Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
配置值得信赖的网络检测
过程
步骤 1 打开 VPN 配置文件编辑器,从导航窗格中选择 Preferences (Part 1)。
步骤 2 选择 Automatic VPN Policy。
步骤 3 在 Trusted Network Policy 中选择一个受信任网络策略。
这是用户处于公司网络(受信任网络)中时客户端执行的操作。 选项有:
• Disconnect -(默认值)客户端终止受信任网络中的 VPN 连接。
• Connect - 客户端启动受信任网络中的 VPN 连接。
• Do Nothing - 客户端不在受信任网络中执行任何操作。 将 Trusted Network Policy 和 Untrusted
Network Policy 都设置为 Do Nothing,会禁用 Trusted Network Detection (TND)。
• Pause - 如果用户在受信任网络外建立 VPN 会话之后进入被配置为受信任的网络,则 AnyConnect
会暂停此 VPN 会话而不是将其断开连接。 当用户再次离开受信任网络时,AnyConnect 会恢复
该会话。 此功能是为了给用户提供方便,因为有了它,在用户离开受信任网络后不需要建立新
的 VPN 会话。
该会话。 此功能是为了给用户提供方便,因为有了它,在用户离开受信任网络后不需要建立新
的 VPN 会话。
步骤 4 在 Untrusted Network Policy 中选择一个不受信任的网络策略。
这是用户在公司网络之外时客户端执行的操作。 选项有:
• Connect - 客户端在检测到不受信任网络后启动 VPN 连接。
• Do Nothing - 客户端在检测到不受信任网络后不执行任何操作。 此选项禁用 永远在线 VPN。
将 Trusted Network Policy 和 Untrusted Network Policy 都设置为 Do Nothing 会禁用 Trusted Network
Detection。
Detection。
步骤 5 指定 Trusted DNS Domains。
指定客户端在信任网络中时网络接口可能具有的 DNS 后缀(逗号分隔的字符串)。 如果您将多个
DNS 后缀添加到 split-dns 列表并在 ASA 上指定一个默认域,则可以分配多个 DNS 后缀。
DNS 后缀添加到 split-dns 列表并在 ASA 上指定一个默认域,则可以分配多个 DNS 后缀。
AnyConnect 客户端按以下顺序构建 DNS 后缀列表:
• 头端传输的域。
• 头端传输的拆分 DNS 后缀列表。
• 公共接口的 DNS 后缀(如果已配置)。 否则,是主后缀和连接特定后缀,以及主 DNS 后缀的
父后缀(如果在 Advanced TCP/IP Settings 中选中了相应的复选框)。
将此值用于 TrustedDNSDomains:
要匹配此 DNS 后缀,请执行以下操作:
*example.com
example.com(仅限)
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
97
配置 VPN 接入
使用值得信赖的网络检测来连接和断开连接