连接和断开 VPN
AnyConnect VPN 连接选项
AnyConnect 客户端为自动连接、自动重新连接或自动断开 VPN 会话提供多种选项。这些选项方便用户连接您的 VPN,它们还支持您的网络安全要求。
启动和重新启动 AnyConnect 连接
配置 VPN 连接服务器为您的用户所要手动连接的安全网关提供名称和地址。
选择以下 AnyConnect 功能,以提供方便的自动 VPN 连接:
此外,还应考虑使用以下自动 VPN 策略选项实施增强的网络安全或将网络访问仅限于 VPN:
重新协商和维护 AnyConnect 连接
您可以限制 ASA 对用户保持 AnyConnect VPN 连接的时间长度(即便没有活动)。如果 VPN 会话进入空闲状态,您可以终止连接或重新协商连接。
-
Keepalive - ASA 定期发送保持连接消息。这些消息会被 ASA 忽略,但对于维持客户端与 ASA 之间设备的连接很有用。
有关通过 ASDM 或 CLI 配置保持连接的说明,请参阅思科 ASA 系列 VPN 配置指南中的启用保持连接部分。
-
Dead Peer Detection - ASA 和 AnyConnect 客户端发送“R-U-There”消息。这些消息的发送频率低于 IPsec 的保持连接消息。您可以同时启用 ASA(网关)和 AnyConnect 客户端来发送 DPD 消息,并配置超时间隔。
-
如果客户端未响应 ASA 的 DPD 消息,ASA 将再重试一次才将会话置于 Waiting to Resume 型号。此型号可使用户漫游网络,或进入睡眠型号,然后恢复连接。如果用户在空闲超时之前没有重新连接,ASA 将终止隧道。建议的网关 DPD 间隔是 300 秒。
-
如果 ASA 不响应客户端的 DPD 消息,客户端将再尝试一次才终止隧道。建议的客户端 DPD 间隔是 30 秒。
有关在 ASDM 中配置 DPD 的说明,请参阅相应版本的思科 ASA 系列 VPN 配置指南中的配置失效对等点检测。
-
-
最佳实践:
-
将客户端 DPD 设置为 30 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer Detection)。
-
将服务器 DPD 设置为 300 秒 (Group Policy > Advanced > AnyConnect Client > Dead Peer Detection)。
-
将 SSL 和 IPsec 的密钥重新生成均设置为 1 小时 (Group Policy > Advanced > AnyConnect Client > Key Regeneration)。
-
终止 AnyConnect 连接
终止 AnyConnect 连接要求用户在安全网关上对其终端设备重新进行身份验证,并创建新的 VPN 连接。
以下连接参数基于超时终止 VPN 会话:
-
Maximum Connect Time - 设置用户最长连接时间(以分钟为单位)。此时间结束时,系统会终止连接。您还可以允许无限连接时间(默认)。
-
VPN Idle Timeout - 当会话处于非活动状态达到指定的时间时,终止任何用户会话。如果未配置 VPN 空闲超时,则使用默认空闲超时。
-
Default Idle Timeout - 当会话处于非活动状态达到指定的时间时,终止任何用户会话。默认值为 30 分钟。默认值为 1800 秒。
请参阅相应版本的思科 ASA 系列 VPN 配置指南中的指定组策略的 VPN 会话空闲超时部分。
配置 VPN 连接服务器
AnyConnect VPN 服务器列表包含主机名和主机地址对,它们标识 VPN 用户将连接到的安全网关。主机名可以是别名、FQDN 或 IP 地址。
添加到服务器列表的主机显示在 AnyConnect GUI 的 Connect to 下拉列表中。然后,用户可以从下拉列表中进行选择以发起 VPN 连接。列表顶部的主机是默认服务器,在 GUI 下拉列表中首先出现。如果用户从列表中选择备用服务器,则所选服务器成为新的默认服务器。
一旦您将服务器添加到服务器列表,就可以查看其详细信息以及编辑或删除服务器条目。要将服务器添加到服务器列表,请遵循此过程。
过程
步骤 1 |
打开 VPN 配置文件编辑器,从导航窗格中选择 Server List。 |
||
步骤 2 |
单击添加 (Add)。 |
||
步骤 3 |
配置服务器的主机名和地址: |
||
步骤 4 |
在 Backup Server List 中输入要回退到作为备用服务器的服务器。请勿在名称中使用“&”或“<”字符。
|
||
步骤 5 |
(可选)将负载均衡服务器添加到负载均衡服务器列表. 。请勿在名称中使用“&”或“<”字符。 如果此服务器列表条目的主机指定安全设备的负载均衡集群,且启用了 永不间断 功能,请将集群中的负载均衡设备添加到此列表中。否则,永不间断 将阻止访问负载均衡集群中的设备。 |
||
步骤 6 |
为客户端指定 Primary Protocol 以用于此 ASA: |
||
步骤 7 |
(可选)为此服务器配置 SCEP:
|
||
步骤 8 |
单击确定。 |
登录前自动启动 Windows VPN 连接
关于“登录前启动”
“登录前启动”(SBL) 这一功能允许用户在登录 Windows 之前建立与企业基础设施的 VPN 连接。
在 SBL 安装并启用后,“网络连接” (Network Connection) 按钮用于启动 AnyConnect VPN 和网络接入管理器 UI。
SBL 还包括网络访问管理器图块,允许使用用户配置的家庭网络配置文件进行连接。SBL 型号中允许的网络配置文件包括使用非 802-1X 身份验证型号的所有媒体类型,例如开放 WEP、WPA/WPA2 个人和静态密钥 (WEP) 网络。
-
在 Windows 中,登录前访问提供商 (PLAP) 用于实施 AnyConnect SBL。
使用 PLAP 时,按 Ctrl+Alt+Del 组合键后打开一个窗口,在这个窗口中用户可以选择登录到系统或使用窗口右下角的 Network Connect 按钮激活“网络连接”(PLAP 组件)。
PLAP 支持 Windows 的 32 位和 64 位版本。
-
用户的计算机加入 Active Directory 基础设施。
-
用户拥有要求使用 Microsoft Active Directory 基础设施进行身份验证的网络映射驱动器。
-
用户无法在计算机上缓存凭证(组策略禁止缓存凭证)。在这种情况下,用户必须能够与企业网络中的域控制器通信,以便在获得计算机访问权限之前对其凭证进行验证。
-
用户必须运行从网络资源执行的登录脚本或需要访问网络资源。SBL 处于启用状态时,用户可访问本地基础设施和用户在办公室时通常会运行的登录脚本。这包括域登录脚本、组策略对象和用户登录其系统时通常发生的其他 Active Directory 功能。
-
存在可能需要连接到基础设施的网络组件(例如 MS NAP/CS NAC)。
“登录前启动”的限制
-
AnyConnect 不与快速用户切换兼容。
-
AnyConnect 无法由第三方登录前启动应用启动。
-
由于 SBL 是预登录的,不会访问用户存储区,因此您无法使用多重证书身份验证 (MCA)。MCA 需要一个计算机证书和一个用户证书,或两个用户证书。
配置“登录前启动”
过程
步骤 1 | |
步骤 2 |
安装 AnyConnect“登录前启动”模块
AnyConnect 安装程序会检测基础操作系统,并将来自 AnyConnect SBL 模块的适当 AnyConnect DLL 置于系统目录中。在 Windows 7 或 Windows 2008 服务器上,安装程序会确定正在使用的是 32 位还是 64 位版本的操作系统,并安装适当的 PLAP 组件,即 vpnplap.dll 或 vpnplap64.dll。
注 |
如果在保留已安装的 VPNGINA 或 PLAP 组件的情况下卸载 AnyConnect,VPNGINA 或 PLAP 组件会禁用且远程用户看不见它们。 |
您可以预部署 SBL 模块或配置 ASA 以下载 SBL 模块。预部署 AnyConnect 时,“登录前启动”模块要求先安装核心客户端软件。如果使用 MSI 文件预部署 AnyConnect 核心和“登录前启动”组件,则必须按照正确的顺序进行操作。
过程
步骤 1 |
在 ASDM 中,转到 。 |
步骤 2 |
选择组策略,单击 Edit 或 Add 可编辑或新增组策略。 |
步骤 3 |
在左侧导航窗格中选择 。 |
步骤 4 |
对 Optional Client Module for Download 设置取消选中 Inherit。 |
步骤 5 |
在下拉列表中选择 AnyConnect SBL 模块。 |
在 AnyConnect 配置文件中启用 SBL
开始之前
-
在调用 SBL 时需要存在网络连接。但在有些情况下,网络连接可能无法实现,因为无线连接可能依靠用户凭证才能连接到无线基础设施。由于 SBL 型号先于登录的凭证阶段存在,因此此情况下连接不可用。此时,无线连接需要配置为在登录过程中缓存凭证,或者需要配置其他无线身份验证,SBL 才可正常运行。
-
如果安装了网络访问管理器,您必须部署设备连接以确保适当的连接可用。
过程
步骤 1 |
打开 VPN 配置文件编辑器,从导航窗格中选择 Preferences (Part 1)。 |
||
步骤 2 |
选择 Use Start Before Logon。 |
||
步骤 3 |
(可选)要允许远程用户控制 SBL,请选择 User Controllable。
|
“登录前启动”故障排除
过程
步骤 1 |
确保 AnyConnect 配置文件已载入 ASA 上,随时可部署。 |
步骤 2 |
删除之前的配置文件(在硬盘驱动器上搜索这些文件以找到位置,*.xml)。 |
步骤 3 |
使用 Windows Add/Remove Programs 卸载 SBL 组件。重新启动计算机并重新测试。 |
步骤 4 |
在事件查看器中清除用户的 AnyConnect 日志并重新测试。 |
步骤 5 |
浏览回安全设备以再次安装 AnyConnect。 |
步骤 6 |
重新启动一次。下次重新启动时,您应看到 Start Before Logon 提示。 |
步骤 7 |
收集 DART 捆绑包并将其发送给 AnyConnect 管理员。 |
步骤 8 |
如果看到以下错误,请删除用户的 AnyConnect 配置文件:
|
步骤 9 |
返回 .tmpl 文件,将副本另存为 .xml 文件,并将该 XML 文件用作默认配置文件。 |
AnyConnect 启动时自动启动 VPN 连接
此功能称为 Auto Connect On Start,它在 AnyConnect 启动时自动与 VPN 客户端配置文件指定的安全网关建立 VPN 连接。
Auto Connect On Start 默认禁用,需要用户指定或选择安全网关。
过程
步骤 1 |
打开 VPN 配置文件编辑器,从导航窗格中选择 Preferences (Part 1)。 |
步骤 2 |
选择 Auto Connect On Start。 |
步骤 3 |
(可选)要让用户控制 Auto Connect On Start,请选择 User Controllable。 |