Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
Apple 裝置的 Cisco IPsec VPN 設定
請使用此章節的資料來設定與 iOS、iPadOS 和 macOS 配搭使用的 Cisco VPN 伺服器。三者均支援 Cisco Adaptive Security Appliance 5500 Series 和 Private Internet Exchange 防火牆。 其亦支援安裝 IOS 版本 12.4(15)T 或較新版本的 Cisco IOS VPN 路由器。 VPN 3000 Series Concentrators 不支援 VPN 功能。
認證方式
iOS、iPadOS 和 macOS 支援下列認證方式:
預先共享的密鑰 IPsec 認證(含使用
xauth指令的用户認證)。IPSec 認證的用户端與和伺服器證書加上選擇性用户認證(使用
xauth)。混合認證,其中伺服器會提供證書,而用户端提供預先共享的密鑰來進行 IPsec 認證。 需有用户認證並使用
xauth來提供,其包括認證方式的用户名稱和密碼,以及 RSA SecurID。
認證群組
Cisco Unity 通訊協定使用認證群組,依據一組通用參數來將用户分組。 你應該為用户建立認證群組。 針對預先共享的密鑰和混合認證,群組名稱必須使用群組的共享密鑰(預先共享密鑰)作為群組密碼在裝置上完成配置。
使用證書認證時,沒有共享密鑰。 用户群組會從證書中的欄位決定。 Cisco 伺服器設定可用來將證書中的欄位對應到用户群組。
RSA-Sig 在 ISAKMP(互聯網保安關聯與密鑰管理通訊協定)優先順序列表上必須具有最高的優先順序。
IPsec 設定與描述
你可以指定這些設定來定義 IPsec 的實作方式:
模式: 通道模式。
IKE 交換模式: 預先共享密鑰與混合認證適用「嚴格」模式,或證書認證適用「主要」模式。
加密演算法: 3DES、AES–128 或 AES256。
認證演算法: HMAC–MD5 或 HMAC–SHA1。
Diffie-Hellman 群組: 預先共享密鑰和混合認證需有 Group 2、Group 2(使用 3DES 與 AES–128)用於證書認證,以及 Group 2 或 5(使用 AES–256)。
Perfect Forward Secrecy(PFS): 針對 IKE 階段 2,如果使用 PFS,「Diffie-Hellman 群組」就必須與 IKE 階段 1 使用的群組相同。
模式配置: 必須啟用。
斷線對等點偵測: 建議。
標準虛擬網址轉換: 已支援並且可啟用(不支援 IPsec over TCP)。
負載平衡: 已支援並且可啟用。
階段 1 的更新密鑰: 目前不支援。 建議你將伺服器上的更新密鑰時間設為一小時。
ASA 地址遮罩: 確定所有裝置的地址庫遮罩並未設定,或者設為 255.255.255.255。 例如:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255。如你使用建議的地址遮罩,可能會忽略一些由 VPN 配置所假設的路徑。 如要避免此情形,請確定你的路徑規劃表包括所有必要的路徑,並確定子網絡地址在部署前可供連接。
應用程式版本: 用户端硬件版本會傳送給伺服器,依據裝置硬件版本允許伺服器接受或拒絕連線。
橫幅: 提示標語(如果伺服器上有配置的話)會顯示在裝置上,而用户必須接受或中斷連線。
分割通道: 支援。
分割 DNS: 支援。
預設網域: 支援。