Configurarea VPN‑ului Cisco IPsec pentru dispozitivele Apple
Utilizați această secțiune pentru a vă configura serverul VPN Cisco pentru utilizarea cu iOS, iPadOS și macOS, toate acestea fiind compatibile cu firewallurile de rețea Cisco Adaptive Security Appliance 5500 Series și Private Internet Exchange. Acestea acceptă, de asemenea, routere VPN Cisco IOS cu versiunea IOS 12.4(15)T sau ulterioară. Concentratoarele din gama VPN 3000 nu acceptă capacitățile VPN.
Metode de autentificare
iOS, iPadOS și macOS sunt compatibile cu următoarele metode de autentificare:
Autentificare IPsec cheie pre-partajată, cu autentificarea utilizatorului folosind comanda
xauth.Certificate client și server pentru autentificarea IPsec, cu autentificare opțională a utilizatorului folosind
xauth.Autentificare hibridă, în care serverul furnizează un certificat și clientul furnizează o cheie pre-partajată, pentru autentificarea IPsec. Autentificarea utilizatorului este obligatorie și este asigurată folosind
xauth, care include numele de utilizator și parola metodei de autentificare, precum și RSA SecurID.
Grupe de autentificare
Protocolul Cisco Unity utilizează grupe de autentificare pentru grupele de utilizatori, pe baza unui set uzual de parametri. Trebuie să creați un grup de autentificare pentru utilizatori. În cazul cheilor pre-partajate și al autentificării hibride, numele grupului trebuie configurat pe dispozitiv utilizând secretul partajat al grupului (cheia pre-partajată) pe post de parolă a grupului.
Atunci când se utilizează autentificarea cu certificat, nu există secret partajat. Grupul unui utilizator este stabilit în câmpurile certificatului. Configurările serverului Cisco pot fi utilizate pentru a mapa câmpurile unui certificat la grupurile de utilizatori.
RSA-Sig trebuie să aibă cea mai mare prioritate pe lista de priorități ISAKMP (Internet Security Association and Key Management Protocol).
Configurări și descrieri IPsec
Puteți specifica aceste configurări pentru a defini modul de implementare a IPsec:
Mod: Mod tunel.
Modurile de schimb IKE: Mod agresiv pentru cheia pre-partajată și autentificare hibridă, sau Mod principal pentru autentificarea cu certificat.
Algoritmi de criptare: 3DES, AES-128 sau AES256.
Algoritmi de autentificare: HMAC-MD5 sau HMAC-SHA1.
Grupuri Diffie-Hellman: Grup 2 este necesar pentru cheia-prepartajată și autentificarea hibridă, grup 2 cu 3DES și AES-128 autentificarea cu certificat și grup 2 sau 5 cu AES-256.
Perfect Forward Secrecy (PFS): Pentru IKE faza 2, dacă se utilizează PFS, Grupul Diffie-Hellman trebuie să fie același cu cel utilizat pentru IKE faza 1.
Configurație mod: Trebuie activată.
Rata de detecție a partenerilor dezactivați: Recomandat.
Traversare standard NAT: Acceptată și poate fi activată (IPsec prin TCP nu este acceptat).
Echilibrarea încărcării: Acceptată și poate fi activată.
Regenerarea cheilor din faza 1: Nu este acceptată în acest moment. Se recomandă ca intervalul de regenerare a cheilor pe server să fie de o oră.
Mască de adrese ASA: Verificați ca toate măștile grupelor de adrese de dispozitiv sunt fie neconfigurate, fie configurate ca 255.255.255.255. De exemplu:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Dacă utilizați masca de adrese recomandată, anumite rute presupuse de către configurația VPN ar putea fi ignorate. Pentru a evita acest lucru, asigurați-vă că tabelul dvs. de rutare conține toate rutele necesare și asigurați-vă că adresele de subrețea sunt accesibile înainte de implementare.
Versiune specificație: Versiunea de software al clientului este trimisă către server, lăsând serverul să accepte sau să respingă conexiunile pe baza versiunii de software a dispozitivului.
Banner: Bannerul (dacă a fost configurat pe server) va fi afișat pe dispozitiv și utilizatorul trebuie să îl accepte sau să se deconecteze.
Tunel divizat: Compatibil.
DNS divizat: Compatibil.
Domeniu implicit: Compatibil.