Cisco Cisco AnyConnect Secure Mobility Client v3.x 管理员指南
步骤 4 选择一个 Untrusted Network Policy(不受信任的网络策略)。
这是用户在公司网络之外时客户端执行的操作。 选项有:
• Connect(连接)- 客户端在检测到不受信任网络后启动 VPN 连接。
• Do Nothing(不执行任何操作)- 客户端在检测到不受信任网络后不执行任何操作。 此选项禁
用永远在线 VPN。 将受信任网络策略和不受信任网络策略设置为 Do Nothing(不执行操作)
会禁用值得信赖的网络检测。
会禁用值得信赖的网络检测。
步骤 5 指定 Trusted DNS Domains(信任的 DNS 域)。
指定客户端在信任网络中时网络接口可能具有的 DNS 后缀(逗号分隔的字符串)。 如果您将多个
DNS 后缀添加到 split-dns 列表并在 ASA 上指定一个默认域,则可以分配多个 DNS 后缀。
DNS 后缀添加到 split-dns 列表并在 ASA 上指定一个默认域,则可以分配多个 DNS 后缀。
AnyConnect 客户端按以下顺序构建 DNS 后缀列表:
• 头端传输的域。
• 头端传输的拆分 DNS 后缀列表。
• 公共接口的 DNS 后缀(如果已配置)。 否则,是主后缀和连接特定后缀,以及主 DNS 后缀的
父后缀(如果在 Advanced TCP/IP Settings(高级 TCP/IP 设置)中选中了相应的复选框)。
将此值用于 TrustedDNSDomains:
匹配此 DNS 后缀:
*example.com
example.com(仅限)
*.example.com OR example.com,
anyconnect.example.com
anyconnect.example.com
example.com AND anyconnect.cisco.com
*.example.com OR asa.example.com,
anyconnect.example.com
anyconnect.example.com
asa.example.com AND example.cisco.com
DNS 后缀支持通配符 (*)。
步骤 6 指定 Trusted DNS Servers(受信任的 DNS 服务器)。
客户端在受信任网络中时网络接口可能具有的所有 DNS 服务器地址(逗号分隔的字符串)。 例如:
203.0.113.1,2001:DB8::1。 DNS 服务器地址不支持通配符 (*)。
203.0.113.1,2001:DB8::1。 DNS 服务器地址不支持通配符 (*)。
您可以配置 TrustedDNSDomains 和/或 TrustedDNSServers。 如果配置 TrustedDNSServers,
请务必输入所有 DNS 服务器,这样您的站点会成为受信任网络的一部分。
请务必输入所有 DNS 服务器,这样您的站点会成为受信任网络的一部分。
如果某个活动接口匹配 VPN 配置文件中的所有规则,则将其视为在受信任网络中。
注释
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
98
配置 VPN 接入
使用值得信赖的网络检测来连接和断开连接