Persediaan VPN Cisco IPsec untuk peranti Apple
Gunakan bahagian ini untuk mengkonfigurasikan pelayan VPN Cisco untuk digunakan dengan iOS, iPadOS dan macOS, yang semuanya menyokong firewall rangkaian Cisco Adaptive Security Appliance 5500 Series dan Private Internet Exchange. Ia juga menyokong penghala VPN IOS Cisco dengan IOS versi 12.4(15)T atau lebih baharu. Penumpu Siri 3000 VPN tidak menyokong kemampuan VPN.
Kaedah pengesahan
iOS, iPadOS dan macOS menyokong kaedah pengesahan yang berikut:
Pengesahan kekunci IPsec pra dikongsi dengan pengesahan pengguna menggunakan perintah
xauth.Sijil klien dan pelayan untuk pengesahan IPsec, dengan pengesahan pengguna pilihan menggunakan
xauth.Pengesahan hibrid, yang pelayan memberikan sijil dan klien memberikan kunci pra dikongsi untuk pengesahan IPsec. Pengesahan pengguna diperlukan dan diberikan menggunakan
xauth, yang menyertakan nama pengguna dengan kata laluan kaedah pengesahan dan RSA SecurID.
Kumpulan pengesahan
Protokol Penyatuan Cisco menggunakan kumpulan pengesahan untuk mengumpulkan pengguna berdasarkan set parameter biasa. Anda seharusnya mencipta kumpulan pengesahan untuk pengguna. Untuk kunci pra dikongsi dan pengesahan hibrid, nama kumpulan mestilah dikonfigurasi pada peranti dengan rahsia dikongsi kumpulan (kunci pra dikongsi) sebagai kata laluan kumpulan.
Apabila menggunakan pengesahan sijil, tiada rahsia dikongsi. Kumpulan pengguna ditentukan daripada medan dalam sijil. Seting pelayan Cisco boleh digunakan untuk memetakan medan dalam sijil ke kumpulan pengguna.
RSA-Sig mesti menjadi keutamaan tertinggi pada senarai keutamaan ISAKMP (Protokol Pengurusan Perkaitan Keselamatan Internet dan Kekunci).
Seting dan perihalan IPsec
Anda boleh menentukan seting ini untuk mentakrifkan cara IPsec dilaksanakan:
Mod: Mod terowong.
Mod pertukaran IKE: Mod agresif untuk kunci pra dikongsi dan pengesahan hibrid, atau mod Utama untuk pengesahan sijil.
Algoritma penyulitan: 3DES, AES-128 atau AES256.
Algoritma pengesahan: HMAC-MD5 atau HMAC-SHA1.
Kumpulan Diffie-Hellman: Kumpulan 2 diperlukan untuk kunci pra dikongsi dan pengesahan hibrid, kumpulan 2 dengan 3DES dan AES-128 untuk pengesahan sijil dan kumpulan 2 atau 5 dengan AES-256.
Perfect Forward Secrecy (PFS): Untuk fasa 2 IKE, jika PFS digunakan, Kumpulan Diffie-Hellman mestilah sama yang digunakan untuk fasa 1 IKE.
Konfigurasi mod: Mesti didayakan.
Pengesanan setara mati: Disyorkan.
Penyusuran NAT standard: Disokong dan boleh didayakan (IPsec melalui TCP tidak disokong).
Pengimbangan muatan: Disokong dan boleh didayakan.
Penguncian kunci fasa 1: Tidak disokong sekarang. Ia disyorkan yang masa penguncian semula pada pelayan disetkan ke satu jam.
Topeng alamat ASA: Pastikan semua kelompok topeng alamat peranti adalah sama ada tidak disetkan, atau disetkan pada 255.255.255.255. Sebagai contoh:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Jika anda menggunakan topeng alamat yang disyorkan, sesetengah laluan oleh konfigurasi VPN mungkin diabaikan. Untuk mengelakkan ini, pastikan jadual penghalaan anda mengandungi semua laluan yang diperlukan dan pastikan alamat subjaringan boleh diakses sebelum pengerahan.
Versi aplikasi: Versi perisian klien dihantar ke pelayan, membenarkan pelayan menerima atau menolak sambungan berdasarkan versi perisian peranti.
Sepanduk: Sepanduk (jika dikonfigurasikan pada pelayan) dipaparkan pada peranti dan pengguna mestilah menerimanya atau memutuskan sambung.
Terowong pisahan: Disokong.
DNS pisahan: Disokong.
Domain lalai: Disokong.