Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide

在 Apple iOS 6 中，iOS 始终在此列表中的规则匹配时尝试启动 VPN 连接。

iOS 7.x 不支持 Always Connect（始终连接），当此列表中的规则匹配时，其行为与 Connect

If Needed（需要时连接）规则相同。

更高版本不使用 Always Connect（始终连接），配置的规则将迁移到 Connect if Needed（需
要时连接）列表，并按照该规则操作。

• 苹果公司已经给 Connect On Demand（按需连接）功能引入了 Trusted Network Detection（值得

信赖的网络检测，即 TND）增强功能。此增强功能：

通过确定用户是否在受信任网络中扩展了 Connect on Demand（按需连接）功能。

仅适用于 Wi-Fi 连接。使用其他类型的网络连接时，Connect on Demand（按需连接）不
使用 TND 来确定是否应连接 VPN。

不是单独的功能，无法在 Connect on Demand（按需连接）功能之外配置或使用。

请联系苹果公司，了解有关 iOS 6 中 Connect on Demand Trusted Network Detection（按需连接值
得信赖的网络检测）的详细信息。

• 集成的 Apple iOS IPsec 客户端和 AnyConnect 使用相同的 Apple iOS VPN on Demand 框架。

利用拆分隧道拆分 DNS 解析行为

ASA 拆分隧道功能允许您指定哪种流量通过 VPN 隧道，哪种流量畅通无阻。一个称为拆分 DNS 的
相关功能允许您指定哪种 DNS 流量适合通过 VPN 隧道进行 DNS 解析，哪种 DNS 流量由终端 DNS
解析器处理（畅通无阻）。拆分 DNS 在 Apple iOS 设备上与在其他设备（如果也配置了拆分隧道）
上的工作方式不同。 Apple iOS 上 AnyConnect 对此命令的响应如下：

• 仅加密 split-dns 列表中所列域的 DNS 查询。

AnyConnect 仅通过隧道传输此命令中指定的域的 DNS 查询，而将所有其他 DNS 查询畅通无阻
地发送到本地 DNS 解析器进行解析。例如，响应以下命令时，AnyConnect 仅通过隧道传输
example1.com 和 example2.com 的 DNS 查询：

hostname(config-group-policy)# split-dns value example1.com example2.com

• 仅加密 default-domain 命令中域的 DNS 查询。

如果 split-dns none 命令存在，且 default-domain 命令指定了一个域，则 AnyConnect 仅通过隧
道传输该域的 DNS 查询，而将所有其他 DNS 查询畅通无阻地发送到本地 DNS 解析器进行解
析。例如，响应以下命令时，AnyConnect 仅通过隧道传输 example1.com 的 DNS 查询：

hostname(config-group-policy)# split-dns none
hostname(config-group-policy)# default-domain value example1.com

• 畅通无阻地发送所有 DNS 查询。如果 split-dns none 和 default-domain none 命令存在于组策

略中，或者虽然这些命令不存在于组策略中，但存在于默认组策略中，则 AnyConnect 将所有
DNS 查询畅通无阻地发送到本地 DNS 解析器进行解析。

Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

212

移动设备上的 AnyConnect

仅适用于 Apple iOS 的考虑事项