Apple 设备的 Cisco IPsec VPN 设置 | 您所在的位置:网站首页 › 苹果rsa securid › Apple 设备的 Cisco IPsec VPN 设置 |
![]() 参考本节来配置 Cisco VPN 服务器,以便与 iOS、iPadOS 和 macOS 配合使用,三者都支持 Cisco ASA 5500 Security Appliance 和 PIX 防火墙,还支持 IOS v12.4(15)T 或更高版本的 Cisco IOS VPN 路由器。VPN 3000 系列集中器不支持 VPN 功能。 认证方式iOS、iPadOS 和 macOS 支持以下认证方式: 预共享密钥 IPsec 认证,通过 xauth 进行用户认证。 利用客户端和服务器证书进行 IPSec 认证,可选择通过 xauth 进行用户认证。 混合认证,服务器提供证书,客户端提供预共享密钥,进行 IPsec 认证。要求用户认证(通过 xauth 提供),包括以下认证方式: 用户名和密码 RSA SecurID 认证群组Cisco Unity 协议根据一组常见参数,使用认证群组来分组用户。应创建一个针对用户的认证群组。对于预共享密钥认证和混合认证,群组名称必须在设备上配置,并且使用群组的共享密钥(预共享密钥)作为群组密码。 使用证书认证时,没有共享密钥。用户的群组根据证书中的栏位来确定。Cisco 服务器设置可用于将证书中的栏位对应到用户群组。 在 ISAKMP 优先级列表中,RSA-Sig 必须拥有最高优先级。 IPsec 设置和描述你可以指定这些设置以定义 IPsec 的实施方式: 模式:隧道模式。 IKE 交换模式:“积极模式”(适用于预共享密钥认证和混合认证)或“主模式”(适用于证书认证)。 加密算法:3DES、AES-128 或 AES256。 认证算法:HMAC-MD5 或 HMAC-SHA1。 Diffie-Hellman 群组:预共享密钥认证和混合认证需要群组 2,证书认证需要配合 3DES 和 AES-128 使用群组 2,以及配合 AES-256 使用群组 2 或群组 5。 完全正向保密 (PFS):对于 IKE 阶段 2,如果使用 PFS,则 Diffie-Hellman 群组必须与用于 IKE 阶段 1 的群组相同。 模式配置:必须启用。 失效对等体检测:推荐。 标准 NAT 遍历:受支持并且可以启用(不支持 IPsec over TCP)。 负载均衡:受支持且可以启用。 阶段 1 的密钥更新:当前不受支持。建议将服务器上的密钥更新时间设定为一小时。 ASA 地址掩码:确保所有设备地址池掩码都未设定或都设定为 255.255.255.255。例如: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255。 如果使用建议的地址掩码,则可能会忽略 VPN 配置所采用的某些路由。若要避免发生这种情况,请确保路由表包含所有必要的路由,并且验证子网地址可以访问,然后再进行部署。 应用程序版本:客户端软件版本会被发送到服务器,使服务器能够根据设备的软件版本接受或拒绝连接。 横幅:横幅(如果是在服务器上配置的)会显示在设备上,用户必须接受它,否则会断开连接。 分离隧道:支持。 分离 DNS:支持。 默认域:支持。 发布日期:2022 年 4 月 21 日另请参阅在 Apple 设备中使用 VPN 代理和证书配置Apple 设备的 VPN 设置概览 |
CopyRight 2018-2019 实验室设备网 版权所有 |