Руководство Администратора для Cisco Cisco AnyConnect Secure Mobility Client v4.x

说明

参数

指定服务器地址。 要使用的主机名或 IP 地址。

HOST

当前忽略，包括它是为了与 HTTP URI 方案保持一致。

PORT

附加到服务器名称的隧道组名称。

GROUP=URL

示例：

ipsec://EAP-AnyConnect@asa-gateway.example.com
ipsec://asa-gateway.example.com

要仅连接到符合标准的思科 IOS 路由器，请使用以下资源：

ipsec://eap-md5:<identity>@ios-gateway.example.com

Connect on Demand 使用指南

Apple iOS Connect On Demand（按需连接）功能支持其他应用（例如 Safari）发起 VPN 连接。 Apple

iOS 根据为设备的活动连接条目配置的规则评估应用所请求的域。 仅在符合以下所有条件时，Apple

iOS 才代表应用建立 VPN 连接：

• VPN 连接尚未建立。

• 与 Apple iOS Connect on Demand 框架兼容的应用请求一个域。

• 连接条目被配置为使用有效证书。

• 已在连接条目中启用 Connect On Demand（按需连接）。

• Apple iOS 将 Never Connect（永不连接）列表中的字符串与域请求匹配时失败。

• 出现以下两种情况之一：Apple iOS 将 Always Connect（始终连接）列表中的字符串与域请求匹

配（仅限在 Apple iOS 6 上），或者 DNS 查找失败，则 Apple iOS 将 Connect if Needed（需要
时连接）列表中的字符串与域请求匹配。

使用 Connect on Demand（按需连接）功能时，牢记以下几点：

• 在通过 iOS 的 Connect on Demand（按需连接）发起 VPN 连接后，如果隧道在特定时间间隔内

不活动（没有流量通过隧道），则 iOS 断开隧道。 请参阅苹果公司的 VPN On Demand 文档了
解详细信息。

• 如果您配置规则，我们建议使用 Connect if Needed（需要时连接）选项。 如果内部主机上的

DNS 查找失败，Connect if Needed（需要时连接）规则将发起 VPN 连接。 它需要正确的 DNS
配置，以便企业中的主机名仅使用内部 DNS 服务器进行解析。

• 对于配置了 Connect on Demand（按需连接）的移动设备，基于证书的身份验证隧道组应该有一

个短暂的（60 秒）空闲超时 (vpn-idle-timeout)。 如果 VPN 会话对于应用并不重要且不需要始
终连接，请设置短暂的空闲超时。 苹果设备在不再需要 VPN 连接时（例如，设备进入休眠模
式）会将其关闭。 隧道组的默认空闲超时为 60 分钟。

• 始终连接的行为与版本有关：

Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

移动设备上的 AnyConnect

仅适用于 Apple iOS 的考虑事项