Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
选择并排除 VPN 流量
将 IPv4 或 IPv6 流量配置为绕过 VPN
使用 Client Bypass Protocol(客户端旁路协议)设置,您可以配置 AnyConnect 客户端在 ASA 只需要
IPv6 流量时如何管理 IPv4 流量,或者在 ASA 只需要 IPv4 流量时如何管理 IPv6 流量。
IPv6 流量时如何管理 IPv4 流量,或者在 ASA 只需要 IPv4 流量时如何管理 IPv6 流量。
当 AnyConnect 客户端建立与 ASA 的 VPN 连接时,ASA 可以为客户端分配 IPv4 和/或 IPv6 地址。
如果为 IP 协议启用 Client Bypass Protocol(客户端旁路协议),但未对该协议配置地址池(即,未
通过 ASA 向客户端分配用于该协议的 IP 地址),则使用该协议的任何 IP 流量不会通过 VPN 隧道
发送, 而会在隧道外部发送。
通过 ASA 向客户端分配用于该协议的 IP 地址),则使用该协议的任何 IP 流量不会通过 VPN 隧道
发送, 而会在隧道外部发送。
如果禁用 Client Bypass Protocol(客户端旁路协议),且未对该协议配置地址池,则客户端将在 VPN
隧道建立后丢弃该 IP 协议的所有流量。
隧道建立后丢弃该 IP 协议的所有流量。
例如,假设 ASA 只将一个 IPv4 地址分配到 AnyConnect 连接,且终端为双协议栈。 当终端尝试连接
IPv6 地址时,如果 Client Bypass Protocol(客户端旁路协议)已禁用,IPv6 流量将被丢弃。 如果
IPv6 地址时,如果 Client Bypass Protocol(客户端旁路协议)已禁用,IPv6 流量将被丢弃。 如果
Client Bypass Protocol(客户端旁路协议)已启用,IPv6 流量将以明文形式从客户端发送。
请在 ASA 的组策略中配置 Client Bypass Protocol(客户端旁路协议)。
过程
步骤 1 在 ASDM 中,转到 Configuration(配置) > Remote Access VPN(远程访问 VPN) > Network
(Client) Access(网络 (客户端) 访问) > Group Policies(组策略)。
步骤 2 选择组策略,点击 Edit(编辑)或 Add(添加)以编辑或新增组策略。
步骤 3 选择 Advanced(高级) > AnyConnect。
步骤 4 在 Client Bypass Protocol(客户端旁路协议)旁边取消选中 Inherit(继承)(如果这不是默认组策
略)。
步骤 5 选择以下选项之一:
• 点击 Disable(禁用)以丢弃 ASA 未向其分配地址的 IP 流量。
• 点击 Enable(启用)以明文发送该 IP 流量。
步骤 6 点击 OK(确定)。
步骤 7 点击 Apply(应用)。
配置支持本地打印机和关联设备的客户端防火墙
请参阅思科 ASA 系列 VPN ASDM 配置指南中的
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
111
配置 VPN 接入
选择并排除 VPN 流量