Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA: Пример конфигурации функции автоматического обновления VPN Client IPsec

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить функцию Автоматического обновления Cisco VPN Client в многофункциональном устройстве защиты Cisco ASA серии 5500 и устройствах защиты Cisco PIX серии 500.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Многофункциональное устройство защиты Cisco ASA серии 5500 выполняет Версию 7.x и позже

  • Устройства защиты Cisco PIX серии 500 выполняют Версию 7.x и позже

  • Cisco Adaptive Security Device Manager (ASDM) версия 5.x и позже

  • Cisco VPN Client 4.x и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Как настроить обновление клиента для Windows с CLI

Функция обновления клиента позволяет администраторам в центральном месте расположения автоматически уведомлять Пользователей VPN-клиента, когда пора обновить ПО Cisco VPN Client и образ аппаратного клиента VPN 3002.

Выполните команду client-update в режиме конфигурации tunnel-group ipsec-attributes для настройки обновления клиента. Если клиент уже выполняет версию программного обеспечения в списке номеров версии, он не должен обновлять свое программное обеспечение. Если клиент не выполняет версию программного обеспечения в списке, это должно обновить. Можно задать до четырех записей обновления клиента.

Синтаксис командного языка следует:

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]
  • цифры версии цифр версии — Задают программное обеспечение или образы микропрограммного обеспечения для этого клиента. Введите до четырех, разделенных запятыми.

  • введите — Задает операционные системы для уведомления относительно обновления клиента. Список операционных систем включает их:

    • Microsoft Windows: все платформы на базе Windows

    • WIN9X: Windows 95/98, Windows 98 и платформы Windows Me

    • WinNT: Windows NT 4.0, Windows 2000 и платформы Windows XP

    • vpn3002: Клиентская часть аппаратного оборудования VPN 3002

  • url-string URL — Задает URL для программного обеспечения/образа микропрограммного обеспечения. Этот URL должен указать к файлу, соответствующему клиенту.

Данный пример настраивает параметры обновления клиента для туннельной группы удаленного доступа, названной remotegrp. Это определяет номер версии 4.6.1 и URL для извлечения обновления, которое является https://support/updates.

ASA
hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

Как настроить обновление клиента для Windows с ASDM

В данном документе предполагается, что вся базовая настройка, например, настройка интерфейса, уже выполнена и работает правильно.

Сведения о том, как разрешить настройку ASA с помощью ASDM см. в документе Включение HTTPS-доступа для ASDM

ASDM охватывает два вида обновления клиента: тот, который поддерживает Windows - клиентов и аппаратные клиенты VPN 3002 через туннельную группу и другой, который поддерживает устройства ASA, действующие как сервер автоматического обновления.

Удаленные пользователи могут использовать устаревшее программное обеспечение VPN или версии аппаратного клиента. Можно выполнить обновление клиента в любое время, чтобы сделать эти функции:

  • Позвольте обновить клиентские пересмотры.

  • Задайте типы и номера версии клиентов, к которым применяется обновление.

  • Предоставьте URL или IP-адрес, от которого можно получить обновление.

  • Дополнительно уведомьте пользователей Windows - клиента, что они должны обновить свою версию клиента VPN.

  • Для Windows - клиентов можно предоставить механизм для пользователей для выполнения обновления.

  • Для пользователей аппаратного клиента VPN 3002 обновление происходит автоматически без уведомления.

Выполните эти шаги для настройки обновления клиента:

  1. Выберите Configuration> VPN> General> Client Update, чтобы перейти к окну обновления клиента. Окно Client Update открывается.

    1. Проверьте флажок Enable Client Update для включения обновления клиента.

    2. Выберите тип клиента, к которому вы хотите применить обновление клиента. Доступные типы клиентской части Все на базе Windows, Windows 95/98, 98 или ME, Windows NT 4.0, 2000 или XP и аппаратный клиент VPN 3002.

      Если клиент уже выполняет версию программного обеспечения в списке номеров версии, он не должен обновлять свое программное обеспечение. Если клиент не выполняет версию программного обеспечения в списке, это должно обновить. Можно задать три из этих записей обновления клиента. Весь выбор Windows Based покрывает все допустимые Платформы Windows. При выборе этого не задавайте отдельные типы Windows - клиента.

    3. Нажмите Edit для определения приемлемых клиентских пересмотров и источника для обновленного программного обеспечения или образа микропрограммного обеспечения для обновления клиента.

      /image/gif/paws/105606/vpn-client-auto-update01.gif

  2. Окно записи Обновления клиента Редактирования появляется и показывает выбор типа клиентской части.

    /image/gif/paws/105606/vpn-client-auto-update02.gif

  3. Задайте обновление клиента, что вы хотите примениться ко всем клиентам выбранного типа по всему устройству безопасности. Т.е. задайте тип клиента, URL или IP-адреса, от которого можно получить обновленное изображение, и приемлемый номер версии или количество для того клиента. Можно задать до четырех номеров версии, разделенных запятыми. Записи появляются в соответствующих столбцах таблица на окне Client Upgrade после нажатия OK.

    Если клиентский номер версии совпадает с одним из указанных номеров версии, не требуется для обновления клиента.

    Примечание: Для всех Windows - клиентов необходимо использовать протокол http://или https://как префикс для URL. Для аппаратного клиента VPN 3002 необходимо задать протокол tftp://вместо этого.

    Это инициирует обновление клиента для всех Windows - клиентов для туннельной группы удаленного доступа рабочие пересмотры, более старые, чем 4.6.1, и задает URL для извлечения обновления как https://support/updates:

    /image/gif/paws/105606/vpn-client-auto-update03.gif

    Также можно настроить обновление клиента только для отдельных типов клиентской части, а не для всех Windows - клиентов, которых вы видите если шаг 1-c.

    Клиенты VPN 3002 обновляют без вмешательства пользователя, и пользователи не получают сообщения с уведомлением.

    У вас может быть браузер, автоматически запускают приложение, если вы включаете имя приложения в конце URL; например: : https://support/updates/vpnclient.exe.

  4. Дополнительно, можно передать предупреждение активным пользователям с устаревшими Windows - клиентами, которые должны обновить их клиент. Используйте область Live Client Update окна Client Update для передачи этого предупреждения. Выберите туннельную группу (или Все) и нажмите Update Now. Диалоговое окно появляется на рисунке и просит, чтобы вы подтвердили, что хотите уведомить подключенных клиентов об обновлении.

    /image/gif/paws/105606/vpn-client-auto-update04.gif

    Назначенные пользователи видят всплывающее окно, которое предлагает им возможность запустить браузер и загрузить обновленное программное обеспечение от сайта, который вы задали в URL. Единственная часть этого сообщения, что можно настроить, является URL. (См. шаги 1-b или 1-c.) Пользователи, которые не активны, получают сообщение с уведомлением в следующий раз, когда они входят в систему. Можно передать это предупреждение всем активным клиентам на всех туннельных группах, или можно передать его клиентам на группе конкретного туннеля.

    Если клиентский номер версии совпадает с одним из указанных номеров версии, не требуется для обновления клиента, и никакое сообщение с уведомлением не передается пользователю. Клиенты VPN 3002 обновляют без вмешательства пользователя, и пользователи не получают сообщения с уведомлением.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 105606