Cisco IPsec VPN:n asetukset Apple-laitteille
Tämä osio kuvaa, miten määrität Ciscon VPN-palvelimen käytettäväksi iOS:n, iPadOS:n ja macOS:n kanssa, jotka kaikki tukevat Ciscon verkkopalomuurien Adaptive Security Appliance 5500 ‑sarjaa ja Private Internet Exchangea. Ne tukevat myös Ciscon IOS-VPN-reitittimiä, joissa on IOS-versio 12.4(15)T tai uudempi. VPN 3000 -sarjan keskittimet eivät tue VPN-ominaisuuksia.
Todentamismenetelmät
iOS, iPadOS ja macOS tukevat seuraavia todentamismenetelmiä:
Esijaetulla avaimella tehty IPsec-todentaminen ja käyttäjän todentaminen
xauth-komennolla.Asiakas- ja palvelinvarmenteet IPsec-todentamista varten valinnaisella
xauth-komentoa käyttävällä käyttäjän todentamisella.Hybriditodentaminen, jossa palvelin toimittaa varmenteen ja asiakas toimittaa esijaetun avaimen IPsec-todentamista varten. Käyttäjän todentaminen vaaditaan, ja se tehdään käyttäen
xauth-komentoa, joka sisältää todentamistavan käyttäjätunnuksen ja salasanan sekä RSA SecurID:n.
Todentamisryhmät
Cisco Unity ‑protokolla käyttää todentamisryhmiä ryhmitelläkseen käyttäjiä yhtenevien parametrien pohjalta. Käyttäjille on luotava todentamisryhmä. Esijaettua avainta ja hybriditodentamista varten ryhmän nimen on oltava määritetty laitteeseen ja ryhmän jaetun salaisuuden (esijaettu avain) on oltava ryhmän salasana.
Varmennepohjaista todentamista käytettäessä jaettua salaisuutta ei ole. Käyttäjän ryhmä määritetään varmenteen kenttien perusteella. Ciscon palvelimen asetuksia voidaan käyttää määrittelemään, mitkä varmenteen kentät kohdistetaan käyttäjäryhmiin.
RSA-Sigin täytyy olla ensimmäisellä sijalla ISAKMP (Internet Security Association and Key Management Protocol) ‑prioriteettiluettelossa.
IPsec-asetukset ja kuvaukset
Voit käyttää seuraavia asetuksia määritelläksesi IPsecin toteutustavan:
Tila: Tunneli-tila
IKE Exchange -tilat: Aggressiivinen tila esijaetun avaimen- ja hybriditodentamiseen tai päätila varmennepohjaiseen todentamiseen.
Salausalgoritmit: 3DES, AES-128 tai AES256.
Todentamisalgoritmit: HMAC-MD5 tai HMAC-SHA1.
Diffie-Hellman-ryhmät: Ryhmä 2 vaaditaan esijaetulle avaimelle ja hybriditodentamiselle, ryhmä 2 ja 3DES:lle ja AES-128 varmennepohjaiselle todentamiselle ja ryhmä 2 tai 5 ja AES-256:lle.
Perfect Forward Secrecy (PFS): Jos PFS:ää käytetään IKEn vaiheeseen 2, Diffie-Hellman-ryhmän on oltava sama kuin mitä käytettiin IKEn vaiheelle 1.
Tilanmääritys: On oltava käytössä.
DPD (Dead Peer Detection): Suositellaan.
Standardi NAT-muunnos: Tuettu ja voidaan ottaa käyttöön (IPsec over TCP ei ole tuettu).
Kuormituksen tasapainotus: Tuettu ja voidaan ottaa käyttöön:
Vaiheen 1 avaimen uudelleenluonti: Ei tuettu tällä hetkellä. Suositus on, että avaimen uudelleenluontiajoiksi palvelimella asetetaan yksi tunti.
ASA-osoitteen peite: ASA-osoitteen peite: Varmista, että osoiteryhmien peitteitä ei ole asetettu tai ne on asetettu arvoon 255.255.255.255. Esimerkiksi:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Jos käytät suositeltua peitettä, jotkin VPN-määrityksen olettamat reitit voivat jäädä huomioimatta. Tämän välttämiseksi varmista, että reititystaulukot sisältävät kaikki tarpeelliset reitit, ja varmista ennen käyttöönottoa, että aliverkon osoitteet ovat käytettävissä.
Ohjelmaversio: Asiakasohjelman versio lähetetään palvelimelle, minkä ansiosta palvelin voi hyväksyä tai hylätä yhteydet laitteen ohjelmistoversion perusteella.
Banneri: Banneri (jos määritetty palvelimella) näkyy laitteessa, ja käyttäjän täytyy hyväksyä se tai katkaista yhteys.
Jaettu tunneli: Tuettu.
Jaettu DNS: Tuettu.
Oletusdomain: Tuettu.