Apple 平台部署
- 歡迎使用
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Apple 裝置的 Cisco IPsec VPN 設定
請使用此節資訊來設定與 iOS、iPadOS 和 macOS 搭配使用的 Cisco VPN 伺服器。三者皆支援 Cisco 網路防火牆 Adaptive Security Appliance 5500 Series 和 Private Internet Exchange。iOS、iPadOS 和 macOS 也支援安裝 IOS 12.4(15)T 或以上版本的 Cisco IOS VPN 路由器。VPN 3000 Series Concentrators 不支援 VPN 功能。
認證方式
iOS、iPadOS 和 macOS 支援下列認證方式:
預先共享密鑰 IPsec 認證(含使用
xauth
指令的認證)。IPsec 認證的用戶端與和伺服器憑證,包含使用
xauth
的選擇性使用者認證。混合認證,其中伺服器會提供憑證,而用戶端提供預先共享密鑰來進行 IPsec 認證。需有使用者認證並使用
xauth
提供,其包含認證方式的使用者名稱與密碼,以及 RSA SecurID。
認證群組
Cisco Unity 通訊協定使用認證群組,依據一組通用參數來將使用者分組。你應該為使用者建立認證群組。針對預先共享的密鑰和混合認證,群組名稱必須使用群組的共享密鑰(預先共享密鑰)作為群組密碼在裝置上完成設定。
使用憑證認證時,沒有共享密鑰。使用者群組會從憑證中的欄位決定。Cisco 伺服器設定可用來將憑證中的欄位對應到使用者群組。
RSA-Sig 在 ISAKMP(網際網路安全關聯與金鑰管理通訊協定)優先順序列表上必須具有最高的優先順序。
IPsec 設定與描述
你可以指定這些設定來定義 IPsec 的實作方式:
模式:通道模式。
IKE 交換模式:預先共享密鑰與混合認證適用「嚴格」模式,或憑證認證適用「主要」模式。
加密演算法:3DES、AES-128 或 AES256。
認證演算法:HMAC-MD5 或 HMAC-SHA1。
Diffie-Hellman 群組:預先共享密鑰和混合認證需有 Group 2、Group 2(使用 3DES 與 AES-128)用於憑證認證,以及 Group 2 或 5(使用 AES-256)。
Perfect Forward Secrecy(PFS):針對 IKE 階段 2,如果使用 PFS,則「Diffie-Hellman 群組」必須與 IKE 階段 1 使用的群組相同。
模式設定:必須啟用。
斷線端偵測:建議。
標準虛擬網址轉換:已支援且可啟用(不支援 IPsec over TCP)。
負載平衡:已支援且可啟用。
階段 1 的更新密鑰:目前不支援。建議你將伺服器上的更新密鑰時間設為一小時。
ASA 位址遮罩:確定所有裝置的位址庫遮罩並未設定,或者設為 255.255.255.255。例如:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255
。若你使用建議的位址遮罩,可能會忽略一些由 VPN 設定所假設的路徑。若要避免此情形,請確定你的路徑規劃表包含所有必要的路徑,並確定子網路位址在部署前可供連接。
應用程式版本:用戶端軟體版本會傳送給伺服器,依據裝置軟體版本允許伺服器接受或拒絕連線。
橫幅:提示標語(如果伺服器上有設定)會顯示在裝置上,而使用者必須接受或中斷連線。
分割通道:支援。
分割 DNS:支援。
預設網域:支援。