CISCO AnyConnect 5.0 ຄູ່ມືຜູ້ໃຊ້ທີ່ປອດໄພຂອງລູກຄ້າ
ເອກະສານແນະນໍາ
ກະກຽມໂດຍ:
Cisco Systems, Inc.
170 ຕາເວັນຕົກ Tasman Dr.
San Jose, CA 95134
ເອກະສານນີ້ໃຫ້ຄໍາແນະນໍາແກ່ບຸກຄະລາກອນໄອທີສໍາລັບ TOE, Cisco Secure Client – AnyConnect 5.0 ສໍາລັບ iOS 16. ເອກະສານແນະນໍານີ້ປະກອບມີຄໍາແນະນໍາໃນການຕິດຕັ້ງ TOE ສົບຜົນສໍາເລັດໃນສະພາບແວດລ້ອມການດໍາເນີນງານ, ຄໍາແນະນໍາໃນການຄຸ້ມຄອງຄວາມປອດໄພຂອງ TSF, ແລະຄໍາແນະນໍາໃນການສະຫນອງ. ຄວາມສາມາດປົກປ້ອງການບໍລິຫານ.
ປະຫວັດການແກ້ໄຂ
| ຮຸ່ນ | ວັນທີ | ປ່ຽນແປງ |
| 0.1 | ວັນທີ 1 ພຶດສະພາ 2023 | ສະບັບເລີ່ມຕົ້ນ |
| 0.2 | ວັນທີ 27 ກໍລະກົດ 2023 | ອັບເດດ |
Cisco ແລະ ໂລໂກ້ Cisco ແມ່ນເຄື່ອງໝາຍການຄ້າ ຫຼືເຄື່ອງໝາຍການຄ້າທີ່ຈົດທະບຽນຂອງ Cisco ແລະ/ຫຼື ສາຂາໃນສະຫະລັດ ແລະປະເທດອື່ນໆ. ເຖິງ view ບັນຊີລາຍຊື່ຂອງເຄື່ອງຫມາຍການຄ້າ Cisco, ໄປທີ່ນີ້ URL: www.cisco.com/go/trademarks. ເຄື່ອງຫມາຍການຄ້າພາກສ່ວນທີສາມທີ່ໄດ້ກ່າວມາແມ່ນຊັບສິນຂອງເຈົ້າຂອງຂອງເຂົາເຈົ້າ. ການນໍາໃຊ້ຄໍາວ່າຄູ່ຮ່ວມງານບໍ່ໄດ້ຫມາຍເຖິງການພົວພັນຄູ່ຮ່ວມງານລະຫວ່າງ Cisco ແລະບໍລິສັດອື່ນໆ. (1110R)
© 2023 Cisco Systems, Inc. ສະຫງວນລິຂະສິດທັງໝົດ.
ແນະນຳ
ການແນະນໍາຜູ້ໃຊ້ແບບປະຕິບັດການນີ້ກັບຂັ້ນຕອນການກະກຽມເອກະສານການບໍລິຫານຂອງ Cisco Secure ClientAnyConnect v5.0 ສໍາລັບ Apple iOS 16 TOE, ຍ້ອນວ່າມັນໄດ້ຮັບການຢັ້ງຢືນພາຍໃຕ້ເງື່ອນໄຂທົ່ວໄປ. Cisco Secure Client-AnyConnect v5.0 ສໍາລັບ Apple iOS 16 ອາດຈະຖືກອ້າງອີງຂ້າງລຸ່ມນີ້ໂດຍຕົວຫຍໍ້ທີ່ກ່ຽວຂ້ອງເຊັ່ນ: VPN Client ຫຼືພຽງແຕ່ TOE.
ຜູ້ຊົມ
ເອກະສານນີ້ແມ່ນຂຽນສໍາລັບຜູ້ບໍລິຫານທີ່ຕິດຕັ້ງ ແລະຕັ້ງຄ່າ TOE. ເອກະສານນີ້ສົມມຸດວ່າທ່ານຄຸ້ນເຄີຍກັບແນວຄວາມຄິດພື້ນຖານແລະຄໍາສັບທີ່ໃຊ້ໃນການເຮັດວຽກອິນເຕີເນັດ, ແລະເຂົ້າໃຈ topology ເຄືອຂ່າຍຂອງທ່ານແລະ protocols ທີ່ອຸປະກອນໃນເຄືອຂ່າຍຂອງທ່ານສາມາດໃຊ້ໄດ້, ວ່າທ່ານເປັນບຸກຄົນທີ່ເຊື່ອຖືໄດ້, ແລະທ່ານໄດ້ຮັບການຝຶກອົບຮົມການນໍາໃຊ້ປະຕິບັດງານ. ລະບົບທີ່ທ່ານກໍາລັງແລ່ນເຄືອຂ່າຍຂອງທ່ານ.
ຈຸດປະສົງ
ເອກະສານນີ້ແມ່ນຄໍາແນະນໍາດ້ານການປະຕິບັດການຜູ້ໃຊ້ທີ່ມີຂັ້ນຕອນການກະກຽມສໍາລັບການປະເມີນຜົນມາດຕະຖານທົ່ວໄປ. ມັນໄດ້ຖືກຂຽນເພື່ອເນັ້ນໃສ່ການຕັ້ງຄ່າສະເພາະຂອງ TOE ແລະຫນ້າທີ່ຜູ້ເບິ່ງແຍງລະບົບແລະການໂຕ້ຕອບທີ່ຈໍາເປັນເພື່ອກໍານົດແລະຮັກສາ TOE ໃນການຕັ້ງຄ່າທີ່ຖືກປະເມີນ. ເອກະສານນີ້ບໍ່ໄດ້ໝາຍເຖິງລາຍລະອຽດການກະທຳສະເພາະທີ່ຜູ້ບໍລິຫານປະຕິບັດໄດ້ ແຕ່ເປັນແຜນທີ່ເສັ້ນທາງສຳລັບການກຳນົດສະຖານທີ່ທີ່ເໝາະສົມພາຍໃນເອກະສານ Cisco ເພື່ອໃຫ້ໄດ້ລາຍລະອຽດສະເພາະສຳລັບການກຳນົດຄ່າ ແລະຮັກສາການດຳເນີນງານຂອງລູກຂ່າຍ AnyConnect Secure Mobility. ຄໍາສັ່ງທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພທັງຫມົດໃນການຄຸ້ມຄອງຂໍ້ມູນ TSF ແມ່ນສະຫນອງໃຫ້ຢູ່ໃນເອກະສານນີ້ພາຍໃນແຕ່ລະພາກສ່ວນທີ່ເປັນປະໂຫຍດ.
ເອກະສານອ້າງອີງ
ພາກສ່ວນນີ້ລາຍຊື່ເອກະສານລະບົບ Cisco ທີ່ເປັນສ່ວນໜຶ່ງຂອງລາຍການການຕັ້ງຄ່າມາດຕະຖານທົ່ວໄປ (CI). ເອກະສານທີ່ໃຊ້ແມ່ນສະແດງຢູ່ລຸ່ມນີ້ໃນຕາຕະລາງ 1. ຕະຫຼອດເອກະສານນີ້, ຄູ່ມືຈະຖືກອ້າງອີງໂດຍ “#” ເຊັ່ນ: [1].
ຕາຕະລາງ 1 ເອກະສານ Cisco
TOE ເກີນview
TOE ແມ່ນ Cisco AnyConnect Secure Mobility Client (ໃນທີ່ນີ້ເອີ້ນວ່າລູກຄ້າ VPN, ຫຼື TOE). Cisco AnyConnect Secure Mobility Client ໃຫ້ຜູ້ໃຊ້ຫ່າງໄກສອກຫຼີກດ້ວຍການເຊື່ອມຕໍ່ VPN ທີ່ປອດໄພ IPsec (IKEv2) ກັບ Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway ອະນຸຍາດໃຫ້ແອັບພລິເຄຊັນທີ່ຕິດຕັ້ງສາມາດຕິດຕໍ່ສື່ສານໄດ້ຄືກັບວ່າເຊື່ອມຕໍ່ໂດຍກົງກັບເຄືອຂ່າຍວິສາຫະກິດ.
ສະພາບແວດລ້ອມການດໍາເນີນງານ
TOE ຕ້ອງການອົງປະກອບສະພາບແວດລ້ອມ IT ຕໍ່ໄປນີ້ເມື່ອ TOE ຖືກຕັ້ງຄ່າໃນການຕັ້ງຄ່າການປະເມີນຂອງມັນ:
ຕາຕະລາງ 2. ອົງປະກອບສະພາບແວດລ້ອມປະຕິບັດການ
| ອົງປະກອບ | ລາຍລະອຽດການນຳໃຊ້/ຈຸດປະສົງ |
| ໃບຢັ້ງຢືນສິດ ອຳ ນາດ | A Certificate Authority ຖືກນໍາໃຊ້ເພື່ອສະຫນອງໃບຢັ້ງຢືນດິຈິຕອນທີ່ຖືກຕ້ອງ. |
| ເວທີມືຖື | TOE ອີງໃສ່ CC ໃດໆທີ່ຜ່ານລະບົບອຸປະກອນມືຖື Apple ທີ່ໄດ້ຜ່ານການກວດສອບຕໍ່ໄປນີ້:
|
| ASA 5500-X series VPN Gateway | Cisco ASA 5500-X ທີ່ມີຊອຟແວເວີຊັ່ນ 9.2.2 ຫຼືໃໝ່ກວ່ານັ້ນເຮັດໜ້າທີ່ເປັນປະຕູ VPN ຫົວ-end. |
| ເວທີການຄຸ້ມຄອງ ASDM | ASDM 7.7 ດໍາເນີນການຈາກລະບົບປະຕິບັດງານໃດໆຕໍ່ໄປນີ້:
|
ແພລດຟອມມືຖືທີ່ຕິດພັນໃຫ້ບາງຟັງຊັນຄວາມປອດໄພທີ່ຕ້ອງການໃນ MOD_VPNC_V2.4] ແລະຖືກໝາຍເຖິງໂດຍໃຊ້ປະໂຫຍກ “TOE Platform” ໃນເອກະສານນີ້.
Cisco AnyConnect TOE ໃຊ້ຊັບພະຍາກອນຮາດແວເຄືອຂ່າຍໃນເວທີ OS ມືຖືເພື່ອສົ່ງ ແລະຮັບແພັກເກັດທີ່ຖືກເຂົ້າລະຫັດ. TOE ບໍ່ເຂົ້າເຖິງບ່ອນເກັບຂໍ້ມູນທີ່ລະອຽດອ່ອນ.
ການອ້າງອີງໃນເອກະສານນີ້ຕໍ່ກັບ “ASA” ອ້າງອີງເຖິງ VPN Gateway
ຟັງຊັນບໍ່ລວມ
ຟັງຊັນທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້ບໍ່ໄດ້ລວມຢູ່ໃນການຕັ້ງຄ່າທີ່ຖືກປະເມີນ.
ຕາຕະລາງ 3. ຫນ້າທີ່ຍົກເວັ້ນ ແລະເຫດຜົນ
| ບໍ່ລວມຟັງຊັນ | ເຫດຜົນ |
| ໂໝດການໃຊ້ງານທີ່ບໍ່ແມ່ນ FIPS 140-2 | TOE ປະກອບມີຮູບແບບການດໍາເນີນການ FIPS. ໂຫມດ FIPS ອະນຸຍາດໃຫ້ TOE ໃຊ້ພຽງແຕ່ການເຂົ້າລະຫັດລັບທີ່ໄດ້ຮັບການອະນຸມັດ. ຮູບແບບການດຳເນີນການ FIPS ຕ້ອງຖືກເປີດໃຊ້ເພື່ອໃຫ້ TOE ເຮັດວຽກຢູ່ໃນການຕັ້ງຄ່າການປະເມີນຂອງມັນ. |
| ອຸໂມງ SSL ທີ່ມີທາງເລືອກໃນການວາງອຸໂມງ DLTS | [MOD_VPNC_V2.4] ພຽງແຕ່ອະນຸຍາດ IPsec VPN tunnel. |
ບໍລິການເຫຼົ່ານີ້ຈະຖືກປິດໃຊ້ງານໂດຍການຕັ້ງຄ່າ. ການຍົກເວັ້ນການທໍາງານນີ້ບໍ່ມີຜົນຕໍ່ການປະຕິບັດຕາມການປົກປ້ອງ Pro ອ້າງສິດfiles.
ຂັ້ນຕອນ ແລະຄຳແນະນຳການດຳເນີນງານສຳລັບສະພາບແວດລ້ອມໄອທີ
ເພື່ອດໍາເນີນການໃນການຕັ້ງຄ່າການປະເມີນຂອງມັນ, TOE ຕ້ອງການຢ່າງໜ້ອຍໜຶ່ງ (1) ໃບຮັບຮອງ (CA), ຫນຶ່ງ (1) VPN Gateway, ແລະ (1) ອຸປະກອນມືຖື Apple iPhone.
ເພື່ອຄ້າຍຄືກັບສະພາບແວດລ້ອມ PKI ຂອງລູກຄ້າ, ການແກ້ໄຂ CA ສອງຊັ້ນໂດຍໃຊ້ Offline Root CA ແລະ Enterprise Subordinate CA ທີ່ໃຊ້ Microsoft 2012 R2 Certificate Authority (CA) ຈະຖືກອ້າງອີງໃນພາກນີ້. ຜະລິດຕະພັນ CA ອື່ນແທນ Microsoft ອາດຖືກໃຊ້.
Root CA ຖືກກຳນົດຄ່າເປັນເຊີບເວີແບບສະແຕນດຽວ (Workgroup) ໃນຂະນະທີ່ CA ຍ່ອຍຖືກຕັ້ງຄ່າເປັນສ່ວນໜຶ່ງຂອງໂດເມນ Microsoft ທີ່ມີບໍລິການ Active Directory ເປີດໃຊ້. ຕົວເລກຕໍ່ໄປນີ້ໃຫ້ການສະແດງພາບຂອງ TOE ແລະ IT
ສະພາບແວດລ້ອມ. TOE ແມ່ນແອັບຊອບແວທີ່ເຮັດວຽກຢູ່ໃນ iOS 13. ຂອບເຂດ TOE ແມ່ນສະແດງດ້ວຍເສັ້ນສີແດງ. ເບິ່ງຮູບ 1 ຂ້າງລຸ່ມນີ້.
ຮູບທີ 1. TOE ແລະສະພາບແວດລ້ອມ
Subordinate CA ອອກໃບຢັ້ງຢືນດິຈິຕອນ X.509 ແລະໃຫ້ບັນຊີການຖອນໃບຢັ້ງຢືນ (CRL) ໃຫ້ກັບ TOE Platform ແລະ VPN Gateway.
ອີກທາງເລືອກ, ໜຶ່ງ (1) ຮາກດຽວ Enterprise CA ສາມາດຖືກ ນຳ ໃຊ້.
- ຕິດຕັ້ງແລະຕັ້ງຄ່າອົງການໃບຢັ້ງຢືນ
ຖ້າໃຊ້ການແກ້ໄຂ CA ສອງຊັ້ນຂອງ Microsoft, ຕິດຕັ້ງແລະກໍາຫນົດຄ່າ Root (GRAYCA) ແລະ Enterprise Subordinate Certificate Authority (GRAYSUBCA1) ຕາມຄໍາແນະນໍາຈາກຜູ້ຂາຍ. ຕໍ່ໄປນີ້ແມ່ນຄູ່ມືຂັ້ນຕອນໂດຍຂັ້ນຕອນສໍາລັບການຕັ້ງຄ່າຂອງ Microsoft Active Directory Certificate Services:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
ມັນສົມມຸດວ່າທັງໃບຮັບຮອງ Offline Root CA (GRAYCA) ແລະໃບຢັ້ງຢືນ Enterprise Subordinate CA (GRAYSUBCA1) ທີ່ສະແດງຢູ່ໃນຮູບ 1 ໄດ້ຖືກຕິດຕັ້ງ ແລະເຊື່ອຖືໄດ້ເພື່ອຮັບປະກັນລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນ. ຖ້າໃຊ້ CA ຈາກຜູ້ຂາຍອື່ນທີ່ບໍ່ແມ່ນ Microsoft, ປະຕິບັດຕາມຄໍາແນະນໍາການຕິດຕັ້ງ CA ຂອງຜູ້ຂາຍນັ້ນ.
ໂດຍບໍ່ສົນເລື່ອງຂອງຜະລິດຕະພັນ CA ທີ່ໃຊ້, ໃບຮັບຮອງ RSA ໃນ ASA ຕ້ອງມີຄຸນສົມບັດການນຳໃຊ້ຫຼັກຕໍ່ໄປນີ້ ແລະ ຄຸນສົມບັດການນຳໃຊ້ຫຼັກເພີ່ມເຕີມ:
- ການນໍາໃຊ້ທີ່ສໍາຄັນ: ລາຍເຊັນດິຈິຕອນ, ຂໍ້ຕົກລົງທີ່ສໍາຄັນ
- EKU: ຄວາມປອດໄພ IP IKE intermediate, IP end ລະບົບຄວາມປອດໄພ
ຊ່ອງຂໍ້ມູນ Subject Alternative Name (SAN) ພາຍໃນໃບຮັບຮອງ ECDSA ແລະ RSA ໃນ ASA ຕ້ອງກົງກັບຂໍ້ມູນການເຊື່ອມຕໍ່ທີ່ລະບຸພາຍໃນ AnyConnect profile ກ່ຽວກັບລູກຄ້າ.
- ຕິດຕັ້ງ ແລະກຳນົດຄ່າ VPN Gateway
ຕິດຕັ້ງ Cisco ASA 9.1 (ຫຼືຫຼັງຈາກນັ້ນ), ທາງເລືອກກັບ ASDM, ອີງຕາມຄໍາແນະນໍາການຕິດຕັ້ງແລະບັນທຶກການປ່ອຍທີ່ເຫມາະສົມສໍາລັບສະບັບທີ່ຈະຕິດຕັ້ງ. ASDM ອະນຸຍາດໃຫ້ ASA ຈັດການຈາກການໂຕ້ຕອບຜູ້ໃຊ້ແບບກາຟິກ. ອີກທາງເລືອກ, ຖ້າຜູ້ເບິ່ງແຍງຕ້ອງການ, ຂັ້ນຕອນການຕັ້ງຄ່າເສັ້ນຄໍາສັ່ງທຽບເທົ່າ (CLI) ສາມາດຖືກນໍາໃຊ້.
ຫມາຍເຫດການຕັ້ງຄ່າ: ເນື່ອງຈາກມີພາລາມິເຕີທີ່ຄຸ້ມຄອງໂດຍ ASA, Gateway Administrator ຕ້ອງປະຕິບັດຕາມຂັ້ນຕອນໃນພາກນີ້ເພື່ອຮັບປະກັນ TOE ຢູ່ໃນການຕັ້ງຄ່າການປະເມີນຂອງມັນ.
- ເປີດໃຊ້ AnyConnect ແລະ IKEv2 ໃນ ASA. ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > AnyConnect Connection Profiles ແລະເລືອກ Enable Cisco AnyConnect checkbox ແລະອະນຸຍາດໃຫ້ເຂົ້າເຖິງພາຍໃຕ້ IKEv2.
- ໃນ AnyConnect Connection Profiles ຫນ້າທີ່ໄດ້ກ່າວມາຂ້າງເທິງ, ເລືອກໃບຢັ້ງຢືນອຸປະກອນ. ໃຫ້ແນ່ໃຈວ່າໃຊ້ໃບຮັບຮອງອຸປະກອນດຽວກັນ… ບໍ່ໄດ້ຖືກກວດສອບ ແລະເລືອກໃບຢັ້ງຢືນ EC ID ພາຍໃຕ້ໃບຢັ້ງຢືນອຸປະກອນ ECDSA. ຈາກນັ້ນເລືອກ Ok.
- ສ້າງນະໂຍບາຍ crypto IKEv2 ໂດຍໃຊ້ສູດການຄິດໄລ່ທີ່ອະນຸຍາດໃນເງື່ອນໄຂການປະເມີນທົ່ວໄປ. ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > ຂັ້ນສູງ > IPsec > ນະໂຍບາຍ IKE ແລະເພີ່ມນະໂຍບາຍ IKEv2.
ເລືອກ Add ແລະໃສ່ 1 ສໍາລັບຄວາມສໍາຄັນສູງສຸດ. ຊ່ວງແມ່ນ 1 ຫາ 65535, ມີ 1 ບູລິມະສິດສູງສຸດ.
ການເຂົ້າລະຫັດ:
AES: ລະບຸ AES-CBC ດ້ວຍການເຂົ້າລະຫັດລະຫັດ 128-bit ສໍາລັບ ESP.
AES-256: ລະບຸ AES-CBC ດ້ວຍການເຂົ້າລະຫັດລະຫັດ 256-bit ສໍາລັບ ESP.
AES-GCM-128: ລະບຸການເຂົ້າລະຫັດ AES Galois Counter Mode 128-bit
AES-GCM-256: ລະບຸການເຂົ້າລະຫັດ AES Galois Counter Mode 256-bit
ກຸ່ມ DH: ເລືອກຕົວລະບຸກຸ່ມ Diffie-Hellman. ນີ້ຖືກນໍາໃຊ້ໂດຍແຕ່ລະ IPsec peer ເພື່ອເອົາຄວາມລັບທີ່ແບ່ງປັນ, ໂດຍບໍ່ມີການສົ່ງຕໍ່ເຊິ່ງກັນແລະກັນ. ການເລືອກທີ່ຖືກຕ້ອງແມ່ນ: 19 ແລະ 20.
PRF Hash - ລະບຸ PRF ທີ່ໃຊ້ສໍາລັບການກໍ່ສ້າງອຸປະກອນການກະແຈສໍາລັບທຸກລະບົບການເຂົ້າລະຫັດລັບທີ່ໃຊ້ໃນ SA. ການເລືອກທີ່ຖືກຕ້ອງແມ່ນ: sha256 ແລະ sha384
ໃນນີ້ exampເລືອກການຕັ້ງຄ່າ:
ບູລິມະສິດ: 1
AES Galois Counter Mode (AES-GCM) ການເຂົ້າລະຫັດ 256-ບິດ: ເມື່ອ GCM ຖືກເລືອກ, ມັນຂັດຂວາງຄວາມຕ້ອງການທີ່ຈະເລືອກສູດການຄິດໄລ່ຄວາມສົມບູນ. ນີ້ແມ່ນຍ້ອນວ່າຄວາມສາມາດຂອງຄວາມຖືກຕ້ອງແມ່ນສ້າງຂຶ້ນໃນ GCM, ບໍ່ເຫມືອນກັບ CBC (Cipher-Block Chaning).
ກຸ່ມ Diffie-Hellman: 20
ຄວາມຊື່ສັດ Hash: null
PRF Hash: sha384
ຕະຫຼອດຊີວິດ: 86400
ເລືອກ ຕົກລົງ.
ບັນທຶກຜູ້ບໍລິຫານ: ການໃຊ້ການເຂົ້າລະຫັດເພີ່ມເຕີມ, DH-Group, Integrity ຫຼື PRF Hash ທີ່ບໍ່ໄດ້ລະບຸໄວ້ຂ້າງເທິງແມ່ນບໍ່ຖືກປະເມີນ.
ບັນທຶກຜູ້ບໍລິຫານ: ແຖບຂັ້ນສູງສະແດງພາລາມິເຕີການບັງຄັບໃຊ້ຄວາມເຂັ້ມແຂງ IKE. ຮັບປະກັນວ່າຕົວກໍານົດການບັງຄັບໃຊ້ຄວາມເຂັ້ມແຂງຂອງສະມາຄົມຄວາມປອດໄພ (SA) ຖືກກວດສອບ. ນີ້ຮັບປະກັນວ່າຄວາມເຂັ້ມແຂງຂອງລະຫັດເຂົ້າລະຫັດ IKEv2 ແມ່ນສູງກວ່າຄວາມເຂັ້ມແຂງຂອງລະຫັດເຂົ້າລະຫັດ IPsec SA ຂອງລູກຂອງມັນ. ສູດການຄິດໄລ່ຄວາມແຮງທີ່ສູງຂຶ້ນຈະຖືກຫຼຸດລົງ.
ທຽບເທົ່າ CLI ແມ່ນ: crypto ipsec ikev2 sa-strength-enforcement
- ສ້າງບົດສະເຫນີ IPSEC. ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > ຂັ້ນສູງ > IPsec > IPsec Proposals (Transform Sets) ແລະເພີ່ມ IKEv2 IPsec Proposal. ຈາກນັ້ນເລືອກ Ok.
ໃນ example ຂ້າງລຸ່ມນີ້ຊື່ທີ່ໃຊ້ແມ່ນ NGE-AES-GCM-256 ກັບ AES-GCM-256 ສໍາລັບການເຂົ້າລະຫັດແລະ Null ສໍາລັບ Integrity Hash:
- ສ້າງແຜນທີ່ crypto ແບບເຄື່ອນໄຫວ, ເລືອກການສະເຫນີ IPsec ແລະນໍາໃຊ້ກັບການໂຕ້ຕອບພາຍນອກ. ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > ຂັ້ນສູງ > IPsec > Crypto Maps. ເລືອກເພີ່ມ, ເລືອກການໂຕ້ຕອບພາຍນອກແລະການສະເຫນີ IKEv2.
ຄລິກແຖບຂັ້ນສູງ. ຮັບປະກັນສິ່ງຕໍ່ໄປນີ້:
ເປີດໃຊ້ NAT-T —ເປີດໃຊ້ NAT Traversal (NAT-T) ສໍາລັບນະໂຍບາຍນີ້
ການຕັ້ງຄ່າສະມາຄົມຄວາມປອດໄພຕະຫຼອດຊີວິດ - ຖືກຕັ້ງເປັນ 8 ຊົ່ວໂມງ (28800 ວິນາທີ) - ສ້າງກຸ່ມທີ່ຢູ່ VPNUSERS ທີ່ຈະຖືກມອບໝາຍໃຫ້ຜູ້ໃຊ້ VPN. ກຸ່ມທີ່ຢູ່ມີຊ່ອງຂໍ້ມູນຕໍ່ໄປນີ້:
ຊື່ - ລະບຸຊື່ທີ່ຖືກມອບໝາຍໃຫ້ກັບກຸ່ມທີ່ຢູ່ IP.
ເລີ່ມ IP Address - ລະບຸທີ່ຢູ່ IP ທໍາອິດໃນສະນຸກເກີ.
ສິ້ນສຸດ IP Address - ລະບຸທີ່ຢູ່ IP ສຸດທ້າຍໃນສະນຸກເກີ.
Subnet Mask— ເລືອກໜ້າກາກເຄືອຂ່າຍຍ່ອຍເພື່ອນຳໃຊ້ກັບທີ່ຢູ່ໃນສະນຸກເກີ.
ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > ທີ່ຢູ່ > ທີ່ຢູ່ທີ່ຢູ່ ແລະເພີ່ມສະນຸກເກີ IP ທີ່ລະບຸຊ່ອງຂໍ້ມູນຂ້າງເທິງແລະຫຼັງຈາກນັ້ນເລືອກ Ok.
ເພີ່ມນະໂຍບາຍກຸ່ມທີ່ຈະນໍາໃຊ້ການຕັ້ງຄ່າທີ່ຕ້ອງການກັບຜູ້ໃຊ້ VPN. ນະໂຍບາຍກຸ່ມໃຫ້ທ່ານຈັດການນະໂຍບາຍກຸ່ມ AnyConnect VPN. ນະໂຍບາຍກຸ່ມ VPN ເປັນການເກັບກໍາຂອງຄຸນລັກສະນະ / ຄູ່ຄ່າທີ່ຮັດກຸມຜູ້ໃຊ້ທີ່ເກັບຮັກສາໄວ້ພາຍໃນອຸປະກອນ ASA. ການຕັ້ງຄ່ານະໂຍບາຍກຸ່ມ VPN ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດສືບທອດຄຸນສົມບັດທີ່ທ່ານບໍ່ໄດ້ຕັ້ງຄ່າໃນລະດັບກຸ່ມ ຫຼືຊື່ຜູ້ໃຊ້ແຕ່ລະຄົນ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ຜູ້ໃຊ້ VPN ບໍ່ມີການເຊື່ອມໂຍງນະໂຍບາຍກຸ່ມ. ຂໍ້ມູນນະໂຍບາຍກຸ່ມແມ່ນໃຊ້ໂດຍກຸ່ມອຸໂມງ VPN ແລະບັນຊີຜູ້ໃຊ້. ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ> ການເຂົ້າເຖິງໄລຍະໄກ VPN> ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ> ຕໍາຫຼວດກຸ່ມແລະເພີ່ມນະໂຍບາຍຂອງກຸ່ມພາຍໃນ. ກວດໃຫ້ແນ່ໃຈວ່າໂປຣໂຕຄໍອຸໂມງ VPN ຖືກຕັ້ງເປັນ IKEv2 ແລະ IP pool ທີ່ສ້າງຂຶ້ນຂ້າງເທິງນັ້ນຖືກອ້າງອີງໃນນະໂຍບາຍໂດຍການຍົກເລີກການເລືອກກ່ອງໝາຍ Inherit ແລະເລືອກການຕັ້ງຄ່າທີ່ເຫມາະສົມ. DNS, WINS ແລະຊື່ໂດເມນທີ່ກ່ຽວຂ້ອງສາມາດຖືກເພີ່ມເຂົ້າໃນນະໂຍບາຍໃນພາກສ່ວນເຊີບເວີ.
ອ້າງເຖິງ exampນະໂຍບາຍກຸ່ມ NGE-VPN-GP ຂ້າງລຸ່ມນີ້:
- ສ້າງຊື່ກຸ່ມອຸໂມງ. ກຸ່ມອຸໂມງມີນະໂຍບາຍການເຊື່ອມຕໍ່ອຸໂມງສໍາລັບການເຊື່ອມຕໍ່ IPsec. ນະໂຍບາຍການເຊື່ອມຕໍ່ສາມາດລະບຸການກວດສອບ, ການອະນຸຍາດ, ແລະເຄື່ອງແມ່ຂ່າຍການບັນຊີ, ນະໂຍບາຍກຸ່ມເລີ່ມຕົ້ນ, ແລະຄຸນລັກສະນະ IKE.
ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > AnyConnect Connection Profiles. ຢູ່ລຸ່ມສຸດຂອງໜ້າພາຍໃຕ້ Connection Profiles, ເລືອກ Add.
ໃນ example ຂ້າງລຸ່ມນີ້ຊື່ກຸ່ມ tunnel NGE-VPN-RAS ຖືກໃຊ້.
ການຕັ້ງຄ່າອ້າງອີງການຮັບຮອງໃບຢັ້ງຢືນ, ນະໂຍບາຍກຸ່ມທີ່ກ່ຽວຂ້ອງ NGE-VPN-GP ແລະເປີດໃຊ້ IPsec (IKEv2). DNS ແລະຊື່ໂດເມນຍັງສາມາດຖືກເພີ່ມຢູ່ທີ່ນີ້. ນອກຈາກນັ້ນ, ໃຫ້ແນ່ໃຈວ່າພຽງແຕ່ໃຊ້ IPsec ໂດຍການບໍ່ກວດສອບການເປີດໃຊ້ງານ SSL VPN Client Protocol.
- ສ້າງແຜນທີ່ໃບຢັ້ງຢືນ, ສ້າງແຜນທີ່ຜູ້ໃຊ້ NGE VPN ກັບກຸ່ມອຸໂມງ VPN ທີ່ສ້າງຂຶ້ນໃນເມື່ອກ່ອນ. ແຜນທີ່ໃບຮັບຮອງຈະຖືກນຳໃຊ້ກັບຜູ້ໃຊ້ AC. ໃນສະຖານະການນີ້, ຊື່ສາມັນຂອງ Subordinate CA ໄດ້ຖືກຈັບຄູ່ເພື່ອຮັບປະກັນວ່າຄໍາຮ້ອງຂໍແພລະຕະຟອມ TOE ຂາເຂົ້າທີ່ມີໃບຢັ້ງຢືນ EC ທີ່ອອກມາຈາກ CA ຍ່ອຍຈະຖືກສ້າງແຜນທີ່ໃຫ້ກັບກຸ່ມອຸໂມງທີ່ເຫມາະສົມທີ່ສ້າງຂຶ້ນໃນເມື່ອກ່ອນ. ຜູ້ໃຊ້ VPN ທີ່ບໍ່ໄດ້ອອກໃບຢັ້ງຢືນຈາກ EC CA ຈະກັບຄືນໄປຫາກຸ່ມ tunnel ເລີ່ມຕົ້ນແລະ
ການພິສູດຢືນຢັນລົ້ມເຫລວ ແລະຈະຖືກປະຕິເສດການເຂົ້າເຖິງ.
ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ VPN > Advanced > ໃບຢັ້ງຢືນການ AnyConnect ແລະ Clientless SSL VPN Connection Profile ແຜນທີ່. ພາຍໃຕ້ໃບຢັ້ງຢືນການເຊື່ອມຕໍ່ Profile ແຜນທີ່ເລືອກເພີ່ມ. ເລືອກ DefaultCertificateMap ທີ່ມີຢູ່ແລ້ວໂດຍມີບູລິມະສິດ 10 ແລະອ້າງອີງເຖິງກຸ່ມອຸໂມງ NGE-RAS-VPN.
ໃນ ASDM, ໄປທີ່ການຕັ້ງຄ່າ > ການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ VPN > Advanced > ໃບຢັ້ງຢືນການ AnyConnect ແລະ Clientless SSL VPN Connection Profile ແຜນທີ່. ພາຍໃຕ້ເງື່ອນໄຂແຜນທີ່ເລືອກ Add. ເລືອກ Issuer for field, Common Name (CN) ສໍາລັບອົງປະກອບ, Contains for Operator, ແລະຫຼັງຈາກນັ້ນເລືອກ Ok.
ໃຫ້ແນ່ໃຈວ່າເລືອກ APPLY ໃນຫນ້າຕົ້ນຕໍແລະບັນທຶກການຕັ້ງຄ່າ. - ຕັ້ງຄ່າ ASA ເພື່ອຍອມຮັບການເຊື່ອມຕໍ່ VPN ຈາກລູກຂ່າຍ AnyConnect VPN, ໃຊ້ AnyConnect VPN Wizard. ຕົວຊ່ວຍສ້າງນີ້ກຳນົດຄ່າ IPsec (IKEv2) ໂປຣໂຕຄໍ VPN ສໍາລັບການເຂົ້າເຖິງເຄືອຂ່າຍທາງໄກ. ເບິ່ງຄໍາແນະນໍາທີ່ນີ້:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
ຂັ້ນຕອນການກະກຽມ ແລະຄໍາແນະນໍາການດໍາເນີນງານສໍາລັບ TOE
ເພື່ອຕິດຕັ້ງ Cisco Secure Client-AnyConnect TOE, ໃຫ້ເຮັດຕາມຂັ້ນຕອນຂ້າງລຸ່ມນີ້:
- ເປີດ App Store.
- ເລືອກຊອກຫາ
- ຢູ່ໃນປ່ອງຊອກຫາ, ໃສ່ Cisco Secure Client-AnyConnect
- ແຕະຕິດຕັ້ງແອັບ
- ເລືອກຕິດຕັ້ງ
ເລີ່ມ Cisco Secure Client-AnyConnect
ແຕະໄອຄອນ Cisco Secure Client-AnyConnect ເພື່ອເລີ່ມຕົ້ນແອັບພລິເຄຊັນ. ຖ້ານີ້ແມ່ນຄັ້ງທຳອິດທີ່ທ່ານກຳລັງເລີ່ມ Cisco Secure Client-AnyConnect ຫຼັງຈາກຕິດຕັ້ງ ຫຼືອັບເກຣດ, ເລືອກ OK ເພື່ອເປີດໃຊ້ TOE ເພື່ອຂະຫຍາຍຄວາມສາມາດ Virtual Private Network (VPN) ຂອງອຸປະກອນຂອງທ່ານ.
ການກວດສອບຄວາມຖືກຕ້ອງ
ການຢັ້ງຢືນຄວາມສົມບູນຈະຖືກປະຕິບັດໃນແຕ່ລະຄັ້ງທີ່ແອັບຯຖືກໂຫລດ ແລະມັນຈະລໍຖ້າການຢັ້ງຢືນຄວາມສົມບູນ. ການບໍລິການການເຂົ້າລະຫັດລັບທີ່ສະໜອງໃຫ້ໂດຍເວທີ iOS ໄດ້ຖືກຮຽກຮ້ອງເພື່ອກວດສອບລາຍເຊັນດິຈິຕອນຂອງ TOE ທີ່ສາມາດປະຕິບັດໄດ້. files. ຖ້າການຢັ້ງຢືນຄວາມສົມບູນບໍ່ສຳເລັດ, GUI ຈະບໍ່ໂຫຼດ, ເຊິ່ງເຮັດໃຫ້ແອັບໃຊ້ບໍ່ໄດ້. ຖ້າການຢັ້ງຢືນຄວາມສົມບູນສຳເລັດ, ແອັບ GUI ຈະໂຫຼດ ແລະເຮັດວຽກຕາມປົກກະຕິ.
ຕັ້ງຄ່າຕົວລະບຸການອ້າງອີງ
ພາກສ່ວນນີ້ລະບຸການຕັ້ງຄ່າຕົວລະບຸການອ້າງອີງສໍາລັບ VPN Gateway peer. ໃນລະຫວ່າງການກວດສອບ IKE ໄລຍະ 1, TOE ປຽບທຽບຕົວລະບຸການອ້າງອີງກັບຕົວລະບຸທີ່ສະເໜີໂດຍ VPN Gateway. ຖ້າ TOE ກໍານົດວ່າພວກມັນບໍ່ກົງກັນ, ການກວດສອບຄວາມຖືກຕ້ອງຈະບໍ່ປະສົບຜົນສໍາເລັດ.
ເລືອກການເຊື່ອມຕໍ່ຈາກຫນ້າຈໍຫຼັກໄປຫາ view ລາຍການທີ່ຕັ້ງຄ່າແລ້ວໃນອຸປະກອນຂອງທ່ານ. ການເຊື່ອມຕໍ່ຫຼາຍລາຍການອາດຈະຖືກຈັດໃສ່ໃນລາຍການ, ບາງອັນພາຍໃຕ້ຫົວຂໍ້ Per-App VPN. ການເຊື່ອມຕໍ່ລາຍການອາດຈະມີ ສະຖານະຕໍ່ໄປນີ້:
- ເປີດໃຊ້ງານ — ການເຊື່ອມຕໍ່ນີ້ຖືກເປີດໃຊ້ງານໂດຍຜູ້ຈັດການອຸປະກອນມືຖື ແລະສາມາດໃຊ້ສໍາລັບການເຊື່ອມຕໍ່ໄດ້.
- ເຄື່ອນໄຫວ— ການເຊື່ອມຕໍ່ທີ່ໝາຍໄວ້ ຫຼືຖືກໝາຍໄວ້ແມ່ນກຳລັງເຄື່ອນໄຫວຢູ່.
- ເຊື່ອມຕໍ່— ການເຊື່ອມຕໍ່ນີ້ແມ່ນຕົວເຊື່ອມຕໍ່ ແລະກຳລັງເຊື່ອມຕໍ່ ແລະເຮັດວຽກຢູ່.
- ຕັດການເຊື່ອມຕໍ່ - ການເຊື່ອມຕໍ່ນີ້ແມ່ນຕົວເຊື່ອມຕໍ່ທີ່ເຮັດວຽກຢູ່ ແຕ່ຕອນນີ້ຖືກຕັດການເຊື່ອມຕໍ່ ແລະບໍ່ໄດ້ເຮັດວຽກ.
ສໍາລັບຄໍາແນະນໍາ, ອ້າງອີງເຖິງ "ເພີ່ມຫຼືແກ້ໄຂການເຊື່ອມຕໍ່ການເຊື່ອມຕໍ່ດ້ວຍຕົນເອງ" ພາກສ່ວນຂອງ [3].
ຕັ້ງຄ່າການນໍາໃຊ້ໃບຢັ້ງຢືນ
AnyConnect ຕ້ອງການໃບຢັ້ງຢືນ X.509. ອ້າງເຖິງ "ຕັ້ງຄ່າໃບຢັ້ງຢືນ" ພາກສ່ວນຂອງ [3].
ບລັອກເຊີບເວີທີ່ບໍ່ເຊື່ອຖື
ການຕັ້ງຄ່າແອັບພລິເຄຊັນນີ້ກໍານົດວ່າ AnyConnect ຂັດຂວາງການເຊື່ອມຕໍ່ໃນເວລາທີ່ມັນບໍ່ສາມາດກໍານົດປະຕູທີ່ປອດໄພ.
ການປົກປ້ອງນີ້ເປີດເປັນຄ່າເລີ່ມຕົ້ນ ແລະບໍ່ຕ້ອງປິດ.
AnyConnect ໃຊ້ໃບຢັ້ງຢືນທີ່ໄດ້ຮັບຈາກເຄື່ອງແມ່ຂ່າຍເພື່ອກວດສອບການລະບຸຕົວຕົນຂອງມັນ. ຖ້າມີຂໍ້ຜິດພາດໃນໃບຮັບຮອງເນື່ອງຈາກວັນທີໝົດອາຍຸ ຫຼືບໍ່ຖືກຕ້ອງ, ການໃຊ້ລະຫັດຜິດ, ຫຼືຊື່ບໍ່ກົງກັນ, ການເຊື່ອມຕໍ່ຈະຖືກບລັອກ.
ຕັ້ງໂໝດ VPN FIPS
ໂໝດ VPN FIPS ນຳໃຊ້ລະບົບການເຂົ້າລະຫັດລັບຂອງມາດຕະຖານການປະມວນຜົນຂໍ້ມູນຂອງລັດຖະບານກາງ (FIPS) ສຳລັບການເຊື່ອມຕໍ່ VPN ທັງໝົດ.
- ໃນແອັບ Cisco Secure Client-AnyConnect, ແຕະ ການຕັ້ງຄ່າ.
- ແຕະໂໝດ FIPS ເພື່ອເປີດໃຊ້ການຕັ້ງຄ່ານີ້.
ເພື່ອຕອບສະໜອງໄດ້ຂໍ້ກຳນົດການເຂົ້າລະຫັດໃນ ST, ໂໝດ FIPS ຕ້ອງຖືກເປີດໃຊ້. ຫຼັງຈາກການຢືນຢັນການປ່ຽນແປງຮູບແບບ FIPS ຂອງທ່ານ, app ຈະອອກແລະຕ້ອງໄດ້ຮັບການ restart ຄູ່ມື. ເມື່ອຣີສະຕາດ, ການຕັ້ງຄ່າໂໝດ FIPS ຂອງທ່ານມີຜົນ.
ໂຫມດຄວາມໄວ້ວາງໃຈຂອງໃບຢັ້ງຢືນທີ່ເຂັ້ມງວດ
ການຕັ້ງຄ່ານີ້ກຳນົດຄ່າ Cisco Secure Client-AnyConnect TOE ເພື່ອບໍ່ອະນຸຍາດໃບຢັ້ງຢືນຂອງ head end VPN Gateway ທີ່ມັນບໍ່ສາມາດກວດສອບອັດຕະໂນມັດໄດ້.
- ຈາກປ່ອງຢ້ຽມເຮືອນ, ແຕະ ເມນູ > ການຕັ້ງຄ່າ.
- ເປີດໃຊ້ໂໝດຄວາມໄວ້ວາງໃຈຂອງໃບຢັ້ງຢືນທີ່ເຂັ້ມງວດ.
ເມື່ອພະຍາຍາມເຊື່ອມຕໍ່ຄັ້ງຕໍ່ໄປ, Strict Certificate Trust ຈະຖືກເປີດໃຊ້
ກວດເບິ່ງການຖອນໃບຢັ້ງຢືນ
ການຕັ້ງຄ່ານີ້ຄວບຄຸມວ່າ Cisco Secure Client-AnyConnect TOE ຈະກໍານົດສະຖານະການຖອນຄືນຂອງໃບຢັ້ງຢືນທີ່ໄດ້ຮັບຈາກ head-end VPN Gateway. ການຕັ້ງຄ່ານີ້ຕ້ອງເປີດ ແລະບໍ່ຕ້ອງປິດ.
- ຈາກໜ້າຕ່າງບ້ານ AnyConnect, ແຕະ ເມນູ > ການຕັ້ງຄ່າ.
- ເປີດໃຊ້ການກວດສອບການຖອນໃບຢັ້ງຢືນເພື່ອເປີດໃຊ້ການຕັ້ງຄ່ານີ້.
ຄໍາແນະນໍາການດໍາເນີນງານສໍາລັບ TOE
ສ້າງການເຊື່ອມຕໍ່ VPN
ອ້າງເຖິງ “ສ້າງຕັ້ງ a ການເຊື່ອມຕໍ່ VPN” ພາກສ່ວນຂອງ [3].
ຜູ້ເບິ່ງແຍງລະບົບຄວນສັງເກດກົດລະບຽບ PROTECT, BYPASS, ແລະ DISCARD ຕໍ່ໄປນີ້ກ່ຽວກັບການນໍາໃຊ້ IPsec ໃນ AnyConnect:
- ປົກປ້ອງ
ການປ້ອນຂໍ້ມູນສຳລັບ PROTECT ໄດ້ຖືກກຳນົດຄ່າຜ່ານນະໂຍບາຍກຸ່ມການເຂົ້າເຖິງທາງໄກໃນ ASA ໂດຍໃຊ້ ASDM. ສໍາລັບລາຍການ PROTECT, ການຈະລາຈອນຈະໄຫລຜ່ານອຸໂມງ IPsec VPN ທີ່ສະໜອງໃຫ້ໂດຍ TOE. ບໍ່ມີການກຳນົດຄ່າສຳລັບອຸໂມງ TOE ການຈະລາຈອນທັງໝົດ. ຜູ້ບໍລິຫານທາງເລືອກສາມາດກໍານົດພຶດຕິກໍານີ້ຢ່າງຊັດເຈນດ້ວຍຄໍາສັ່ງໃນນະໂຍບາຍກຸ່ມຂອງພວກເຂົາ: split-tunnel-policy tunnelall - BYPASS
TOE ສະຫນັບສະຫນູນການດໍາເນີນງານ BYPASS (ເມື່ອການແຍກອຸໂມງໄດ້ຮັບການອະນຸຍາດຢ່າງຊັດເຈນໂດຍນະໂຍບາຍການເຂົ້າເຖິງໄລຍະໄກ). ເມື່ອການແຍກອຸໂມງເປີດໃຊ້ງານແລ້ວ, ASA VPN Gateway ຈະຊຸກບັນຊີລາຍຊື່ຂອງສ່ວນເຄືອຂ່າຍໄປຫາ TOE ເພື່ອ ປົກປ້ອງ. ການສັນຈອນອື່ນໆທັງໝົດຈະເດີນທາງແບບບໍ່ມີການປ້ອງກັນ ໂດຍບໍ່ມີການກ່ຽວຂ້ອງກັບ TOE ດັ່ງນັ້ນຈຶ່ງຂ້າມການປົກປ້ອງ IPsec.
Split tunneling ຖືກກໍານົດໄວ້ໃນນະໂຍບາຍກຸ່ມການເຂົ້າເຖິງເຄືອຂ່າຍ (ລູກຄ້າ). ຜູ້ບໍລິຫານມີທາງເລືອກຕໍ່ໄປນີ້:
ຍົກເວັ້ນ: ບໍ່ລວມເອົາສະເພາະເຄືອຂ່າຍທີ່ລະບຸໂດຍ split-tunnel-network-list
ອຸໂມງທີ່ລະບຸ: ເຄືອຂ່າຍສະເພາະອຸໂມງທີ່ລະບຸໄວ້ໂດຍລາຍຊື່ເຄືອຂ່າຍແຍກ ອ້າງອີງໃສ່ພາກສ່ວນ “ກ່ຽວກັບການຕັ້ງຄ່າອຸໂມງແຍກສໍາລັບການຈະລາຈອນ AnyConnect” ໃນຄູ່ມືການຕັ້ງຄ່າ VPN ASDM ແລະເບິ່ງຂັ້ນຕອນທີ່ສະໜອງໃຫ້ໃນພາກ “ການກຳນົດຄ່າແຍກອຸໂມງສຳລັບການຈາລະຈອນ AnyConnect”. ຫຼັງຈາກເຮັດການປ່ຽນແປງນະໂຍບາຍກຸ່ມໃນ ASDM, ໃຫ້ແນ່ໃຈວ່ານະໂຍບາຍກຸ່ມກ່ຽວຂ້ອງກັບການເຊື່ອມຕໍ່ Profile ໃນການຕັ້ງຄ່າ > ການເຂົ້າເຖິງໄລຍະໄກ VPN > ເຄືອຂ່າຍ (ລູກຄ້າ) ການເຂົ້າເຖິງ > AnyConnect Connection Profiles > ເພີ່ມ/ແກ້ໄຂ > ນະໂຍບາຍກຸ່ມ. ລາຍການ BYPASS SPD ແມ່ນສະໜອງໃຫ້ໂດຍເວທີເຈົ້າພາບໂດຍຜ່ານກົດລະບຽບການອະນຸຍາດການຈະລາຈອນເຄືອຂ່າຍ implicit. ບໍ່ມີການກຳນົດຄ່າໃນເວທີ TOE ເພື່ອໃຫ້ມັນຜ່ານການຈະລາຈອນນີ້. - ຍົກເລີກ
ກົດລະບຽບການຍົກເລີກແມ່ນປະຕິບັດໂດຍເວທີ TOE ເທົ່ານັ້ນ. ບໍ່ມີການໂຕ້ຕອບການບໍລິຫານສໍາລັບການລະບຸກົດລະບຽບການຍົກເລີກ.
ຕິດຕາມກວດກາແລະແກ້ໄຂບັນຫາ
ອ້າງເຖິງ ຕິດຕາມກວດກາແລະແກ້ໄຂບັນຫາ ພາກສ່ວນຂອງ [3].
ອອກຈາກ Cisco Secure Client-AnyConnect
ການອອກຈາກແອັບຯຈະຢຸດການເຊື່ອມຕໍ່ VPN ໃນປັດຈຸບັນ ແລະຢຸດຂະບວນການ TOE ທັງໝົດ. ໃຊ້ການກະທຳນີ້ໜ້ອຍໜຶ່ງ. ແອັບ ຫຼື ຂະບວນການອື່ນໆຢູ່ໃນອຸປະກອນຂອງທ່ານອາດຈະກຳລັງໃຊ້ການເຊື່ອມຕໍ່ VPN ປະຈຸບັນ ແລະ ການອອກຈາກແອັບ Cisco Secure Client-AnyConnect ອາດມີຜົນເສຍຕໍ່ການເຮັດວຽກຂອງມັນ.
ຈາກປ່ອງຢ້ຽມເຮືອນ, ແຕະ ເມນູ > ອອກ.
ສະຫນັບສະຫນູນການເຂົ້າລະຫັດລັບ
TOE ສະຫນອງການເຂົ້າລະຫັດລັບໃນການສະຫນັບສະຫນູນ IPsec ກັບ ESP symmetric cryptography ສໍາລັບການເຂົ້າລະຫັດ / ຖອດລະຫັດ AES ຈໍານວນຫລາຍແລະ SHA-2 algorithm ສໍາລັບການ hashing. ນອກຈາກນັ້ນ, TOE ສະຫນອງການເຂົ້າລະຫັດເພື່ອສະຫນັບສະຫນູນການແລກປ່ຽນລະຫັດ Diffie Hellman ແລະຟັງຊັນການສືບທອດທີ່ໃຊ້ໃນໂປໂຕຄອນ IKEv2 ແລະ ESP. ຄໍາແນະນໍາໃນການຕັ້ງຄ່າການເຂົ້າລະຫັດລັບແມ່ນໄດ້ອະທິບາຍໄວ້ໃນສ່ວນ “ຂັ້ນຕອນ ແລະຄໍາແນະນໍາການດໍາເນີນງານສໍາລັບສະພາບແວດລ້ອມ IT” ຂອງເອກະສານນີ້.
ອັບເດດທີ່ເຊື່ອຖືໄດ້
ພາກນີ້ໃຫ້ຄໍາແນະນໍາສໍາລັບການຍອມຮັບຢ່າງປອດໄພ TOE ແລະການປັບປຸງ TOE ຕໍ່ມາ. “ການອັບເດດ” ແມ່ນສະບັບໃໝ່ຂອງ TOE.
ຜູ້ໃຊ້ສາມາດສອບຖາມສະບັບ TOE ໄດ້. ຈາກໜ້າຈໍຫຼັກແຕະ “ກ່ຽວກັບ”. ຮຸ່ນຍັງສາມາດສອບຖາມຜ່ານເວທີມືຖືໄດ້:
- iPhone: ເປີດການຕັ້ງຄ່າແລະໄປທີ່ທົ່ວໄປ> ການນໍາໃຊ້. ພາຍໃຕ້ການເກັບຮັກສາ, ຊອກຫາ Cisco Secure Client Any Connect ແລະແຕະ. ຂໍ້ມູນສະບັບຈະຖືກສະແດງ.
ການອັບເດດ Cisco Secure Client-AnyConnect TOE ແມ່ນຈັດການຜ່ານ Apple App Store ໂດຍໃຊ້ຂັ້ນຕອນຂ້າງລຸ່ມນີ້.
ໝາຍເຫດ: ກ່ອນທີ່ຈະອັບເກຣດອຸປະກອນຂອງທ່ານ, ທ່ານຕ້ອງຕັດການເຊື່ອມຕໍ່ເຊດຊັນ VPN ຖ້າອັນໃດຖືກສ້າງຕັ້ງຂຶ້ນ, ແລະປິດແອັບພລິເຄຊັນຖ້າມັນເປີດ. ຖ້າຫາກວ່າທ່ານບໍ່ເຮັດສິ່ງນີ້, reboot ອຸປະກອນຂອງທ່ານແມ່ນຕ້ອງການກ່ອນທີ່ຈະນໍາໃຊ້ Cisco Secure Client-AnyConnect TOE ຮຸ່ນໃຫມ່.
- ແຕະທີ່ໄອຄອນ App Store ໃນຫນ້າທໍາອິດຂອງ iOS.
- ແຕະທີ່ Cisco Secure Client-AnyConnect ແຈ້ງການຍົກລະດັບ.
- ອ່ານກ່ຽວກັບຄຸນສົມບັດໃຫມ່.
- ກົດອັບເດດ.
- ໃສ່ລະຫັດຜ່ານ Apple ID ຂອງທ່ານ.
- ແຕະ ຕົກລົງ.
ການອັບເດດດຳເນີນຕໍ່ໄປ.
ໄດ້ຮັບເອກະສານແລະສົ່ງຄໍາຮ້ອງຂໍການບໍລິການ
ສໍາລັບຂໍ້ມູນກ່ຽວກັບການໄດ້ຮັບເອກະສານ, ການນໍາໃຊ້ Cisco Bug Search Tool (BST), ສົ່ງຄໍາຮ້ອງຂໍການບໍລິການ, ແລະເກັບກໍາຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງ ມີຫຍັງໃໝ່ໃນເອກະສານຜະລິດຕະພັນ Cisco.
ເພື່ອຮັບເນື້ອຫາດ້ານວິຊາການ Cisco ໃໝ່ ແລະປັບປຸງໃໝ່ໂດຍກົງໃສ່ desktop ຂອງທ່ານ, ທ່ານສາມາດສະໝັກໄດ້ ມີຫຍັງໃຫມ່ໃນ Cisco Product Documentation RSS feed. RSS feeds ເປັນບໍລິການຟຣີ.
ຕິດຕໍ່ Cisco
Cisco ມີຫຼາຍກວ່າ 200 ຫ້ອງການທົ່ວໂລກ. ທີ່ຢູ່, ເບີໂທລະສັບ ແລະ ເບີແຟັກແມ່ນລະບຸໄວ້ໃນ Cisco webສະຖານທີ່ຢູ່ www.cisco.com/go/offices.
ເອກະສານ / ຊັບພະຍາກອນ
 |
CISCO AnyConnect 5.0 ລູກຄ້າທີ່ປອດໄພ [pdf] ຄູ່ມືຜູ້ໃຊ້ 5.0 ສໍາລັບ iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client |
