Cisco Cisco AnyConnect Secure Mobility Client v4.x 관리자 가이드
重新协商和维护 AnyConnect 连接
您可以限制 ASA 对用户保持 AnyConnect VPN 连接的时间长度(即便没有活动)。 如果 VPN 会话
变为空闲,您可以终止连接或重新协商连接。
变为空闲,您可以终止连接或重新协商连接。
• Keepalive(保持连接)- ASA 定期发送保持连接消息。 这些消息会被 ASA 忽略,但是对于保
持客户端与 ASA 之间设备的连接非常有用。
有关使用 ASDM 配置保持连接的说明,请参阅使用 ASDM 的思科 ASA 5500 系列配置指南。
有关使用 CLI 配置保持连接的说明,请参使用 CLI 的思科 ASA 5500 系列配置指南中的
• Dead Peer Detection(失效对等项检测)- ASA 和 AnyConnect 客户端发送“R-U-There”消息。
这些消息的发送频率低于 IPsec 的保持连接消息。
如果客户端未响应 ASA 的 DPD 消息,ASA 将再重试三次才将会话置于“等待继续”模
式。 此模式允许用户在网络中漫游或进入休眠模式,以后再恢复连接。 如果用户在默认
空闲超时之前没有重新连接,ASA 将终止隧道。 建议的网关 DPD 间隔是 300 秒。
式。 此模式允许用户在网络中漫游或进入休眠模式,以后再恢复连接。 如果用户在默认
空闲超时之前没有重新连接,ASA 将终止隧道。 建议的网关 DPD 间隔是 300 秒。
如果 ASA 不响应客户端的 DPD 消息,客户端将再尝试三次才终止隧道。 建议的客户端
DPD 间隔是 30 秒。
DPD 间隔是 30 秒。
您可以同时启用 ASA(网关)和客户端来发送 DPD 消息,并配置超时间隔。 有关使用
ASDM 配置 DPD 的说明,请参阅思科 ASA 系列 VPN ASDM 配置指南。 有关使用 CLI 配
置 DPD 的说明,请参阅思科 ASA 系列 VPN CLI 配置指南中的
ASDM 配置 DPD 的说明,请参阅思科 ASA 系列 VPN ASDM 配置指南。 有关使用 CLI 配
置 DPD 的说明,请参阅思科 ASA 系列 VPN CLI 配置指南中的
• 最佳实践:
设置 Client DPD(客户端 DPD)为 30 秒(Group Policy(组策略)> Advanced(高级)>
AnyConnect Client(AnyConnect 客户端)> Dead Peer Detection(失效对等项检测))。
AnyConnect Client(AnyConnect 客户端)> Dead Peer Detection(失效对等项检测))。
设置 Server DPD(服务器 DPD)为 300 秒(Group Policy(组策略)> Advanced(高级)
> AnyConnect Client(AnyConnect 客户端)> Dead Peer Detection(失效对等项检测))。
> AnyConnect Client(AnyConnect 客户端)> Dead Peer Detection(失效对等项检测))。
设置 Rekey(重新生成密钥),对于 SSL 和 IPsec,均为 1 小时(Group Policy(组策略)
> Advanced(高级)> AnyConnect Client(AnyConnect 客户端)> Key Regeneration(密钥
重新生成))。
> Advanced(高级)> AnyConnect Client(AnyConnect 客户端)> Key Regeneration(密钥
重新生成))。
终止 AnyConnect 连接
终止 AnyConnect 连接要求用户重新向安全网关进行终端身份验证并创建新的 VPN 连接。
以下配置参数基于简单超时终止 VPN 会话:
• Default Idle Timeout(默认空闲超时)- 当会话处于非活动状态达到指定的时间时,终止任何用
户会话。 默认值为 30 分钟。
只能使用 CLI 在 webvpn 配置模式中修改默认空闲超时。 默认值为 1800 秒。
• VPN Idle Timeout(默认空闲超时)- 当会话处于非活动状态达到指定的时间时,终止任何用户
会话。 (仅限 SSL-VPN)如果未配置 vpn-idle-timeout,则使用 default-idle-timeout。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
90
配置 VPN 接入
AnyConnect VPN 连接选项