Cisco Cisco AnyConnect Secure Mobility Client v3.x 管理员指南
重新协商和维护 AnyConnect 连接
您可以限制 ASA 对用户保持 AnyConnect VPN 连接的时间长度(即便没有活动)。 如果 VPN 会话
进入空闲状态,您可以终止连接或重新协商连接。
进入空闲状态,您可以终止连接或重新协商连接。
• Keepalive - ASA 定期发送保持连接消息。 这些消息会被 ASA 忽略,但对于维持客户端与 ASA
之间设备的连接很有用。
有关使用 ASDM 配置 Keepalive 的说明,请参阅使用 ASDM 的 Cisco ASA 5500 系列配置指南中
的。
的。
有关使用 CLI 配置 Keepalive 的说明,请参阅使用 CLI 的 Cisco ASA 5500 系列配置指南中的
• Dead Peer Detection - ASA 和 AnyConnect 客户端发送“R-U-There”消息。 这些消息的发送频
率低于 IPsec 的保持连接消息。
如果客户端未响应 ASA 的 DPD 消息,ASA 将再重试三次才将会话置于“等待恢复”模
式。 此模式可使用户漫游网络,或进入睡眠模式,然后恢复连接。 如果用户在默认空闲
超时之前没有重新连接,ASA 将终止隧道。 建议的网关 DPD 间隔是 300 秒。
式。 此模式可使用户漫游网络,或进入睡眠模式,然后恢复连接。 如果用户在默认空闲
超时之前没有重新连接,ASA 将终止隧道。 建议的网关 DPD 间隔是 300 秒。
如果 ASA 不响应客户端的 DPD 消息,客户端将再尝试三次才终止隧道。 建议的客户端
DPD 间隔是 30 秒。
DPD 间隔是 30 秒。
您可以同时启用 ASA(网关)和客户端来发送 DPD 消息,并配置超时间隔。 有关使用
ASDM 配置 DPD 的说明,请参阅Cisco ASA 系列 VPN ASDM 配置指南中的。 有关使用 CLI
配置 DPD 的说明,请参阅Cisco ASA 系列 VPN CLI 配置指南中的
ASDM 配置 DPD 的说明,请参阅Cisco ASA 系列 VPN ASDM 配置指南中的。 有关使用 CLI
配置 DPD 的说明,请参阅Cisco ASA 系列 VPN CLI 配置指南中的
。
• 最佳实践:
将客户端 DPD 设置为 30 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer
Detection)。
Detection)。
将服务器 DPD 设置为 300 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer
Detection)。
Detection)。
将 SSL 和 IPsec 的密钥重新生成均设置为 1 小时 (Group Policy > Advanced > AnyConnect
Client > Key Regeneration)。
Client > Key Regeneration)。
终止 AnyConnect 连接
终止 AnyConnect 连接要求用户在安全网关上对其终端设备重新进行身份验证,并创建新的 VPN 连
接。
接。
以下配置参数基于简单的超时终止 VPN 会话:
• Default Idle Timeout - 当会话处于非活动状态达到指定的时间时,终止任何用户会话。 默认值
为 30 分钟。
您只能使用 CLI 在 webvpn 配置模式下修改 default-idle-timeout。 默认值为 1800 秒。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
88
配置 VPN 接入
AnyConnect VPN 连接选项