Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
输入 AnyConnect 提升网络访问限制的分钟数。 用户需要充足的时间来满足强制网络门户的要求。
强制网络门户检测和补救故障排除
AnyConnect 在以下情况下会错误地假设自己处于强制网络门户中。
• 如果 AnyConnect 尝试用包含错误服务器名称 (CN) 的证书联系 ASA,则 AnyConnect 客户端会
认为它处于“强制网络门户”环境中。
要避免此情况,请确保正确配置了 ASA 证书。 证书中的 CN 值必须匹配 VPN 客户端配置文件
中 ASA 服务器的名称。
中 ASA 服务器的名称。
• 如果在 ASA 之前,网络中有另一台设备,且该设备通过阻止对 ASA 的 HTTPS 访问来对客户
端尝试联系 ASA 做出响应,则 AnyConnect 客户端会认为它处于“强制网络门户”环境中。 当
用户位于内部网络且通过防火墙连接 ASA 时,可能发生此情况。
用户位于内部网络且通过防火墙连接 ASA 时,可能发生此情况。
如果您需要从企业内部限制对 ASA 的访问,请配置您的防火墙,以便去往 ASA 地址的 HTTP
和 HTTPS 流量不返回 HTTP 状态。 对 ASA 的 HTTP/HTTPS 访问应该要么被允许,要么被完
全阻止(也称为进入黑洞),以确保发送到 ASA 的 HTTP/HTTPS 请求不会返回意外的响应。
和 HTTPS 流量不返回 HTTP 状态。 对 ASA 的 HTTP/HTTPS 访问应该要么被允许,要么被完
全阻止(也称为进入黑洞),以确保发送到 ASA 的 HTTP/HTTPS 请求不会返回意外的响应。
如果用户无法访问强制网络门户补救页面,请要求他们尝试以下操作:
• 终止任何使用 HTTP 的应用,如即时消息程序、电邮客户端、IP 电话客户端和除了一个用于执
行补救以外的所有浏览器。
强制网络门户可能会通过忽略重复的连接尝试使它们在客户端超时,从而积极地抑制 DoS 攻
击。 许多应用尝试建立 HTTP 连接会加剧此问题。
击。 许多应用尝试建立 HTTP 连接会加剧此问题。
• 禁用并重新启用网络接口。 此操作会触发强制网络门户检测重试。
• 重新启动计算机。
通过 L2TP 或 PPTP 配置 AnyConnect
某些国家/地区的 ISP 要求支持第 2 层隧道协议 (L2TP) 和点对点隧道协议 (PPTP)。
要通过点对点协议 (PPP) 连接将流量发送到安全网关,AnyConnect 使用外部隧道生成的点对点适配
器。 通过 PPP 连接建立 VPN 隧道时,客户端必须从发送目标为 ASA 的隧道流量中排除要发送到
ASA 以外目标的流量。 要指定是否排除路由及如何确定排除路由,请使用 AnyConnect 配置文件中
的 PPP 排除设置。 排除路由在 AnyConnect GUI 的 Route Details(路由详细信息)中显示为非安全
路由。
器。 通过 PPP 连接建立 VPN 隧道时,客户端必须从发送目标为 ASA 的隧道流量中排除要发送到
ASA 以外目标的流量。 要指定是否排除路由及如何确定排除路由,请使用 AnyConnect 配置文件中
的 PPP 排除设置。 排除路由在 AnyConnect GUI 的 Route Details(路由详细信息)中显示为非安全
路由。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
105
配置 VPN 接入
通过 L2TP 或 PPTP 配置 AnyConnect