思科ios10升级

AppleiOS版CiscoAnyConnect安全移动客户端4.
0.
x版本说明AppleiOS版AnyConnect版本说明2AppleiOS移动设备版AnyConnect2可用于AppleiOS的AnyConnect版本2支持的AppleiOS设备3在AppleiOS上升级AnyConnect4AppleiOS版AnyConnect4.
0.
07x的新功能5AppleiOS版旧版AnyConnect4.
0.
05x的新功能6AppleiOS版AnyConnect功能表11自适应安全设备要求14其他思科头端支持14已知问题和限制15AnyConnectMobile相关文档21Revised:October26,2017,AppleiOS版AnyConnect版本说明AppleiOS移动设备版AnyConnectAnyConnect安全移动客户端为远程用户提供与思科ASA5500系列的安全VPN连接.
通过该客户端,用户能够无缝、安全地远程访问企业网络,使安装的应用可如同直接连接到企业网络一般进行通信.
AnyConnect支持通过IPv4或IPv6隧道连接到IPv4和IPv6资源.
本文档适用于AnyConnect安全移动客户端和自适应安全设备(ASA)5500的管理员,为思科AnyConnect安全移动客户端管理员指南,版本4.
0提供补充,并为AppleiOS设备上运行的AnyConnect提供版本特定的信息.
该AnyConnect应用仅在AppleiTunesAppStore中提供.
思科不分发AnyConnect移动版应用,您也不能从ASA部署该移动应用,但是,您可以从ASA为桌面设备部署其他版本的AnyConnect,并同时支持此移动版本.
AnyConnect移动版支持策略思科支持应用商店当前提供的AnyConnect版本;但是,修复和增强功能仅在最新发行的版本中提供.
AnyConnect许可若要连接到ASA头端,需提供AnyConnect4.
xPlus或Apex许可证;试用许可证可用;请参阅思科AnyConnect订购指南.
有关最新的最终用户许可协议,请参阅思科终端用户许可协议,AnyConnect安全移动客户端版本4.
x.
有关我们的开源许可确认,请参阅思科AnyConnect安全移动客户端版本4.
0中使用的开源软件(适用于移动设备)可用于AppleiOS的AnyConnect版本AppleiOS版思科AnyConnect当前具有多个版本:CiscoAnyConnect这是此新应用的初始版本.
新思科AnyConnect是适用于AppleiOS的最新版本,建议使用此版本.
(在试用版周期中,这版AnyConnect命名为AnyConnect2017.
)我们建议对于AppleiOS10.
3及更高版本使用此版本.
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能.
为了确保您已收到最新的AppleiOS漏洞修复,请使用最新版本.
现在AnyConnect4.
0.
07x中完全支持PerAppVPN隧道功能.
新扩展框架允许支持TCP和UDP应用.
自此以后,此新思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本.
其编号为4.
0.
07x.
请参阅AppleiOS版AnyConnect4.
0.
07x的新功能,第5页.
思科旧版AnyConnect2旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.
0及更高版本.
此版本将随时间推移而退出,但目前仍然可用,以便轻松过渡到建议的最新版本.
旧版AnyConnect应用中的PerAppVPN隧道功能不会获得TAC支持.
客户若要使用PerAppVPN,应迁移到新版本.
仅应针对严重的安全问题更新旧版AnyConnect.
此版本继续编号为4.
0.
05x.
请参阅AppleiOS版旧版AnyConnect4.
0.
05x的新功能,第6页.
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同.
因此:不能将AnyConnect应用从旧版4.
0.
05x或更早版本升级到新的4.
0.
07x版本.
思科AnyConnect4.
0.
07x是单独的应用,使用不同的名称和图标进行安装.
AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作.
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同.
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境.
新AnyConnect应用版本4.
0.
07072或更高版本不能访问或使用以旧版AnyConnect版本4.
0.
05069及任何更早版本导入的证书.
两个应用版本均可访问和使用MDM部署的证书.
如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件.
否则,它们将继续显示在系统VPN设置中.
在卸载旧版AnyConnect应用之前删除应用数据.
当前的MDM配置文件不会触发新应用.
EMM供应商必须支持VPNType(VPN)、VPNSubType(com.
cisco.
anyconnect)和ProviderType(packet-tunnel).
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息.
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持.
在AnyConnect4.
0.
07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.
0.
05x中的行为发生以下变化:在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复.
您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入.
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书.
在使用UI创建连接条目时,用户必须接受显示的iOS安全消息.
用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名.
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中.
支持的AppleiOS设备思科AnyConnect4.
0.
07x作为最新的建议版本,可用于运行AppleiOS10.
3及更高版本的所有iPhone、iPad和iPodTouch设备.
如果设备不支持AppleiOS10.
3或更高版本,则仅可使用适用于运行AppleiO6.
0及更高版本的所有iPhone、iPad和iPodTouch设备的旧版AnyConnect4.
0.
05x.
旧版AnyConnect中的PerApp隧道需要AppleiOS8.
3或更高版本.
3AnyConnect在iPodTouch上的显示和操作与在iPhone上相同.
注释在AppleiOS上升级AnyConnectAnyConnect的升级通过Apple应用商店进行.
在Apple应用商店通知用户思科AnyConnect或旧版AnyConnect升级可用后,他们可按照此程序进行升级.
不能将AnyConnect应用从旧版4.
0.
05x或更早版本升级到新的4.
0.
07x版本.
思科AnyConnect4.
0.
07x是单独的应用,使用不同的名称和图标进行安装.
在安装新版本4.
0.
07xxx之前,请参阅可用于AppleiOS的AnyConnect版本,第2页.
思科建议您删除所有旧版AnyConnect应用数据,删除旧版AnyConnect应用,然后再安装新版本.
注释开始之前在升级设备之前,必须断开AnyConnectVPN会话(若已建立)并关闭AnyConnect应用(若已打开).
如果不这样做,AnyConnect将要求您重启设备,然后再使用新版本的AnyConnect.
使用Apple按需连接功能时,只有运行早于4.
0.
05032的旧版AnyConnect版本或早于9.
3的AppleiOS版本,此功能才适用于您的环境.
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接.
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息"VPN连接需要启动应用"(TheVPNConnectionrequiresanapplicationtostartup).
注释过程步骤1轻触iOS主页上的应用商店图标.
步骤2轻触AnyConnect升级通知.
步骤3阅读新功能.
步骤4点击更新(Update).
步骤5输入您的AppleID密码.
步骤6点击OK(确定).
系统将开始执行AnyConnect升级.
4AppleiOS版AnyConnect4.
0.
07x的新功能AppleiOS移动设备版AnyConnect4.
0.
07075的新功能此次AnyConnect更新是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅#unique_16.
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项.
AppleiOS移动设备版AnyConnect4.
0.
07074的新功能此次AnyConnect更新是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
07074中已解决的问题,第18页.
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项.
AppleiOS移动设备版AnyConnect4.
0.
07072的新功能此版思科AnyConnect是建议用于AppleiOS的最新版本.
此版本支持iOS10.
3和更高版本.
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能.
在试用版周期中,这版AnyConnect命名为AnyConnect2017.
除新框架之外,此版本中现在完全支持下面介绍的PerApp隧道.
新AnyConnect应用版本4.
0.
07072或更高版本不能访问或使用以旧版AnyConnect版本4.
0.
05069及任何更早版本导入的证书.
两个应用版本均可访问和使用MDM部署的证书.
注释自此以后,此思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本.
其编号为4.
0.
07xxx.
此次AnyConnect更新也是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
07072中已解决的问题,第18页.
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项.
PerAppVPN传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包.
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据.
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络.
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接.
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义.
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接.
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送.
5您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表.
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为.
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端.
AppleiOS版旧版AnyConnect4.
0.
05x的新功能AppleiOS移动设备版旧版AnyConnect4.
0.
05069的新功能此版本AnyConnect现命名为旧版AnyConnect.
旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.
0及更高版本.
它将保持可用,以便于过渡到建议的最新版思科AnyConnect.
旧版AnyConnect仅会更新升级到最新版本而无法解决的严重客户问题.
此版本继续编号为4.
0.
05x.
请参阅AppleiOS版旧版AnyConnect4.
0.
05x的新功能,第6页.
此次AnyConnect更新也是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版旧版AnyConnect4.
0.
05069中已解决的问题,第18页.
思科建议仅在设备不支持iOS10时,再升级到此AnyConnect版本.
请参阅已知问题和限制,第15页,了解当前的运行注意事项.
AppleiOS移动设备版AnyConnect4.
0.
05066的新功能此次AnyConnect更新是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
05066中已解决的问题,第18页.
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项.
请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释AppleiOS移动设备版AnyConnect4.
0.
05055的新功能此版AppleiOS版思科AnyConnect更新了对以前版本中引入的"暂停时断开连接"(DisconnectonSuspend)和自动重新连接行为的支持.
现在,当选择"暂停时断开连接"(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源,仅适用于按需连接.
按此方式断开连接后,只有用户手动连接或配置了按需连接,AnyConnect才会作出响应而重新连接.
此次AnyConnect更新也是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
05055中已解决的问题,第19页.
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项.
6请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释AppleiOS移动设备版AnyConnect4.
0.
05052的新功能此版AppleiOS版思科AnyConnect现在支持"暂停时断开连接"(DisconnectonSuspend)和自动重新连接行为(如果管理员在VPN客户端配置文件中选择了它们).
当选择"暂停时断开连接"(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源.
只有用户手动连接或配置了按需连接,它才会作出响应而重新连接.
此次AnyConnect更新也是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
05052中已解决的问题,第19页.
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项.
请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释AppleiOS移动设备版AnyConnect4.
0.
05046的新功能此次AppleiOS设备版思科AnyConnect安全移动客户端更新可解决最近的OpenSSL漏洞.
此外,它还是运行早期版本的设备的维护版本.
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.
0.
05046中已解决的问题,第19页.
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项.
请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释AppleiOS移动设备版AnyConnect4.
0.
05038的新功能此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.
0.
05036中的回归问题.
有关详细信息,请参阅AppleiOS版AnyConnect4.
0.
05038中已解决的问题,第20页.
请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
7AppleiOS移动设备版AnyConnect4.
0.
05036的新功能此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.
0.
05032中的回归问题.
有关详细信息,请参阅AppleiOS版AnyConnect4.
0.
05036中已解决的问题,第20页.
请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@cisco.
com,不要将问题提交到思科TAC.
注释思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
AppleiOS移动设备版AnyConnect4.
0.
05032的新功能此AnyConnect4.
0版本现在支持:公共IPv6隧道连接和专用IPv6拆分隧道连接.
此外,针对同时运行AnyConnect4.
0.
05032或更高版本及AppleiOS9.
3或更高版本的设备,已移除如下限制:升级后,如果在设备上使用AppleiOS按需连接功能来自动建立VPN连接,那么必须启动AnyConnect应用并建立VPN连接.
如果不这样做,在下次iOS系统尝试建立VPN隧道时,将显示错误消息"VPN连接需要启动应用"(TheVPNConnectionrequiresanapplicationtostartup).
与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@cisco.
com,而不应提交到思科TAC注释思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
AppleiOS移动设备版AnyConnect4.
0.
03021的新功能此AnyConnect4.
0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级.
它解决最新的OpenSSL漏洞和其他问题.
有关详细信息,请参阅AppleiOS版AnyConnect4.
0.
03021中已解决的问题,第20页.
与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@cisco.
com,而不应提交到思科TAC注释思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
AppleiOS移动设备版AnyConnect4.
0.
03016的新功能此AnyConnect4.
0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级.
它解决最新的OpenSSL漏洞和4.
0初始版本中发现的问题.
有关详细信息,请参阅AppleiOS版AnyConnect4.
0.
03016中已解决的问题.
与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@cisco.
com,而不应提交到思科TAC注释8思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
AppleiOS移动设备版AnyConnect4.
0.
03004的新功能此AnyConnect4.
0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级.
它解决最新的OpenSSL漏洞和4.
0初始版本中发现的问题.
有关详细信息,请参阅AppleiOS版AnyConnect4.
0.
03004中已解决的问题,第21页.
与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@cisco.
com,而不应提交到思科TAC.
注释思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项.
AppleiOS移动设备版AnyConnect4.
0.
01324的新功能此AnyConnect4.
0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级,包含如下所述的新功能:TLS1.
2其他本地化PerAppVPN(仅提供试用版和支持)与此功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@cisco.
com,而不应提交到思科TAC.
注释思科建议您升级到此最新AnyConnect版本.
请查看已知问题和限制,第15页了解当前操作注意事项.
TLS1.
2现在,AnyConnect4.
0通过以下附加密码套件支持TLS版本1.
2:DHE-RSA-AES256-SHA256DHE-RSA-AES128-SHA256AES256-SHA256AES128-SHA256AnyConnectTLS1.
2要求使用同样支持TLS1.
2的安全网关.
5500-X型号上的9.
3(2)版ASA便提供这样的网关.
注释其他本地化移动设备版AnyConnect4.
0现在在AnyConnectAppleiOS应用中包括以下额外的语言翻译:9中文(台湾地区)(zh-tw)荷兰语(nl-nl)法语(fr-fr)匈牙利语(hu-hu)意大利语(it-it)葡萄牙语(巴西)(pt-br)俄语(ru-ru)西班牙语(es-es)有关移动本地化选项和详细信息,请参阅思科AnyConnect安全移动客户端管理员指南,版本4.
0中的移动设备上的本地化.
PerAppVPN隧道连接移动设备版AnyConnect4.
0已获得增强,除传统系统隧道连接外,还提供PerAppVPN隧道连接.
PerAppVPN隧道连接需要:AppleiOS8.
3或更高版本必须使用移动设备管理(MDM)解决方案将设备配置为使用PerApp.
ASA9.
3.
2或更高版本,以便配置PerAppVPN隧道.
AnyConnectv4.
0Plus或Apex许可证.
AnyConnect基础版或高级版许可证不支持PerAppVPN.
拥有高级版或基础版许可证的客户有资格获取AnyConnect4.
0迁移许可证.
有关详细信息,请参阅思科AnyConnect订购指南.
注释传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包.
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据.
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络.
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接.
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义.
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接.
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送.
您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表.
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为.
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端.
AnyConnect基于从ASA头端接收的配置信息确定它会在哪种模式下运行.
具体而言,即在建立会话时,与连接相关的组策略或动态访问策略(DAP)中是存在还是缺少PerAppVPN自定义属性.
如果PerAppVPN列表存在,AnyConnect会在PerAppVPN模式下运行;如果列表不存在,AnyConnect会在系统隧道连接模式下运行.
10AppleiOS版AnyConnect功能表AnyConnect在AppleiOS设备上支持以下功能:AppleiOS类别:功能部署和配置:是从应用存储区安装或升级.
是思科VPN配置文件支持(手动导入)是思科VPN配置文件支持(连接时导入)是MDM配置的连接条目是用户配置的连接条目隧道连接:是TLS是数据报TLS(DTLS)是IPsecIKEv2NAT-T否IKEv2-原始ESP是SuiteB(仅限IPsec)是,仅限32位设备TLS压缩是失效对等项检测是隧道保持连接否多个活动网络接口是,需要思科AnyConnect4.
0.
09xxx及iOS10.
3或更高版本.
PerApp隧道连接是完全隧道(OS对于某些流量可能生成异常,例如传至应用商店的流量).
是拆分隧道(拆分包括).
是本地LAN(拆分排除).
是拆分DNS是自动重新连接/网络漫游是,与AppleiOS按需连接兼容.
按需VPN(由目标触发)是,仅当在PerAppVPN模式下运行时.
按需VPN(由应用触发)11AppleiOS类别:功能是重新生成密钥是IPv4公共传输是IPv6公共传输是IPv4overIPv4隧道是IPv6overIPv4隧道是IPv6overIPv4隧道是IPv6overIPv6隧道是默认域是DNS服务器配置是专用端代理支持是,但不支持通配符规范代理例外否公共端代理支持是登录前横幅是登录后横幅否DSCP保留连接和断开连接:是VPN负载均衡是备用服务器列表否最佳网关选择身份验证:否SAML2.
0是客户端证书身份验证否在线证书状态协议(OCSP)是手动用户证书管理是手动服务器证书管理是SCEP传统注册(请针对您的平台进行确认).
是SCEP代理注册(请针对您的平台进行确认).
是自动证书选择12AppleiOS类别:功能是手动证书选择否智能卡支持是用户名和密码是令牌/质询是双重身份验证是组URL(在服务器地址中指定)是组选择(下拉选择)是从用户证书预填充凭证否保存密码用户界面:是独立GUI是,功能受限制本地OSGUI是API/URI处理程序(请参阅下文)否UI自定义是,应用包含预先打包的语言.
UI本地化是用户首选项否支持一键式VPN访问的主屏幕构件否AnyConnect特定状态图标移动安全评估:(AnyConnect标识扩展,ACIDex)是序列号或唯一ID检查是与头端共用操作系统和AnyConnect版本否AnyConnectNVM支持URI处理:是添加连接条目是连接到VPN是连接时预填充凭证是断开VPN13AppleiOS类别:功能是导入证书是导入本地化数据是导入XML客户端配置文件是URI命令的外部(用户)控件报告和故障排除:是统计信息是日志记录/诊断信息(DART)认证:是FIPS140-2第1层自适应安全设备要求以下功能对ASA有最低版本要求:请参阅您的平台的功能表,以确认这些功能在当前AnyConnect移动版本中的可用性.
注释必须升级到ASA9.
3.
2或更高版本才能使用TLS1.
2.
必须升级到ASA9.
3.
2或更高版本才能使用PerAppVPN隧道连接模式.
必须升级到ASA9.
0才能使用以下移动功能:IPsecIKEv2VPNSuiteB加密SCEP代理移动状况ASA版本8.
0(3)和自适应安全设备管理器(ASDM)6.
1(3)是支持移动设备版AnyConnect的最低版本.
其他思科头端支持思科IOS15.
3(3)M+/15.
2(4)M+支持AnyConnectSSL连接.
CiscoISRg215.
2(4)M+支持AnyConnectIKEv2连接14思科Firepower威胁防御版本6.
2.
1及更高版本中支持AnyConnectSSL和IKEv2.
已知问题和限制已知兼容性问题在AnyConnect4.
0.
07xxx中当拆分排除配置中仅包含隧道IPv6(未分配IPv4地址)时,连接到ASA的拆分隧道不起作用.
除排除列表条目之外,所有流量均会通过隧道传输,然而拆分排除列表不被认可,所以所有IPv6流量都将被排除.
请参阅CSCvb80768:IPv6拆分排除和IPv4全部丢弃将从隧道中排除所有v6流量.
(RADAR29623849).
如果AnyConnectUI保持打开状态,并且iOS错误地断开了UI与内部AnyConnect扩展之间的进程间通信(IPC),则所有UI活动都会失败或响应错误.
要解决此故障,必须关闭并重启AnyConnectUI,由此重新建立IPC.
如果在UI关闭时IPC意外断开,则下次打开UI时,它会重新建立连接.
请参阅CSCvb95722:未能达到已暂停状态(RADAR29313229).
对于按需连接,若已通过ASA将更新的VPN连接配置文件推送到客户端,则必须打开AnyConnectUI.
如果UI未打开,更新的配置文件将不会同步,因此不会使用所作的更改.
遗憾的是,系统中没有标志指示用户打开UI来同步新配置文件(如同旧版AnyConnect),所以更新的连接可能从未使用.
目前没有解决此问题的方法.
请参阅CSCvc35923:使用按需AC不会通知用户必须打开AC来同步更新的连接配置文件(RADAR30173053).
在受管PerApp配置中,为PerApp配置的应用流量在不当情况下通过用户创建(非受管)的VPN连接传输.
请参阅CSCvc36024:PerApp-应用可通过非PAV完全隧道传输流量(RADAR29513803).
在旧版AnyConnect4.
0.
05xxx中网络漫游仅适用于低于iOS8的版本.
iOS8及更高版本始终如同已启用网络漫游一样运行,会尝试重新建立连接,直到成功.
有关网络漫游的完整说明,请参阅CiscoAnyConnect安全移动客户端用户指南,版本4.
0.
x(AppleiOS).
AppleID22784308问题-按需选项"从不连接"失败.
设备休眠时收到DTLS数据包不会将其唤醒.
但是,如果已启用通知或Facetime,则TLS数据包将唤醒设备.
当设备进入睡眠状态时,AnyConnect将自动断开DTLS隧道,以便允许通过TLS连接接收的数据包将设备唤醒.
设备恢复后,DTLS隧道即可还原.
在iPodTouch上,在后台运行的语音应用无法通过VPN接收数据包.
此功能在iPhone设备上可正常工作.
如果VPN配置中包含大量路由或split-dns规则,则Apple设备将无法建立VPN连接.
例如,在以下情况下会发生此漏洞:连接状态下,ASA配置推送了一个包含VPN拆分的列表,其中有70多个可以将流量引至单个子网的规则.
若要防止此类漏洞,可应用全隧道配置或减少规则个数.
在移动设备上配置大量VPN连接,可能会导致AnyConnect变慢或故障.
15AppleiOS将允许对设备的核心运营至关重要的流量,无论是否执行全隧道策略.
不论执行何种隧道策略,AppleiOS可不受阻碍发送的流量示例包括:所有本地LAN流量针对预先存在的连接(例如,在建立VPN连接前以流式传输的视频)的作用域路由核心Apple服务(例如,可视语音邮件流量)AppleiOS版AnyConnect准则和限制AppleiOS版AnyConnect仅支持与远程VPN接入相关的功能,例如:AnyConnect可由用户手动配置、通过iPhone配置实用程序(http://www.
apple.
com/support/iphone/enterprise/)生成的AnyConnectVPN客户端配置文件配置或使用企业移动设备管理器配置.
AppleiOS设备仅支持一个AnyConnectVPN客户端配置文件.
生成的配置内容始终与最近的配置文件匹配.
例如,如果您连接到vpn.
example1.
com,然后连接到vpn.
example2.
com,则从vpn.
example2.
com导入的AnyConnectVPN客户端配置文件将替换从vpn.
example1.
com导入的配置文件.
此版本支持隧道保持激活功能;但是,它会降低设备电池的寿命.
增加更新间隔值可以缓解此问题.
AppleiOS按需连接注意事项:当设备休眠时,由于iOS按需逻辑而自动连接的VPN会话及已配置"暂停时断开连接"(DisconnectonSuspend)的VPN会话会断开连接.
唤醒设备后,按需逻辑将根据需要重新连接CPN会话.
启动用户界面和VPN连接后,AnyConnect将收集设备信息.
因此,如果用户在一开始或在设备信息(例如操作系统版本)变更后,依赖于iOS的按需连接功能来启动连接,AnyConnect有时候可能误报移动安全评估信息.
使用Apple按需连接功能时,只有运行早于4.
0.
05032的旧版AnyConnect版本或早于9.
3的AppleiOS版本,此功能才适用于您的环境.
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接.
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息"VPN连接需要启动应用"(TheVPNConnectionrequiresanapplicationtostartup).
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同.
因此:不能将AnyConnect应用从旧版4.
0.
05x或更早版本升级到新的4.
0.
07x版本.
思科AnyConnect4.
0.
07x是单独的应用,使用不同的名称和图标进行安装.
AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作.
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同.
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境.
新AnyConnect应用版本4.
0.
07072或更高版本不能访问或使用以旧版AnyConnect版本4.
0.
05069及任何更早版本导入的证书.
两个应用版本均可访问和使用MDM部署的证书.
如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件.
否则,它们将继续显示在系统VPN设置中.
在卸载旧版AnyConnect应用之前删除应用数据.
16当前的MDM配置文件不会触发新应用.
EMM供应商必须支持VPNType(VPN)、VPNSubType(com.
cisco.
anyconnect)和ProviderType(packet-tunnel).
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息.
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持.
在AnyConnect4.
0.
07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.
0.
05x中的行为发生以下变化:在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复.
您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入.
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书.
在使用UI创建连接条目时,用户必须接受显示的iOS安全消息.
用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名.
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中.
AppleiOS版AnyConnect4.
0.
7x中未解决和已解决的问题思科漏洞搜索工具(https://tools.
cisco.
com/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
AppleiOS版AnyConnect4.
0.
5中的未解决问题标题标识符即使已播发SOA记录,也无法解析.
localCSCuu76224拆分隧道包含配置可能无法正常使用CSCuv44716AnyConnect连接状态不同步CSCuy41307[ios]tungrp上的MTU需要为1380或更低,才能传输IPSec流量CSCuy99092[ios]Anyconnect无法丢弃IPv6流量CSCuy99108当AAAA响应缓慢时,建立的iOS4.
0.
05032/5036连接速度缓慢CSCuz38311iOS-4.
0.
05036明确全部丢弃流量文本CSCuz39092OS在休眠期间不触发VPN-Radar#27851312CSCvb22398iOS:PerAppSafariDom内部站点的内部CRL失败R#28176408CSCvb31542VPN未能使用T-MobileIPv6网络从Wi-Fi过渡到蜂窝网络CSCvb78548iOS:对于子域设置时,拆分DNS不起作用CSCve1051717AppleiOS版AnyConnect4.
0.
07075中已解决的问题标题标识符iOS:4.
0.
7074OS未添加用于不含拆分DNS的拆分隧道的默认域CSCvf07751AppleiOS版AnyConnect4.
0.
07074中已解决的问题标题标识符AC-NF未能通知用户必须打开AC来同步更新的配置文件CSCvc35923AppleiOS版AnyConnect4.
0.
07072中已解决的问题标题标识符AppleiOS:P组默认域不能用于PerAppCSCuq52458iOS10上的AC启用调试日志而未激活配置,显示两次错误CSCvb14706ipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日CSCvb57807iOS/Android:在ATTLTE上未能尝试备份连接条目CSCve49663AppleiOS版AnyConnect4.
0.
5x中未解决和已解决的问题思科漏洞搜索工具(https://tools.
cisco.
com/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息.
需要使用思科帐户才能访问该漏洞搜索工具.
如果没有,请在https://tools.
cisco.
com/RPF/register/register.
do中注册.
AppleiOS版旧版AnyConnect中未解决的问题未解决的问题仅列在最新版本之下,请参阅AppleiOS版AnyConnect4.
0.
7x中未解决和已解决的问题,第17页.
AppleiOS版旧版AnyConnect4.
0.
05069中已解决的问题此版旧版AnyConnect中未修复任何问题.
AppleiOS版AnyConnect4.
0.
05066中已解决的问题标题标识符匹配的连接配置文件名称未重命名CSCuv3545918标题标识符AnyConnect应不再要求服务器证书具有密钥协议CSCuy12161针对2016年9月OpenSSL漏洞评估AnyConnectCSCvb48664ipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日CSCvb57807iOS:在运行iOS10+的32位设备(例如iPhone5C、5、iPad4及更早产品)上执行Deflate压缩失败CSCvb59411AppleiOS版AnyConnect4.
0.
05055中已解决的问题标题标识符iOS10上的AC启用调试日志而未激活配置,显示两次错误CSCvb14706ACiOS:ENH-使"暂停时断开连接"(DisconnectOnSuspend)功能依赖于OS自动VPNCSCvb26000AppleiOS版AnyConnect4.
0.
05052中已解决的问题标题标识符Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败CSCuv97696ACiOS:启用客户端旁路协议导致连接失败CSCva32660ACiOS:ENH-支持"暂停时断开连接"(DisconnectOnSuspend)配置文件选项CSCva56275iOS10-IPv6APNS与仅支持具有v4的地址通过隧道的网络兼容CSCva86673AppleiOS版AnyConnect4.
0.
05046中已解决的问题标题标识符连接到具有多个INA的FQDN时,3.
0.
12240配置文件损坏CSCut14163更改选择的VPN配置文件失败CSCuy15657Advanced一词在UI中未正确对齐CSCuy77264让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络CSCuz3312419标题标识符连接到具有多个INA的FQDN时,4.
0.
05036配置文件损坏CSCuz38302iOS4.
0.
05032/5036-MTU进程的奇怪行为-断开连接/重新连接CSCuz38319iOS:4.
0.
05036无网络连接-错误消息-无法连接CSCuz38432iOS-4.
0.
05036客户端版本字符串被错误地报告为WindowsCSCuz39090针对2016年5月OpenSSL漏洞评估AnyConnectCSCuz52506iOSAnyConnect4.
0.
5036+PACURL不运行CSCuz94483AnyConnectiOS多次重新连接CSCva03743iOS–支持通过DNS64/NAT64网络上的IP连接到IPv4头端CSCva26758在某些情况下,AnyConnect对话框显示的字体颜色错误CSCva30253AppleiOS版AnyConnect4.
0.
05038中已解决的问题标题标识符连接到具有多个INA的FQDN时,4.
0.
05036配置文件损坏CSCuz38302iOS4.
0.
05032/5036-MTU进程的奇怪行为-断开连接/重新连接CSCuz38319iOS:4.
0.
05036无网络连接-错误消息-无法连接CSCuz38432iOS-4.
0.
05036客户端版本字符串被错误地报告为WindowsCSCuz39090AppleiOS版AnyConnect4.
0.
05036中已解决的问题标题标识符XMLSoftlibxml2基于解码堆的缓冲区下溢漏洞CSCuo47016更改选择的VPN配置文件失败CSCuy15657让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络CSCuz33124AppleiOS版AnyConnect4.
0.
03021中已解决的问题标题标识符AnyConnectiPhone:按需域无法通过配置文件更新CSCut5628220标题标识符AnyconnectIKEv2缓冲区溢出CSCux38698针对2015年12月OpenSSL漏洞评估AnyConnectCSCux41420AC版权信息需要更改为2016年CSCux81967在iPadPro上通过AnyConnect发送邮件日志失败CSCuy25393针对2016年3月OpenSSL漏洞评估AnyConnectCSCuy54600AppleiOS版AnyConnect4.
0.
03016中已解决的问题标题标识符Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败CSCuv97696iOS9-拆分隧道与所有DNS通过隧道-AAAADNS屏蔽导致DNS故障CSCuw11134iOS-报告错误的UDID-更改设备并从备份还原CSCuw54786AppleiOS版AnyConnect4.
0.
03004中已解决的问题标题标识符2015年3月OpenSSL漏洞CSCut46503在4.
0升级后,通过外部应用启用AC时会遇到启动问题CSCuu96241登录屏幕在离开屏幕然后返回时不可用CSCuu99043AnyConnectMobile相关文档有关详细信息,请参阅以下文档:AnyConnect版本说明AnyConnect管理员指南思科ASA系列文档一览Apple提供有关在AppleiOS设备上使用VPN连接的其他信息:https://developer.
apple.
com/library/ios/search/q=vpn+server+configuration21http://support.
apple.
com/kb/ht142422思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请访问此网址:http://www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有者的财产.
"合作伙伴"一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系.
(1110R)2015-2017CiscoSystems,Inc.
Allrightsreserved.
欧洲总部亚太区总部美洲总部CiscoSystemsInternationalBVAmsterdam,TheNetherlandsCiscoSystems(USA)Pte.
Ltd.
SingaporeCiscoSystems,Inc.
SanJose,CA95134-1706USACisco在全球拥有200多个办事处.
相关地址、电话和传真号码可见于Cisco位于www.
cisco.
com/go/offices上的网站.