Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
以下示例假定:
• 您已在 ISE 中创建动态授权控制列表 (DACL),且列表已推送到 ASA。该列表使用客户端的终
端安全评估状态确定何时将客户端重定向到 ISE 上的 AnyConnect 客户端调配门户。
• ISE 在 ASA 之后。
AnyConnect 已安装在客户端上
1
用户启动 AnyConnect,提供凭证,并点击 Connect(连接)。
2
ASA 建立与客户端的 SSL 连接,将身份验证凭证传递到 ISE,ISE 验证凭证。
3
AnyConnect 启动 AnyConnect 下载程序,该下载程序执行所有升级操作,并启动 VPN 隧道。
如果 ASA 未安装 ISE 终端安全评估,则
1
用户浏览到任何站点时,DACL 将其重定向到 ISE 上的 AnyConnect 客户端调配门户。
2
如果使用 Internet Explorer 浏览器,ActiveX 控件将启动 AnyConnect 下载程序。 在其他浏览器
中,用户下载并执行网络设置助理 (NSA),该工具会下载并启动 AnyConnect 下载程序。
中,用户下载并执行网络设置助理 (NSA),该工具会下载并启动 AnyConnect 下载程序。
3
AnyConnect 下载程序执行在 ISE 上配置的所有 AnyConnect 升级,其中现在包括 AnyConnect ISE
终端安全评估模块。
终端安全评估模块。
4
客户端上的 ISE 终端安全评估代理将启动终端安全评估。
未安装 AnyConnect
1
用户浏览到站点,启动到 ASA 无客户端门户的连接。
2
用户提供身份验证凭证,该凭证将传输到 ISE 并进行验证。
3
AnyConnect 下载程序由 Internet Explorer 中的 ActiveX 控件和其他浏览器中的 Java 小应用启动。
4
AnyConnect 下载程序执行在 ASA 上配置的升级,然后启动 VPN 隧道。 下载程序完成。
如果 ASA 未安装 ISE 终端安全评估,则
1
用户再次浏览到站点,然后重定向到 ISE 上的 AnyConnect 客户端调配门户。
2
在 Internet Explorer 中,ActiveX 控件启动 AnyConnect 下载程序。 在其他浏览器中,用户下载并
执行网络设置助理,该工具将下载并启动 AnyConnect 下载程序。
执行网络设置助理,该工具将下载并启动 AnyConnect 下载程序。
3
AnyConnect 下载程序通过现有 VPN 隧道执行 ISE 上配置的所有升级,其中包括添加 AnyConnect
ISE 终端安全评估模块。
4
ISE 终端安全评估代理启动终端安全评估。
禁用 AnyConnect 自动更新
可以通过配置和分发客户端配置文件来禁用或限制 AnyConnect 自动更新。
• 在 VPN 客户端配置文件中:
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
24
部署 AnyConnect
禁用 AnyConnect 自动更新