Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
• 在以下操作系统上受支持:Windows 7 或更高版本、Mac OS X 10.7 或更高版本、Red Hat
Enterprise Linux 6.x 或 6.4(64 位),以及 Ubuntu 12.4 和 12.10(64 位)。 ECDSA 智能
卡仅在 Windows 7 中受支持。
卡仅在 Windows 7 中受支持。
AnyConnect FIPS 的限制
• AnyConnect 不支持 TLS/DTLS、SRTP 和 SSH 套件 B。
• 在验证使用 SHA-2 签署的证书时,除了在基于 TLS 的 EAP 中,没有 EAP 方法支持 SHA-2。
• 不支持 TLS v1.2 握手。
• 不支持 TLS v1.2 证书身份验证。
AnyConnect FIPS 指南
• AnyConnect 客户端的 Statistics 面板(在 Transport Information 标题下)显示正在使用的密码名
称。
• 由于 AES-GCM 是计算密集型的算法,因此使用这些算法时您可能会体验到整体数据速率降
低。 部分新 Intel 处理器包含专门引进以提升 AES-GCM 性能的特别说明。 AnyConnect 会自动
检测正在运行的处理器是否支持这些新指令。 若支持,AnyConnect 将使用新指令,从而相对
于那些没有特殊指令的处理器来说,可以显著提高 VPN 数据速率。 请参阅
检测正在运行的处理器是否支持这些新指令。 若支持,AnyConnect 将使用新指令,从而相对
于那些没有特殊指令的处理器来说,可以显著提高 VPN 数据速率。 请参阅
,了解支持新指令的处理器列表。 有关详细信息,请参阅
。
• 组合模式加密算法(它在一次操作中同时执行加密和完整性验证)仅在具有硬件加密加速的
SMP ASA 网关(例如 5585 和 5515-X)上受支持。 AES-GCM 是思科支持的组合模式加密算
法。
法。
IKEv2 策略既可以包含普通模式加密算法,也可以包含组合模式加密算法,但不
能同时包含这两种类型。 当组合模式算法配置在 IKEv2 策略中时,所有普通模
式算法都被禁用,因此唯一有效的完整性算法为 NULL。
能同时包含这两种类型。 当组合模式算法配置在 IKEv2 策略中时,所有普通模
式算法都被禁用,因此唯一有效的完整性算法为 NULL。
IKEv2 IPsec 提议使用其他模型,可以在同一提议中同时指定普通模式和组合模
式加密算法。 对于这种用法,您需要为这两种算法都配置完整性算法,给
式加密算法。 对于这种用法,您需要为这两种算法都配置完整性算法,给
AES-GCM 加密算法配置的是非 NULL 完整性算法。
注释
• 当 ASA 配置为对 SSL 和 IPsec 使用不同的服务器证书时,请使用受信任证书。 如果使用具有
不同 IPsec 和 SSL 证书的套件 B (ECDSA) 不受信任证书,则状态评估、WebLaunch 或下载程序
可能发生故障。
可能发生故障。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
201
在本地策略中启用 FIPS
AnyConnect FIPS 的限制