Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
VLAN 监控和转换
某些站点使用不同的 VLAN 或子网划分其集团公司和访问级别的网络。 来自 ISE 的授权更改 (CoA)
指定 VLAN 更改。 管理员操作(例如会话终止)也可能导致发生更改。 为支持 VPN 连接期间的
VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
指定 VLAN 更改。 管理员操作(例如会话终止)也可能导致发生更改。 为支持 VPN 连接期间的
VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
• VLAN Detection Interval - 确定代理检测 VLAN 转换的频率以及监控是否禁用。 当此时间间隔
设置为非 0 值时,会启用 VLAN 监控。 对于 Mac OS X,将此值至少设置为 5。
VLAN 监控在 Windows 和 Mac OS X 上都可实施,但在 Mac 上仅当检测意外 VLAN 更改时才
需要实施。 如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。
有效范围为 0 到 900 秒。
需要实施。 如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。
有效范围为 0 到 900 秒。
• Enable Agent IP Refresh - 未选中时,ISE 会向代理发送 Network Transition Delay 值。 选中后,
ISE 将向代理发送 DHCP 释放和续订值,然后代理更新 IP 以检索最新的 IP 地址。
• DHCP Release Delay and DHCP Renew Delay - 用于关联 IP 刷新和 Enable Agent IP Refresh 设置。
选中 Enable Agent IP Refresh 复选框且此值不是 0 时,代理会等待一定秒数的释放延迟,更新
IP 地址,然后等待一定秒数的续订延迟。 如果 VPN 已连接,将自动禁用 IP 刷新。
IP 地址,然后等待一定秒数的续订延迟。 如果 VPN 已连接,将自动禁用 IP 刷新。
• Network Transition Delay - 当 VLAN 监控被代理禁用或启用(在 Enable Agent IP Refresh 复选框
中)时使用。 此延迟在未使用 VLAN 时会增加缓冲,给代理适当的时间等待来自服务器的准
确状态。 ISE 将此值发送给代理。 如果您还在 ISE 用户界面的全局设置中设置了 Network
Transition Delay 值,ISE 终端安全评估配置文件编辑器中的值将覆盖它。
确状态。 ISE 将此值发送给代理。 如果您还在 ISE 用户界面的全局设置中设置了 Network
Transition Delay 值,ISE 终端安全评估配置文件编辑器中的值将覆盖它。
ASA 不支持 VLAN 更改,因此这些设置在客户端通过 ASA 连接到 ISE 时不适用。
注释
故障排除
如果终端设备在终端安全评估完成后无法访问网络,请检查以下内容:
• 在 ISE 用户界面上是否配置了 VLAN 更改?
如已配置,是否在配置文件中设置了 DHCP 释放延迟和续订延迟?
如果这两项设置都为 0,是否在配置文件中设置了 Network Transition Delay?
用于中断 AnyConnect ISE 流的操作
由于各种原因,在初始终端安全评估重新评估或被动重新评估过程中,AnyConnect ISE 终端安全评
估流可能中断。
估流可能中断。
• 用户取消 AnyConnect ISE - 在终端安全评估检查和补救期间,用户可以取消 AnyConnect ISE。
UI 会立即通知用户正在进行取消,但只在避免将终端置于出问题状态的时期才会出现这种情
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
166
配置终端安全评估
VLAN 监控和转换