Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide

连接失败关闭策略在 AnyConnect 建立 VPN 会话失败时阻止网络访问。 它主要
用在网络访问的安全持久性比始终可用性更重要的企业中，以特别保证企业的
安全。 它会阻止除本地资源（如拆分隧道允许的和 ACL 限制的打印机及外围设
备）以外的所有网络访问。 如果用户需要通过 VPN 以外的方式访问互联网却没
有可用的安全网关，则它会阻碍生产。 AnyConnect 检测大多数强制网络门户。
如果它无法检测某个强制网络门户，则连接失败关闭策略会阻止所有网络连接。

如果您部署关闭连接策略，我们强烈建议您采用分阶段方法。 例如，首先利用
连接失败打开策略部署 永远在线 VPN，并调查用户 AnyConnect 无法无缝连接
的频率。 然后，在早期采用者用户中部署连接失败关闭策略的一个小型试点部
署，并征求他们的反馈。 逐步扩展试点计划，同时继续征求反馈，再考虑全面
部署。 部署连接失败关闭策略时，请确保向 VPN 用户告知网络访问限制以及连
接失败关闭策略的优点。

注意

如果 Connect Failure Policy（连接失败策略）为 Closed（关闭），则您可以配置以下设置：

Allow Captive Portal Remediation（允许强制网络门户补救）- 让 AnyConnect 在客户
端检测到强制网络门户（热点）时，解除关闭连接失败策略所施加的网络访问限制。
酒店和机场通常使用强制网络门户，它们要求用户打开浏览器并满足允许互联网访问
所需的条件。 默认情况下，此参数处于未选中状态以提供最高安全性；但是，如果
您想要客户端连接到 VPN 而强制网络门户却阻止它这样做，则您必须启用此参数。

Remediation Timeout（补救超时）- AnyConnect 解除网络访问限制的分钟数。 此参
数只在 Allow Captive Portal Remediation（允许强制网络门户补救）参数被选中且客
户端检测到强制网络门户时适用。 指定足够的时间以满足典型的强制网络门户要求
（例如，5 分钟）。

Apply Last VPN Local Resource Rules（应用最后的 VPN 本地资源规则）- 如果 VPN
无法访问，则客户端应用其从 ASA 收到的最后一个客户端防火墙，此 ASA 可能包含
允许访问本地 LAN 资源的 ACL。

• PPP Exclusion（PPP 排除）- 对于通过 PPP 连接的 VPN 隧道，指定是否以及如何确定排除路

由。 客户端可以将去往此安全网关的流量从去往安全网关外目标的隧道流量中排除。 排除路
由在 AnyConnect GUI 的 Route Details（路由详细信息）中显示为非安全路由。 如果将此功能
设置为用户可控制，则用户能够读取和更改 PPP 排除设置。

Automatic（自动）- 启用 PPP 排除。 AnyConnect 自动使用 PPP 服务器的 IP 地址。 指示
用户仅在自动检测无法获取 IP 地址时更改值。

Disabled（禁用）- 不应用 PPP 排除。

Override（覆盖）- 也启用 PPP 排除。 当自动检测无法获取 PPP 服务器的 IP 地址且您将

PPP 排除配置为用户可控制时，选择此选项。

   Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

AnyConnect 配置文件编辑器

AnyConnect 配置文件编辑器，首选项（第 2 部分）