Gid itilizatè CISCO AnyConnect 5.0 Secure Client

Entwodiksyon dokiman

Prepare pa:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134

Dokiman sa a bay pèsonèl IT Gid pou TOE, Cisco Secure Client – ​​AnyConnect 5.0 pou iOS 16. Dokiman Gid sa a gen ladann enstriksyon pou enstale TOE a avèk siksè nan Anviwònman Operasyonèl la, enstriksyon pou jere sekirite TSF la, ak enstriksyon pou bay yon kapasite administratif pwoteje.

Istwa revizyon

Version	Dat	Chanje
0.1	1 me 2023	Premye vèsyon
0.2	27 jiyè 2023	Mizajou

Cisco ak logo Cisco a se mak komèsyal oswa mak anrejistre Cisco ak/oswa afilye li yo nan peyi Etazini ak lòt peyi yo. Pou view yon lis mak Cisco, ale nan sa a URL: www.cisco.com/go/trademarks. Mak twazyèm pati mansyone yo se pwopriyete pwopriyetè respektif yo. Itilizasyon mo patnè a pa vle di yon relasyon patenarya ant Cisco ak nenpòt lòt konpayi. (1110R)

© 2023 Cisco Systems, Inc. Tout dwa rezève.

Entwodiksyon

Gid Operasyonèl Itilizatè sa a ak Pwosedi Preparatif yo dokimante administrasyon Cisco Secure ClientAnyConnect v5.0 pou Apple iOS 16 TOE, jan li te sètifye anba Kritè Komen. Yo ka refere Cisco Secure Client-AnyConnect v5.0 pou Apple iOS 16 anba a pa akwonim ki gen rapò ak egzanp VPN Kliyan oswa tou senpleman TOE la.

Odyans lan
Dokiman sa a ekri pou administratè ki enstale ak konfigirasyon TOE a. Dokiman sa a sipoze ke ou abitye ak konsèp debaz yo ak tèminoloji yo itilize nan entènètworking, epi ou konprann topoloji rezo ou a ak pwotokòl ke aparèy yo nan rezo ou ka itilize, ke ou se yon moun ou fè konfyans, epi ke ou resevwa fòmasyon pou itilize fonksyonman an. sistèm sou kote w ap kouri rezo w la.

Objektif
Dokiman sa a se Gid Operasyon Itilizatè ak Pwosedi Preparasyon pou evalyasyon Kritè Komen yo. Li te ekri pou mete aksan sou konfigirasyon TOE espesifik ak fonksyon administratè ak koòdone ki nesesè pou konfigirasyon epi kenbe TOE nan konfigirasyon evalye a. Dokiman sa a pa vle di detaye aksyon espesifik administratè a fè men pito se yon kat wout pou idantifye kote ki apwopriye nan dokiman Cisco pou jwenn detay espesifik pou konfigirasyon ak kenbe AnyConnect Secure Mobility Client operasyon yo. Tout kòmandman sekirite ki enpòtan pou jere done TSF yo bay nan dokiman sa a nan chak seksyon fonksyonèl.

Referans dokiman yo
Seksyon sa a bay lis dokiman Cisco Systems ki se tou yon pati nan Lis Atik Konfigirasyon Kritè Komen (CI). Dokiman yo itilize yo montre pi ba a nan Tablo 1. Nan tout dokiman sa a, yo pral refere gid yo pa "#", tankou [1].

Tablo 1 Dokimantasyon Cisco

#	Tit	Link
1	Cisco Secure Client (ki gen ladan AnyConnect) Gid Administratè, Release 5	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client-5/admin/guide/b- cisco-secure-client-admin-guide-5-0.html
2	Gid administratè platfòm mobil Cisco AnyConnect, lage 4.1	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect41/administration/guide/Cisc o_AnyConnect_Mobile_Administrator_Guide_4-1.html
3	Apple iOS Gid itilizatè pou Cisco AnyConnect Secure Mobility Client, Release 4.6.x	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect46/user/guide/Apple_iOS_Any Connect_User_Guide_4-6-x.html
4	Nòt lage pou Cisco AnyConnect Secure Mobility Client, Version 4.9	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/anyconnect49/release/notes/release- nòt-anyconnect-4-9.html
5	Release Nòt pou Cisco Secure Client (ki gen ladan AnyConnect), Release 5 pou Apple iOS	https://www.cisco.com/c/en/us/td/docs/security/vpn_cli ent/anyconnect/Cisco-Secure-Client- 5/lage/nòt/lage-nòt-apple-ios-cisco-secure- kliyan-release-5-0.html

zòtèy souview
TOE a se Cisco AnyConnect Secure Mobility Kliyan (nan sa li refere yo kòm kliyan VPN, oswa TOE). Cisco AnyConnect Secure Mobility Kliyan an bay itilizatè aleka yo koneksyon VPN an sekirite IPsec (IKEv2) ak VPN Gateway Cisco 5500 Series Adaptive Security Appliance (ASA) ki pèmèt aplikasyon enstale yo kominike kòm si yo konekte dirèkteman nan rezo antrepriz la.

Anviwònman operasyonèl
TOE a egzije Konpozan Anviwònman IT sa yo lè TOE a konfigirasyon nan konfigirasyon evalye li:

Tablo 2. Konpozan anviwònman operasyonèl

Eleman	Itilizasyon / Objektif Deskripsyon
Otorite Sètifika	Yo itilize yon Otorite Sètifika pou bay sètifika dijital ki valab.
Platfòm mobil	TOE a depann sou nenpòt nan platfòm aparèy mobil Apple ki valide CC sa yo: Apple iPhone 11/XR kouri iOS 16
ASA 5500-X seri VPN Gateway	Cisco ASA 5500-X ak vèsyon lojisyèl 9.2.2 oswa pita fonksyone kòm pòtay VPN tèt-fen.
Platfòm Jesyon ASDM	ASDM 7.7 opere nan nenpòt nan sistèm operasyon sa yo: Windows 7, 8, 10 Windows Server 2008, 2012, 2012 R2, 2016 ak Server 2019 Apple OS X 10.4 oswa pitaRemake byen ke lojisyèl ASDM sa a enstale sou aparèy ASA a epi yo itilize platfòm jesyon an pou konekte ak ASA a epi kouri ASDM la. Sèl lojisyèl ki enstale sou platfòm jesyon an se yon lansè Cisco ASDM.

Platfòm mobil ki kache a bay kèk nan fonksyonalite sekirite ki nesesè nan MOD_VPNC_V2.4] epi li itilize fraz "Platfòm TOE" nan dokiman sa a.

Cisco AnyConnect TOE itilize resous pyès ki nan konpitè rezo sou platfòm OS mobil pou voye ak resevwa pakè chiffres. TOE a pa jwenn aksè nan depo enfòmasyon sansib.

Referans nan dokiman sa a pou "ASA" fè referans a yon VPN Gateway

Fonksyonalite ekskli

Fonksyonalite ki nan lis anba a pa enkli nan konfigirasyon evalye a.

Tablo 3. Fonksyonalite ekskli ak rezon

Fonksyon ekskli	Rezon ki fè
Ki pa Peye-FIPS 140-2 mòd operasyon	TOE a gen ladan mòd operasyon Fip. Mòd Fip yo pèmèt TOE a itilize sèlman kriptografi ki apwouve. Mòd Fip nan operasyon dwe aktive pou TOE a ap opere nan konfigirasyon evalye li.
Tinèl SSL ak opsyon tinèl DLTS	[MOD_VPNC_V2.4] sèlman pèmèt tinèl IPsec VPN.

Sèvis sa yo pral enfim pa konfigirasyon. Esklizyon fonksyonalite sa a pa afekte konfòmite ak Pwoteksyon Pro reklame afiles.

Pwosedi ak Gid Operasyonèl pou anviwònman IT

Pou opere nan konfigirasyon evalye li, TOE a mande pou yon minimòm yon (1) Otorite Sètifika (CA), yon (1) VPN Gateway, ak yon (1) aparèy mobil Apple iPhone.

Pou sanble ak anviwònman PKI kliyan yo, yon solisyon CA de-niveau ki itilize yon CA Rasin Offline ak yon CA Sibòdone Enterprise ki anplwaye Microsoft 2012 R2 Sètifika Otorite (CA) yo pral referans nan seksyon sa a. Yo ka itilize lòt pwodwi CA nan plas Microsoft.

Yon CA Rasin configuré kòm yon sèvè otonòm (Gwoup Travay) pandan y ap CA Sibòdone a konfigirasyon kòm yon pati nan yon domèn Microsoft ak sèvis Active Directory aktive. Figi sa a bay yon deskripsyon vizyèl TOE ak IT

Anviwònman. TOE a se yon aplikasyon lojisyèl ki kouri sou iOS 13. Fwontyè TOE a endike pa liy wouj hash la. Gade figi 1 anba a.

Figi 1. TOE ak Anviwònman

Sibòdone CA a bay sètifika dijital X.509 epi li bay yon Lis Revokasyon Sètifika (CRL) nan platfòm TOE ak VPN Gateway.
Altènativman, yon (1) sèl rasin Enterprise CA ta ka deplwaye.

• Enstale ak konfigirasyon yon Otorite Sètifika

Si w ap itilize yon solisyon Microsoft de-niveau CA, enstale ak konfigirasyon yon Otorite Sètifika Rasin (GRAYCA) ak Enterprise Sibòdone (GRAYSUBCA1) an akò ak konsèy vandè a. Sa ki anba la a se yon gid etap pa etap pou konfigirasyon Sèvis Sètifika Microsoft Active Directory:

http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Yo sipoze tou de sètifika Offline Root CA (GRAYCA) ak sètifika Enterprise Subordinate CA (GRAYSUBCA1) ki dekri nan figi 1 yo enstale epi fè konfyans pou asire yo etabli yon chèn sètifika ou fè konfyans. Si w ap itilize yon CA ki soti nan yon machann ki pa Microsoft, swiv konsèy enstalasyon CA machann sa a.

Kèlkeswa pwodwi CA yo itilize a, sètifika RSA sou ASA a DWE gen pwopriyete sa yo Itilizasyon Kle ak Itilizasyon Kle Pwolonje:

• Itilizasyon kle: Siyati dijital, Akò kle
• EKU: IP sekirite IKE entèmedyè, IP fen sistèm sekirite

Champ Subject Alternative Name (SAN) ki nan sètifika ECDSA ak RSA sou ASA DWE matche ak enfòmasyon sou koneksyon ki espesifye nan AnyConnect pro la.file sou kliyan an.

• Enstale ak konfigirasyon yon pòtay VPN

Enstale Cisco ASA 9.1 (oswa pita), opsyonèlman ak ASDM, an akò ak gid enstalasyon ak nòt lage ki apwopriye pou vèsyon yo dwe enstale. ASDM pèmèt ASA a jere nan yon koòdone itilizatè grafik. Altènativman, si administratè a prefere, yo ka itilize etap konfigirasyon liy kòmand ekivalan (CLI).

Nòt Konfigirasyon: Kòm gen paramèt jere pa ASA, Administratè Gateway a dwe swiv etap sa yo nan seksyon sa a pou asire TOE a nan konfigirasyon evalye li.

• Pèmèt AnyConnect ak IKEv2 sou ASA la. Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> AnyConnect Connection Profiles epi chwazi Pèmèt kaz Cisco AnyConnect ak Pèmèt Aksè anba IKEv2.
  
• Sou AnyConnect Connection Profilepaj mansyone pi wo a, chwazi Sètifika Aparèy. Asire w ke Sèvi ak menm sètifika aparèy la… PA tcheke epi chwazi sètifika ID EC anba sètifika aparèy ECDSA. Lè sa a, chwazi Ok.
  
• Kreye politik kriptografik IKEv2 lè l sèvi avèk algoritm yo pèmèt nan konfigirasyon kritè komen yo. Nan ASDM, ale nan Konfigirasyon > Aksè Remote VPN > Aksè Rezo (Kliyan) > Avanse > IPsec > Règleman IKE epi ajoute yon politik IKEv2.

Chwazi Add epi antre 1 pou pi gwo priyorite a. Ranje a se 1 a 65535, ak 1 pi gwo priyorite.

Ankripteman:
AES: Espesifye AES-CBC ak yon chifreman kle 128-bit pou ESP.
AES-256: Espesifye AES-CBC ak yon chifreman kle 256-bit pou ESP.
AES-GCM-128: Espesifye AES Galois Counter Mode 128-bit chifreman
AES-GCM-256: Espesifye AES Galois Counter Mode 256-bit chifreman

Gwoup DH: Chwazi idantifyan gwoup Diffie-Hellman. Sa a se itilize pa chak parèy IPsec pou dériver yon sekrè pataje, san yo pa transmèt li youn ak lòt. Seleksyon Valab yo se: 19 ak 20.

PRF Hash – Espesifye PRF yo itilize pou konstriksyon materyèl kle pou tout algoritm kriptografik yo itilize nan SA a. Seleksyon ki valab yo se: sha256 ak sha384

Nan ansyen sa aampkonfigirasyon chwazi:

 

Priyorite: 1

AES Galois Counter Mode (AES-GCM) cryptage 256-bit: Lè yo chwazi GCM, li anpeche bezwen pou chwazi yon algorithm entegrite. Sa a se paske kapasite yo otantisite yo bati nan GCM, kontrèman ak CBC (Cipher-Block Chaining).

Gwoup Diffie-Hellman: 20
Hash Entegrite: Nil
PRF Hash: Sha384
Tout lavi: 86400

Chwazi Oke.

Nòt Administratè: Yo pa evalye itilizasyon nenpòt lòt cryptage, DH-Group, Entegrity oswa PRF Hash ki pa nan lis pi wo a.

Nòt Administratè: Onglet avanse a montre paramèt ranfòsman fòs IKE la. Asire ke paramèt Ranfòsman fòs Asosyasyon Sekirite (SA) yo tcheke. Sa a asire ke fòs chifreman IKEv2 chifreman an pi wo pase fòs chifreman chifreman IPsec SA pitit li yo. Pi wo algoritm fòs yo pral degrade.

Ekivalan CLI a se: crypto ipsec ikev2 sa-strength-enforcement

• Kreye yon pwopozisyon IPSEC. Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> Avanse> IPsec> Pwopozisyon IPsec (Transfòme Ansanm) epi ajoute yon Pwopozisyon IKEv2 IPsec. Lè sa a, chwazi Ok.
  Nan ansyen anamppi ba a non yo itilize a se NGE-AES-GCM-256 ak AES-GCM-256 pou chifreman ak nil pou Hash Entegrite:
  
  
• Kreye yon kat jeyografik kripto dinamik, chwazi pwopozisyon IPsec la epi aplike nan koòdone deyò a. Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> Avanse> IPsec> Crypto Maps. Chwazi Add, chwazi koòdone deyò a ak pwopozisyon IKEv2 la.
  Klike sou Tab Avanse. Asire sa ki annapre yo:
  Pèmèt NAT-T — Pèmèt NAT Traversal (NAT-T) pou règleman sa a
  Sekirite Asosyasyon Anviwònman pou tout lavi - mete sou 8 èdtan (28800 segonn)
• Kreye yon pisin adrès VPNUSERS yo pral bay itilizatè VPN yo. Pisin adrès yo gen jaden sa yo:
  Non — Espesifye non yo asiyen nan pisin adrès IP la.
  Kòmanse adrès IP — Espesifye premye adrès IP nan pisin lan.
  Fini adrès IP — Espesifye dènye adrès IP nan pisin lan.
  Mask sous-rezo— Chwazi mask sous-rezo a pou aplike nan adrès ki nan pisin lan.

Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> Adrès Plasman> Adrès Pisin epi ajoute yon pisin IP ki espesifye jaden ki anwo yo epi chwazi Ok.

Ajoute yon politik gwoup ki pral aplike paramèt yo vle a itilizatè VPN yo. Règleman Gwoup yo pèmèt ou jere politik gwoup AnyConnect VPN. Yon politik gwoup VPN se yon koleksyon pè atribi/valè oryante itilizatè ki estoke swa anndan aparèy ASA a. Konfigirasyon politik gwoup VPN la pèmèt itilizatè yo eritye atribi ke ou pa te konfigirasyon nan nivo gwoup endividyèl oswa non itilizatè. Pa default, itilizatè VPN pa gen okenn asosyasyon politik gwoup. Gwoup tinèl VPN yo ak kont itilizatè yo itilize enfòmasyon politik gwoup la. Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> Polis Gwoup epi ajoute yon politik gwoup entèn. Asire w ke pwotokòl tinèl VPN la mete sou IKEv2 epi pisin IP ki te kreye pi wo a fè referans nan politik la lè w dezeleksyone eritye kaz la epi chwazi anviwònman ki apwopriye a. DNS, WINS ak non domèn ki enpòtan yo ka ajoute tou nan politik la nan seksyon Sèvè yo.

Gade egzanpamppolitik gwoup la NGE-VPN-GP anba a:

• Kreye yon non gwoup tinèl. Yon gwoup tinèl gen règleman koneksyon tinèl pou koneksyon IPsec la. Yon politik koneksyon ka presize otantifikasyon, otorizasyon, ak sèvè kontablite, yon politik gwoup default, ak atribi IKE.

Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> AnyConnect Connection Profiles. Anba paj la anba Connection Profiles, chwazi Add.

Nan ansyen anample anba a non gwoup tinèl NGE-VPN-RAS yo itilize.

Konfigirasyon an fè referans a Otantifikasyon Sètifika, politik gwoup asosye NGE-VPN-GP ak Pèmèt IPsec (IKEv2). DNS ak non domèn kapab tou ajoute isit la. Epitou asire sèlman IPsec itilize pa tcheke pèmèt SSL VPN Pwotokòl Kliyan an.

• Kreye yon kat sètifika, kat itilizatè NGE VPN yo nan gwoup tinèl VPN ki te kreye deja. Kat sètifika a pral aplike nan itilizatè AC yo. Nan senaryo sa a, yo te mete non komen CA Sibòdone pou asire yon demann platfòm TOE k ap vini ak yon sètifika EC ki soti nan CA Sibòdone yo pral trase nan gwoup tinèl apwopriye ki te kreye anvan an. Itilizatè VPN ki pa bay yon sètifika nan EC CA a pral tounen nan gwoup tinèl yo default ak
  echwe otantifikasyon epi yo pral refize aksè.
  Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Avanse> Sètifika pou AnyConnect ak Clientless SSL VPN Connection Profile Kat. Anba Sètifika Koneksyon Profile Maps chwazi Ajoute. Chwazi DefaultCertificateMap ki egziste deja ak yon priyorite 10 epi referans gwoup tinèl NGE-RAS-VPN.
  
  Nan ASDM, ale nan Konfigirasyon> Aksè Remote VPN> Avanse> Sètifika pou AnyConnect ak Clientless SSL VPN Connection Profile Kat. Anba Kritè Katografik chwazi Add. Chwazi Emeteur pou jaden, Non komen (CN) pou eleman, Gen ladan pou Operatè, ak Lè sa a, chwazi Ok.
  
  Asire w ke w chwazi APLIKE sou paj prensipal la epi SOVE konfigirasyon an.
• Konfigure ASA pou aksepte koneksyon VPN nan men kliyan AnyConnect VPN, sèvi ak Sòsye AnyConnect VPN. Sòsye sa a configured IPsec (IKEv2) VPN pwotokòl pou aksè rezo aleka. Gade enstriksyon yo isit la:
  https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b

Pwosedi Preparasyon ak Gid Operasyon pou TOE a

Pou enstale Cisco Secure Client-AnyConnect TOE, swiv etap ki anba yo:

1. Louvri App Store la.
2. Chwazi Search
3. Nan bwat rechèch la, antre nan Cisco Secure Client-AnyConnect
4. Tape ENSTALE APLIKASYON
5. Chwazi Enstale

Kòmanse Cisco Secure Client-AnyConnect

Tape ikòn Cisco Secure Client-AnyConnect pou kòmanse aplikasyon an. Si sa a se premye fwa w ap kòmanse Cisco Secure Client-AnyConnect apre w fin enstale oswa amelyore, chwazi OK pou pèmèt TOE a pwolonje kapasite Virtual Private Network (VPN) aparèy ou an.

Verifikasyon Entegrite

Verifikasyon entegrite fèt chak fwa aplikasyon an chaje epi li pral tann pou verifikasyon entegrite a fini. Yo envoke sèvis kriptografik platfòm iOS yo bay pou verifye siyati dijital ègzekutabl TOE a files. Si verifikasyon entegrite a pa konplete avèk siksè, entèfas a pa pral chaje, sa ki fè aplikasyon an pa ka itilize. Si verifikasyon entegrite a reyisi, entèfas aplikasyon an ap chaje ak fonksyone nòmalman.

Konfigure Idantifyan Referans

Seksyon sa a espesifye konfigirasyon idantifyan referans pou kanmarad VPN Gateway la. Pandan IKE faz 1 otantifikasyon, TOE a konpare idantifyan referans ak idantifyan VPN Gateway la prezante. Si TOE a detèmine ke yo pa matche, otantifikasyon pa pral reyisi.

Chwazi Koneksyon nan ekran an lakay ou a view antre yo deja configuré sou aparèy ou an. Plizyè koneksyon koneksyon ka nan lis, kèk anba yon tit VPN Per-App. Antre koneksyon yo ka genyen estati sa yo:

• Pèmèt— Antre koneksyon sa a pèmèt manadjè aparèy mobil la epi li ka itilize pou konekte.
• Aktif- Antre koneksyon ki make oswa make sa a aktif kounye a.
• Konekte- Antre koneksyon sa a se youn aktif e kounye a konekte ak opere.
• Dekonekte- Antre koneksyon sa a se youn aktif men li kounye a dekonekte epi li pa opere.

Pou enstriksyon, al gade nan "Ajoute oswa modifye antre koneksyon manyèlman" seksyon [3].

Konfigirasyon Itilizasyon Sètifika

AnyConnect mande pou yon sètifika X.509. Gade nan "Konfigure Sètifika" seksyon [3].

Bloke sèvè ki pa fè konfyans

Anviwònman aplikasyon sa a detèmine si AnyConnect bloke koneksyon lè li pa kapab idantifye pòtay sekirite a.
Pwoteksyon sa a se ON pa default epi li pa dwe etenn.

AnyConnect itilize sètifika ki resevwa nan men sèvè a pou verifye idantifikasyon li. Si gen yon erè sètifika akòz yon dat ekspire oswa ki pa valab, move itilizasyon kle, oswa yon non matche, koneksyon an bloke.

Mete VPN Fip Mode
Mòd VPN Fip sèvi ak algorithm kriptografi Federal Information Processing Standards (FIPS) pou tout koneksyon VPN.

1. Nan aplikasyon Cisco Secure Client-AnyConnect, tape Anviwònman.
2. Tape Fip Mode pou pèmèt anviwònman sa a.

Pou satisfè kondisyon kriptografik nan ST, mòd Fip dwe aktive. Lè w konfime chanjman mòd Fip ou a, aplikasyon an ap sòti epi li dwe rekòmanse manyèlman. Lè rekòmanse, anviwònman mòd Fip ou an anvigè.

Strik Sètifika Trust Mode

Anviwònman sa a konfigirasyon Cisco Secure Client-AnyConnect TOE pou rejte sètifika VPN Gateway ki pa ka verifye otomatikman.

1. Soti nan fenèt la lakay ou, tape Menu > Anviwònman.
2. Pèmèt Strik Sètifika Trust Mode.

Lè pwochen tantativ koneksyon an, Strict Certificate Trust ap pèmèt

Tcheke Sètifika Anilasyon

Anviwònman sa a kontwole si wi ou non Cisco Secure Client-AnyConnect TOE a pral detèmine estati revokasyon sètifika a resevwa nan men Head-end VPN Gateway la. Anviwònman sa a dwe ON epi yo pa dwe etenn.

1. Soti nan fenèt lakay AnyConnect, tape Menu > Anviwònman.
2. Pèmèt Tcheke Sètifika Anilasyon pou pèmèt paramèt sa a.

Gid Operasyonèl pou TOE a

Etabli yon koneksyon VPN

Gade nan "Etabli a Koneksyon VPN" seksyon [3].

Administratè a ta dwe sonje règ sa yo PWOTEJE, BYPASS, ak DISCARD konsènan itilizasyon IPsec nan AnyConnect:

• PWOTEJE
  Antre pou PROTECT yo konfigirasyon atravè règleman gwoup aksè aleka sou ASA a lè l sèvi avèk ASDM. Pou antre PWOTEJE, trafik la ap koule nan tinèl IPsec VPN TOE a bay. Pa gen okenn konfigirasyon obligatwa pou tinèl TOE tout trafik la. Si ou vle, administratè a ta ka klèman mete konpòtman sa a ak lòd la nan Règleman Gwoup yo: split-tunnel-policy tunnelall
• BYPASS
  TOE a sipòte operasyon BYPASS (lè divizyon tinèl yo te pèmèt klèman pa règleman Aksè Remote). Lè fann tinèl yo aktive, ASA VPN Gateway pouse yon lis segman rezo a TOE pou PWOTEJE. Tout lòt trafik vwayaje san pwoteksyon san yo pa enplike TOE a konsa kontoune pwoteksyon IPsec.
  Split tunneling se configuré nan yon politik gwoup Aksè Rezo (Kliyan). Administratè a gen opsyon sa yo:
  Ekskli espesifye: Ekskli sèlman rezo ki espesifye nan lis split-tunnel-network-list
  Tinèl espesifye: Rezo tinèl sèlman ki espesifye nan lis fann-tinèl-rezo. Gade nan seksyon "Konsènan Konfigirasyon Split Tunneling pou Trafik AnyConnect" nan gid konfigirasyon VPN ASDM la epi gade etap yo bay nan seksyon "Konfigure Split-Tunneling pou Trafik AnyConnect". Apre w fin fè chanjman nan politik gwoup la nan ASDM, asire w ke politik gwoup la asosye ak yon Connection Profile nan Konfigirasyon> Aksè Remote VPN> Aksè Rezo (Kliyan)> AnyConnect Connection Profiles > Add/Edit > Group Policy. BYPASS SPD yo bay platfòm lame a atravè règleman sou pèmi trafik rezo a. Pa gen okenn konfigirasyon obligatwa sou platfòm TOE a pou pèmèt li pase trafik sa a.
• JETE
  Règ DISCARD yo fèt sèlman pa platfòm TOE. Pa gen okenn koòdone administratif pou espesifye yon règ DISCARD.

Siveye ak rezoud pwoblèm

Gade nan Siveye ak rezoud pwoblèm seksyon [3].

Sòti Cisco Secure Client-AnyConnect
Soti nan aplikasyon an mete fen nan koneksyon VPN aktyèl la epi sispann tout pwosesis TOE. Sèvi ak aksyon sa a ti kras. Lòt aplikasyon oswa pwosesis sou aparèy ou an ka itilize koneksyon VPN aktyèl la epi sòti nan aplikasyon Cisco Secure Client-AnyConnect ka afekte operasyon yo yon fason negatif.

Soti nan fenèt la lakay ou, tape Menu > Sòti.

Sipò kriptografik
TOE bay kriptografik pou sipòte IPsec ak kriptografi simetrik ESP pou chifreman/dekripte AES ak algorithm SHA-2 pou hachaj. Anplis de sa, TOE a bay kriptografi a pou sipòte echanj kle Diffie Hellman ak fonksyon derivasyon yo itilize nan pwotokòl IKEv2 ak ESP. Enstriksyon pou konfigirasyon fonksyon kriptografik yo dekri nan seksyon "Pwosedi ak Gid Operasyon pou Anviwònman IT" nan dokiman sa a.

Mizajou fè konfyans

Seksyon sa a bay enstriksyon pou aksepte TOE a ak tout mizajou TOE ki vin apre yo. "Mizajou" se yon nouvo vèsyon TOE a.

Itilizatè a ka mande vèsyon TOE. Soti nan ekran an lakay ou tape "Sou". Yo ka mande vèsyon vèsyon tou atravè platfòm mobil lan:

• iPhone: Louvri Anviwònman epi ale nan Jeneral> Itilizasyon. Anba Depo, jwenn Cisco Secure Client Any Connect epi tape. Enfòmasyon sou vèsyon an ap parèt.

Mizajou nan Cisco Secure Client-AnyConnect TOE yo jere atravè Apple App Store lè l sèvi avèk pwosedi ki anba a.

Nòt: Anvan ou ajou aparèy ou a, ou dwe dekonekte sesyon VPN a si youn etabli, epi fèmen aplikasyon an si li louvri. Si ou echwe fè sa, yon rdemare aparèy ou an oblije anvan ou sèvi ak nouvo vèsyon an nan Cisco Secure Client-AnyConnect TOE.

1. Tape ikòn App Store la sou paj lakay iOS.
2. Tape avi ajou Cisco Secure Client-AnyConnect.
3. Li sou nouvo karakteristik yo.
4. Klike Mizajou.
5. Antre modpas ID Apple ou a.
6. Tape OK.

Aktyalizasyon an kontinye.

Jwenn Dokimantasyon ak Soumèt yon Demann Sèvis

Pou jwenn enfòmasyon sou jwenn dokiman, lè l sèvi avèk Zouti Cisco Bug Search Tool (BST), soumèt yon demann sèvis, ak rasanble enfòmasyon adisyonèl, gade. Ki sa ki nouvo nan Dokimantasyon pwodwi Cisco.

Pou resevwa nouvo ak revize kontni teknik Cisco dirèkteman sou Desktop ou, ou ka abònman nan Ki sa ki nouvo nan Cisco Product Documentation RSS feed. Flux RSS yo se yon sèvis gratis.

Kontakte Cisco

Cisco gen plis pase 200 biwo atravè lemond. Adrès, nimewo telefòn, ak nimewo faks yo nan lis Cisco a websit nan www.cisco.com/go/offices.

Dokiman / Resous

CISCO AnyConnect 5.0 Secure Kliyan [pdfGid Itilizatè 5.0 pou iOS 16, AnyConnect 5.0 Secure Kliyan, 5.0 Secure Kliyan, Secure Kliyan, Kliyan

Referans

• Manyèl itilizatè