Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• 如果 永远在线 已启用并且连接失败策略关闭,需要明确启用强制网络门户补救。 如果已启用,
最终用户可以如上文所述执行补救。 如果已禁用,则会在每次尝试连接时显示以下消息,且
VPN 无法连接。
The service provider in your current location is restricting access to the Internet.
The AnyConnect protection settings must be lowered for you to log on with the service
The AnyConnect protection settings must be lowered for you to log on with the service
provider. Your current enterprise security policy does not allow this.
配置强制网络门户补救
仅在永远在线功能启用且连接失败策略设置为关闭时,才配置强制网络门户补救。 在这种情况下,
可通过配置强制网络门户补救,在强制网络门户阻止 AnyConnect 连接到 VPN 时允许它连接到 VPN。
可通过配置强制网络门户补救,在强制网络门户阻止 AnyConnect 连接到 VPN 时允许它连接到 VPN。
如果连接失败策略设置为打开或永远在线未启用,则用户对网络的访问不会受到限制,而且用户无
需在 AnyConnect VPN 客户端配置文件中进行任何特定配置,即可补救强制网络门户。
需在 AnyConnect VPN 客户端配置文件中进行任何特定配置,即可补救强制网络门户。
强制网络门户补救默认为禁用以提供最高安全性。
过程
步骤 1 打开 VPN 配置文件编辑器,从导航窗格中选择 Preferences (Part 1)。
步骤 2 选择 Allow Captive Portal Remediation。
此设置可提升连接失败策略关闭导致的网络访问限制。
步骤 3 指定补救超时。
输入 AnyConnect 提升网络访问限制的分钟数。 要满足强制网络门户要求,用户需要足够的时间。
对强制网络门户检测和补救进行故障排除
AnyConnect 在以下情况下会错误地假设自己处于强制网络门户中。
• 如果 AnyConnect 尝试与包含不正确的服务器名称 (CN) 的证书的 ASA 通信,则 AnyConnect 客
户端会认为它处于“强制网络门户”环境中。
要避免此情况,请确保正确配置了 ASA 证书。 证书中的 CN 值必须匹配 VPN 客户端配置文件
中 ASA 服务器的名称。
中 ASA 服务器的名称。
• 如果在 ASA 之前,网络中有另一台设备,且该设备通过阻止对 ASA 的 HTTPS 访问来对客户
端尝试联系 ASA 做出响应,则 AnyConnect 客户端会认为它处于“强制网络门户”环境中。 当
用户位于内部网络且通过防火墙连接 ASA 时,可能发生此情况。
用户位于内部网络且通过防火墙连接 ASA 时,可能发生此情况。
如果您需要从公司内部限制对 ASA 的访问,请配置防火墙以使至 ASA 地址的 HTTP 和 HTTPS
流量不会返回 HTTP 状态。 应允许和完全阻止(也称为黑洞)对 ASA 的 HTTP/HTTPS 访问,
从而确保发送至 ASA 的 HTTP/HTTPS 请求不会返回意外响应。
流量不会返回 HTTP 状态。 应允许和完全阻止(也称为黑洞)对 ASA 的 HTTP/HTTPS 访问,
从而确保发送至 ASA 的 HTTP/HTTPS 请求不会返回意外响应。
如果用户无法访问强制网络门户补救页面,请要求用户尝试以下操作:
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
104
配置 VPN 接入
使用强制网络门户热点检测和补救