Cisco anyconnect mac os как настроить

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Как пользоваться Cisco AnyConnect

3 минуты чтения

Сейчас все большие и больше людей начинают работать из дома на своих корпоративных или личных устройствах. И часто таким сотрудникам нужен доступ в корпоративную сеть. С помощью Cisco AnyConnect Secure Mobility можно предоставить необходимый удаленный доступ, при этом обеспечив необходимый уровень безопасности. В этой статье мы расскажем как установить Cisco AnyConnect и как с его помощью подключиться к VPN.

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Обзор Cisco AnyConnect

Cisco AnyConnect это VPN клиент (который является развитием Cisco VPN Client), позволяющий вам устанавливать защитное подключение к корпоративной сети. Cisco AnyConnect включает в себя такие функции, как удаленный доступ, контроль состояния, функции веб-безопасности и защита в роуминге.

Клиент доступен на огромном количестве платформ:

Интересная особенность AnyConnect заключается в том, что это модульный программный продукт. Он не только обеспечивает VPN-доступ через Secure Sockets Layer (SSL) и IPsec IKEv2, но также обеспечивает повышенную безопасность с помощью различных встроенных модулей. Помимо VPN-подключения, основные преимущества AnyConnect включают безопасность конечных точек для предприятий, телеметрию, веб-безопасность, управление доступом к сети и так далее.

Установка Cisco AnyConnect

Загрузите последнюю версию Cisco AnyConnect. Обратите внимание, что вам нужно иметь активную подписку AnyConnect Apex, Plus или VPN Only с Cisco для загрузки последней версии программного обеспечения клиента AnyConnect VPN. Просто войдите в систему, используя свой идентификатор Cisco и пароль, и вы сможете загрузить программное обеспечение без проблем.

Если вы являетесь пользователем Windows 10, вы можете легко загрузить VPN-клиент Cisco AnyConnect из Магазина Windows. Существует никаких ограничений на загрузку, и это бесплатно.

Для обычных конечных пользователей чаще всего установочные файлы предоставляют администраторы, поэтому для них нет необходимости скачивать их отдельно. Также в большинстве случаев администраторы сами устанавливают AnyConnect на ПК пользователя, поэтому можно перейти сразу к следующему пункту.

Версия клиента AnyConnect для Windows поставляется в виде Zip-файла. Вам нужно будет разархивировать все содержимое zip-файла, чтобы запустить установку. Есть два установочных файла, setup.hta и setup.exe . Запуск любого из файлов установки откроет окно выбора установщика:

Вы можете выбрать компоненты, которые вы хотите установить с этой версией клиента Cisco VPN.

Подключение Cisco AnyConnect

Использовать AnyConnect с точки зрения клиента довольно просто. Вам просто нужно запустить AnyConnect, указать URL-адрес сервера, имя пользователя и пароль, и он просто подключится.

Мы дадим вам наш пошаговый обзор того, как запустить AnyConnect и отключиться от VPN при необходимости.

Убедитесь, что вы успешно установили AnyConnect. Для запуска VPN-клиента выполните следующие действия:

• Откройте Cisco AnyConnect Secure Mobility Client из меню Пуск
• Выберите соединение из выпадающего меню. Если это поле пустое, вы должны вручную ввести URL-адрес сервера. В большинстве случаев сетевые администраторы настраивают профиль VPN для пользователей. Таким образом, подключение по умолчанию будет автоматически указано в раскрывающемся меню
• Нажмите Подключиться или Connect
• Вам будет предложено ввести имя пользователя и пароль
• После ввода учетных данных нажмите ОК

Как только соединение установлено, AnyConnect автоматически свернет себя в системном трее. Теперь вы можете безопасно просматривать ресурсы в удаленной сети. Весь трафик проходит через VPN-туннель, что означает, что никто не может прочитать информацию, кроме сервера и клиента.

Чтобы отключиться от VPN, дважды щелкните значок AnyConnect на панели задач и нажмите кнопку Отключить или Disconnect.

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Источник

Install Cisco AnyConnect Secure Mobility Client on a Mac Computer

Available Languages

Download Options

Objective

This article shows you how to download and install the Cisco AnyConnect Secure Mobility Client version 4.9.x on a Mac Computer.

This article is only applicable to the RV34x series routers, not Enterprise products.

Introduction

AnyConnect Secure Mobility Client is a modular endpoint software product. It not only provides Virtual Private Network (VPN) access through Secure Sockets Layer (SSL) and Internet Protocol Security (IPsec) Internet Key Exchange version2 (IKEv2) but also offers enhanced security through various built-in modules.

AnyConnect Software Version

Install AnyConnect Secure Mobility Client

This toggled section provides details and tips for beginners.

Prerequisites

• You need to purchase client license(s) from a partner like CDW or through your company’s device procurement. There are options for 1 user (L-AC-PLS-3Y-S5) or packets of licenses including one year for 25 users (AC-PLS-P-25-S). Other license options available as well, including perpetual licenses. For more details on licensing, check out the links in the Licensing Information section below.
• Download the latest version of firmware available for your router.

Make sure your operating system has one of the following versions: macOS 11.x (including Big Sur when using the latest version of AnyConnect firmware), 10.15, 10.14, and 10.13 (only 64-bit is supported from 10.15 and later). If you are not sure if a macOS version is supported, you can check the release notes. View the release notes from May 2021.

Check these other articles out!

Applicable Devices | Software Version

• RV340 | 1.0.03.21 (Download latest)
• RV340W | 1.0.03.21 (Download latest)
• RV345 | 1.0.03.21 (Download latest)
• RV345P | 1.0.03.21 (Download latest)

Licensing Information

AnyConnect client licenses allow the use of the AnyConnect desktop clients as well as any of the AnyConnect mobile clients that are available. You will need a client license to download and use the Cisco AnyConnect Secure Mobility Client. A client license enables the VPN functionality and are sold in packs of 25 from partners like CDW or through your company’s device procurement.

Want to know more about AnyConnect licensing? Here are some resources:

Step 1

Open a web browser and navigate to the Cisco Software Downloads webpage.

Step 2

In the search bar, start typing ‘Anyconnect’ and the options will appear. Select AnyConnect Secure Mobility Client v4.x.

Step 3

Download the Cisco AnyConnect VPN Client. Most users will select the AnyConnect Pre-Deployment Package (Mac OS) option.

The images in this article are for AnyConnect v4.9.x, which was latest version at the time of writing this document.

Step 4

Double-click the installer.

Step 5

Step 6

Go over the Supplemental End User License Agreement and then click Continue.

Step 7

Step 8

Choose the components to be installed by checking or unchecking the corresponding check boxes. All components are installed by default.

The items you select in this screen will appear as options in AnyConnect. If deploying AnyConnect for end-users, you may want to consider deselecting options.

Step 9

Step 10

Step 11

(Optional) Enter your password in the Password field.

Step 12

Click Install Software.

Step 13

You have now successfully installed the AnyConnect Secure Mobility Client Software on your Mac computer.

Additional Resources

AnyConnect App

To try out AnyConnect on mobile devices, the App can be downloaded from Google Play store or Apple store.

View a video related to this article.

Источник

Часто задаваемые вопросы по AnyConnect: Туннели, поведение при повторном подключении, таймер неактивности

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе приведена подробная важная информация о туннелях Cisco AnyConnect Secure Mobility Client (AnyConnect), поведении при повторном подключении, функции обнаружении неактивных одноранговых узлов (DPD) и таймере неактивности.

Общие сведения

Типы туннелей

Для подключения сеанса AnyConnect доступно два метода:

• Через портал (без клиента)
• С помощью автономного приложения

В зависимости от метода подключения на ASA создается три различных туннеля (сеанса), каждый из которых выполняет конкретную функцию:

Туннель без клиента (родительский туннель): Это основной сеанс, создаваемый в процессе согласования для настройки маркера сеанса, который требуется в том случае, если из-за проблем с подключением к сети или гибернации необходимо повторное подключение. В зависимости от метода подключения Cisco Adaptive Security Appliance (ASA) помечает сеанс как сеанс без клиента (запуск в Интернете через портал) или родительский (автономное приложение AnyConnect).

Примечание. Родительский сеанс AnyConnect представляет собой сеанс, в котором для клиента отсутствует активное подключение. По сути используется аналогичный cookie-файлам принцип. То есть, это запись в базе данных на ASA, которая сопоставляется с подключением с конкретного клиента. Если клиент завершает работу или переходит в режим сна, туннели (протоколы IPsec/Internet Key Exchange (IKE)/TLS/DTLS) отключаются, однако родительский туннель остается активным до тех пор, пока не сработает таймер неактивности или не будет достигнуто максимальное число попыток подключения. Таким образом пользователь сможет переподключиться без повторной проверки подлинности.

SSL-туннель: Сначала устанавливается SSL-соединение, и данные передаются посредством этого соединения в то время, как выполняется попытка установить DTLS-соединение. Как только DTLS-соединение будет установлено, клиент будет отправлять пакеты через DTLS-соединение вместо SSL. Управляющие пакеты, с другой стороны, всегда доставляются через соединение SSL.

DTLS-туннель: Когда DTLS-туннель полностью установлен, все данные будут перемещены в DTLS-туннель, а SSL-туннель будет использоваться только для случайного трафика канала управления. Если в протоколе UDP возникают проблемы, DTLS-туннель будет отключен, а все данные снова перенаправлены через SSL-туннель.

Пример вывода из ASA

Вот пример выходных данных для этих двух способов подключения.

Подключение с помощью AnyConnect посредством запуска в Интернете:

Подключение с помощью AnyConnect посредством автономного приложения:

DPD и таймеры неактивности

Когда сеанс считается неактивным?

Сеанс считается неактивным (и значение таймера начинает увеличиваться) только в том случае, если SSL-туннель больше не существует в сеансе. Таким образом каждый сеанс имеет метку времени, указывающую время закрытия SSL-туннеля.

Когда ASA закрывает туннель SSL?

Доступно два способа отключения SSL-туннеля:

1. DPD — DPD используются клиентом для обнаружения сбоя связи между клиентом AnyConnect и головным узлом ASA. DPD также используются для удаления ресурсов с ASA. Это гарантирует, что головной узел не сохраняет соединения в базе данных, если конечная точка не реагирует на запросы проверки связи от DPD. Если ASA отправляет DPD на конечную точку и конечная точка отвечает, действие не выполняется. Если конечная точка не реагирует на запрос, ASA закрывает туннель в базе данных сеанса и переводит сеанс в режим «Ожидает возобновления». То То Это означает, что на головном узле запущено DPD, и головной узел больше не обменивается данными с клиентом. В таких ситуациях ASA поддерживает работу родительского туннеля, чтобы пользователи могли перемещаться по сети, переходить в режим сна и восстанавливать сеанс. Эти сеансы негативно сказываются на активных подключенных сеансах и удаляются в следующих случаях:
   • User Idle Timeout
   • Клиент возобновляет исходный сеанс и правильно выполняет выход из системы

   Чтобы настроить DPD, используйте команду anyconnect dpd-interval с атрибутами WebVPN в настройках групповой политики. По умолчанию DPD включен, для него задано значение «30 секунд», как для ASA (шлюз), так и для клиента.

Тайм-аут по неактивности- Еще одна ситуация, когда SSL-туннель отключается — по истечении тайм-аута по неактивности для этого туннеля. Однако следует помнить, что тайм-аут по неактивности должен истечь не только для SSL-туннеля, но и для DTLS-туннеля. Если для DTLS-туннеля тайм-аут не истек, SSL-туннель сохраняется в базе данных.

Почему необходимо активировать проверку активности, если уже включены ВЗВ?

Как объяснялось ранее, DPD не уничтожает сеанс AnyConnect как таковой. Он просто уничтожает туннель (в этом сеансе) таким образом, чтобы клиент мог установить туннель повторно. Если клиент не может повторно установить туннель, сеанс сохраняется до тех пор, пока таймер неактивности не истечет на ASA. Поскольку DPD включены по умолчанию, возможен частый разрыв соединения у заказчиков из-за потоков, которые закрываются в одном направлении с NAT, межсетевыми экранами и прокси-серверами. Это можно предотвратить, если задать низкое значение интервала между проверками активности (например, 20 с).

Поведение клиента AnyConnect при повторных подключениях

AnyConnect попытается восстановить разорванное соединение. Настройка невозможна, определяется автоматически. Пока на ASA действует сеанс VPN и AnyConnect может повторно установить физическое соединение, сеанс VPN возобновляется.

Функция повторного подключения действует вплоть до истечения тайм-аута сеанса или тайм-аута отключения, который обычно равен тайм-ауту по неактивности (или 30 минутам, если тайм-аут не задан). По истечении тайм-аута не следует продолжать работу, так как ASA закроет сеанс VPN. Клиент будет продолжать работу, пока он считает, что сеанс VPN в ASA все еще существует.

AnyConnect выполнит повторное подключение независимо от изменений сетевого интерфейса. Изменение IP-адреса сетевой интерфейсной платы (NIC) или переключение соединения с одной сетевой платы на другую (с беспроводной сети на проводную или наоборот) не имеет значения.

Если вы рассматриваете возможность повторно подключить процесс для AnyConnect, следует помнить о трех уровнях сеансов. Кроме того, поведение каждого из этих сеансов при повторном подключении слабо связано, то есть, каждый из них можно установить повторно независимо от элементов сеанса на предыдущем уровне:

1. Повторное подключение TCP или UDP [OSI уровня 3]
2. TLS, DTLS или IPSec(IKE+ESP) [OSI уровня 4] — восстановление TLS не поддерживается.
3. VPN [OSI уровня 7] — маркер сеанса VPN используется как маркер проверки подлинности для повторного установления сеанса VPN по защищенному каналу в случае сбоя. Это запатентованная схема, которая по сути очень похожа на использование маркера Kerberos или сертификата клиента для проверки подлинности. Такой маркер является уникальным и генерируется криптографически головным узлом, который содержит идентификатор сеанса, а также криптографически сгенерированную произвольную информацию. Она передается клиенту в рамках первоначального установления VPN после организации защищенного канала до головного узла. Он действует в течение срока действия сеанса на головном узле и сохраняется в память клиента (это привилегированный процесс).

Совет: В этом выпуске и более поздних выпусках ASA предусмотрен более надежный криптографический маркер сеанса: 9.1(3) и 8.4(7.1)

Фактический процесс

Таймер отключения запускается в момент возникновения сбоя в сетевом соединении. Клиент AnyConnect будет продолжать попытки повторного подключения до тех пор, пока не истечет этот таймер. Для таймера отключения задано самое низкое значение групповой политики тайм-аута по неактивности или максимального времени подключения.

Значение этого таймера отображается в окне просмотра событий сеанса AnyConnect в процессе согласования:

В этом примере сеанс должен отключиться через две минуты (120 с). Это можно проверить в журнале сообщений AnyConnect:

Совет: Чтобы клиент, который пытается подключиться повторно, получал отклик от ASA, сеанс родительского туннеля должен остаться в базе данных AnyConnect. В случае переключения при отказе также необходимо включить DPD для активации поведения при повторном подключении.

Как следует из предыдущих сообщений, при повторном подключении произошел сбой. Однако, если повторное подключение выполнено успешно, происходит следующее:

1. Родительский туннель остается без изменений; повторное согласование туннеля не выполняется, поскольку этот туннель обслуживает маркер сеанса, требуемый для повторного подключения сеанса.
2. Создаются новые SSL- и DTLS-сеансы, и для повторного подключения используются другие исходные порты.
3. Восстанавливаются все значения тайм-аута по неактивности.
4. Тайм-аут по неактивности восстановлен.

Внимание. : Ознакомьтесь с информацией об идентификаторе ошибки Cisco CSCtg33110. При повторном подключении AnyConnect база данных сеанса VPN не обновляет общедоступный IP-адрес в базе данных сеанса ASA.

При сбое повторного подключения отображается следующее сообщение об ошибке:

Поведение клиента AnyConnect при приостановке работы системы

Доступна функция перемещения, которая позволяет AnyConnect подключаться повторно после выхода компьютера из режима сна. Клиент продолжает попытки до тех пор, пока не истечет тайм-аут сеанса или тайм-аут по неактивности. Клиент также не отключает туннель сразу после перехода системы в режим гибернации или в режим ожидания. Для клиентов, которым не требуется эта функция, рекомендуется задать более низкое значение тайм-аута сеанса, чтобы предотвратить повторное подключение при выходе из режима сна/возобновлении работы.

Примечание. После исправления ошибки с идентификатором Cisco CSCso17627 (версия 2.3(111)+) добавлена ручка управления, которая позволяет отключить функцию повторного подключения при возобновлении работы.

Поведением AnyConnect при автоматическом повторном подключении можно управлять с помощью XML-профиля AnyConnect, используя следующую настройку:

После внесения этого изменения AnyConnect попытается выполнить повторное подключение при выходе компьютера из режима сна. Для параметра AutoReconnectBehavior по умолчанию задано значение DisconnectOnSuspend. Это поведение отличается от поведения AnyConnect вып. 2.2. Для повторного подключения после возобновления работы сетевой администратор должен настроить параметр ReconnectAfterResume в профиле или предоставить пользователям права для настройки параметра AutoReconnectBehavior в профиле.

Вопросы и ответы

В1. Для DPD Anyconnect предусматривается интервал, но не предполагаются повторные попытки. Сколько пакетов должно быть пропущено, прежде чем приемный конец линии будет помечен как неактивный?

O. Должно быть пропущено три повторных попытки/четыре пакета.

В2. Отличается ли обработка DPD от AnyConnect с IKEv2?

О. Да, IKEv2 предусматривает фиксированное количество повторных попыток — шесть повторных попыток/семь пакетов.

В3. Выполняет ли родительский туннель AnyConnect другие задачи?

A. Помимо того, что родительский туннель выполняет функцию сопоставления в ASA, он также используется для передачи обновлений образа AnyConnect из ASA на клиент, поскольку для клиента нет активного соединения в процессе обновления.

В4. Можно ли отфильтровать и закрыть только неактивные сеансы?

О. Можно отфильтровать неактивные сеансы с помощью команды show vpn-sessiondb anyconnect filter inactive. Однако нет такой команды, которая позволяет выйти только из неактивных сеансов. Вместо этого необходимо выйти из конкретных сеансов или из всех сеансов конкретного пользователя (индекс — имя), протокола или группы туннелей. Запрос на расширение (идентификатор ошибки Cisco CSCuh55707) отправлен в целях добавления опции для выхода только из неактивных сеансов.

В5. Что происходит с родительским туннелем, когда истекает тайм-аут по неактивности для туннелей DTLS и TLS?

О. Таймер «Оставшийся тайм-аут по неактивности» в родительском сеансе AnyConnect будет сброшен после отключения SSL- или DTLS-туннеля. Это позволяет использовать «тайм-аут по неактивности» как тайм-аут «разъединения». Таким образом данный тайм-аут становится периодом разрешенного повторного подключения клиента. Если клиент не выполнит повторное подключение в этот срок, родительский туннель будет закрыт.

В6. Какой смысл поддерживать сеанс после отключения сеанса таймерами DPD и почему ASA не высвобождает IP-адрес?

О. Головной узел не знает о состоянии клиента. В этом случае ASA ожидает повторного подключения клиента вплоть до завершения сеанса по тайм-ауту неактивности. DPD не уничтожает сеанс AnyConnect; он просто уничтожает туннель (в этом сеансе) таким образом, чтобы клиент мог установить туннель повторно. Если клиент не установит туннель повторно, сеанс сохраняется вплоть до истечения таймера неактивно.

Если есть опасения относительно использования сеансов, задайте небольшое количество одновременных входов (например, один). Эта настройка позволяет пользователям, сеансы которых сохранены в базе данных, удалять свои предыдущие сеансы при повторном входе.

В7. Что происходит при отказе ASA и переходе из активного состояния в состояние ожидания?

О. Изначально при установлении сеанса три туннеля (родительский, SSL и DTLS) реплицируются на резервное устройство; после аварийного переключения ASA сеасны DTLS и TLS устанавливаются повторно, поскольку они не синхронизируются с резервным устройством, однако все потоки данных через эти туннели должны осуществляться бесперебойно после повторной установки сеанса AnyConnect.

Для SSL-/DTLS-сеансов состояние не отслеживается, поэтому состояние SSL и номер последовательности не сохраняются и это может обойтись довольно дорого. То есть, эти сеансы необходимо устанавливать повторно с нуля, и это осуществляется с помощью родительского сеанса и маркера сеанса.

Совет: В случае переключения при отказе клиентские SSL-сеансы VPN не передаются на резервное устройство, если проверки активности отключены.

В8. Почему существует два разных тайм-аута (тайм-аут по неактивности и тайм-аут по отключению), если оба этих параметра имеют одинаковое значение?

О. При разработке протоколов предусмотрено два различных вида тайм-аута:

• Тайм-аут по неактивности — тайм-аут по неактивности срабатывает, если данные не передаются посредством соединения.
• Тайм-аут разъединения — тайм-аут разъединения используется, когда вы закрываете сеанс VPN, поскольку соединение разорвано и не подлежит восстановлению.

Отключенный тайм-аут никогда не использовался в ASA. Вместо этого ASA отправляет клиенту значение тайм-аута по неактивности как для тайм-аута по неактивности, так и для тайм-аута разъединения.

Клиент не использует тайм-аут по неактивности, так как его обрабатывает ASA. Значение таймаута разъединения, которое совпадает со значением тайм-аута по неактивности, позволяет клиенту узнать, когда следует прекратить попытки повторного подключения, так как ASA отключит сеанс.

При отсутствии активного соединения с клиентом ASA завершит сеанс по тайм-ауту по неактивности. Основная причина того, что тайм-аут разъединения не используется в ASA — желание избежать добавления еще одного таймера для каждого сеанса VPN и связанного с этим увеличения накладных расходов в ASA (хотя в обоих экземплярах мог использоваться один таймер, но с разными значениями тайм-аута, поскольку эти два варианта исключают друг друга).

Единственное значение, добавленное для тайм-аута разъединения, позволяет администратору задавать разные значения тайм-аута в случае отсутствия активного соединения с клиентом и неактивности клиента. Как уже упоминалось ранее, эти сведения приведены в описании ошибки с идентификатором Cisco CSCsl52873.

В9. Что происходит при приостановке работы клиентского компьютера?

О. По умолчанию AnyConnect пытается восстановить VPN-соединение при разрыве подключения. AnyConnect не пытается восстановить VPN-соединение после возобновления работы системы по умолчанию. Дополнительные сведения см. в разделе Поведение клиента AnyConnect при приостановке работы системы.

В10. Выполняется ли переключение виртуального адаптера AnyConnect при повторном подключении и изменяется ли таблица маршрутизации в целом?

О. Повторное подключение на уровне туннеля также не выполняется. При этом заново устанавливается только сеанс SSL или DTLS. Попытки прекращаются примерно через 30 секунд. В случае отказа DTLS соединение попросту разрывается. При сбое SSL выполняется повторное подключение на уровне сеанса. При повторном подключении на уровне сеанса маршрутизация полностью изменяется. Если при повторном подключении не изменился назначенный адрес клиента или другие параметры конфигурации, влияющие на виртуальный адаптер, виртуальный адаптер не отключается. Хотя параметры конфигурации, полученные от ASA вряд ли изменятся, изменения в физическом интерфейсе, который используется для VPN-соединения (например, при откреплении и переходе из проводной сети на беспроводную) могут привести к изменению значения максимального блока передачи данных (MTU) для VPN-соединения. Значение MTU влияет на ВА, и любые изменения этого значения приводят к отключению и повторному включению виртуального адаптера.

В11. ? Переподключаться автоматически? обеспечить устойчивость сеансов связи? Если да, добавлены ли в клиент AnyConnect другие дополнительные функции?

О. AnyConnect не совершает никаких «чудес» в плане обеспечения устойчивости сеансов для приложений. Однако VPN-соединение восстанавливается автоматически почти сразу после возобновления работы сетевого подключения к защищенному шлюзу, при условии что тайм-аут по неактивности и тайм-аут сеанса, настроенные в ASA, еще не истекли. В отличие от клиента IPsec при автоматическом повторном подключении сохраняется тот же IP-адрес. Пока AnyConnect пытается выполнить повторное подключение, виртуальный адаптер AnyConnect остается включенным и сохраняет состояние «Подключено». Таким образом, IP-адрес клиента все время остается активным на клиентском компьютере, что обеспечивает его постоянство. Однако приложения на клиентском компьютере, вероятно, столкнутся с потерей подключения к серверам в сети предприятия, если восстановление VPN-соединения займет слишком много времени.

В12. Эта функция работает во всех версиях Microsoft Windows (Vista, 32-разрядные и 64-разрядные версии, XP). Доступна ли поддержка Macintosh? Доступна ли поддержка OS X 10.4?

О. Эта функция поддерживается в Mac и Linux. Ранее с Mac и Linux возникали проблемы, однако в последнее время работа функции усовершенствована, в частности в Mac. Для Linux еще требуется дополнительная поддержка (CSCsr16670, CSCsm69213), однако базовые функции доступны и в этих ОС. Что касается Linux, AnyConnect не распознает приостановку и возобновление работы (переход в режим сна и выход из него). В результате происходит следующее:

• Профиль/значение параметра AutoReconnectBehavior не поддерживается в Linux без поддержки приостановки/возобновления работы, таким образом, повторное подключение всегда выполняется после приостановки/возобновления работы.
• На компьютерах Microsoft Windows и Macintosh повторное подключение выполняется на уровне сеанса сразу после возобновления работы, что позволяет быстрее перейти на другой физический интерфейс. В Linux повторное подключение сначала выполняется на уровне туннеля (SSL и DTLS), поскольку AnyConnect не распознает приостановку/возобновление работы, и поэтому повторное подключение может занимать немного больше времени. Однако повторное подключение выполняется и в Linux.

В13. Существуют ли ограничения подключения для функции (проводная сеть, Wi-Fi, 3G и т. д.)? Поддерживается ли переключение между режимами (из Wi-Fi в 3G, из 3G в проводную сеть и т. д.)?

О. AnyConnect не привязан к конкретному физическому интерфейсу в течение срока действия VPN-соединения. Если связь с физическим интерфейсом, используемым для VPN-подключения, потеряна или число попыток повторного подключения к нему превышает порог сбоя, в этом случае AnyConnect больше не будет использовать этот интерфейс и попытается до истечения тайм-аута по неактивности или таймеров сеанса подключиться к защищенному шлюзу через любой доступный интерфейс. Обратите внимание, что изменения в физическом интерфейсе могут привести к изменению значения MTU для виртуального адаптера, что в свою очередь вызывает отключение и повторное подключение ВА, но при этом используется тот же IP-адрес клиента.

В случае сбоя в работе сети (сбой интерфейса, изменения в сетях, изменения в интерфейсах) AnyConnect попытается выполнить повторное подключение; при повторном подключении повторная проверка подлинности не требуется. Это правило действует также для коммутатора физических интерфейсов:

В14. Как выполняется проверка подлинности при возобновлении работы?

О. При возобновлении работы маркер, который прошел проверку подлинности и сохраняется в течение срока действия сеанса, будет отправлен повторно, и сеанс после этого будет восстановлен.

В15. При повторном подключении выполняется авторизация LDAP или только проверка подлинности?

О. Эта операция выполняется только при первом подключении.

В16. Запускается ли процедура предварительного входа в систему и/или сканирования хоста при возобновлении работы?

О. Нет, эти процедуры выполняются только при первом подключении. Аналогичные возможности планируется реализовать в рамках будущей функции периодической оценки ситуации.

В17. Учитывая балансировку нагрузки VPN и возобновление подключения, будет ли выполнено повторное подключение клиента непосредственно к тому члену кластера, к которому он был подключен ранее?

О: Да, это верно, поскольку повторное разрешение имени хоста посредством DNS не выполняется для восстановления существующего сеанса.

Источник