CISCO AnyConnect 5.0 Secure Client User Guide
Fampidirana antontan-taratasy
Nokarakarain'i:
Cisco Systems, Inc.
170 West Tasman Dr.
San Jose, CA 95134
Ity antontan-taratasy ity dia manome Torolalana ho an'ny mpiasan'ny IT ho an'ny TOE, Cisco Secure Client - AnyConnect 5.0 ho an'ny iOS 16. Ity antontan-taratasy Torolàlana ity dia ahitana torolalana amin'ny fametrahana amim-pahombiazana ny TOE ao amin'ny tontolo miasa, torolàlana hitantana ny fiarovana ny TSF, ary torolalana hanomezana fahaiza-mitantana voaaro.
Tantara fanavaozana
| Malagasy Bible | Daty | FIOVANA |
| 0.1 | 1 Mey 2023 | Version voalohany |
| 0.2 | 27 Jolay 2023 | vaovao farany |
Ny Cisco sy ny logo Cisco dia mari-pamantarana na marika voasoratra anarana an'ny Cisco sy/na ireo mpiara-miasa aminy any Etazonia sy any amin'ny firenena hafa. ny view lisitry ny marika marika Cisco, mandehana amin'ity URL: www.cisco.com/go/trademarks. Ny marika famantarana avy amin'ny antoko fahatelo voalaza dia fananan'ny tompony tsirairay avy. Ny fampiasana ny teny hoe mpiara-miombon'antoka dia tsy midika fifandraisana fiaraha-miasa eo amin'ny Cisco sy ny orinasa hafa. (1110R)
© 2023 Cisco Systems, Inc. Zo rehetra voatokana.
Sava lalana
Ity Torolàlana ho an'ny mpampiasa miasa miaraka amin'ny fomba fanomanana ity dia mirakitra ny fitantanan'ny Cisco Secure ClientAnyConnect v5.0 ho an'ny Apple iOS 16 TOE, satria nohamarinina tao amin'ny Common Criteria. Cisco Secure Client-AnyConnect v5.0 ho an'ny Apple iOS 16 dia azo ilazana etsy ambany amin'ny fanafohezana mifandraika, ohatra, VPN Client na TOE tsotra izao.
Mpijery
Ity antontan-taratasy ity dia nosoratana ho an'ny mpitantana mametraka sy manamboatra ny TOE. Ity antontan-taratasy ity dia mihevitra fa fantatrao ny foto-kevitra fototra sy ny voambolana ampiasaina amin'ny asa amin'ny Internet, ary azonao ny topolojian'ny tambajotranao sy ny protocole azon'ireo fitaovana ao amin'ny tambajotranao, fa olona azo itokisana ianao, ary efa voaofana hampiasa ilay fandidiana. rafitra izay itondranao ny tambazotranao.
Zava-kendreny
Ity antontan-taratasy ity dia ny Torolàlana ho an'ny mpampiasa miasa miaraka amin'ny fomba fanomanana ny fanombanana ny fepetra iraisana. Nosoratana izy io mba hanasongadinana ny fanamafisana TOE manokana sy ny asan'ny mpitantana ary ny interface izay ilaina amin'ny fanamboarana sy fitazonana ny TOE amin'ny fanamafisana tombanana. Ity antontan-taratasy ity dia tsy natao hamaritana ny hetsika manokana ataon'ny administratera fa sarin-dalana ahafahana mamantatra ireo toerana mety ao anatin'ny antontan-taratasin'ny Cisco hahazoana ny antsipiriany manokana amin'ny fanamboarana sy fitazonana ny fiasan'ny AnyConnect Secure Mobility Client. Ny baiko mifandraika amin'ny fiarovana rehetra hitantana ny angon-drakitra TSF dia omena ao anatin'ity antontan-taratasy ity ao anatin'ny fizarana miasa tsirairay.
Document References
Ity fizarana ity dia mitanisa ny antontan-taratasin'ny Cisco Systems izay ampahany amin'ny Lisitry ny Common Criteria Configuration Item (CI). Ny antontan-taratasy ampiasaina dia aseho eto ambany ao amin'ny tabilao 1. Ao anatin'ity antontan-taratasy ity, ireo mpitari-dalana dia holazaina amin'ny alàlan'ny "#", toy ny [1].
Tabilao 1 Documentation Cisco
TOE Overview
Ny TOE dia ny Cisco AnyConnect Secure Mobility Client (araka izany dia antsoina hoe mpanjifa VPN, na TOE). Ny Cisco AnyConnect Secure Mobility Client dia manome ireo mpampiasa lavitra ny IPsec (IKEv2) VPN azo antoka amin'ny Cisco 5500 Series Adaptive Security Appliance (ASA) VPN Gateway ahafahan'ny fampiharana napetraka hifandray toy ny mifandray mivantana amin'ny tambajotra orinasa.
Tontolo iainana miasa
Ny TOE dia mitaky ireto singa momba ny tontolo iainana IT manaraka ireto rehefa amboarina ny TOE amin'ny fikirakirana nodinihina:
Tabilao 2. Ireo singa momba ny tontolo iainana miasa
| singa fototra | Fampiasana/Tanjona Famaritana |
| Fahefana fanamarinana | A Certificate Authority dia ampiasaina hanomezana mari-pankasitrahana nomerika manan-kery. |
| Sehatra finday | Ny TOE dia miankina amin'ny iray amin'ireto sehatra finday Apple voamarina CC manaraka ireto:
|
| ASA 5500-X VPN Gateway | Ny Cisco ASA 5500-X miaraka amin'ny rindrambaiko version 9.2.2 na aoriana dia miasa ho toy ny vavahadin'ny VPN. |
| ASDM Management Platform | Ny ASDM 7.7 dia miasa amin'ny iray amin'ireto rafitra miasa manaraka ireto:
|
Ny sehatra finday fototra dia manome ny sasany amin'ireo fampiasa fiarovana ilaina ao amin'ny MOD_VPNC_V2.4] ary aseho amin'ny fampiasana ny andian-teny “TOE Platform” ato amin'ity antontan-taratasy ity.
Ny Cisco AnyConnect TOE dia mampiasa loharanom-pitaovana amin'ny tambajotra amin'ny sehatra OS finday mba handefasana sy handraisana fonosana voafono. Ny TOE dia tsy miditra amin'ny fitahirizana vaovao saro-pady.
Ny fanondroana amin'ity antontan-taratasy ity momba ny "ASA" dia manondro ny VPN Gateway
Fampiasana voahilika
Ny fampiasa voatanisa etsy ambany dia tsy tafiditra ao anatin'ny fanamboarana tombanana.
Tabilao 3. Tsy tafiditra amin'ny asany sy ny antony
| Asa tsy tafiditra | antony |
| Non-FIPS 140-2 fomba fiasa | Ny TOE dia ahitana ny fomba fiasa FIPS. Ny fomba FIPS dia mamela ny TOE hampiasa kriptografika nankatoavina ihany. Ny fomba fampandehanana FIPS dia tsy maintsy alefa mba hahafahan'ny TOE miasa amin'ny fikirakirana nodinihina. |
| SSL Tunnel miaraka amin'ny DLTS tunneling safidy | [MOD_VPNC_V2.4] ihany no manome alalana ny tonelina IPsec VPN. |
Ireo serivisy ireo dia ho esorina amin'ny alàlan'ny fanamafisana. Ny fanilihana an'io fampiasa io dia tsy misy fiantraikany amin'ny fanarahan-dalàna ny Pro Protection Profiles.
Fomba fiasa sy Torolàlana momba ny asa momba ny tontolo iainana IT
Mba hiasa ao anatin'ny rafitra nodinihina, ny TOE dia mitaky farafahakeliny iray (1) Certificate Authority (CA), iray (1) VPN Gateway, ary iray (1) fitaovana finday Apple iPhone.
Mba hitovy amin'ny tontolon'ny mpanjifa PKI, vahaolana CA misy ambaratonga roa mampiasa CA Offline Root sy CA Enterprise Subordinate mampiasa Microsoft 2012 R2 Certificate Authority (CA) dia horesahina ato amin'ity fizarana ity. Ny vokatra CA hafa ho solon'ny Microsoft dia azo ampiasaina.
Ny Root CA dia amboarina ho mpizara mitokana (Workgroup) raha toa kosa ny Subordinate CA dia amboarina ho ampahany amin'ny sehatra Microsoft miaraka amin'ny serivisy Active Directory. Ity sary manaraka ity dia manome sarin'ny TOE sy IT
Tontolo iainana. Ny TOE dia rindranasa rindrambaiko mandeha amin'ny iOS 13. Ny sisin'ny TOE dia asehon'ny tsipika mena hash. Jereo ny sary 1 etsy ambany.
Sary 1. TOE sy ny tontolo iainana
Ny CA Subordinate dia mamoaka mari-pankasitrahana nomerika X.509 ary manome lisitry ny fanafoanana fanamarinana (CRL) amin'ny TOE Platform sy VPN Gateway.
Raha tsy izany dia azo apetraka ny root Enterprise CA iray (1).
- Ampidiro sy amboary ny fahefana fanamarinana
Raha mampiasa vahaolana CA misy ambaratonga roa an'ny Microsoft, amboary sy amboary ny Root (GRAYCA) sy ny Manampahefana Fanamarinan'ny Enterprise Subordinate (GRAYSUBCA1) araka ny torolalana avy amin'ny mpivarotra. Ity manaraka ity dia torolalana amin'ny dingana ho an'ny fanamafisana ny Microsoft Active Directory Certificate Services:
http://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
Heverina fa na ny mari-pankasitrahana Offline Root CA (GRAYCA) sy ny mari-pankasitrahana Enterprise Subordinate CA (GRAYSUBCA1) aseho amin'ny sary 1 dia apetraka sy azo itokisana mba hahazoana antoka fa misy rojo fanamarinana azo itokisana. Raha mampiasa CA avy amin'ny mpivarotra hafa ankoatry ny Microsoft, araho ny torolàlana fametrahana CA an'ny mpivarotra.
Na inona na inona vokatra CA ampiasaina, ny taratasy fanamarinana RSA ao amin'ny ASA dia TSY MAINTSY manana ireto fananana Fampiasana fototra manaraka ireto:
- Fampiasana fanalahidy: Sonia nomerika, fifanarahana fototra
- EKU: IP fiarovana IKE intermediate, rafitra fiarovana farany IP
Ny saha Anarana Alternative Subject (SAN) ao anatin'ny mari-pankasitrahana ECDSA sy RSA ao amin'ny ASA dia TSY MAINTSY mifanandrify amin'ny fampahalalana momba ny fifandraisana voalaza ao amin'ny AnyConnect profile amin'ny mpanjifa.
- Mametraka sy manamboatra vavahadin'ny VPN
Ampidiro ny Cisco ASA 9.1 (na aoriana), raha tsy izany miaraka amin'ny ASDM, mifanaraka amin'ny torolàlana fametrahana sy famoahana naoty mifanaraka amin'ny dikan-teny hapetraka. ASDM dia mamela ny ASA hitantana amin'ny alàlan'ny interface interface an-tsary. Raha tsy izany, raha tian'ny administratera, dia azo ampiasaina ny dingana fanamafisana ny andalana baiko (CLI).
Fanamarihana fanamafisana: Satria misy masontsivana tantanin'ny ASA, ny Administrator Gateway dia tsy maintsy manaraka ny dingana ao amin'ity fizarana ity mba hahazoana antoka fa ny TOE dia ao anatin'ny fanitsiana tombanana.
- Alefaso ny AnyConnect sy IKEv2 amin'ny ASA. Ao amin'ny ASDM, mandehana any amin'ny Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles ary mifidiana Enable Cisco AnyConnect checkbox ary Avelao ny fidirana eo ambanin'ny IKEv2.
- Ao amin'ny AnyConnect Connection Profiles pejy voalaza etsy ambony, mifidiana Device Certificate. Ataovy azo antoka fa mampiasa ny taratasy fanamarinana fitaovana mitovy… dia TSY voamarika ary fidio ny taratasy fanamarinana ID EC eo ambanin'ny taratasy fanamarinana fitaovana ECDSA. Dia fidio Ok.
- Mamorona politikan'ny crypto IKEv2 amin'ny alàlan'ny algorithm avela ao amin'ny fanamboarana tomban'ny Common Criteria. Ao amin'ny ASDM, mandehana any amin'ny Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IKE Policies ary ampio politika IKEv2.
Safidio ny Add ary ampidiro 1 ho an'ny laharam-pahamehana ambony indrindra. Ny elanelana dia 1 ka hatramin'ny 65535, ka ny 1 no laharam-pahamehana indrindra.
Fanafenana:
AES: Manondro ny AES-CBC miaraka amin'ny encryption fanalahidy 128-bit ho an'ny ESP.
AES-256: Manondro ny AES-CBC miaraka amin'ny encryption fanalahidy 256-bit ho an'ny ESP.
AES-GCM-128: AES Galois Counter Mode 128-bit encryption
AES-GCM-256: AES Galois Counter Mode 256-bit encryption
Vondrona DH: Safidio ny famantarana vondrona Diffie-Hellman. Izany dia ampiasain'ny IPsec mpifanolo-bodirindrina tsirairay mba hahazoana tsiambaratelo iombonana, nefa tsy mampita izany amin'ny tsirairay. Ny safidy manan-kery dia: 19 sy 20.
PRF Hash - Lazao ny PRF ampiasaina amin'ny fananganana fitaovana famaha ho an'ny algorithm kriptografika rehetra ampiasaina ao amin'ny SA. Ny safidy manan-kery dia: sha256 sy sha384
Amin'ity example configuration mifidy:
Laharam-pahamehana: 1
AES Galois Counter Mode (AES-GCM) encryption 256-bit: Rehefa voafantina ny GCM, dia manakana ny filàna algorithm amin'ny fahamendrehana. Izany dia satria ny fahaizan'ny maha-azo itokiana dia natsangana tao amin'ny GCM, tsy toy ny CBC (Cipher-Block Chaining).
Vondrona Diffie-Hellman: 20
Hash integrity: tohivakana foana
PRF Hash: sha384
Androm-piainana: 86400
Select Ok.
Fanamarihan'ny mpitantana: Ny fampiasana ny Encryption fanampiny, DH-Group, Integrity na PRF Hash tsy voatanisa etsy ambony dia tsy tombanana.
Fanamarihan'ny mpitantana: Ny tabilao mandroso dia mampiseho ny mari-pamantarana fampiharana tanjaka IKE. Ataovy azo antoka fa voamarina ny mari-pamantarana Fampiharana ny herin'ny Security Association (SA). Izany dia miantoka fa ny tanjaky ny cipher encryption IKEv2 dia ambony noho ny tanjaky ny cipher encryption an'ny zanany IPsec SA. Ny algorithma matanjaka kokoa dia hahena.
Ny mitovy CLI dia: crypto ipsec ikev2 sa-strength-enforcement
- Mamorona tolo-kevitra IPSEC. Ao amin'ny ASDM, mandehana any amin'ny Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > IPsec Proposals (Transform Sets) ary ampio IKEv2 IPsec Proposal. dia fidio Ok.
Ao amin'ny exampEo ambany ny anarana ampiasaina dia NGE-AES-GCM-256 miaraka amin'ny AES-GCM-256 ho an'ny encryption ary Null ho an'ny Integrity Hash:
- Mamorona sarintany crypto mavitrika, safidio ny tolo-kevitra IPsec ary ampiharo amin'ny interface ivelany. Ao amin'ny ASDM, mandehana any amin'ny Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPsec > Crypto Maps. Safidio ny Add, safidio ny interface ivelany sy ny soso-kevitra IKEv2.
Tsindrio ny Advanced Tab. Ataovy ireto manaraka ireto:
Alefaso ny NAT-T —Mamela ny NAT Traversal (NAT-T) ho an'ity politika ity
Fifehezana mandritra ny androm-piainan'ny Fikambanana fiarovana — napetraka amin'ny ora 8 (28800 segondra) - Mamorona dobo adiresy VPNUSERS izay homena ireo mpampiasa VPN. Ny dobo adiresy dia misy ireto saha manaraka ireto:
Anarana —Mamariparitra ny anarana nomena ny dobo adiresy IP.
Manomboka adiresy IP —Mamariparitra ny adiresy IP voalohany ao amin'ny dobo.
Adiresy IP mifarana —Mamariparitra ny adiresy IP farany ao amin'ny dobo.
Subnet Mask— Mifidy ny saron-tava zana-tsipìka hampiharina amin'ny adiresy ao anaty dobo.
Ao amin'ny ASDM, mankanesa any amin'ny Configuration> Remote Access VPN> Network (Client) Access> Address Assignment> Address Pools ary ampio dobo IP manondro ireo saha etsy ambony ary mifidiana Ok.
Manampia politikan'ny vondrona izay hampihatra ny fanovana tiana amin'ny mpampiasa VPN. Ny Politikan'ny Vondrona dia mamela anao hitantana ny politikan'ny vondrona AnyConnect VPN. Ny politikan'ny vondrona VPN dia fitambaran'ireo mpivady toetra/sarobidy miompana amin'ny mpampiasa voatahiry ao anaty fitaovana ASA. Ny fanefena ny politikan'ny vondrona VPN dia ahafahan'ny mpampiasa mandova toetra izay tsy namboarinao tao amin'ny vondrona tsirairay na ny solon'anarana. Amin'ny alàlan'ny default, tsy manana fikambanana politika vondrona ny mpampiasa VPN. Ny fampahalalana momba ny politikan'ny vondrona dia ampiasain'ny vondrona tonelina VPN sy ny kaonty mpampiasa. Ao amin'ny ASDM, mankanesa any amin'ny Configuration > Remote Access VPN > Network (Client) Access > Group Polices ary ampio politika vondrona anatiny. Ataovy azo antoka fa napetraka ao amin'ny IKEv2 ny protocol tunnel VPN ary ny dobo IP noforonina etsy ambony dia voatondro ao amin'ny politika amin'ny alàlan'ny fanesorana ny boaty fanamarinana Lova ary mifantina ny toerana mety. Ny DNS mifandraika, ny WINS ary ny anaran-tsehatra dia azo ampiana ao amin'ny politika ao amin'ny fizarana Servers.
Jereo ny exampny politikan'ny vondrona NGE-VPN-GP eto ambany:
- Mamorona anarana vondrona tonelina. Ny vondrona tonelina dia misy politikam-pifandraisana amin'ny tonelina ho an'ny fifandraisana IPsec. Ny politikan'ny fifandraisana dia afaka mamaritra ny fanamarinana, ny fanomezan-dàlana, ary ny mpizara kaonty, ny politikan'ny vondrona default, ary ny toetran'ny IKE.
Ao amin'ny ASDM, mandehana any amin'ny Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles. Eo amin'ny faran'ny pejy eo ambanin'ny Connection Profiles, safidio ny Add.
Ao amin'ny example eo ambanin'ny anaran'ny vondrona tonelina NGE-VPN-RAS no ampiasaina.
Ny fanamafisana dia manondro ny fanamarinana fanamarinana, ny politikan'ny vondrona NGE-VPN-GP ary Enable IPsec (IKEv2). Azo ampiana ihany koa ny DNS sy ny anaran-tsehatra eto. Ataovy azo antoka fa ny IPsec ihany no ampiasaina amin'ny tsy fanamarinana ny SSL VPN Client Protocol.
- Mamorona sarintany fanamarinana, sarintany ny mpampiasa NGE VPN amin'ny vondrona tonelina VPN izay noforonina teo aloha. Ny sarintany fanamarinana dia hampiharina amin'ireo mpampiasa AC. Amin'ity toe-javatra ity, ny anarana iraisana CA Subordinate dia nampifanarahina mba hahazoana antoka fa ny fangatahana sehatra TOE miditra miaraka amin'ny mari-pankasitrahana EC navoakan'ny CA Subordinate dia ho voasoritra amin'ny vondrona tonelina mifanaraka amin'izany izay noforonina teo aloha. Ireo mpampiasa VPN izay tsy nahazo mari-pankasitrahana avy amin'ny EC CA dia hiverina amin'ny vondrona tonelina mahazatra ary
tsy mety authentication ary ho lavina ny fidirana.
Ao amin'ny ASDM, mandehana any amin'ny Configuration> Remote Access VPN> Advanced> Certificate to AnyConnect and Clientless SSL VPN Connection Profile Sarintany. Eo ambanin'ny Certificate to Connection Profile Safidio ny sarintany Add. Safidio ny DefaultCertificateMap efa misy miaraka amin'ny laharam-pahamehana 10 ary manondro ny vondrona tonelina NGE-RAS-VPN.
Ao amin'ny ASDM, mandehana any amin'ny Configuration> Remote Access VPN> Advanced> Certificate to AnyConnect and Clientless SSL VPN Connection Profile Sarintany. Eo ambanin'ny Mapping Criteria mifidiana Add. Select Issuer for field, Common Name (CN) for component, Contains for Operator, ary avy eo mifidiana Ok.
Ataovy azo antoka fa mifidy APPLY eo amin'ny pejy lehibe ary SAVE ny configuration. - Ampifanaraho ny ASA hanaiky ny fifandraisana VPN amin'ny mpanjifa AnyConnect VPN, ampiasao ny Wizard VPN AnyConnect. Ity mpamosavy ity dia manamboatra protocoles IPsec (IKEv2) VPN ho an'ny fidirana amin'ny tambajotra lavitra. Jereo eto ny toromarika:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/asdm710/vpn/asdm-710-vpnconfig/vpn-wizard.html#ID-2217-0000005b
Fomba fanomanana sy torolalana momba ny asa ho an'ny TOE
Raha hametraka ny Cisco Secure Client-AnyConnect TOE, araho ireto dingana manaraka ireto:
- Sokafy ny App Store.
- Select Search
- Ao amin'ny boaty fikarohana, midira Cisco Secure Client-AnyConnect
- Kitiho ny INSTALL APP
- Select Install
Manomboka Cisco Secure Client-AnyConnect
Tsindrio ny kisary Cisco Secure Client-AnyConnect hanombohana ny fampiharana. Raha izao no fotoana voalohany hanombohanao ny Cisco Secure Client-AnyConnect aorian'ny fametrahana na fanavaozana, safidio ny OK mba ahafahan'ny TOE manitatra ny fahafaha-manao Virtual Private Network (VPN) amin'ny fitaovanao.
Fanamarinana ny fahamendrehana
Ny fanamarinana ny fahamendrehana dia atao isaky ny misy ny fampiharana ary miandry ny fahavitan'ny fanamarinana ny fahamendrehana. Ny serivisy kriptografika omen'ny sehatra iOS dia nalaina mba hanamarina ny sonia nomerika an'ny TOE azo tanterahina. files. Raha tsy vita soa aman-tsara ny fanamarinana ny fahamendrehana, dia tsy hivoaka ny GUI, ka tsy azo ampiasaina ny fampiharana. Raha mahomby ny fanamarinana ny fahamendrehana, ny GUI fampiharana dia hapetraka sy hiasa ara-dalàna.
Ampifanaraho ny Reference Identifier
Ity fizarana ity dia mamaritra ny fanamafisana ny famantarana famantarana ho an'ny VPN Gateway peer. Nandritra ny fanamarinana ny dingana 1 IKE, ny TOE dia mampitaha ny famantarana famantarana amin'ny famantarana asehon'ny VPN Gateway. Raha hitan'ny TOE fa tsy mifanaraka izy ireo dia tsy hahomby ny fanamarinana.
Mifidiana Connections avy amin'ny efijery an-trano mankany view ny fidirana efa namboarina tamin'ny fitaovanao. Mety ho voatanisa ny fidirana fifandraisana marobe, ny sasany eo ambanin'ny lohateny VPN Per-App. Ny fidirana amin'ny fifandraisana dia mety manana ny sata manaraka:
- Enabled— Ity fidirana fifandraisana ity dia alefan'ny mpitantana ny fitaovana finday ary azo ampiasaina amin'ny fampifandraisana.
- mavitrika— Mavitrika amin'izao fotoana izao ity fidirana fifandraisana voamarika na misongadina ity.
- Mifandray— Ity fidirana amin'ny fifandraisana ity dia ilay mavitrika ary mifandray sy miasa amin'izao fotoana izao.
- Tapaka— Ity fidirana amin'ny fifandraisana ity dia ilay mavitrika saingy tapaka amin'izao fotoana izao ary tsy miasa.
Raha mila torolalana dia jereo ny "Ampio na ovao ny fidirana amin'ny fifandraisana amin'ny tanana" fizarana [3].
Ampifanaraho ny fampiasana taratasy fanamarinana
AnyConnect dia mila taratasy fanamarinana X.509. Jereo ny "Amboary ny certificat" fizarana [3].
Sakanana ireo mpizara tsy azo itokisana
Ity fandrindrana fampiharana ity no mamaritra raha manakana ny fifandraisana i AnyConnect rehefa tsy afaka mamantatra ny vavahady azo antoka.
ON amin'ny alàlan'ny default ity fiarovana ity ary tsy tokony hovonoina.
AnyConnect dia mampiasa ny mari-pankasitrahana azo avy amin'ny mpizara hanamarinana ny mombamomba azy. Raha misy hadisoana fanamarinana noho ny daty lany daty na tsy mety, ny fampiasana fanalahidy diso, na ny tsy fitovian'ny anarana, dia voasakana ny fifandraisana.
Mametraka VPN FIPS Mode
Ny VPN FIPS Mode dia mampiasa ny algorithm kriptografika Federal Information Processing Standards (FIPS) ho an'ny fifandraisana VPN rehetra.
- Ao amin'ny fampiharana Cisco Secure Client-AnyConnect, kitiho ny Settings.
- Kitiho ny fomba FIPS mba ahafahana manao an'io toe-javatra io.
Mba hamenoana ny fepetra kriptografika ao amin'ny ST, ny fomba FIPS dia tsy maintsy alefa. Rehefa voamarina ny fiovan'ny fomba FIPS-nao dia mivoaka ny fampiharana ary tsy maintsy averina amin'ny tanana. Rehefa manomboka indray dia mihatra ny firafitry ny mode FIPS anao.
Henjana Certificat Trust Mode
Ity toe-javatra ity dia manitsy ny Cisco Secure Client-AnyConnect TOE mba tsy hamela ny taratasy fanamarinana ny lohany VPN Gateway izay tsy afaka manamarina ho azy.
- Avy amin'ny varavarankelin'ny trano, tadiavo ny Menu > Settings.
- Alefaso ny maodely fitokisana fanamarinana henjana.
Amin'ny andrana fifandraisana manaraka dia ho alefa ny Strict Certificate Trust
Jereo ny fanafoanana ny taratasy fanamarinana
Ity toe-javatra ity dia mifehy raha ny Cisco Secure Client-AnyConnect TOE no hamaritra ny sata fanafoanana ny taratasy fanamarinana azo avy amin'ny vavahadin'ny VPN Gateway. Tsy maintsy ON ary tsy tokony vonoina ity kira ity.
- Avy amin'ny varavarankely AnyConnect, tadiavo ny Menu > Settings.
- Alefaso ny Fanafoanana ny fanamarinana fanamarinana mba hahafahan'ity toe-javatra ity.
Torolàlana momba ny asa ho an'ny TOE
Mametraha fifandraisana VPN
Jereo ny “Amboary a Fifandraisana VPN" fizarana [3].
Ny Administrator dia tokony hanamarika ireto fitsipika manaraka ireto ny PROTECT, BYPASS, ary DISCARD momba ny fampiasana IPsec amin'ny AnyConnect:
- hiarovana
Ny fidirana ho an'ny PROTECT dia amboarina amin'ny alàlan'ny politikan'ny vondrona fidirana lavitra amin'ny ASA mampiasa ASDM. Ho an'ny fidirana PROTECT dia mandeha amin'ny tonelina IPsec VPN nomen'ny TOE ny fifamoivoizana. Tsy ilaina ny fanamafisana ny tonelina TOE ny fifamoivoizana rehetra. Ny mpitantana dia afaka mametraka mazava io fihetsika io miaraka amin'ny baiko ao amin'ny politikan'ny vondrona: split-tunnel-policy tunnelall - Bypass
Ny TOE dia manohana ny fiasan'ny BYPASS (rehefa avelan'ny politikan'ny Remote Access mazava tsara ny tonelina fisarahana). Rehefa alefa ny tonelina fisarahana, ny ASA VPN Gateway dia manosika lisitr'ireo ampahan-tambajotra mankany amin'ny TOE MIARO. Ny fifamoivoizana hafa rehetra dia mandeha tsy misy fiarovana nefa tsy misy ny TOE ka mandingana ny fiarovana IPsec.
Ny fizarazarana tonelina dia amboarina amin'ny politikan'ny vondrona Access Network (Client). Ny mpitantana dia manana ireto safidy manaraka ireto:
Tsy tafiditra ao: Esory ny tambajotra voafaritry ny split-tunnel-network-list ihany
Tonelina voafaritra: Tambajotra tonelina ihany no voafaritry ny lisitry ny tamba-jotra split-tunnel Jereo ny fizarana "Momba ny fametrahana ny tonelina misaraka ho an'ny fifamoivoizana rehetra" ao amin'ny torolàlana fanamafisana VPN ASDM ary jereo ny dingana omena ao amin'ny fizarana "Configure Split-Tunneling for AnyConnect Traffic". Aorian'ny fanovana ny politikan'ny vondrona ao amin'ny ASDM, ataovy azo antoka fa mifandray amin'ny Connection Pro ny politikan'ny vondronafile ao amin'ny Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add/Edit > Politika vondrona. Ny fidirana BYPASS SPD dia omen'ny sehatra mpampiantrano amin'ny alàlan'ny fitsipika fahazoan-dàlana amin'ny fifamoivoizana an-tserasera. Tsy ilaina ny fanamafisana amin'ny sehatra TOE mba hahafahany mandalo an'io fifamoivoizana io. - hanary
Ny fitsipika DISCARD dia ataon'ny sehatra TOE irery ihany. Tsy misy interface administratif hamaritana fitsipika DISCARD.
Manara-maso sy mamaha olana
Jereo ny Manara-maso sy mamaha olana fizarana [3].
Miala amin'ny Cisco Secure Client-AnyConnect
Ny fivoahana ny fampiharana dia manafoana ny fifandraisana VPN amin'izao fotoana izao ary manakana ny fizotran'ny TOE rehetra. Ampiasao kely ity hetsika ity. Ny fampiharana na dingana hafa amin'ny fitaovanao dia mety mampiasa ny fifandraisana VPN amin'izao fotoana izao ary ny fivoahana ny fampiharana Cisco Secure Client-AnyConnect dia mety hisy fiantraikany ratsy amin'ny fiasan'izy ireo.
Avy amin'ny varavarankelin'ny trano, tadiavo ny Menu > Fivoahana.
Fanohanana kriptografika
Ny TOE dia manome kriptografika ho fanohanana ny IPsec miaraka amin'ny kriptografika symmetrika ESP ho an'ny encryption/decryption AES betsaka ary algorithm SHA-2 ho an'ny hashing. Ho fanampin'izany, ny TOE dia manome ny kriptografika hanohanana ny fifanakalozana fanalahidy Diffie Hellman sy ny fiasan'ny derivation ampiasaina amin'ny protocols IKEv2 sy ESP. Ny torolalana hanamafisana ny fiasa kriptografika dia voalaza ao amin'ny fizarana "Fiaraha-miasa sy torolalana momba ny tontolo IT" amin'ity antontan-taratasy ity.
Fanavaozana azo itokisana
Ity fizarana ity dia manome torolalana amin'ny fanekena azo antoka ny TOE sy ny fanavaozana TOE manaraka. Ny "Updates" dia dikan-teny vaovao amin'ny TOE.
Ny fanontana TOE dia azo anontanian'ny mpampiasa. Avy amin'ny efijery an-trano tap "About". Azo anontaniana amin'ny alalan'ny sehatra finday ihany koa ny famoahana dikan-teny:
- iPhone: Sokafy ny Settings ary mandehana any amin'ny General> Usage. Eo ambanin'ny Storage, tadiavo ny Cisco Secure Client Any Connect ary tsindrio. Ny fampahalalana momba ny dikan-teny dia haseho.
Ny fanavaozana ny Cisco Secure Client-AnyConnect TOE dia tantanana amin'ny alàlan'ny Apple App Store amin'ny fampiasana ny fomba etsy ambany.
Fanamarihana: Alohan'ny hanavaozanao ny fitaovanao dia tsy maintsy manafoana ny fivoriana VPN raha toa ka misy ny iray, ary manakatona ny fampiharana raha misokatra. Raha tsy mahavita izany ianao dia ilaina ny famerenana ny fitaovanao alohan'ny hampiasana ny kinova vaovao an'ny Cisco Secure Client-AnyConnect TOE.
- Tsindrio ny kisary App Store eo amin'ny pejy fandraisana iOS.
- Tsindrio ny fampandrenesana fanavaozana Cisco Secure Client-AnyConnect.
- Vakio momba ireo endri-javatra vaovao.
- Tsindrio ny Update.
- Ampidiro ny tenimiafinao Apple ID.
- paompy OK.
Mitohy ny fanavaozana.
Mahazoa antontan-taratasy ary mandefa fangatahana serivisy
Raha mila fanazavana momba ny fahazoana antontan-taratasy, amin'ny fampiasana ny Cisco Bug Search Tool (BST), ny fandefasana fangatahana serivisy, ary ny fanangonana fampahalalana fanampiny, jereo Inona no Vaovao ao amin'ny Cisco Product Documentation.
Mba hahazoana votoaty teknika Cisco vaovao sy nohavaozina mivantana amin'ny biraonao dia azonao atao ny misoratra anarana amin'ny Inona no Vaovao ao amin'ny Cisco Product Documentation RSS feed. Ny fahana RSS dia serivisy maimaim-poana.
Mifandraisa amin'ny Cisco
Manana birao maherin'ny 200 maneran-tany ny Cisco. Ny adiresy, ny laharan-telefaona, ary ny laharan'ny fax dia voatanisa ao amin'ny Cisco website at www.cisco.com/go/offices.
Documents / Loharano
 |
CISCO AnyConnect 5.0 Secure Client [pdf] Torolàlana ho an'ny mpampiasa 5.0 ho an'ny iOS 16, AnyConnect 5.0 Secure Client, 5.0 Secure Client, Secure Client, Client |
