Indstilling af Cisco IPsec VPN til Apple-enheder
Brug dette afsnit til at konfigurere din Cisco VPN-server til brug med iOS, iPadOS og macOS, som understøtter Ciscos netværksfirewalls Adaptive Security Appliance 5500 Series og Private Internet Exchange. De understøtter også Cisco IOS VPN-routere med IOS version 12.4(15)T eller nyere. VPN 3000 Series Concentrators understøtter ikke VPN-funktioner.
Godkendelsesmetoder
iOS, iPadOS og macOS understøtter følgende godkendelsesmetoder:
IPsec-godkendelse med fælles nøgle og brugergodkendelse vha. kommandoen
xauth.Klient- og servercertifikater til IPsec-godkendelse med valgfri brugergodkendelse via
xauth.Hybridgodkendelse, hvor serveren udsteder et certifikat, og klienten leverer en fælles nøgle til IPsec-godkendelse. Der kræves brugergodkendelse, der foretages vha.
xauth, som omfatter godkendelsesmetodens brugernavn med adgangskode og RSA SecurID.
Godkendelsesgrupper
Cisco Unity-protokollen bruger godkendelsesgrupper til at gruppere brugere baseret på et almindeligt sæt parametre. Du bør oprette en godkendelsesgruppe til brugere. Ved godkendelse med en fælles nøgle og hybridgodkendelse skal gruppenavnet konfigureres på enheden med gruppens fælles nøgle (shared secret) som gruppens adgangskode.
Der er ingen nøgle (shared secret), når der bruges certifikatgodkendelse. En brugers gruppe fastsættes ud fra felterne i certifikatet. Indstillingerne til Cisco-serveren kan bruges til at tildele felterne i et certifikat til brugergrupper.
RSA-Sig skal have højeste prioritet på ISAKMP-prioritetslisten (Internet Security Association and Key Management Protocol).
IPsec-indstillinger og -beskrivelser
Du kan angive disse indstillinger for at definere, hvordan IPsec skal implementeres:
Funktion: Kanalfunktion (tunnel).
IKE-udvekslingsfunktioner: Aggressiv funktion til godkendelse med fælles nøgle og hybridgodkendelse eller primær funktion til certifikatgodkendelse.
Krypteringsalgoritmer: 3DES, AES-128 eller AES256.
Godkendelsesalgoritmer: HMAC-MD5 eller HMAC-SHA1.
Diffie-Hellman Groups (Diffie-Hellman-grupper): Gruppe 2 kræves til fælles nøgle og hybridgodkendelse, gruppe 2 med 3DES og AES-128 til certifikatgodkendelse og gruppe 2 eller 5 med AES-256.
Perfect Forward Secrecy (PFS): Hvis PFS bruges til IKE fase 2, skal Diffie-Hellman Group være den samme som til IKE fase 1.
Konfiguration af funktion: Skal være slået til.
Registrering af død enhed: Anbefales.
NAT-standardgennemkrydsning: Understøttes og kan slås til (IPsec via TCP understøttes ikke).
Udjævning af belastning: Understøttes og kan slås til.
Gendannelse af nøgle i fase 1: Understøttes ikke i øjeblikket. Det anbefales at indstille tiden til gendannelse af nøglen til en time.
ASA-adressemaske: Sørg for, at alle adressegruppemasker til enheden er indstillet til 255.255.255.255, eller at ingen af dem er indstillet. F.eks.:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Hvis du bruger den anbefalede adressemaske, ignoreres muligvis nogle ruter, som VPN-konfigurationen benytter. For at undgå dette skal du sørge for, at din routingtabel indeholder alle nødvendige ruter, og bekræfte, at der er adgang til subnetadresserne inden implementeringen.
Appversion: Klientsoftwarens version sendes til serveren, så serveren kan acceptere eller afvise forbindelser på basis af enhedens softwareversion.
Banner: Banneret (hvis det er konfigureret på serveren) vises på enheden, og brugeren skal acceptere det eller afbryde forbindelsen.
Opdelt kanal: Understøttet.
Opdelt DNS: Understøttet.
Standarddomæne: Understøttet.