Android 版 AnyConnect 版本说明
Android 移动设备版 AnyConnect
AnyConnect 安全移动客户端为远程用户提供与思科 ASA 5500 系列的安全 VPN 连接。通过该客户端,用户能够无缝、安全地远程访问企业网络,使安装的应用可如同直接连接到企业网络一般进行通信。AnyConnect 支持通过 IPv4 或 IPv6 隧道连接到 IPv4 和 IPv6 资源。
本文档适用于 AnyConnect 安全移动客户端和自适应安全设备 (ASA) 5500 的管理员,为 上运行的 AnyConnect 提供版本特定信息。Android 设备。
AnyConnect 应用仅在 Kindle 软件包除外,Amazon.com 上提供 Google Play 的软件包。思科不分发 AnyConnect 移动版应用,您也不能从 ASA 部署该移动应用,但是,您可以从 ASA 为桌面设备部署其他版本的 AnyConnect,并同时支持此移动版本。
AnyConnect 移动版支持策略
思科支持应用商店当前提供的 AnyConnect 版本;但是,修复和增强功能仅在最新发行的版本中提供。
AnyConnect 许可
若要连接到 ASA 头端,需提供 AnyConnect 4.x Plus 或 Apex 许可证;试用许可证可用;请参阅 思科 AnyConnect 订购指南。
有关最新的最终用户许可协议,请参阅 思科终端用户许可协议,AnyConnect 安全移动客户端版本 4.x。
有关我们的开源许可确认,请参阅 思科 AnyConnect 安全移动客户端版本 4.x 中使用的开源软件(适用于移动设备)
思科 AnyConnect Android 试用版测试
AnyConnect 的试用版可用于预发行测试。
要获得这些版本,请使用以下 Google Play 登录获取 Beta 版本:https://play.google.com/apps/testing/com.cisco.anyconnect.vpn.android.avf
稍后可使用此相同 Google Play 链接退出。选择退出后,您需要卸载试用版并重新安装最新的非试用版 AnyConnect。
请及时报告在试用版测试过程中发现的问题,方式是发送邮件至思科邮箱 ac-mobile-feedback@cisco.com。思科技术支持中心 (TAC) 不会处理在 AnyConnect 的试用版中发现的问题。
支持 Android 的设备
运行 Android 4.0 (Ice Cream Sandwich) 到最新版本 Android 的设备上完全支持 Android 版思科 AnyConnect。
对于 Kindle Fire HD 设备和新版 Kindle Fire,可从 Amazon 获取适用于 Kindle Fire HD 的 AnyConnect。Kindle 版 AnyConnect 的功能与 Android 版 AnyConnect 软件包相当。
受管环境和非受管环境均支持每 Per App VPN。在使用 Samsung KNOX MDM 的受管环境下,需要有配备 Samsung Knox 2.0 的 Samsung 设备(运行 Android 4.3 或更高版本)。在非受管环境下使用 Per App 时,使用通用的 Android 方法。
对于 Network Visibility Module (NVM) 功能,需要有运行 Samsung Knox 2.8 或更高版本(包括 3.3)的 Samsung 设备(需要 Android 7.0 或更高版本)。对于 NVM 配置,还需要 AnyConnect 4.4.3 或更高版本中的 AnyConnect 配置文件编辑器。早期版本不支持移动 NVM 配置。
有关安装和升级操作程序,请参阅 思科 AnyConnect 安全移动客户端用户指南 (Android),版本 4.6。
新增功能
Android 移动设备版 AnyConnect 4.8.0826 的新功能
此版本的 Android 版 AnyConnect 是一个维护版本,解决了一个安全问题。
思科建议您升级到此 AnyConnect 最新版本,并请参阅Android 版 AnyConnect 的准则和限制和已知兼容性问题,了解当前的运行注意事项。
Android 移动设备版 AnyConnect 4.8.0820 的新功能
此版本的 Android 版 AnyConnect 提供以下功能︰
-
支持 Knox 数据收集策略 - 允许管理员专门为 Knox 容器流量定义数据收集策略
-
改进了与 Android 10 和 64 位设备的兼容性
-
由于操作系统限制的缘故,Android 10 及更高版本中的 AnyConnect 可能不会报告设备运营商 ID (IMEI 和 MEID)。此外,对于每应用程序 VPN 的 ASA 自定义属性策略,Android 10 及更高版本上仅支持“允许所有 MDM”(通配符 *.*)。
-
支持在按流量计费的网络上限制 NVM 流的导出 - 允许管理员或用户在按流量计费的网络上限制 NVM 流的导出。管理员可以允许或禁止用户使用 NVM 配置文件编辑器更改此配置。
-
SAML + 客户端证书 - 在 AnyConnect SAML 流内,我们在 AnyConnect 嵌入式浏览器中添加了对客户端证书请求的支持。
-
用于处理 URI 的 QR 码扫描
思科建议您升级到此 AnyConnect 最新版本,并请参阅Android 版 AnyConnect 的准则和限制和已知兼容性问题,了解当前的运行注意事项。
Android AnyConnect 功能表
下表指示 Android 版思科 AnyConnect 支持的远程访问功能:
类别:功能 | Android VPN |
---|---|
部署和配置: |
|
从应用存储区安装或升级。 | 是 |
Cisco VPN 配置文件支持(手动导入) | 是 |
思科 VPN 配置文件支持(连接时导入) | 是 |
MDM 配置的连接条目 | 是 |
用户配置的连接条目 | 是 |
隧道连接: |
|
TLS | 是 |
数据报 TLS (DTLS) | 是 |
IPsec IKEv2 NAT-T | 是 |
IKEv2 - 原始 ESP | 是 |
Suite B(仅限 IPsec) | 是 |
TLS 压缩 | 是 |
失效对等项检测 | 是 |
隧道保持连接 | 是 |
多个活动网络接口 | 否 |
Per App 隧道连接 | 是,Android 5.0+ 或 Samsung Knox |
完全隧道(OS 对于某些流量可能生成异常,例如传至应用商店的流量)。 | 是 |
拆分隧道(拆分包括)。 | 是 |
本地 LAN(拆分排除)。 | 否 |
拆分 DNS | 是,适用于拆分包括。 |
自动重新连接/网络漫游 | 是,无论使用何种“自动重新连接”配置文件规范,当用户在 3G 和 WiFi 网络之间切换时,AnyConnect 移动版始终尝试维护 VPN。 |
按需 VPN(由目标触发) | 否 |
按需 VPN(应用触发) | 否 |
重新生成密钥 | 是 |
IPv4 公共传输 | 是 |
IPv6 公共传输 | 是,需要 Android 5.0 或更高版本。 |
IPv4 over IPv4 隧道 | 是 |
IPv4 over IPv6 隧道 | 是 |
通过 IPv4 隧道的 IPv6 | 是 |
IPv6 over IPv6 隧道 | 是 |
默认域 | 是 |
DNS 服务器配置 | 是 |
专用端代理支持 | 仅支持 Android 10 上的直接代理模式。 |
代理例外 | 否 |
公共代理支持 | 否 |
登录前横幅 | 是 |
登录后横幅 | 是 |
DSCP 保留 | 是 |
连接和断开连接: |
|
VPN 负载均衡 | 是 |
备用服务器列表 | 是 |
最佳网关选择 | 否 |
身份验证: |
|
触控 ID |
否 |
SAML 2.0 | 是 |
客户端证书身份验证 | 是 |
在线证书状态协议 (OCSP) | 是 |
手动用户证书管理 | 是 |
手动服务器证书管理 | 是 |
SCEP 传统注册(请针对您的平台进行确认)。 | 是 |
SCEP 代理注册(请针对您的平台进行确认)。 | 是 |
自动证书选择 | 是 |
手动选择证书 | 是 |
智能卡支持 | 否 |
用户名和密码 | 是 |
令牌/质询 | 是 |
双重身份验证 | 是 |
组 URL(在服务器地址中指定) | 是 |
组选择(下拉选项) | 是 |
从用户证书预填充凭证 | 是 |
保存密码 | 否 |
用户界面: |
|
独立 GUI | 是 |
本地 OS GUI | 否 |
API/URI 处理程序(请参阅下文) | 是 |
UI 自定义 | 否 |
UI 本地化 | 是,应用包含预先打包的语言。 |
用户首选项 | 是 |
支持一键式 VPN 访问的主屏幕构件 | 是 |
AnyConnect 特定状态图标 | 可选 |
移动安全评估:(AnyConnect 标识扩展,ACIDex) |
|
序列号或唯一 ID 检查 | 是 |
与头端共用操作系统和 AnyConnect 版本 | 是 |
AnyConnect NVM 支持 |
是,具有特定的 Samsung Knox 和 MDM 要求。 |
URI 处理: |
|
添加连接项 | 是 |
连接到 VPN | 是 |
连接时预填充凭证 | 是 |
断开 VPN | 是 |
导入证书 | 是 |
导入本地化数据 | 是 |
导入 XML 客户端配置文件 | 是 |
URI 命令的外部(用户)控件 | 是 |
报告和故障排除: |
|
统计信息 | 是 |
记录/诊断信息 (DART) | 是 |
认证: |
|
FIPS 140-2 第 1 层 | 支持 |
自适应安全设备要求
以下功能对 ASA 有最低版本要求:
注 |
请参阅您的平台的功能表,以确认这些功能在当前 AnyConnect 移动版本中的可用性。 |
-
您必须升级到 ASA 9.7.1.24、9.8.2.28、9.9.2.1 或更高版本,才能使用 SAML 身份验证功能。请确保客户端和服务器版本都是最新的。
-
必须升级到 ASA 9.3.2 或更高版本才能使用 TLS 1.2。
-
必须升级到 ASA 9.3.2 或更高版本才能使用 Per App VPN 隧道连接模式。
-
必须升级到 ASA 9.0 才能使用以下移动功能:
-
IPsec IKEv2 VPN
-
Suite B 加密
-
SCEP 代理
-
移动状况
-
-
ASA 版本 8.0(3) 和自适应安全设备管理器 (ASDM) 6.1(3) 是支持移动设备版 AnyConnect 的最低版本。
其他思科头端支持
思科 IOS 15.3(3)M+/15.2(4)M+ 支持 AnyConnect SSL 连接。
思科 ISR g2 15.2(4)M+ 支持 AnyConnect IKEv2 连接
思科 Firepower 威胁防御版本 6.2.1 及更高版本中支持 AnyConnect SSL 和 IKEv2。
Android 版 AnyConnect 的准则和限制
-
ASA 不对 Android 版 AnyConnect 提供分发和更新。它们仅在 Google Play 中提供。
-
Android 版 AnyConnect 仅支持网络可视性模块,不支持任何其他 AnyConnect 模块。
-
Android 设备仅支持一个 AnyConnect 配置文件,即,从前端接收的最后一个配置文件。但是,一个配置文件可能包含多个连接条目。
-
如果用户尝试在不受支持的设备上安装 AnyConnect,将收到弹出消息
安装错误:原因未知 -8 (Installation Error: Unknown reason -8)
。此消息由 Android OS 生成。 -
如果用户在其主屏幕上安装 AnyConnect 构件,那么,无论是否选择了“在启动时启动”(Launch at startup) 首选项,AnyConnect 服务都将自动启动(但不连接)。
-
使用“从客户端证书预填充”功能时,Android 版 AnyConnect 需要对扩展的 ASCII 字符进行 UTF-8 字符编码。根据 KB-890772 和 KB-888180 中的说明,如果您想使用预填充,客户端证书必须采用 UTF-8 格式。
-
AnyConnect 在通过 EDGE 连接发送或接收 VPN 流量时会阻止语音呼叫,这是 EDGE 和其他早期无线电技术的固有性质所决定的。
-
一些已知的文件压缩实用程序无法成功解压缩使用 AnyConnect“发送日志”(Send Log) 按钮打包的日志捆绑包。其解决方法是使用 Windows 和 Mac OS X 上的本地实用程序解压缩 AnyConnect 日志文件。
-
不兼容 DHE
在 AnyConnect 版本4.6 中引入 DHE 密码支持后,会导致 ASA 9.2 之前的 ASA 版本出现不兼容问题。如果您使用 ASA 9.2 之前的版本的 DHE 密码,则必须在这些 ASA 版本上禁用 DHE 密码。
已知兼容性问题
-
如果在 Android 10 上遇到 VPN 隧道连接问题,请尝试禁用 Android 10 专用 DNS 功能。
-
公共接口和专用接口上的 IPv6。
在 Android 5 及更高版本中,使用 AnyConnect 4.05015 及更高版本的专用传输和公共传输均支持 IPv6。对于此组合,目前允许以下配置:在 IPv6 隧道上传输 IPv4、在 IPv6 隧道上传输 IPv6。
另外,还支持早期 AnyConnect 和 Android 版本中以前允许的隧道配置:在 IPv4 隧道上传输 IPv4 和在 IPv4 隧道上传输 IPv6。
注 -
节电模式和 AnyConnect:
-
Android 5.0 引入了节电模式功能,该功能会阻止设备上的后台网络连接。启用节电模式后,在后台运行的 AnyConnect 将转换为“已暂停”(Paused) 状态。若要解决 Android 5.0 上的这一问题,用户可以通过设备设置“设置”(Settings) ->“电池”(Battery) ->“节电模式”(Battery saver) 或从通知栏关闭节电模式。
-
在 Android 6.0+ 中,当 AnyConnect 由于节电模式而转换为“已暂停”(Paused) 状态时,将出现一个弹出窗口,其中包含将 AnyConnect 加入节电模式白名单的选项。将 AnyConnect 加入白名单后,将允许继续使用节电模式,但不影响 AnyConnect 在后台运行的能力。
-
当 AnyConnect 由于节电模式而暂停后,无论您是关闭节电模式还是将 AnyConnect 加入白名单,在这之后都必须手动重新连接,才能使 AnyConnect 脱离“已暂停”(Paused) 状态。
-
-
拆分 DNS 在任何 Android 4.4 设备上都无法运行,在 Samsung 5.x Android 设备上也无法运行。对于 Samsung 设备,唯一的解决方法是连接到禁用了拆分 DNS 的组。在其他设备上,必须升级到 Android 5.x 以接收此问题的修复。
这是由 Android 4.4 中存在的一个已知问题(问题 #64819)导致的,该问题已在 Android 5.x 中修复,但未引入 Samsung 5.x android 设备中。
-
由于 Android 5.x 中的一个漏洞(Google 问题 #85758,思科问题 # CSCus38925),如果从“最近使用的应用”(recent apps) 屏幕中关闭 AnyConnect 应用,该应用可能无法正常运行。若要恢复正常运行,请在设置 (Settings) 中终止 AnyConnect,然后再重新启动。
-
在 Samsung 移动设备上,设置 (Settings) > Wi-Fi > 智能网络交换机 (Smart network switch) 允许从 WIFI 切换到 LTE(当 Wi-Fi 连接处于非最佳状态时),以保持稳定的 Internet 连接。这还会导致暂停并重新连接活动的 VPN 隧道。思科建议关闭此设置,因为它可能会导致不断地重新连接。
-
在支持多个活动用户的 Android 5.0 (Lollipop) 上,VPN 连接只能为一个用户通过隧道发送数据,而不能为设备上的所有用户都这样做。后台数据流可能会以明文形式传输。
-
由于 Android 4.3.1 中的一个漏洞(Google 问题 #62073),使用 AnyConnect ICS+ 软件包的用户无法输入非完全限定域名。例如,用户无法键入“internalhost”,他们必须键入“internalhost.company.com”。
-
HTC One 上对 Android 4.3 的 AT&T 固件更新(软件版本:3.17.502.3)不支持“HTC AnyConnect”。客户必须卸载“HTC AnyConnect”,并安装“AnyConnect ICS+”。(HTC AnyConnect 将在国际版本上运行,软件版本为 3.22.1540.1)。请在设置 (Settings) > 关于 (About) > 软件信息 (Software information) > 软件编号 (Software number) 中检查设备上的软件版本。
-
非常值得高兴的是,Google 问题 #70916(如果管理员已将 Android 隧道的 MTU 设置为低于 1280,VPN 连接将失败)已在 Android 5.0 (Lollipop) 中得到解决。以下问题信息可供参考:
由于 Android 4.4.3 中的一个回归问题(Google 问题 #70916,思科 CSCup24172),如果管理员已将 Android 隧道的 MTU 设置为低于 1280,VPN 连接将失败。已向 Google 报告此问题,需要使用新的操作系统版本才能纠正 Android 4.4.3 中引入的回归问题。若要解决此问题,请确保前端管理员未将隧道 MTU 配置为低于 1280。
遇到此问题时,最终用户将看到以下消息:
System configuration settings could not be applied(无法应用系统配置设置)。系统不会建立 VPN 连接
,并且 AnyConnect 调试日志会报告以下内容:E/vpnandroid( 2419): IPCInteractionThread: NCSS: General Exception occured, telling client E/vpnandroid( 2419): java.lang.IllegalStateException: command '181 interface fwmark rule add tun0' failed with '400 181 Failed to add fwmark rule (No such process)' E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1473) E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1419) E/vpnandroid( 2419): at com.cisco.android.nchs.aidl.IICSSupportService$Stub$Proxy.establish (IICSSupportService.java:330) E/vpnandroid( 2419): at com.cisco.android.nchs.support.VpnBuilderWrapper.establish (VpnBuilderWrapper.java:137) E/vpnandroid( 2419): at com.cisco.android.nchs.support.NCSSIPCServer.callServiceMethod (NCSSIPCServer.java:233) E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.handleClientInteraction (IPCInteractionThread.java:230) E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.run (IPCInteractionThread.java:90) E/acvpnagent( 2450): Function: ApplyVpnConfiguration File: NcssHelper.cpp Line: 740 failed to establish VPN E/acvpnagent( 2450): Function: PluginResult AndroidSNAKSystem::configDeviceForICS() File: AndroidSNAKSystem.cpp Line: 665 failed to apply vpn configuration E/acvpnagent( 2450): Function: virtual PluginResult AndroidSNAKSystem::ApplyConfiguration() File: AndroidSNAKSystem.cpp Line: 543 Failed to Configure System for VPN.
-
非常值得高兴的是,Android 4.4 (KitKat) 漏洞 Google 问题 #61948(AnyConnect 用户将在 VPN 连接期间遇到数据包丢失率过高的问题/用户将遇到超时问题)已在 Google Android 4.4.1 版本中得到解决,Google 已开始通过软件更新向部分设备分发该版本。以下问题信息可供参考:
由于 Android 4.4 中的一个漏洞(问题 #61948,也可查看思科支持更新),AnyConnect 用户将在 VPN 连接期间遇到数据包丢失率过高的问题。在运行 Android 4.4 并使用 AnyConnect ICS+ 的 Google Nexus 5 上,已发现该漏洞。用户在尝试访问某些网络资源时,将遇到超时问题。此外,在 ASA 日志中,将显示一条系统日志消息,其中包含类似于“正在传输大数据包 1420(阈值 1405)”(Transmitting large packet 1420 [threshold 1405]) 的文本。
在 Google 为 Android 4.4 提供修复之前,VPN 管理员可以通过配置以下 sysopt connection tcpmss <mss size>,暂时减小 ASA 上 TCP 连接的最大分段大小。此参数的默认值为 1380 字节。请将此值减去 ASA 日志中所示两个值之间的差值。在上述示例中,差值是 15 字节;因此,该值不应该超过 1365。减小此值会对已连接 VPN 并传输大数据包的用户带来性能上的负面影响。
-
Android 版 AnyConnect 在使用称为 464xlat 的 IPv6 过渡机制连接到移动网络时,可能会遇到连接问题。已知受影响的设备包括连接到 T-Mobile 美国网络的 Samsung Galaxy Note III LTE。此设备默认为连接纯 IPv6 移动网络。尝试连接可能会导致移动连接中断,直到重启设备才恢复正常。
若要避免此问题,请使用 AnyConnect ICS+ 应用,并将设备设置更改为获取 IPv4 网络连接或使用 Wi-Fi 网络连接。对于连接到 T-Mobile 美国网络的 Samsung Galaxy Note III LTE,请按照 T-Mobile 提供的说明在设备上设置无线接入点名称 (APN),并确保将 APN 协议设置为 IPv4。
-
当 VPN 中的专用 IP 地址范围与客户端设备外部接口的范围重叠时,AnyConnect ICS+ 软件包可能会出现问题。出现此路由重叠时,用户可能能够成功地连接到 VPN,但之后无法实际访问任何内容。已经在使用 NAT(网络地址转换)并分配 10.0.0.0 - 10.255.255.255 范围内地址的蜂窝网络上发现此问题,其原因是 AnyConnect 对 Android VPN Framework 中路由的控制能力有限。供应商特定 Android 软件包具有完整的路由控制能力,在这种情况下可能会表现得更好。
-
运行 Android 4.0 (ICS) 的华硕平板电脑可能缺少 TUN 驱动程序。这将导致 AVF AnyConnect 失败。
-
当 VPN 连接有效时,Android 安全规则会阻止设备发送和接收多媒体消息传送服务 (MMS) 消息。如果尝试在 VPN 连接有效时发送 MMS 消息,则大多数设备和服务提供商会显示一条通知。当 VPN 未连接时,Android 允许发送和接收消息。
-
由于 Google 问题 41037,从剪贴板粘贴文本时,会在文本前面插入一个空格。在 AnyConnect 中,复制一次性密码之类的文本时,用户必须删除这个错误的空格。
未解决和已解决的 AnyConnect 问题
思科漏洞搜索工具 (https://tools.cisco.com/bugsearch/) 包含此版本中有关未解决和已解决的问题的详细信息。需要使用思科帐户才能访问该漏洞搜索工具。如果没有,请在 https://tools.cisco.com/RPF/register/register.do 中注册。
Android 版 AnyConnect 4.8.0820 中已解决的问题
标识符 | 标题 |
---|---|
CSCvm88315 |
ENH:在 Android 上使用 SAML(内部方法)支持证书身份验证 |
CSCvp04329 |
滑动连接滑块(而不是点击)可以启用/禁用更改,但不会触发任何操作 |
CSCvp99713 |
ENH:允许 SAML Base URL 不区分大小写 |
CSCvq50321 |
当找不到任何证书时,Android AnyConnect 不应取消 SAML 身份验证 |
CSCvq91330 |
每应用程序 VPN 在 Android 10 内中断 |
AnyConnect Mobile 相关文档
有关详细信息,请参阅以下文档: