Cisco Cisco AnyConnect Secure Mobility Client v4.x Guia Do Administrador
• 出现以下两种情况之一:Apple iOS 将 Always Connect 列表中的字符串与域请求匹配(仅限在
Apple iOS 6 上),或者 DNS 查找失败,则 Apple iOS 将 Connect if Needed 列表中的字符串与
域请求匹配。
域请求匹配。
使用 Connect On Demand 功能时,请牢记以下注意事项:
• 在通过 iOS 的按需连接发起 VPN 连接后,如果隧道在特定时间间隔内不活动(没有流量通过
隧道),则 iOS 断开隧道连接。 请参阅苹果公司的 VPN On Demand 文档了解详细信息。
• 如果您配置规则,我们建议使用 Connect if Needed 选项。 如果内部主机上的 DNS 查找失败,
Connect if Needed 规则将发起 VPN 连接。 它需要正确的 DNS 配置,以便企业中的主机名仅使
用内部 DNS 服务器进行解析。
用内部 DNS 服务器进行解析。
• 对于配置了 Connect On Demand 的移动设备,基于证书的身份验证隧道组应该有一个短暂的(60
秒)空闲超时时间 (vpn-idle-timeout)。 如果 VPN 会话对于应用并不重要且不需要始终连接,则
设置短暂的空闲超时时间。 苹果设备在不再需要 VPN 连接时(例如,设备进入休眠模式)会
将其关闭。 隧道组的默认空闲超时时间为 60 分钟。
设置短暂的空闲超时时间。 苹果设备在不再需要 VPN 连接时(例如,设备进入休眠模式)会
将其关闭。 隧道组的默认空闲超时时间为 60 分钟。
• 始终连接的行为与版本有关:
在 Apple iOS 6 中,iOS 始终在此列表中的规则匹配时尝试发起 VPN 连接。
iOS 7.x 上不支持 Always Connect,当此列表中的规则匹配时,其行为与 Connect If Needed
规则相同。
规则相同。
更高版本中不使用 Always Connect,配置的规则将跳转到 Connect if Needed 列表,并按照
该规则操作。
该规则操作。
• 苹果公司已经向 Connect On Demand 功能引入了值得信赖的网络检测 (TND) 增强功能。 此增强
功能:
通过确定用户是否在受信任网络中扩展了 Connect On Demand 功能。
仅适用于 Wi-Fi 连接。 使用其他类型的网络连接时,Connect On Demand 不使用 TND 来
确定是否应连接 VPN。
确定是否应连接 VPN。
不是单独的功能,无法在 Connect On Demand 功能之外配置或使用。
请联系苹果公司,了解有关 iOS 6 中 Connect On Demand 值得信赖的网络检测的详细信息。
• 集成的 Apple iOS IPsec 客户端和 AnyConnect 使用相同的 Apple iOS VPN on Demand 框架。
利用拆分隧道拆分 DNS 解析行为
ASA 拆分隧道功能允许您指定哪种流量通过 VPN 隧道,哪种流量畅通无阻。 一个称为拆分 DNS 的
相关功能允许您指定哪种 DNS 流量适合通过 VPN 隧道进行 DNS 解析,哪种 DNS 流量由终端 DNS
解析器处理(畅通无阻)。 拆分 DNS 在 Apple iOS 设备上与在其他设备(如果也配置了拆分隧道)
上的工作方式不同。 Apple iOS 版本的 AnyConnect 对此命令的响应如下:
相关功能允许您指定哪种 DNS 流量适合通过 VPN 隧道进行 DNS 解析,哪种 DNS 流量由终端 DNS
解析器处理(畅通无阻)。 拆分 DNS 在 Apple iOS 设备上与在其他设备(如果也配置了拆分隧道)
上的工作方式不同。 Apple iOS 版本的 AnyConnect 对此命令的响应如下:
• 仅加密 split-dns 列表中所列域的 DNS 查询。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
214
移动设备上的 AnyConnect
Apple iOS 的特别注意事项