AnyConnect VPN 连接选项
AnyConnect 客户端为自动连接、自动重新连接或自动断开 VPN 会话提供多种选项。这些选项方便用户连接您的 VPN,它们还支持您的网络安全要求。
启动和重新启动 AnyConnect 连接
配置 VPN 连接服务器为您的用户所要手动连接的安全网关提供名称和地址。
选择以下 AnyConnect 功能,以提供方便的自动 VPN 连接:
此外,还应考虑使用以下自动 VPN 策略选项实施增强的网络安全或将网络访问仅限于 VPN:
重新协商和维护 AnyConnect 连接
您可以限制 ASA 对用户保持 AnyConnect VPN 连接的时间长度(即便没有活动)。如果 VPN 会话进入空闲状态,您可以终止连接或重新协商连接。
-
Keepalive - ASA 定期发送保持连接消息。这些消息会被 ASA 忽略,但对于维持客户端与 ASA 之间设备的连接很有用。
有关通过 ASDM 或 CLI 配置保持连接的说明,请参阅思科 ASA 系列 VPN 配置指南中的启用保持连接部分。
-
Dead Peer Detection - ASA 和 AnyConnect 客户端发送“R-U-There”消息。这些消息的发送频率低于 IPsec 的保持连接消息。您可以同时启用 ASA(网关)和 AnyConnect 客户端来发送 DPD 消息,并配置超时间隔。
-
如果客户端未响应 ASA 的 DPD 消息,ASA 将再重试一次才将会话置于 Waiting to Resume 型号。此型号可使用户漫游网络,或进入睡眠型号,然后恢复连接。如果用户在空闲超时之前没有重新连接,ASA 将终止隧道。建议的网关 DPD 间隔是 300 秒。
-
如果 ASA 不响应客户端的 DPD 消息,客户端将再尝试一次才终止隧道。建议的客户端 DPD 间隔是 30 秒。
有关在 ASDM 中配置 DPD 的说明,请参阅相应版本的思科 ASA 系列 VPN 配置指南中的配置失效对等点检测。
-
-
最佳实践:
-
将客户端 DPD 设置为 30 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer Detection)。
-
将服务器 DPD 设置为 300 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer Detection)。
-
将 SSL 和 IPsec 的密钥重新生成均设置为 1 小时 (Group Policy > Advanced > AnyConnect Client > Key Regeneration)。
-
终止 AnyConnect 连接
终止 AnyConnect 连接要求用户在安全网关上对其终端设备重新进行身份验证,并创建新的 VPN 连接。
以下连接参数基于超时终止 VPN 会话:
-
Maximum Connect Time - 设置用户最长连接时间(以分钟为单位)。此时间结束时,系统会终止连接。您还可以允许无限连接时间(默认)。
-
VPN Idle Timeout - 当会话处于非活动状态达到指定的时间时,终止任何用户会话。如果未配置 VPN 空闲超时,则使用默认空闲超时。
-
Default Idle Timeout - 当会话处于非活动状态达到指定的时间时,终止任何用户会话。默认值为 30 分钟。默认值为 1800 秒。
请参阅相应版本的思科 ASA 系列 VPN 配置指南中的指定组策略的 VPN 会话空闲超时部分。