运行 Android 4.0 (Ice Cream Sandwich) 到最新版本 Android 的设备上完全支持 Android 版思科 AnyConnect。

对于 Kindle Fire HD 设备和新版 Kindle Fire，可从 Amazon 获取适用于 Kindle Fire HD 的 AnyConnect。Kindle 版 AnyConnect 的功能与 Android 版 AnyConnect 软件包相当。

受管环境和非受管环境均支持每 Per App VPN。在使用 Samsung KNOX MDM 的受管环境下，需要有配备 Samsung Knox 2.0 的 Samsung 设备（运行 Android 4.3 或更高版本）。在非受管环境下使用 Per App 时，使用通用的 Android 方法。

对于 Network Visibility Module (NVM) 功能，需要有运行 Samsung Knox 2.8 或更高版本（包括 3.3）的 Samsung 设备（需要 Android 7.0 或更高版本）。对于 NVM 配置，还需要 AnyConnect 4.4.3 或更高版本中的 AnyConnect 配置文件编辑器。早期版本不支持移动 NVM 配置。

有关安装和升级操作程序，请参阅 思科 AnyConnect 安全移动客户端用户指南 (Android)，版本 4.6。

下表指示 Android 版思科 AnyConnect 支持的远程访问功能：

以下功能对 ASA 有最低版本要求：

注	请参阅您的平台的功能表，以确认这些功能在当前 AnyConnect 移动版本中的可用性。

• 您必须升级到 ASA 9.7.1.24、9.8.2.28、9.9.2.1 或更高版本，才能使用 SAML 身份验证功能。请确保客户端和服务器版本都是最新的。

• 必须升级到 ASA 9.3.2 或更高版本才能使用 TLS 1.2。

• 必须升级到 ASA 9.3.2 或更高版本才能使用 Per App VPN 隧道连接模式。

• 必须升级到 ASA 9.0 才能使用以下移动功能：

  • IPsec IKEv2 VPN

  • Suite B 加密

  • SCEP 代理

  • 移动状况

• ASA 版本 8.0(3) 和自适应安全设备管理器 (ASDM) 6.1(3) 是支持移动设备版 AnyConnect 的最低版本。

• ASA 不对 Android 版 AnyConnect 提供分发和更新。它们仅在 Google Play 中提供。

• Android 版 AnyConnect 仅支持网络可视性模块，不支持任何其他 AnyConnect 模块。

• Android 设备仅支持一个 AnyConnect 配置文件，即，从前端接收的最后一个配置文件。但是，一个配置文件可能包含多个连接条目。

• 如果用户尝试在不受支持的设备上安装 AnyConnect，将收到弹出消息安装错误：原因未知 -8 (Installation Error: Unknown reason -8)。此消息由 Android OS 生成。

• 如果用户在其主屏幕上安装 AnyConnect 构件，那么，无论是否选择了“在启动时启动”(Launch at startup) 首选项，AnyConnect 服务都将自动启动（但不连接）。

• 使用“从客户端证书预填充”功能时，Android 版 AnyConnect 需要对扩展的 ASCII 字符进行 UTF-8 字符编码。根据 KB-890772 和 KB-888180 中的说明，如果您想使用预填充，客户端证书必须采用 UTF-8 格式。

• AnyConnect 在通过 EDGE 连接发送或接收 VPN 流量时会阻止语音呼叫，这是 EDGE 和其他早期无线电技术的固有性质所决定的。

• 一些已知的文件压缩实用程序无法成功解压缩使用 AnyConnect“发送日志”(Send Log) 按钮打包的日志捆绑包。其解决方法是使用 Windows 和 Mac OS X 上的本地实用程序解压缩 AnyConnect 日志文件。

• 不兼容 DHE

  在 AnyConnect 版本4.6 中引入 DHE 密码支持后，会导致 ASA 9.2 之前的 ASA 版本出现不兼容问题。如果您使用 ASA 9.2 之前的版本的 DHE 密码，则必须在这些 ASA 版本上禁用 DHE 密码。

• 如果在 Android 10 上遇到 VPN 隧道连接问题，请尝试禁用 Android 10 专用 DNS 功能。

• 公共接口和专用接口上的 IPv6。

  在 Android 5 及更高版本中，使用 AnyConnect 4.05015 及更高版本的专用传输和公共传输均支持 IPv6。对于此组合，目前允许以下配置：在 IPv6 隧道上传输 IPv4、在 IPv6 隧道上传输 IPv6。

  另外，还支持早期 AnyConnect 和 Android 版本中以前允许的隧道配置：在 IPv4 隧道上传输 IPv4 和在 IPv4 隧道上传输 IPv6。

  注	由于 Google 问题 65572，通过 IPv4 传输 IPv6 在 Android 4.4 中不起作用。您必须使用 Android 5 或更高版本。

• 节电模式和 AnyConnect：

  • Android 5.0 引入了节电模式功能，该功能会阻止设备上的后台网络连接。启用节电模式后，在后台运行的 AnyConnect 将转换为“已暂停”(Paused) 状态。若要解决 Android 5.0 上的这一问题，用户可以通过设备设置“设置”(Settings) ->“电池”(Battery) ->“节电模式”(Battery saver) 或从通知栏关闭节电模式。

  • 在 Android 6.0+ 中，当 AnyConnect 由于节电模式而转换为“已暂停”(Paused) 状态时，将出现一个弹出窗口，其中包含将 AnyConnect 加入节电模式白名单的选项。将 AnyConnect 加入白名单后，将允许继续使用节电模式，但不影响 AnyConnect 在后台运行的能力。

  • 当 AnyConnect 由于节电模式而暂停后，无论您是关闭节电模式还是将 AnyConnect 加入白名单，在这之后都必须手动重新连接，才能使 AnyConnect 脱离“已暂停”(Paused) 状态。

• 拆分 DNS 在任何 Android 4.4 设备上都无法运行，在 Samsung 5.x Android 设备上也无法运行。对于 Samsung 设备，唯一的解决方法是连接到禁用了拆分 DNS 的组。在其他设备上，必须升级到 Android 5.x 以接收此问题的修复。

  这是由 Android 4.4 中存在的一个已知问题（问题 #64819）导致的，该问题已在 Android 5.x 中修复，但未引入 Samsung 5.x android 设备中。

• 由于 Android 5.x 中的一个漏洞（Google 问题 #85758，思科问题 # CSCus38925），如果从“最近使用的应用”(recent apps) 屏幕中关闭 AnyConnect 应用，该应用可能无法正常运行。若要恢复正常运行，请在设置 (Settings) 中终止 AnyConnect，然后再重新启动。

• 在 Samsung 移动设备上，设置 (Settings) > Wi-Fi > 智能网络交换机 (Smart network switch) 允许从 WIFI 切换到 LTE（当 Wi-Fi 连接处于非最佳状态时），以保持稳定的 Internet 连接。这还会导致暂停并重新连接活动的 VPN 隧道。思科建议关闭此设置，因为它可能会导致不断地重新连接。

• 在支持多个活动用户的 Android 5.0 (Lollipop) 上，VPN 连接只能为一个用户通过隧道发送数据，而不能为设备上的所有用户都这样做。后台数据流可能会以明文形式传输。

• 由于 Android 4.3.1 中的一个漏洞（Google 问题 #62073），使用 AnyConnect ICS+ 软件包的用户无法输入非完全限定域名。例如，用户无法键入“internalhost”，他们必须键入“internalhost.company.com”。

• HTC One 上对 Android 4.3 的 AT&T 固件更新（软件版本：3.17.502.3）不支持“HTC AnyConnect”。客户必须卸载“HTC AnyConnect”，并安装“AnyConnect ICS+”。（HTC AnyConnect 将在国际版本上运行，软件版本为 3.22.1540.1）。请在设置 (Settings) > 关于 (About) > 软件信息 (Software information) > 软件编号 (Software number) 中检查设备上的软件版本。

• 非常值得高兴的是，Google 问题 #70916（如果管理员已将 Android 隧道的 MTU 设置为低于 1280，VPN 连接将失败）已在 Android 5.0 (Lollipop) 中得到解决。以下问题信息可供参考：

  由于 Android 4.4.3 中的一个回归问题（Google 问题 #70916，思科 CSCup24172），如果管理员已将 Android 隧道的 MTU 设置为低于 1280，VPN 连接将失败。已向 Google 报告此问题，需要使用新的操作系统版本才能纠正 Android 4.4.3 中引入的回归问题。若要解决此问题，请确保前端管理员未将隧道 MTU 配置为低于 1280。

  遇到此问题时，最终用户将看到以下消息：System configuration settings could not be applied（无法应用系统配置设置）。系统不会建立 VPN 连接，并且 AnyConnect 调试日志会报告以下内容：

  
  E/vpnandroid( 2419): IPCInteractionThread: NCSS: General Exception occured, telling client
  E/vpnandroid( 2419): java.lang.IllegalStateException: command '181 interface fwmark rule add tun0' 
  failed with '400 181 Failed to add fwmark rule (No such process)'
  E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1473)
  E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1419)
  E/vpnandroid( 2419): at 
  com.cisco.android.nchs.aidl.IICSSupportService$Stub$Proxy.establish
  (IICSSupportService.java:330)
  E/vpnandroid( 2419): at com.cisco.android.nchs.support.VpnBuilderWrapper.establish
  (VpnBuilderWrapper.java:137)
  E/vpnandroid( 2419): at com.cisco.android.nchs.support.NCSSIPCServer.callServiceMethod
  (NCSSIPCServer.java:233)
  E/vpnandroid( 2419): at 
  com.cisco.android.nchs.ipc.IPCInteractionThread.handleClientInteraction
  (IPCInteractionThread.java:230)
  E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.run
  (IPCInteractionThread.java:90)
  E/acvpnagent( 2450): Function: ApplyVpnConfiguration 
  File: NcssHelper.cpp Line: 740 failed to establish VPN
  E/acvpnagent( 2450): Function: PluginResult AndroidSNAKSystem::configDeviceForICS() 
  File: AndroidSNAKSystem.cpp Line: 665 failed to apply vpn configuration
  E/acvpnagent( 2450): Function: virtual PluginResult AndroidSNAKSystem::ApplyConfiguration() 
  File: AndroidSNAKSystem.cpp Line: 543 Failed to Configure System for VPN.

• 非常值得高兴的是，Android 4.4 (KitKat) 漏洞 Google 问题 #61948（AnyConnect 用户将在 VPN 连接期间遇到数据包丢失率过高的问题/用户将遇到超时问题）已在 Google Android 4.4.1 版本中得到解决，Google 已开始通过软件更新向部分设备分发该版本。以下问题信息可供参考：

  由于 Android 4.4 中的一个漏洞（问题 #61948，也可查看思科支持更新），AnyConnect 用户将在 VPN 连接期间遇到数据包丢失率过高的问题。在运行 Android 4.4 并使用 AnyConnect ICS+ 的 Google Nexus 5 上，已发现该漏洞。用户在尝试访问某些网络资源时，将遇到超时问题。此外，在 ASA 日志中，将显示一条系统日志消息，其中包含类似于“正在传输大数据包 1420（阈值 1405）”(Transmitting large packet 1420 [threshold 1405]) 的文本。

  在 Google 为 Android 4.4 提供修复之前，VPN 管理员可以通过配置以下 sysopt connection tcpmss <mss size>，暂时减小 ASA 上 TCP 连接的最大分段大小。此参数的默认值为 1380 字节。请将此值减去 ASA 日志中所示两个值之间的差值。在上述示例中，差值是 15 字节；因此，该值不应该超过 1365。减小此值会对已连接 VPN 并传输大数据包的用户带来性能上的负面影响。

• Android 版 AnyConnect 在使用称为 464xlat 的 IPv6 过渡机制连接到移动网络时，可能会遇到连接问题。已知受影响的设备包括连接到 T-Mobile 美国网络的 Samsung Galaxy Note III LTE。此设备默认为连接纯 IPv6 移动网络。尝试连接可能会导致移动连接中断，直到重启设备才恢复正常。

  若要避免此问题，请使用 AnyConnect ICS+ 应用，并将设备设置更改为获取 IPv4 网络连接或使用 Wi-Fi 网络连接。对于连接到 T-Mobile 美国网络的 Samsung Galaxy Note III LTE，请按照 T-Mobile 提供的说明在设备上设置无线接入点名称 (APN)，并确保将 APN 协议设置为 IPv4。

• 当 VPN 中的专用 IP 地址范围与客户端设备外部接口的范围重叠时，AnyConnect ICS+ 软件包可能会出现问题。出现此路由重叠时，用户可能能够成功地连接到 VPN，但之后无法实际访问任何内容。已经在使用 NAT（网络地址转换）并分配 10.0.0.0 - 10.255.255.255 范围内地址的蜂窝网络上发现此问题，其原因是 AnyConnect 对 Android VPN Framework 中路由的控制能力有限。供应商特定 Android 软件包具有完整的路由控制能力，在这种情况下可能会表现得更好。

• 运行 Android 4.0 (ICS) 的华硕平板电脑可能缺少 TUN 驱动程序。这将导致 AVF AnyConnect 失败。

• 当 VPN 连接有效时，Android 安全规则会阻止设备发送和接收多媒体消息传送服务 (MMS) 消息。如果尝试在 VPN 连接有效时发送 MMS 消息，则大多数设备和服务提供商会显示一条通知。当 VPN 未连接时，Android 允许发送和接收消息。

• 由于 Google 问题 41037，从剪贴板粘贴文本时，会在文本前面插入一个空格。在 AnyConnect 中，复制一次性密码之类的文本时，用户必须删除这个错误的空格。

有关详细信息，请参阅以下文档：

• AnyConnect 版本说明

• AnyConnect 管理员指南

• 思科 ASA 系列文档一览