Indstilling af Cisco IPsec VPN til Apple-enheder

Brug dette afsnit til at konfigurere din Cisco VPN-server til brug med iOS, iPadOS og macOS, som understøtter Ciscos netværksfirewalls Adaptive Security Appliance 5500 Series og Private Internet Exchange. De understøtter også Cisco IOS VPN-routere med IOS version 12.4(15)T eller nyere. VPN 3000 Series Concentrators understøtter ikke VPN-funktioner.

Godkendelsesmetoder

iOS, iPadOS og macOS understøtter følgende godkendelsesmetoder:

IPsec-godkendelse med fælles nøgle og brugergodkendelse vha. kommandoen xauth.
Klient- og servercertifikater til IPsec-godkendelse med valgfri brugergodkendelse via xauth.
Hybridgodkendelse, hvor serveren udsteder et certifikat, og klienten leverer en fælles nøgle til IPsec-godkendelse. Der kræves brugergodkendelse, der foretages vha. xauth, som omfatter godkendelsesmetodens brugernavn med adgangskode og RSA SecurID.

Godkendelsesgrupper

Cisco Unity-protokollen bruger godkendelsesgrupper til at gruppere brugere baseret på et almindeligt sæt parametre. Du bør oprette en godkendelsesgruppe til brugere. Ved godkendelse med en fælles nøgle og hybridgodkendelse skal gruppenavnet konfigureres på enheden med gruppens fælles nøgle (shared secret) som gruppens adgangskode.

Der er ingen nøgle (shared secret), når der bruges certifikatgodkendelse. En brugers gruppe fastsættes ud fra felterne i certifikatet. Indstillingerne til Cisco-serveren kan bruges til at tildele felterne i et certifikat til brugergrupper.

RSA-Sig skal have højeste prioritet på prioritetslisten for ISAKMP (Internet Security Association and Key Management Protocol).

IPsec-indstillinger og -beskrivelser

Du kan angive disse indstillinger for at definere, hvordan IPsec skal implementeres:

Funktion: Kanalfunktion (tunnel).
IKE-udvekslingsfunktioner: Aggressiv funktion til godkendelse med fælles nøgle og hybridgodkendelse eller primær funktion til certifikatgodkendelse.
Krypteringsalgoritmer: 3DES, AES-128 eller AES256.
Godkendelsesalgoritmer: HMAC-MD5 eller HMAC-SHA1.
Diffie-Hellman Groups (Diffie-Hellman-grupper): Gruppe 2 kræves til fælles nøgle og hybridgodkendelse, gruppe 2 med 3DES og AES-128 til certifikatgodkendelse og gruppe 2 eller 5 med AES-256.
Perfect Forward Secrecy (PFS): Hvis PFS bruges til IKE fase 2, skal Diffie-Hellman Group være den samme som til IKE fase 1.
Konfiguration af funktion: Skal være slået til.
Registrering af død enhed: Anbefales.
NAT-standardgennemkrydsning: Understøttes og kan slås til (IPsec via TCP understøttes ikke).
Udjævning af belastning: Understøttes og kan slås til.
Gendannelse af nøgle i fase 1: Understøttes ikke i øjeblikket. Det anbefales at indstille tiden til gendannelse af nøglen til en time.
ASA-adressemaske: Sørg for, at alle adressegruppemasker til enheden er indstillet til 255.255.255.255, eller at ingen af dem er indstillet. F.eks.:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Hvis du bruger den anbefalede adressemaske, ignoreres muligvis nogle ruter, som VPN-konfigurationen benytter. For at undgå dette skal du sørge for, at din routingtabel indeholder alle nødvendige ruter, og bekræfte, at der er adgang til subnetadresserne inden implementeringen.
- Appversion: Klientsoftwarens version sendes til serveren, så serveren kan acceptere eller afvise forbindelser på basis af enhedens softwareversion.
- Banner: Banneret (hvis det er konfigureret på serveren) vises på enheden, og brugeren skal acceptere det eller afbryde forbindelsen.
- Opdelt kanal: Understøttet.
- Opdelt DNS: Understøttet.
- Standarddomæne: Understøttet.

Se ogsåBrug en konfiguration af proxy og certifikater til VPN på Apple-enheder Oversigt over VPN-indstillinger til enhedsadministration til Apple-enheder

Nyttig?

Implementering af Apples platforme

Indstilling af Cisco IPsec VPN til Apple-enheder

Godkendelsesmetoder

Godkendelsesgrupper

IPsec-indstillinger og -beskrivelser