Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
Apple 设备的 Cisco IPsec VPN 设置
参考本节来配置 Cisco VPN 服务器,以便与 iOS、iPadOS 和 macOS 配合使用,三者都支持 Cisco 网络防火墙 Adaptive Security Appliance 5500 Series 和 Private Internet Exchange,还支持 IOS v12.4(15)T 或更高版本的 Cisco IOS VPN 路由器。VPN 3000 系列集中器不支持 VPN 功能。
认证方式
iOS、iPadOS 和 macOS 支持以下认证方式:
预共享密钥 IPsec 认证,通过
xauth命令进行用户认证。利用客户端和服务器证书进行 IPSec 认证,可选择通过
xauth进行用户认证。混合认证,服务器提供证书,客户端提供预共享密钥,进行 IPsec 认证。要求用户认证(通过
xauth提供),包括认证方式的用户名和密码以及 RSA SecurID。
认证群组
Cisco Unity 协议根据一组常见参数,使用认证群组来分组用户。应创建一个针对用户的认证群组。对于预共享密钥认证和混合认证,群组名称必须在设备上配置,并且使用群组的共享密钥(预共享密钥)作为群组密码。
使用证书认证时,没有共享密钥。用户的群组根据证书中的栏位来确定。Cisco 服务器设置可用于将证书中的栏位对应到用户群组。
在 ISAKMP(互联网安全关系钥匙管理协议)优先级列表中,RSA-Sig 必须拥有最高优先级。
IPsec 设置和描述
你可以指定这些设置以定义 IPsec 的实施方式:
模式:隧道模式。
IKE 交换模式:“积极模式”(适用于预共享密钥认证和混合认证)或“主模式”(适用于证书认证)。
加密算法:3DES、AES-128 或 AES256。
认证算法:HMAC-MD5 或 HMAC-SHA1。
Diffie-Hellman 群组:预共享密钥认证和混合认证需要群组 2,证书认证需要配合 3DES 和 AES-128 使用群组 2,以及配合 AES-256 使用群组 2 或群组 5。
完全正向保密 (PFS):对于 IKE 阶段 2,如果使用 PFS,则 Diffie-Hellman 群组必须与用于 IKE 阶段 1 的群组相同。
模式配置:必须启用。
失效对等体检测:推荐。
标准 NAT 遍历:受支持并且可以启用(不支持 IPsec over TCP)。
负载均衡:受支持且可以启用。
阶段 1 的密钥更新:当前不受支持。建议将服务器上的密钥更新时间设定为一小时。
ASA 地址掩码:确保所有设备地址池掩码都未设定或都设定为 255.255.255.255。例如:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255。如果使用建议的地址掩码,则可能会忽略 VPN 配置所采用的某些路由。若要避免发生这种情况,请确保路由表包含所有必要的路由,并且验证子网地址可以访问,然后再进行部署。
应用程序版本:客户端软件版本会被发送到服务器,使服务器能够根据设备的软件版本接受或拒绝连接。
横幅:横幅(如果是在服务器上配置的)会显示在设备上,用户必须接受它,否则会断开连接。
分离隧道:支持。
分离 DNS:支持。
默认域:支持。