开.
步骤3如果需要,请使用系统管理员为您提供的凭据登录.
步骤4如果系统管理员指示您这样做,请轻触获取证书(GetCertificate).
步骤5如果需要,请轻触连接(Connect).
根据安全网关配置,AnyConnect可能会检索连接条目并将它们添加到连接列表.
VPN图标显示在状态栏中,VPN显示为Connected.
轻触AnyConnect主屏幕的另一个VPN连接即可断开当前VPN连接.
注意响应AnyConnect通知响应不受信任的VPN服务器通知所显示的不受信任的VPN服务器通知的类型取决于BlockUntrustedVPNServer(阻止不受信任的VPN服务器)应用首选项:如果已启用,则显示阻止不受信任的VPN服务器!
通知,请选择:KeepMeSafe(保证我的安全)可保持此设置以及此阻止行为.
ChangeSettings(更改设置)可取消阻止.
在更改BlockUntrustedVPNServer(阻止不受信任的VPN服务器)后,重新发起VPN连接.
如果未启用,则显示未阻止不受信任的VPN服务器!
通知,请选择:Cancel(取消)可中止与不受信任服务器的VPN连接.
Continue(继续)可与不受信任的服务器建立连接;不推荐使用此选项.
ViewDetails(查看详细信息)可查看证书详细信息并决定是否将服务器证书导入到AnyConnect证书存储区中以备将来接受,同时继续连接.
响应其他应用为保护您的设备,当外部应用试图使用AnyConnect时,AnyConnect将提醒您.
当AnyConnect应用首选项ExternalControl(外部控制)设置为Prompt(提示)时,会发生这种情况.
对于以下提示,请询问管理员是否轻触Yes(是)来响应:15AnotherapplicationhasrequestedthatAnyConnectcreateanewconnectiontohost.
(其他应用请求AnyConnect创建到主机的新连接.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]AnotherapplicationhasrequestedthatAnyConnectconnecttohost.
(其他应用请求AnyConnect连接到主机.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]AnotherapplicationhasrequestedthatAnyConnectdisconnectthecurrentconnection.
(其他应用请求AnyConnect断开当前连接.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]AnotherapplicationhasrequestedthatAnyConnectimportacertificatebundletotheAnyConnectcertificatestore.
(其他应用请求AnyConnect将一个证书捆绑包导入到AnyConnect证书存储区.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]AnotherapplicationhasrequestedthatAnyConnectimportlocalizationfiles.
(其他应用请求AnyConnect导入本地化文件.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]AnotherapplicationhasrequestedthatAnyConnectimportprofiles.
(其他应用请求AnyConnect导入配置文件.
)Doyouwanttoallowthis(是否要允许此操作)[Yes(是)|No(否)]可选AnyConnect配置和管理控制AnyConnect的外部使用ExternalControl(外部控制)应用设置指定AnyConnect应用如何响应外部URI请求.
外部请求创建连接条目;连接或断开VPN;导入客户端配置文件、证书或本地化文件.
外部请求通常由管理员通过电邮或在网页上提供.
管理员将指示您使用以下值之一:Enabled(启用)-AnyConnect应用自动允许所有URI命令.
Disabled(禁用)-AnyConnect应用自动禁止所有URI命令.
Prompt(提示)-每次在设备上访问AnyConnectURI时,AnyConnect应用都会提示您.
您可以允许或禁止URI请求.
有关详细信息,请参阅响应其他应用,第15页.
过程步骤1在AnyConnect应用中,轻触设置.
步骤2轻触ExternalControl(外部控制).
步骤3轻触Enabled(启用)、Disabled(禁用)或Prompt(提示).
步骤4轻触Settings(设置)返回到Settings(设置)屏幕.
16阻止不受信任的服务器此应用设置确定当AnyConnect无法识别安全网关时是否阻止连接.
默认情况下此保护处于打开状态;可以关闭此保护,但不推荐这样做.
AnyConnect使用从服务器接收到的证书来验证其标识.
如果存在由于过期或日期无效、密钥使用错误或名称不匹配而导致的证书错误,连接将被阻止.
当开启此设置时,阻止不受信任的VPN服务器!
通知会提示您此安全威胁.
过程步骤1在AnyConnect应用中,轻触设置.
步骤2轻触BlockUntrustedServers(阻止不受信任的服务器)复选框以启用或禁用此首选项.
设置FIPS模式在FIPS模式下,所有VPN连接均使用联邦信息处理标准(FIPS)加密算法.
开始之前如果您需要在移动设备上启用FIPS模式才能连接到网络,管理员将通知您.
过程步骤1在AnyConnect应用中,轻触设置.
步骤2轻触FIPSMode(FIPS模式)以启用或禁用此首选项.
管理VPN配置文件您应根据管理员提供的说明来管理设备上的VPN配置文件.
AnyConnectVPN客户端配置文件为从安全网关下载的XML文件,它们指定客户端行为并标识VPN连接.
VPN客户端配置文件中的每个连接条目都指定了一个此终端设备可以接入的安全网关,以及其他连接属性、策略和限制.
除设备上手动配置的VPN连接之外,初始化VPN连接时也可以选择这些连接条目.
AnyConnect一次仅在设备上保留一个VPN配置文件.
注释17过程步骤1在AnyConnect主页中,依次轻触诊断>配置文件.
步骤2选择:导入配置文件-指定要导入的VPN配置文件的URL.
删除配置文件-从设备中删除当前的VPN配置文件.
如果重新连接到同一ASA的域、IP地址或组URL,AnyConnect将重新加载VPN配置文件并重新实施安全策略.
注释显示配置文件-在设备上显示或隐藏当前的VPN配置文件.
管理本地化查看已安装的本地化数据安装AnyConnect时,如果设备的指定区域设置与某个打包的语言翻译匹配,则您的移动设备将被本地化.
AnyConnect软件包中包括以下语言翻译:加拿大法语(fr-ca)中文(台湾地区)(zh-tw)捷克语(cs-cz)荷兰语(nl-nl)法语(fr-fr)德语(de-de)匈牙利语(hu-hu)意大利语(it-it)日语(ja-jp)韩语(ko-kr)拉丁美洲西班牙语(es-co)波兰语(pl-pl)葡萄牙语(巴西)(pt-br)俄语(ru-ru)简体中文(zh-cn)18西班牙语(es-es)安装的语言取决于设置>通用>国际>语言中指定的区域设置.
AnyConnect启动后,AnyConnect用户界面和消息会立即翻译为本地语言.
AnyConnect会依次使用语言规范和地区规范来确定最佳匹配设置.
例如,安装完成后,在法语-瑞士(fr-ch)区域设置下,最终的显示为法语-加拿大(fr-ca).
过程步骤1在AnyConnect应用中,依次轻触诊断>本地化.
步骤2查看您的移动设备上已安装的本地化文件列表.
指示的语言是AnyConnect当前正在使用的语言.
导入本地化数据安装后,通过以下方式导入AnyConnect软件包不支持的语言的本地化数据:点击管理员提供的已定义为导入本地化数据的超链接.
管理员可以通过电邮或网页提供超链接,点击该超链接将导入本地化数据.
此方法使用AnyConnectURI处理程序,这是为管理员提供的一个功能,用于简化AnyConnect配置和管理.
您必须在AnyConnect设置中将ExternalControl(外部控制)设置为Prompt(提示)或Enable(启用)以允许该AnyConnect活动.
有关如何进行设置的信息,请参阅控制AnyConnect的外部使用,第16页.
注释连接到已被管理员配置为通过VPN连接提供可下载的本地化数据的安全网关.
如果要使用此方法,管理员会通过XML配置文件提供相应的VPN连接信息或预定义的连接条目.
本地化数据可通过VPN连接下载到您的设备并立即生效.
使用"AnyConnect本地化管理活动"屏幕上的导入本地化选项可手动导入,如以下所述.
过程步骤1在AnyConnect应用中,依次轻触诊断>本地化.
步骤2轻触ImportLocalization(导入本地化).
步骤3指定安全网关的地址和区域设置.
根据ISO639-1指定区域设置,如适用,可添加国家代码(例如,en-US、fr-CA、ar-IQ等等).
19此本地化数据用来替代预先打包的已安装的本地化数据.
恢复本地化数据过程步骤1在AnyConnect应用中,依次轻触诊断>本地化.
步骤2轻触RestoreLocalization(恢复本地化).
恢复使用AnyConnect软件包中预装的本地化数据并删除所有已导入的本地化数据.
系统将根据设置>通用>国际>语言中指定的设备区域设置选择恢复的语言.
删除AnyConnect过程步骤1在AnyConnect主页中,依次轻触诊断>配置文件>删除配置文件.
步骤2(可选)在AnyConnect主页中,依次轻触诊断>证书>删除证书.
步骤3返回设备主屏幕.
步骤4如果您将AnyConnect置于文件夹中,则打开该文件夹.
步骤5轻触并按住AnyConnect图标,直到其上方出现删除(X)图标.
步骤6轻触删除图标.
对AnyConnect进行监控和故障排除显示AnyConnect版本和许可证过程在AnyConnect主屏幕中,轻触About(关于).
20接下来的操作轻触About(关于)窗口中的链接可打开本指南的最新版本.
查看AnyConnect统计数据当存在VPN连接时,AnyConnect会记录统计数据.
过程在AnyConnect主屏幕中,轻触Details(详细信息)>Statistics(统计数据).
详细统计数据包括以下值:安全路由-目标为0.
0.
0.
0和子网掩码为0.
0.
0.
0的条目表示所有VPN流量均加密,并通过VPN连接发送或接收.
不安全路由-仅当SecureRoutes.
Traffic目标下存在0.
0.
0.
0/0.
0.
0.
0(由VPN安全网关确定,从加密连接中排除)时才显示.
查看系统信息过程在AnyConnect主屏幕中,依次轻触诊断>系统信息.
查看和管理日志消息为了防止为设备资源增加不必要的负载,AnyConnect默认不记录消息.
仅为了故障排除目的启用日志记录.
过程步骤1在AnyConnect主屏幕中,轻触诊断.
步骤2打开VPN调试日志以启用日志记录.
步骤3轻触日志.
步骤4选择:消息-显示日志消息.
滚动以查看其他消息.
服务-显示服务调试日志消息.
滚动以查看其他消息.
应用-显示应用调试日志消息.
滚动以查看其他消息.
清除日志-删除所有日志消息.
21诊断-返回"诊断"屏幕.
发送日志消息开始之前您的设备上必须已配置邮件帐户,并且VPN调试日志必须设置为"打开".
过程步骤1在AnyConnect主屏幕中,依次轻触诊断>邮件日志.
步骤2描述问题和重现问题的步骤,然后轻触发送.
步骤3选择将日志发送给管理员或思科,并使用邮件应用程序进行发送.
常见AppleiOS问题本主题介绍常见问题的解决方案.
如果在尝试这些解决方案后仍然存在问题,请联系您所在组织的IT支持部门.
我无法编辑/删除一些连接配置文件.
您的系统管理员设置的策略会影响将主机条目导入您的AnyConnect连接配置文件.
要删除这些配置文件,请依次轻触诊断>配置文件>清除配置文件数据.
尝试保存或编辑配置时出错.
错误原因是一个已知的操作系统问题.
Apple正在努力解决它.
作为临时解决方法,请尝试重新启动应用.
连接超时和主机无法解析.
网络连接问题、低格信号水平以及网络拥塞通常会导致超时和主机无法解析错误.
如果附近有LAN,请尝试使用您的设备设置应用首先建立与LAN的连接.
对于超时错误,重复多次尝试通常可解决问题.
当设备从睡眠状态被唤醒时,无法重新建立VPN连接.
启用VPN连接条目中的网络漫游.
如果启用网络漫游不能解决问题,请检查您的EDGE(2G)、1xRTT(2G)、3G或Wi-Fi连接.
此问题预期会遇到,取决于您的组织如何配置VPN.
注释22基于证书的身份验证不起作用.
如果之前曾成功验证,则检查证书的有效性和到期日.
请咨询您的系统管理员,确保您使用相应的证书进行连接.
AppleiOS按需连接功能不起作用或意外连接.
确保连接与"从不连接"(NeverConnect)列表不存在规则冲突.
如果该连接使用"视需要连接"(ConnectIfNeeded)规则,则尝试使用"始终连接"(AlwaysConnect)规则替代.
AnyConnect无法建立连接,但是未显示错误消息.
仅当AnyConnect应用打开时才会显示消息.
存在名为CiscoAnyConnect的配置文件,且无法删除.
请尝试重启应用.
当我删除AnyConnect应用时,VPN配置仍然出现在AppleiOSVPN设置中.
要删除这些配置文件,请重新安装AnyConnect,依次轻触诊断>配置文件>清除配置文件数据.
23思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请访问此网址:http://www.
cisco.
com/go/trademarks.
HostYun是一家成立于2008年的VPS主机品牌,原主机分享组织(hostshare.cn),商家以提供低端廉价VPS产品而广为人知,是小成本投入学习练手首选,主要提供基于XEN和KVM架构VPS主机,数据中心包括中国香港、日本、德国、韩国和美国的多个地区,大部分机房为国内直连或者CN2等优质线路。本月商家全场9折优惠码仍然有效,以KVM架构产品为例,优惠后韩国VPS月付13.5元起,日本东京...
RAKsmart 商家我们肯定不算陌生,目前主要的营销客户群肯定是我们。于是在去年的时候有新增很多很多的机房,比如也有测试过的日本、香港、美国机房,这不今年有新增韩国机房(记得去年是不是也有增加过)。且如果没有记错的话,之前VPS主机也有一次磁盘故障的问题。 这不今天有看到商家新增韩国服务器产品,当然目前我还不清楚商家韩国服务器的线路和速度情况,后面我搞一台测试机进行...
如今我们很多朋友做网站都比较多的采用站群模式,但是用站群模式我们很多人都知道要拆分到不同IP段。比如我们会选择不同的服务商,不同的机房,至少和我们每个服务器的IP地址差异化。于是,我们很多朋友会选择美国多IP站群VPS商家的产品。美国站群VPS主机商和我们普通的云服务器、VPS还是有区别的,比如站群服务器的IP分布情况,配置技术难度,以及我们成本是比普通的高,商家选择要靠谱的。我们在选择美国多IP...