Часто задаваемые вопросы по AnyConnect: Туннели, поведение при повторном подключении, таймер неактивности

Введение

В этом документе приведена подробная важная информация о туннелях Cisco AnyConnect Secure Mobility Client (AnyConnect), поведении при повторном подключении, функции обнаружении неактивных одноранговых узлов (DPD) и таймере неактивности.

Общие сведения

Типы туннелей

Для подключения сеанса AnyConnect доступно два метода:

• Через портал (без клиента)
• С помощью автономного приложения

В зависимости от метода подключения на ASA создается три различных туннеля (сеанса), каждый из которых выполняет конкретную функцию:

1. Туннель без клиента (родительский туннель): Это основной сеанс, создаваемый в процессе согласования для настройки маркера сеанса, который требуется в том случае, если из-за проблем с подключением к сети или гибернации необходимо повторное подключение. В зависимости от метода подключения Cisco Adaptive Security Appliance (ASA) помечает сеанс как сеанс без клиента (запуск в Интернете через портал) или родительский (автономное приложение AnyConnect).
   
   

   Примечание. Родительский сеанс AnyConnect представляет собой сеанс, в котором для клиента отсутствует активное подключение. По сути используется аналогичный cookie-файлам принцип. То есть, это запись в базе данных на ASA, которая сопоставляется с подключением с конкретного клиента. Если клиент завершает работу или переходит в режим сна, туннели (протоколы IPsec/Internet Key Exchange (IKE)/TLS/DTLS) отключаются, однако родительский туннель остается активным до тех пор, пока не сработает таймер неактивности или не будет достигнуто максимальное число попыток подключения. Таким образом пользователь сможет переподключиться без повторной проверки подлинности.

   
   
   
2. SSL-туннель: Сначала устанавливается SSL-соединение, и данные передаются посредством этого соединения в то время, как выполняется попытка установить DTLS-соединение. Как только DTLS-соединение будет установлено, клиент будет отправлять пакеты через DTLS-соединение вместо SSL. Управляющие пакеты, с другой стороны, всегда доставляются через соединение SSL.
   
   
3. DTLS-туннель: Когда DTLS-туннель полностью установлен, все данные будут перемещены в DTLS-туннель, а SSL-туннель будет использоваться только для случайного трафика канала управления. Если в протоколе UDP возникают проблемы, DTLS-туннель будет отключен, а все данные снова перенаправлены через SSL-туннель.

Пример вывода из ASA

Вот пример выходных данных для этих двух способов подключения.

Подключение с помощью AnyConnect посредством запуска в Интернете:

ASA5520-C(config)# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : walter                 Index        : 1435
Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : Clientless: (1)RC4  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : Clientless: (1)SHA1  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 335765                 Bytes Rx     : 31508
Pkts Tx      : 214                    Pkts Rx      : 18
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : My-Network             Tunnel Group : My-Network
Login Time   : 22:13:37 UTC Fri Nov 30 2012
Duration     : 0h:00m:34s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Clientless Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Clientless:
  Tunnel ID    : 1435.1
  Public IP    : 172.16.250.17
  Encryption   : RC4                    Hashing      : SHA1
  Encapsulation: TLSv1.0                TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : Web Browser
  Client Ver   : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
  Bytes Tx     : 329671                 Bytes Rx     : 31508

SSL-Tunnel:
  Tunnel ID    : 1435.2
  Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
  Encryption   : RC4                    Hashing      : SHA1
  Encapsulation: TLSv1.0                TCP Src Port : 1241
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.01065
  Bytes Tx     : 6094                   Bytes Rx     : 0
  Pkts Tx      : 4                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

DTLS-Tunnel:
  Tunnel ID    : 1435.3
  Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
  Encryption   : AES128                 Hashing      : SHA1
  Encapsulation: DTLSv1.0               Compression  : LZS
  UDP Src Port : 1250                   UDP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : DTLS VPN Client
  Client Ver   : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
  Bytes Tx     : 0                      Bytes Rx     : 0
  Pkts Tx      : 0                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

Подключение с помощью AnyConnect посредством автономного приложения:

ASA5520-C(config)# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : walter                 Index        : 1436
Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 12244                  Bytes Rx     : 777
Pkts Tx      : 8                      Pkts Rx      : 1
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : My-Network             Tunnel Group : My-Network
Login Time   : 22:15:24 UTC Fri Nov 30 2012
Duration     : 0h:00m:11s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 1436.1
  Public IP    : 172.16.250.17
  Encryption   : none                   Hashing      : none
  TCP Src Port : 1269                   TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : AnyConnect
  Client Ver   : 3.1.01065
  Bytes Tx     : 6122                   Bytes Rx     : 777
  Pkts Tx      : 4                      Pkts Rx      : 1
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 1436.2
  Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
  Encryption   : RC4                    Hashing      : SHA1
  Encapsulation: TLSv1.0                TCP Src Port : 1272
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.01065
  Bytes Tx     : 6122                   Bytes Rx     : 0
  Pkts Tx      : 4                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

DTLS-Tunnel:
  Tunnel ID    : 1436.3
  Assigned IP  : 192.168.1.4                Public IP    : 172.16.250.17
  Encryption   : AES128                 Hashing      : SHA1
  Encapsulation: DTLSv1.0               Compression  : LZS
  UDP Src Port : 1280                   UDP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 2 Minutes              Idle TO Left : 1 Minutes
  Client Type  : DTLS VPN Client
  Client Ver   : 3.1.01065
  Bytes Tx     : 0                      Bytes Rx     : 0
  Pkts Tx      : 0                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0  

DPD и таймеры неактивности

Когда сеанс считается неактивным?

Сеанс считается неактивным (и значение таймера начинает увеличиваться) только в том случае, если SSL-туннель больше не существует в сеансе. Таким образом каждый сеанс имеет метку времени, указывающую время закрытия SSL-туннеля.

ASA5520-C# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : walter                 Index        : 1336
Public IP    : 172.16.250.17
Protocol     : AnyConnect-Parent    <- Here just the AnyConnect-Parent is active
but not SSL-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none
Hashing      : AnyConnect-Parent: (1)none
Bytes Tx     : 12917                  Bytes Rx     : 1187
Pkts Tx      : 14                     Pkts Rx      : 7
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : My-Network             Tunnel Group : My-Network
Login Time   : 17:42:56 UTC Sat Nov 17 2012
Duration     : 0h:09m:14s
Inactivity   : 0h:01m:06s           <- So the session is considered Inactive
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Когда ASA закрывает туннель SSL?

Доступно два способа отключения SSL-туннеля:

1. DPD — DPD используются клиентом для обнаружения сбоя связи между клиентом AnyConnect и головным узлом ASA. DPD также используются для удаления ресурсов с ASA. Это гарантирует, что головной узел не сохраняет соединения в базе данных, если конечная точка не реагирует на запросы проверки связи от DPD. Если ASA отправляет DPD на конечную точку и конечная точка отвечает, действие не выполняется. Если конечная точка не реагирует на запрос, ASA закрывает туннель в базе данных сеанса и переводит сеанс в режим "Ожидает возобновления". То То Это означает, что на головном узле запущено DPD, и головной узел больше не обменивается данными с клиентом. В таких ситуациях ASA поддерживает работу родительского туннеля, чтобы пользователи могли перемещаться по сети, переходить в режим сна и восстанавливать сеанс. Эти сеансы негативно сказываются на активных подключенных сеансах и удаляются в следующих случаях:
   
   • User Idle Timeout
   • Клиент возобновляет исходный сеанс и правильно выполняет выход из системы
   
   Чтобы настроить DPD, используйте команду anyconnect dpd-interval с атрибутами WebVPN в настройках групповой политики. По умолчанию DPD включен, для него задано значение "30 секунд", как для ASA (шлюз), так и для клиента.
   
   

   Внимание.  : Ознакомьтесь с информацией об идентификаторе ошибки Cisco CSCts66926 — DPD не удается закрыть DTLS-туннель после разрыва соединения с клиентом.

   
   
   
2. Тайм-аут по неактивности- Еще одна ситуация, когда SSL-туннель отключается — по истечении тайм-аута по неактивности для этого туннеля. Однако следует помнить, что тайм-аут по неактивности должен истечь не только для SSL-туннеля, но и для DTLS-туннеля. Если для DTLS-туннеля тайм-аут не истек, SSL-туннель сохраняется в базе данных.

Почему необходимо активировать проверку активности, если уже включены ВЗВ?

Как объяснялось ранее, DPD не уничтожает сеанс AnyConnect как таковой. Он просто уничтожает туннель (в этом сеансе) таким образом, чтобы клиент мог установить туннель повторно. Если клиент не может повторно установить туннель, сеанс сохраняется до тех пор, пока таймер неактивности не истечет на ASA. Поскольку DPD включены по умолчанию, возможен частый разрыв соединения у заказчиков из-за потоков, которые закрываются в одном направлении с NAT, межсетевыми экранами и прокси-серверами. Это можно предотвратить, если задать низкое значение интервала между проверками активности (например, 20 с).

 Проверки активности включаются в разделе атрибутов WebVPN конкретной групповой политики с помощью команды anyconnect ssl keepalive. По умолчанию значения таймеров установлены равными 20 секунд.

Поведение клиента AnyConnect при повторных подключениях

AnyConnect попытается восстановить разорванное соединение. Настройка невозможна, определяется автоматически. Пока на ASA действует сеанс VPN и AnyConnect может повторно установить физическое соединение, сеанс VPN возобновляется.

Функция повторного подключения действует вплоть до истечения тайм-аута сеанса или тайм-аута отключения, который обычно равен тайм-ауту по неактивности (или 30 минутам, если тайм-аут не задан). По истечении тайм-аута не следует продолжать работу, так как ASA закроет сеанс VPN. Клиент будет продолжать работу, пока он считает, что сеанс VPN в ASA все еще существует.

AnyConnect выполнит повторное подключение независимо от изменений сетевого интерфейса. Изменение IP-адреса сетевой интерфейсной платы (NIC) или переключение соединения с одной сетевой платы на другую (с беспроводной сети на проводную или наоборот) не имеет значения.

Если вы рассматриваете возможность повторно подключить процесс для AnyConnect, следует помнить о трех уровнях сеансов. Кроме того, поведение каждого из этих сеансов при повторном подключении слабо связано, то есть, каждый из них можно установить повторно независимо от элементов сеанса на предыдущем уровне:

1. Повторное подключение TCP или UDP [OSI уровня 3]
2. TLS, DTLS или IPSec(IKE+ESP) [OSI уровня 4] — восстановление TLS не поддерживается.
3. VPN [OSI уровня 7] — маркер сеанса VPN используется как маркер проверки подлинности для повторного установления сеанса VPN по защищенному каналу в случае сбоя. Это запатентованная схема, которая по сути очень похожа на использование маркера Kerberos или сертификата клиента для проверки подлинности. Такой маркер является уникальным и генерируется криптографически головным узлом, который содержит идентификатор сеанса, а также криптографически сгенерированную произвольную информацию. Она передается клиенту в рамках первоначального установления VPN после организации защищенного канала до головного узла. Он действует в течение срока действия сеанса на головном узле и сохраняется в память клиента (это привилегированный процесс).
   

   Совет: В этом выпуске и более поздних выпусках ASA предусмотрен более надежный криптографический маркер сеанса: 9.1(3) и 8.4(7.1)

Фактический процесс

Таймер отключения запускается в момент возникновения сбоя в сетевом соединении. Клиент AnyConnect будет продолжать попытки повторного подключения до тех пор, пока не истечет этот таймер. Для таймера отключения задано самое низкое значение групповой политики тайм-аута по неактивности или максимального времени подключения.

Значение этого таймера отображается в окне просмотра событий сеанса AnyConnect в процессе согласования:

В этом примере сеанс должен отключиться через две минуты (120 с). Это можно проверить в журнале сообщений AnyConnect:

Совет: Чтобы клиент, который пытается подключиться повторно, получал отклик от ASA, сеанс родительского туннеля должен остаться в базе данных AnyConnect. В случае переключения при отказе также необходимо включить DPD для активации поведения при повторном подключении.

Как следует из предыдущих сообщений, при повторном подключении произошел сбой. Однако, если повторное подключение выполнено успешно, происходит следующее:

1. Родительский туннель остается без изменений; повторное согласование туннеля не выполняется, поскольку этот туннель обслуживает маркер сеанса, требуемый для повторного подключения сеанса.
2. Создаются новые SSL- и DTLS-сеансы, и для повторного подключения используются другие исходные порты.
3. Восстанавливаются все значения тайм-аута по неактивности.
4. Тайм-аут по неактивности восстановлен.

Внимание.  : Ознакомьтесь с информацией об идентификаторе ошибки Cisco CSCtg33110. При повторном подключении AnyConnect база данных сеанса VPN не обновляет общедоступный IP-адрес в базе данных сеанса ASA.

При сбое повторного подключения отображается следующее сообщение об ошибке:

Примечание. Этот запрос на расширение отправлен в целях повышения детализации: Идентификатор ошибки Cisco CSCsl52873 — в ASA отсутствует настраиваемый тайм-аут разъединения для AnyConnect.

Поведение клиента AnyConnect при приостановке работы системы

Доступна функция перемещения, которая позволяет AnyConnect подключаться повторно после выхода компьютера из режима сна. Клиент продолжает попытки до тех пор, пока не истечет тайм-аут сеанса или тайм-аут по неактивности. Клиент также не отключает туннель сразу после перехода системы в режим гибернации или в режим ожидания. Для клиентов, которым не требуется эта функция, рекомендуется задать более низкое значение тайм-аута сеанса, чтобы предотвратить повторное подключение при выходе из режима сна/возобновлении работы.

Примечание. После исправления ошибки с идентификатором Cisco CSCso17627 (версия 2.3(111)+) добавлена ручка управления, которая позволяет отключить функцию повторного подключения при возобновлении работы. 

Поведением AnyConnect при автоматическом повторном подключении можно управлять с помощью XML-профиля AnyConnect, используя следующую настройку:

       <AutoReconnect UserControllable="true">true
         <AutoReconnectBehavior>ReconnectAfterResume</AutoReconnectBehavior>
       </AutoReconnect>

После внесения этого изменения AnyConnect попытается выполнить повторное подключение при выходе компьютера из режима сна. Для параметра AutoReconnectBehavior по умолчанию задано значение DisconnectOnSuspend. Это поведение отличается от поведения AnyConnect вып. 2.2. Для повторного подключения после возобновления работы сетевой администратор должен настроить параметр ReconnectAfterResume в профиле или предоставить пользователям права для настройки параметра AutoReconnectBehavior в профиле.

Вопросы и ответы

В1. Для DPD Anyconnect предусматривается интервал, но не предполагаются повторные попытки. Сколько пакетов должно быть пропущено, прежде чем приемный конец линии будет помечен как неактивный?

O. Должно быть пропущено три повторных попытки/четыре пакета.

В2. Отличается ли обработка DPD от AnyConnect с IKEv2?

О. Да, IKEv2 предусматривает фиксированное количество повторных попыток — шесть повторных попыток/семь пакетов.

В3. Выполняет ли родительский туннель AnyConnect другие задачи?

A. Помимо того, что родительский туннель выполняет функцию сопоставления в ASA, он также используется для передачи обновлений образа AnyConnect из ASA на клиент, поскольку для клиента нет активного соединения в процессе обновления. 

В4. Можно ли отфильтровать и закрыть только неактивные сеансы?

О. Можно отфильтровать неактивные сеансы с помощью команды show vpn-sessiondb anyconnect filter inactive. Однако нет такой команды, которая позволяет выйти только из неактивных сеансов. Вместо этого необходимо выйти из конкретных сеансов или из всех сеансов конкретного пользователя (индекс — имя), протокола или группы туннелей. Запрос на расширение (идентификатор ошибки Cisco CSCuh55707) отправлен в целях добавления опции для выхода только из неактивных сеансов.

В5. Что происходит с родительским туннелем, когда истекает тайм-аут по неактивности для туннелей DTLS и TLS?

О. Таймер "Оставшийся тайм-аут по неактивности" в родительском сеансе AnyConnect будет сброшен после отключения SSL- или DTLS-туннеля. Это позволяет использовать "тайм-аут по неактивности" как тайм-аут "разъединения". Таким образом данный тайм-аут становится периодом разрешенного повторного подключения клиента. Если клиент не выполнит повторное подключение в этот срок, родительский туннель будет закрыт.

В6. Какой смысл поддерживать сеанс после отключения сеанса таймерами DPD и почему ASA не высвобождает IP-адрес?

О. Головной узел не знает о состоянии клиента. В этом случае ASA ожидает повторного подключения клиента вплоть до завершения сеанса по тайм-ауту неактивности. DPD не уничтожает сеанс AnyConnect; он просто уничтожает туннель (в этом сеансе) таким образом, чтобы клиент мог установить туннель повторно. Если клиент не установит туннель повторно, сеанс сохраняется вплоть до истечения таймера неактивно.

Если есть опасения относительно использования сеансов, задайте небольшое количество одновременных входов (например, один). Эта настройка позволяет пользователям, сеансы которых сохранены в базе данных, удалять свои предыдущие сеансы при повторном входе.

В7. Что происходит при отказе ASA и переходе из активного состояния в состояние ожидания?

О. Изначально при установлении сеанса три туннеля (родительский, SSL и DTLS) реплицируются на резервное устройство; после аварийного переключения ASA сеасны DTLS и TLS устанавливаются повторно, поскольку они не синхронизируются с резервным устройством, однако все потоки данных через эти туннели должны осуществляться бесперебойно после повторной установки сеанса AnyConnect.

Для SSL-/DTLS-сеансов состояние не отслеживается, поэтому состояние SSL и номер последовательности не сохраняются и это может обойтись довольно дорого. То есть, эти сеансы необходимо устанавливать повторно с нуля, и это осуществляется с помощью родительского сеанса и маркера сеанса.

Совет: В случае переключения при отказе клиентские SSL-сеансы VPN не передаются на резервное устройство, если проверки активности отключены.

В8. Почему существует два разных тайм-аута (тайм-аут по неактивности и тайм-аут по отключению), если оба этих параметра имеют одинаковое значение?

О. При разработке протоколов предусмотрено два различных вида тайм-аута: 

•  Тайм-аут по неактивности — тайм-аут по неактивности срабатывает, если данные не передаются посредством соединения.
•  Тайм-аут разъединения — тайм-аут разъединения используется, когда вы закрываете сеанс VPN, поскольку соединение разорвано и не подлежит восстановлению.

Отключенный тайм-аут никогда не использовался в ASA. Вместо этого ASA отправляет клиенту значение тайм-аута по неактивности как для тайм-аута по неактивности, так и для тайм-аута разъединения.

Клиент не использует тайм-аут по неактивности, так как его обрабатывает ASA. Значение таймаута разъединения, которое совпадает со значением тайм-аута по неактивности, позволяет клиенту узнать, когда следует прекратить попытки повторного подключения, так как ASA отключит сеанс. 

При отсутствии активного соединения с клиентом ASA завершит сеанс по тайм-ауту по неактивности. Основная причина того, что тайм-аут разъединения не используется в ASA — желание избежать добавления еще одного таймера для каждого сеанса VPN и связанного с этим увеличения накладных расходов в ASA (хотя в обоих экземплярах мог использоваться один таймер, но с разными значениями тайм-аута, поскольку эти два варианта исключают друг друга).

Единственное значение, добавленное для тайм-аута разъединения, позволяет администратору задавать разные значения тайм-аута в случае отсутствия активного соединения с клиентом и неактивности клиента. Как уже упоминалось ранее, эти сведения приведены в описании ошибки с идентификатором Cisco CSCsl52873. 

В9. Что происходит при приостановке работы клиентского компьютера?

О. По умолчанию AnyConnect пытается восстановить VPN-соединение при разрыве подключения. AnyConnect не пытается восстановить VPN-соединение после возобновления работы системы по умолчанию. Дополнительные сведения см. в разделе Поведение клиента AnyConnect при приостановке работы системы. 

В10. Выполняется ли переключение виртуального адаптера AnyConnect при повторном подключении и изменяется ли таблица маршрутизации в целом?

О. Повторное подключение на уровне туннеля также не выполняется. При этом заново устанавливается только сеанс SSL или DTLS. Попытки прекращаются примерно через 30 секунд. В случае отказа DTLS соединение попросту разрывается. При сбое SSL выполняется повторное подключение на уровне сеанса. При повторном подключении на уровне сеанса маршрутизация полностью изменяется. Если при повторном подключении не изменился назначенный адрес клиента или другие параметры конфигурации, влияющие на виртуальный адаптер, виртуальный адаптер не отключается. Хотя параметры конфигурации, полученные от ASA вряд ли изменятся, изменения в физическом интерфейсе, который используется для VPN-соединения (например, при откреплении и переходе из проводной сети на беспроводную) могут привести к изменению значения максимального блока передачи данных (MTU) для VPN-соединения. Значение MTU влияет на ВА, и любые изменения этого значения приводят к отключению и повторному включению виртуального адаптера.

В11. ? Переподключаться автоматически? обеспечить устойчивость сеансов связи? Если да, добавлены ли в клиент AnyConnect другие дополнительные функции?

О. AnyConnect не совершает никаких "чудес" в плане обеспечения устойчивости сеансов для приложений. Однако VPN-соединение восстанавливается автоматически почти сразу после возобновления работы сетевого подключения к защищенному шлюзу, при условии что тайм-аут по неактивности и тайм-аут сеанса, настроенные в ASA, еще не истекли. В отличие от клиента IPsec при автоматическом повторном подключении сохраняется тот же IP-адрес. Пока AnyConnect пытается выполнить повторное подключение, виртуальный адаптер AnyConnect остается включенным и сохраняет состояние "Подключено". Таким образом, IP-адрес клиента все время остается активным на клиентском компьютере, что обеспечивает его постоянство. Однако приложения на клиентском компьютере, вероятно, столкнутся с потерей подключения к серверам в сети предприятия, если восстановление VPN-соединения займет слишком много времени.

В12. Эта функция работает во всех версиях Microsoft Windows (Vista, 32-разрядные и 64-разрядные версии, XP). Доступна ли поддержка Macintosh? Доступна ли поддержка OS X 10.4?

О. Эта функция поддерживается в Mac и Linux. Ранее с Mac и Linux возникали проблемы, однако в последнее время работа функции усовершенствована, в частности в Mac. Для Linux еще требуется дополнительная поддержка (CSCsr16670, CSCsm69213), однако базовые функции доступны и в этих ОС. Что касается Linux, AnyConnect не распознает приостановку и возобновление работы (переход в режим сна и выход из него). В результате происходит следующее:

• Профиль/значение параметра AutoReconnectBehavior не поддерживается в Linux без поддержки приостановки/возобновления работы, таким образом, повторное подключение всегда выполняется после приостановки/возобновления работы.
  
• На компьютерах Microsoft Windows и Macintosh повторное подключение выполняется на уровне сеанса сразу после возобновления работы, что позволяет быстрее перейти на другой физический интерфейс. В Linux повторное подключение сначала выполняется на уровне туннеля (SSL и DTLS), поскольку AnyConnect не распознает приостановку/возобновление работы, и поэтому повторное подключение может занимать немного больше времени. Однако повторное подключение выполняется и в Linux.

В13. Существуют ли ограничения подключения для функции (проводная сеть, Wi-Fi, 3G и т. д.)? Поддерживается ли переключение между режимами (из Wi-Fi в 3G, из 3G в проводную сеть и т. д.)?

О. AnyConnect не привязан к конкретному физическому интерфейсу в течение срока действия VPN-соединения. Если связь с физическим интерфейсом, используемым для VPN-подключения, потеряна или число попыток повторного подключения к нему превышает порог сбоя, в этом случае AnyConnect больше не будет использовать этот интерфейс и попытается до истечения тайм-аута по неактивности или таймеров сеанса подключиться к защищенному шлюзу через любой доступный интерфейс. Обратите внимание, что изменения в физическом интерфейсе могут привести к изменению значения MTU для виртуального адаптера, что в свою очередь вызывает отключение и повторное подключение ВА, но при этом используется тот же IP-адрес клиента.

В случае сбоя в работе сети (сбой интерфейса, изменения в сетях, изменения в интерфейсах) AnyConnect попытается выполнить повторное подключение; при повторном подключении повторная проверка подлинности не требуется. Это правило действует также для коммутатора физических интерфейсов:

Пример:

1. wireless off, wired on: AC connection established
2. disconnect wired physically, turn wired on: AC re-established connection in 
30 seconds
3. connect wired, turn off wireless: AC re-established connection in 30 secs

В14. Как выполняется проверка подлинности при возобновлении работы?

О. При возобновлении работы маркер, который прошел проверку подлинности и сохраняется в течение срока действия сеанса, будет отправлен повторно, и сеанс после этого будет восстановлен. 

В15. При повторном подключении выполняется авторизация LDAP или только проверка подлинности?

О. Эта операция выполняется только при первом подключении. 

В16. Запускается ли процедура предварительного входа в систему и/или сканирования хоста при возобновлении работы?

О. Нет, эти процедуры выполняются только при первом подключении. Аналогичные возможности планируется реализовать в рамках будущей функции периодической оценки ситуации.

В17. Учитывая балансировку нагрузки VPN и возобновление подключения, будет ли выполнено повторное подключение клиента непосредственно к тому члену кластера, к которому он был подключен ранее?

О: Да, это верно, поскольку повторное разрешение имени хоста посредством DNS не выполняется для восстановления существующего сеанса. 

Дополнительные сведения

• Справка по DPD ASA: Идентификатор ошибки Cisco CSCsr63074 — DPD не отправляются, если одноранговый узел неактивен, а туннель активен на s2s с 7.2.4
• Cisco Systems – техническая поддержка и документация