AppleiOS版CiscoAnyConnect安全移动客户端4.0.x版本说明
AppleiOS版AnyConnect版本说明2AppleiOS移动设备版AnyConnect2可用于AppleiOS的AnyConnect版本2支持的AppleiOS设备3在AppleiOS上升级AnyConnect4AppleiOS版AnyConnect4.0.07x的新功能5AppleiOS版旧版AnyConnect4.0.05x的新功能6AppleiOS版AnyConnect功能表11自适应安全设备要求14其他思科头端支持14已知问题和限制15AnyConnectMobile相关文档21
Revised:October26,2017,
AppleiOS版AnyConnect版本说明
AppleiOS移动设备版AnyConnect
AnyConnect安全移动客户端为远程用户提供与思科ASA5500系列的安全VPN连接。
通过该客户端,用户能够无缝、安全地远程访问企业网络,使安装的应用可如同直接连接到企业网络一般进行通信。
AnyConnect支持通过IPv4或IPv6隧道连接到IPv4和IPv6资源。
本文档适用于AnyConnect安全移动客户端和自适应安全设备(ASA)5500的管理员,为思科AnyConnect安全移动客户端管理员指南,版本4.0提供补充,并为AppleiOS设备上运行的AnyConnect提供版本特定的信息。
该AnyConnect应用仅在AppleiTunesAppStore中提供。
思科不分发AnyConnect移动版应用,您也不能从ASA部署该移动应用,但是,您可以从ASA为桌面设备部署其他版本的AnyConnect,并同时支持此移动版本。
AnyConnect移动版支持策略思科支持应用商店当前提供的AnyConnect版本;但是,修复和增强功能仅在最新发行的版本中提供。
AnyConnect许可若要连接到ASA头端,需提供AnyConnect4.xPlus或Apex许可证;试用许可证可用;请参阅思科AnyConnect订购指南。
有关最新的最终用户许可协议,请参阅思科终端用户许可协议,AnyConnect安全移动客户端版本4.x。
有关我们的开源许可确认,请参阅思科AnyConnect安全移动客户端版本4.0中使用的开源软件(适用于移动设备) 可用于AppleiOS的AnyConnect版本 AppleiOS版思科AnyConnect当前具有多个版本:•CiscoAnyConnect这是此新应用的初始版本。
新思科AnyConnect是适用于AppleiOS的最新版本,建议使用此版本。
(在试用版周期中,这版AnyConnect命名为AnyConnect2017。
)我们建议对于AppleiOS10.3及更高版本使用此版本。
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能。
为了确保您已收到最新的AppleiOS漏洞修复,请使用最新版本。
现在AnyConnect4.0.07x中完全支持PerAppVPN隧道功能。
新扩展框架允许支持TCP和UDP应用。
自此以后,此新思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本。
其编号为4.0.07x。
请参阅AppleiOS版AnyConnect4.0.07x的新功能,第5页。
•思科旧版AnyConnect
2 旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.0及更高版本。
此版本将随时间推移而退出,但目前仍然可用,以便轻松过渡到建议的最新版本。
旧版AnyConnect应用中的PerAppVPN隧道功能不会获得TAC支持。
客户若要使用PerAppVPN,应迁移到新版本。
仅应针对严重的安全问题更新旧版AnyConnect。
此版本继续编号为4.0.05x。
请参阅AppleiOS版旧版AnyConnect4.0.05x的新功能,第6页。
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同。
因此:•不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
•AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作。
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同。
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境。
•新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
•如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件。
否则,它们将继续显示在系统VPN设置中。
在卸载旧版AnyConnect应用之前删除应用数据。
•当前的MDM配置文件不会触发新应用。
EMM供应商必须支持VPNType(VPN)、VPNSubType.cisco.anyconnect)和ProviderType(packet-tunnel)。
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息。
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持。
在AnyConnect4.0.07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.0.05x中的行为发生以下变化:•在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复。
•您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入。
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书。
•在使用UI创建连接条目时,用户必须接受显示的iOS安全消息。
•用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名。
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中。
支持的AppleiOS设备 思科AnyConnect4.0.07x作为最新的建议版本,可用于运行AppleiOS10.3及更高版本的所有iPhone、iPad和iPodTouch设备。
如果设备不支持AppleiOS10.3或更高版本,则仅可使用适用于运行AppleiO6.0及更高版本的所有iPhone、iPad和iPodTouch设备的旧版AnyConnect4.0.05x。
旧版AnyConnect中的PerApp隧道需要AppleiOS8.3或更高版本。
3 注释AnyConnect在iPodTouch上的显示和操作与在iPhone上相同。
在AppleiOS上升级AnyConnect AnyConnect的升级通过Apple应用商店进行。
在Apple应用商店通知用户思科AnyConnect或旧版AnyConnect升级可用后,他们可按照此程序进行升级。
注释不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
在安装新版本4.0.07xxx之前,请参阅可用于AppleiOS的AnyConnect版本,第2页。
思科建议您删除所有旧版AnyConnect应用数据,删除旧版AnyConnect应用,然后再安装新版本。
开始之前在升级设备之前,必须断开AnyConnectVPN会话(若已建立)并关闭AnyConnect应用(若已打开)。
如果不这样做,AnyConnect将要求您重启设备,然后再使用新版本的AnyConnect。
注释使用Apple按需连接功能时,只有运行早于4.0.05032的旧版AnyConnect版本或早于9.3的AppleiOS版本,此功能才适用于您的环境。
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
过程 步骤1步骤2步骤3步骤4步骤5步骤
6 轻触iOS主页上的应用商店图标。
轻触AnyConnect升级通知。
阅读新功能。
点击更新(Update)。
输入您的AppleID密码。
点击OK(确定)。
系统将开始执行AnyConnect升级。
4 AppleiOS版AnyConnect4.0.07x的新功能 AppleiOS移动设备版AnyConnect4.0.07075的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅#unique_16。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.07074的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.07074中已解决的问题,第18页。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.07072的新功能 此版思科AnyConnect是建议用于AppleiOS的最新版本。
此版本支持iOS10.3和更高版本。
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能。
在试用版周期中,这版AnyConnect命名为AnyConnect2017。
除新框架之外,此版本中现在完全支持下面介绍的PerApp隧道。
注释新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
自此以后,此思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本。
其编号为4.0.07xxx。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.07072中已解决的问题,第18页。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
PerAppVPN传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包。
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据。
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络。
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接。
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义。
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接。
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送。
5 您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表。
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为。
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端。
AppleiOS版旧版AnyConnect4.0.05x的新功能 AppleiOS移动设备版旧版AnyConnect4.0.05069的新功能 此版本AnyConnect现命名为旧版AnyConnect。
旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.0及更高版本。
它将保持可用,以便于过渡到建议的最新版思科AnyConnect。
旧版AnyConnect仅会更新升级到最新版本而无法解决的严重客户问题。
此版本继续编号为4.0.05x。
请参阅AppleiOS版旧版AnyConnect4.0.05x的新功能,第6页。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版旧版AnyConnect4.0.05069中已解决的问题,第18页。
思科建议仅在设备不支持iOS10时,再升级到此AnyConnect版本。
请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.05066的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05066中已解决的问题,第18页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05055的新功能 此版AppleiOS版思科AnyConnect更新了对以前版本中引入的“暂停时断开连接”(DisconnectonSuspend)和自动重新连接行为的支持。
现在,当选择“暂停时断开连接”(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源,仅适用于按需连接。
按此方式断开连接后,只有用户手动连接或配置了按需连接,AnyConnect才会作出响应而重新连接。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05055中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
6 注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05052的新功能 此版AppleiOS版思科AnyConnect现在支持“暂停时断开连接”(DisconnectonSuspend)和自动重新连接行为(如果管理员在VPN客户端配置文件中选择了它们)。
当选择“暂停时断开连接”(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源。
只有用户手动连接或配置了按需连接,它才会作出响应而重新连接。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05052中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05046的新功能 此次AppleiOS设备版思科AnyConnect安全移动客户端更新可解决最近的OpenSSL漏洞。
此外,它还是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05046中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05038的新功能 此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.0.05036中的回归问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.05038中已解决的问题,第20页。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
7 AppleiOS移动设备版AnyConnect4.0.05036的新功能 此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.0.05032中的回归问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.05036中已解决的问题,第20页。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.05032的新功能 此AnyConnect4.0版本现在支持:公共IPv6隧道连接和专用IPv6拆分隧道连接。
此外,针对同时运行AnyConnect4.0.05032或更高版本及AppleiOS9.3或更高版本的设备,已移除如下限制:升级后,如果在设备上使用AppleiOS按需连接功能来自动建立VPN连接,那么必须启动AnyConnect应用并建立VPN连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,将显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03021的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和其他问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03021中已解决的问题,第20页。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03016的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和4.0初始版本中发现的问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03016中已解决的问题。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC
8 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03004的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和4.0初始版本中发现的问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03004中已解决的问题,第21页。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.01324的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级,包含如下所述的新功能:•TLS1.2•其他本地化•PerAppVPN(仅提供试用版和支持) 注释与此功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC。
思科建议您升级到此最新AnyConnect版本。
请查看已知问题和限制,第15页了解当前操作注意事项。
TLS1.2现在,AnyConnect4.0通过以下附加密码套件支持TLS版本1.2: •DHE-RSA-AES256-SHA256•DHE-RSA-AES128-SHA256•AES256-SHA256•AES128-SHA256 注释AnyConnectTLS1.2要求使用同样支持TLS1.2的安全网关。
5500-X型号上的9.3
(2)版ASA便提供这样的网关。
其他本地化移动设备版AnyConnect4.0现在在AnyConnectAppleiOS应用中包括以下额外的语言翻译:
9 •中文(台湾地区)(zh-tw)•荷兰语(nl-nl)•法语(fr-fr)•匈牙利语(hu-hu)•意大利语(it-it)•葡萄牙语(巴西)(pt-br)•俄语(ru-ru)•西班牙语(es-es) 有关移动本地化选项和详细信息,请参阅思科AnyConnect安全移动客户端管理员指南,版本4.0中的移动设备上的本地化。
PerAppVPN隧道连接移动设备版AnyConnect4.0已获得增强,除传统系统隧道连接外,还提供PerAppVPN隧道连接。
PerAppVPN隧道连接需要: •AppleiOS8.3或更高版本•必须使用移动设备管理(MDM)解决方案将设备配置为使用PerApp。
•ASA9.3.2或更高版本,以便配置PerAppVPN隧道。
•AnyConnectv4.0Plus或Apex许可证。
注释AnyConnect基础版或高级版许可证不支持PerAppVPN。
拥有高级版或基础版许可证的客户有资格获取AnyConnect4.0迁移许可证。
有关详细信息,请参阅思科AnyConnect订购指南。
传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包。
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据。
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络。
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接。
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义。
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接。
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送。
您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表。
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为。
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端。
AnyConnect基于从ASA头端接收的配置信息确定它会在哪种模式下运行。
具体而言,即在建立会话时,与连接相关的组策略或动态访问策略(DAP)中是存在还是缺少PerAppVPN自定义属性。
如果PerAppVPN列表存在,AnyConnect会在PerAppVPN模式下运行;如果列表不存在,AnyConnect会在系统隧道连接模式下运行。
10 AppleiOS版AnyConnect功能表 AnyConnect在AppleiOS设备上支持以下功能:类别:功能部署和配置: AppleiOS 从应用存储区安装或升级。
是 思科VPN配置文件支持(手动导入) 是 思科VPN配置文件支持(连接时导入) 是 MDM配置的连接条目 是 用户配置的连接条目 是 隧道连接: TLS 是 数据报TLS(DTLS) 是 IPsecIKEv2NAT-
T 是 IKEv2-原始ESP 否 SuiteB(仅限IPsec) 是 TLS压缩 是,仅限32位设备 失效对等项检测 是 隧道保持连接 是 多个活动网络接口 否 PerApp隧道连接 是,需要思科AnyConnect4.0.09xxx及iOS10.3或更高版本。
完全隧道(OS对于某些流量可能生成异常,例如传至应是用商店的流量)。
拆分隧道(拆分包括)。
是 本地LAN(拆分排除)。
是 拆分DNS 是 自动重新连接/网络漫游 是 按需VPN(由目标触发) 是,与AppleiOS按需连接兼容。
按需VPN(由应用触发) 是,仅当在PerAppVPN模式下运行时。
11 类别:功能重新生成密钥IPv4公共传输IPv6公共传输IPv4overIPv4隧道IPv6overIPv4隧道IPv6overIPv4隧道IPv6overIPv6隧道默认域DNS服务器配置专用端代理支持代理例外公共端代理支持登录前横幅登录后横幅DSCP保留连接和断开连接: VPN负载均衡备用服务器列表最佳网关选择身份验证:SAML2.0客户端证书身份验证在线证书状态协议(OCSP)手动用户证书管理手动服务器证书管理SCEP传统注册(请针对您的平台进行确认)。
SCEP代理注册(请针对您的平台进行确认)。
自动证书选择 AppleiOS是是是是是是是是是是是,但不支持通配符规范否是是否 是是否 否是否是是是是是 12 类别:功能手动证书选择智能卡支持用户名和密码令牌/质询双重身份验证组URL(在服务器地址中指定)组选择(下拉选择)从用户证书预填充凭证保存密码用户界面: 独立GUI本地OSGUIAPI/URI处理程序(请参阅下文)UI自定义UI本地化用户首选项支持一键式VPN访问的主屏幕构件AnyConnect特定状态图标移动安全评估:(AnyConnect标识扩展,ACIDex) 序列号或唯一ID检查与头端共用操作系统和AnyConnect版本AnyConnectNVM支持 URI处理: 添加连接条目连接到VPN连接时预填充凭证断开VPN AppleiOS是否是是是是是是否 是是,功能受限制是否是,应用包含预先打包的语言。
是否否 是是否 是是是是 13 类别:功能导入证书导入本地化数据导入XML客户端配置文件URI命令的外部(用户)控件报告和故障排除: 统计信息日志记录/诊断信息(DART)认证: FIPS140-2第1层 AppleiOS是是是是 是是 是 自适应安全设备要求 以下功能对ASA有最低版本要求: 注释请参阅您的平台的功能表,以确认这些功能在当前AnyConnect移动版本中的可用性。
•必须升级到ASA9.3.2或更高版本才能使用TLS1.2。
•必须升级到ASA9.3.2或更高版本才能使用PerAppVPN隧道连接模式。
•必须升级到ASA9.0才能使用以下移动功能: IPsecIKEv2VPNSuiteB加密SCEP代理移动状况•ASA版本8.0
(3)和自适应安全设备管理器(ASDM)6.1
(3)是支持移动设备版AnyConnect的最低版本。
其他思科头端支持 思科IOS15.3
(3)M+/15.2
(4)M+支持AnyConnectSSL连接。
CiscoISRg215.2
(4)M+支持AnyConnectIKEv2连接 14 思科Firepower威胁防御版本6.2.1及更高版本中支持AnyConnectSSL和IKEv2。
已知问题和限制 已知兼容性问题 在AnyConnect4.0.07xxx中•当拆分排除配置中仅包含隧道IPv6(未分配IPv4地址)时,连接到ASA的拆分隧道不起作用。
除排除列表条目之外,所有流量均会通过隧道传输,然而拆分排除列表不被认可,所以所有IPv6流量都将被排除。
请参阅CSCvb80768:IPv6拆分排除和IPv4全部丢弃将从隧道中排除所有v6流量。
(RADAR29623849)。
•如果AnyConnectUI保持打开状态,并且iOS错误地断开了UI与内部AnyConnect扩展之间的进程间通信(IPC),则所有UI活动都会失败或响应错误。
要解决此故障,必须关闭并重启AnyConnectUI,由此重新建立IPC。
如果在UI关闭时IPC意外断开,则下次打开UI时,它会重新建立连接。
请参阅CSCvb95722:未能达到已暂停状态(RADAR29313229)。
•对于按需连接,若已通过ASA将更新的VPN连接配置文件推送到客户端,则必须打开AnyConnectUI。
如果UI未打开,更新的配置文件将不会同步,因此不会使用所作的更改。
遗憾的是,系统中没有标志指示用户打开UI来同步新配置文件(如同旧版AnyConnect),所以更新的连接可能从未使用。
目前没有解决此问题的方法。
请参阅CSCvc35923:使用按需AC不会通知用户必须打开AC来同步更新的连接配置文件(RADAR30173053)。
•在受管PerApp配置中,为PerApp配置的应用流量在不当情况下通过用户创建(非受管)的VPN连接传输。
请参阅CSCvc36024:PerApp-应用可通过非PAV完全隧道传输流量(RADAR29513803)。
在旧版AnyConnect4.0.05xxx中•网络漫游仅适用于低于iOS8的版本。
iOS8及更高版本始终如同已启用网络漫游一样运行,会尝试重新建立连接,直到成功。
有关网络漫游的完整说明,请参阅CiscoAnyConnect安全移动客户端用户指南,版本4.0.x(AppleiOS)。
•AppleID22784308问题-按需选项“从不连接”失败。
•设备休眠时收到DTLS数据包不会将其唤醒。
但是,如果已启用通知或Facetime,则TLS数据包将唤醒设备。
当设备进入睡眠状态时,AnyConnect将自动断开DTLS隧道,以便允许通过TLS连接接收的数据包将设备唤醒。
设备恢复后,DTLS隧道即可还原。
•在iPodTouch上,在后台运行的语音应用无法通过VPN接收数据包。
此功能在iPhone设备上可正常工作。
•如果VPN配置中包含大量路由或split-dns规则,则Apple设备将无法建立VPN连接。
例如,在以下情况下会发生此漏洞:连接状态下,ASA配置推送了一个包含VPN拆分的列表,其中有70多个可以将流量引至单个子网的规则。
若要防止此类漏洞,可应用全隧道配置或减少规则个数。
•在移动设备上配置大量VPN连接,可能会导致AnyConnect变慢或故障。
15 •AppleiOS将允许对设备的核心运营至关重要的流量,无论是否执行全隧道策略。
不论执行何种隧道策略,AppleiOS可不受阻碍发送的流量示例包括:所有本地LAN流量针对预先存在的连接(例如,在建立VPN连接前以流式传输的视频)的作用域路由核心Apple服务(例如,可视语音邮件流量) AppleiOS版AnyConnect准则和限制 AppleiOS版AnyConnect仅支持与远程VPN接入相关的功能,例如:•AnyConnect可由用户手动配置、通过iPhone配置实用程序(/support/iphone/enterprise/)生成的AnyConnectVPN客户端配置文件配置或使用企业移动设备管理器配置。
•AppleiOS设备仅支持一个AnyConnectVPN客户端配置文件。
生成的配置内容始终与最近的配置文件匹配。
例如,如果您连接到,然后连接到,则从导入的AnyConnectVPN客户端配置文件将替换从导入的配置文件。
•此版本支持隧道保持激活功能;但是,它会降低设备电池的寿命。
增加更新间隔值可以缓解此问题。
AppleiOS按需连接注意事项:•当设备休眠时,由于iOS按需逻辑而自动连接的VPN会话及已配置“暂停时断开连接”(DisconnectonSuspend)的VPN会话会断开连接。
唤醒设备后,按需逻辑将根据需要重新连接CPN会话。
•启动用户界面和VPN连接后,AnyConnect将收集设备信息。
因此,如果用户在一开始或在设备信息(例如操作系统版本)变更后,依赖于iOS的按需连接功能来启动连接,AnyConnect有时候可能误报移动安全评估信息。
•使用Apple按需连接功能时,只有运行早于4.0.05032的旧版AnyConnect版本或早于9.3的AppleiOS版本,此功能才适用于您的环境。
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同。
因此:•不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
•AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作。
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同。
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境。
•新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
•如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件。
否则,它们将继续显示在系统VPN设置中。
在卸载旧版AnyConnect应用之前删除应用数据。
16 •当前的MDM配置文件不会触发新应用。
EMM供应商必须支持VPNType(VPN)、VPNSubType.cisco.anyconnect)和ProviderType(packet-tunnel)。
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息。
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持。
在AnyConnect4.0.07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.0.05x中的行为发生以下变化: •在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复。
•您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入。
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书。
•在使用UI创建连接条目时,用户必须接受显示的iOS安全消息。
•用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名。
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中。
AppleiOS版AnyConnect4.0.7x中未解决和已解决的问题 思科漏洞搜索工具(/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AppleiOS版AnyConnect4.0.5中的未解决问题 标识符CSCuu76224CSCuv44716CSCuy41307CSCuy99092CSCuy99108CSCuz38311CSCuz39092CSCvb22398CSCvb31542CSCvb78548CSCve10517 标题即使已播发SOA记录,也无法解析.local拆分隧道包含配置可能无法正常使用AnyConnect连接状态不同步[ios]tungrp上的MTU需要为1380或更低,才能传输IPSec流量[ios]Anyconnect无法丢弃IPv6流量当AAAA响应缓慢时,建立的iOS4.0.05032/5036连接速度缓慢iOS-4.0.05036明确全部丢弃流量文本OS在休眠期间不触发VPN-Radar#27851312iOS:PerAppSafariDom内部站点的内部CRL失败R#28176408VPN未能使用T-MobileIPv6网络从Wi-Fi过渡到蜂窝网络iOS:对于子域设置时,拆分DNS不起作用 17 AppleiOS版AnyConnect4.0.07075中已解决的问题 标识符CSCvf07751 标题iOS:4.0.7074OS未添加用于不含拆分DNS的拆分隧道的默认域 AppleiOS版AnyConnect4.0.07074中已解决的问题 标识符CSCvc35923 标题AC-NF未能通知用户必须打开AC来同步更新的配置文件 AppleiOS版AnyConnect4.0.07072中已解决的问题 标识符CSCuq52458CSCvb14706CSCvb57807 CSCve49663 标题AppleiOS:P组默认域不能用于PerAppiOS10上的AC启用调试日志而未激活配置,显示两次错误ipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日iOS/Android:在ATTLTE上未能尝试备份连接条目 AppleiOS版AnyConnect4.0.5x中未解决和已解决的问题 思科漏洞搜索工具(/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AppleiOS版旧版AnyConnect中未解决的问题未解决的问题仅列在最新版本之下,请参阅AppleiOS版AnyConnect4.0.7x中未解决和已解决的问题,第17页。
AppleiOS版旧版AnyConnect4.0.05069中已解决的问题此版旧版AnyConnect中未修复任何问题。
AppleiOS版AnyConnect4.0.05066中已解决的问题 标识符CSCuv35459 标题匹配的连接配置文件名称未重命名 18 标识符CSCuy12161CSCvb48664CSCvb57807 CSCvb59411 标题 AnyConnect应不再要求服务器证书具有密钥协议针对2016年9月OpenSSL漏洞评估AnyConnectipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日 iOS:在运行iOS10+的32位设备(例如iPhone5C、5、iPad4及更早产品)上执行Deflate压缩失败 AppleiOS版AnyConnect4.0.05055中已解决的问题 标识符CSCvb14706CSCvb26000 标题 iOS10上的AC启用调试日志而未激活配置,显示两次错误ACiOS:ENH-使“暂停时断开连接”(DisconnectOnSuspend)功能依赖于OS自动VPN AppleiOS版AnyConnect4.0.05052中已解决的问题 标识符CSCuv97696 CSCva32660CSCva56275CSCva86673 标题Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败ACiOS:启用客户端旁路协议导致连接失败ACiOS:ENH-支持“暂停时断开连接”(DisconnectOnSuspend)配置文件选项iOS10-IPv6APNS与仅支持具有v4的地址通过隧道的网络兼容 AppleiOS版AnyConnect4.0.05046中已解决的问题 标识符CSCut14163CSCuy15657CSCuy77264CSCuz33124 标题连接到具有多个INA的FQDN时,3.0.12240配置文件损坏更改选择的VPN配置文件失败Advanced一词在UI中未正确对齐让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络 19 标识符CSCuz38302CSCuz38319CSCuz38432CSCuz39090CSCuz52506CSCuz94483CSCva03743CSCva26758CSCva30253 标题连接到具有多个INA的FQDN时,4.0.05036配置文件损坏iOS4.0.05032/5036-MTU进程的奇怪行为-断开连接/重新连接iOS:4.0.05036无网络连接-错误消息-无法连接iOS-4.0.05036客户端版本字符串被错误地报告为Windows针对2016年5月OpenSSL漏洞评估AnyConnectiOSAnyConnect4.0.5036+PACURL不运行AnyConnectiOS多次重新连接iOS–支持通过DNS64/NAT64网络上的IP连接到IPv4头端在某些情况下,AnyConnect对话框显示的字体颜色错误 AppleiOS版AnyConnect4.0.05038中已解决的问题 标识符CSCuz38302CSCuz38319CSCuz38432CSCuz39090 标题连接到具有多个INA的FQDN时,4.0.05036配置文件损坏iOS4.0.05032/5036-MTU进程的奇怪行为-断开连接/重新连接iOS:4.0.05036无网络连接-错误消息-无法连接iOS-4.0.05036客户端版本字符串被错误地报告为Windows AppleiOS版AnyConnect4.0.05036中已解决的问题 标识符CSCuo47016CSCuy15657CSCuz33124 标题XMLSoftlibxml2基于解码堆的缓冲区下溢漏洞更改选择的VPN配置文件失败让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络 AppleiOS版AnyConnect4.0.03021中已解决的问题 标识符CSCut56282 标题AnyConnectiPhone:按需域无法通过配置文件更新 20 标识符CSCux38698CSCux41420CSCux81967CSCuy25393CSCuy54600 标题AnyconnectIKEv2缓冲区溢出针对2015年12月OpenSSL漏洞评估AnyConnectAC版权信息需要更改为2016年在iPadPro上通过AnyConnect发送邮件日志失败针对2016年3月OpenSSL漏洞评估AnyConnect AppleiOS版AnyConnect4.0.03016中已解决的问题 标识符CSCuv97696 标题 Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败 CSCuw11134 iOS9-拆分隧道与所有DNS通过隧道-AAAADNS屏蔽导致DNS故障 CSCuw54786 iOS-报告错误的UDID-更改设备并从备份还原 AppleiOS版AnyConnect4.0.03004中已解决的问题 标识符CSCut46503CSCuu96241CSCuu99043 标题2015年3月OpenSSL漏洞在4.0升级后,通过外部应用启用AC时会遇到启动问题登录屏幕在离开屏幕然后返回时不可用 AnyConnectMobile相关文档 有关详细信息,请参阅以下文档:•AnyConnect版本说明•AnyConnect管理员指南•思科ASA系列文档一览 Apple提供有关在AppleiOS设备上使用VPN连接的其他信息:•/library/ios/search/?
q=vpn+server+configuration 21 •/kb/ht142422 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2015-2017CiscoSystems,Inc.Allrightsreserved. 美洲总部CiscoSystems,Inc.SanJose,CA95134-1706USA 亚太区总部CiscoSystems(USA)Pte.Ltd.Singapore 欧洲总部CiscoSystemsInternationalBVAmsterdam,TheNetherlands Cisco在全球拥有200多个办事处。
相关地址、电话和传真号码可见于Cisco位于/go/offices上的网站。
通过该客户端,用户能够无缝、安全地远程访问企业网络,使安装的应用可如同直接连接到企业网络一般进行通信。
AnyConnect支持通过IPv4或IPv6隧道连接到IPv4和IPv6资源。
本文档适用于AnyConnect安全移动客户端和自适应安全设备(ASA)5500的管理员,为思科AnyConnect安全移动客户端管理员指南,版本4.0提供补充,并为AppleiOS设备上运行的AnyConnect提供版本特定的信息。
该AnyConnect应用仅在AppleiTunesAppStore中提供。
思科不分发AnyConnect移动版应用,您也不能从ASA部署该移动应用,但是,您可以从ASA为桌面设备部署其他版本的AnyConnect,并同时支持此移动版本。
AnyConnect移动版支持策略思科支持应用商店当前提供的AnyConnect版本;但是,修复和增强功能仅在最新发行的版本中提供。
AnyConnect许可若要连接到ASA头端,需提供AnyConnect4.xPlus或Apex许可证;试用许可证可用;请参阅思科AnyConnect订购指南。
有关最新的最终用户许可协议,请参阅思科终端用户许可协议,AnyConnect安全移动客户端版本4.x。
有关我们的开源许可确认,请参阅思科AnyConnect安全移动客户端版本4.0中使用的开源软件(适用于移动设备) 可用于AppleiOS的AnyConnect版本 AppleiOS版思科AnyConnect当前具有多个版本:•CiscoAnyConnect这是此新应用的初始版本。
新思科AnyConnect是适用于AppleiOS的最新版本,建议使用此版本。
(在试用版周期中,这版AnyConnect命名为AnyConnect2017。
)我们建议对于AppleiOS10.3及更高版本使用此版本。
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能。
为了确保您已收到最新的AppleiOS漏洞修复,请使用最新版本。
现在AnyConnect4.0.07x中完全支持PerAppVPN隧道功能。
新扩展框架允许支持TCP和UDP应用。
自此以后,此新思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本。
其编号为4.0.07x。
请参阅AppleiOS版AnyConnect4.0.07x的新功能,第5页。
•思科旧版AnyConnect
2 旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.0及更高版本。
此版本将随时间推移而退出,但目前仍然可用,以便轻松过渡到建议的最新版本。
旧版AnyConnect应用中的PerAppVPN隧道功能不会获得TAC支持。
客户若要使用PerAppVPN,应迁移到新版本。
仅应针对严重的安全问题更新旧版AnyConnect。
此版本继续编号为4.0.05x。
请参阅AppleiOS版旧版AnyConnect4.0.05x的新功能,第6页。
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同。
因此:•不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
•AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作。
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同。
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境。
•新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
•如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件。
否则,它们将继续显示在系统VPN设置中。
在卸载旧版AnyConnect应用之前删除应用数据。
•当前的MDM配置文件不会触发新应用。
EMM供应商必须支持VPNType(VPN)、VPNSubType.cisco.anyconnect)和ProviderType(packet-tunnel)。
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息。
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持。
在AnyConnect4.0.07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.0.05x中的行为发生以下变化:•在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复。
•您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入。
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书。
•在使用UI创建连接条目时,用户必须接受显示的iOS安全消息。
•用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名。
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中。
支持的AppleiOS设备 思科AnyConnect4.0.07x作为最新的建议版本,可用于运行AppleiOS10.3及更高版本的所有iPhone、iPad和iPodTouch设备。
如果设备不支持AppleiOS10.3或更高版本,则仅可使用适用于运行AppleiO6.0及更高版本的所有iPhone、iPad和iPodTouch设备的旧版AnyConnect4.0.05x。
旧版AnyConnect中的PerApp隧道需要AppleiOS8.3或更高版本。
3 注释AnyConnect在iPodTouch上的显示和操作与在iPhone上相同。
在AppleiOS上升级AnyConnect AnyConnect的升级通过Apple应用商店进行。
在Apple应用商店通知用户思科AnyConnect或旧版AnyConnect升级可用后,他们可按照此程序进行升级。
注释不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
在安装新版本4.0.07xxx之前,请参阅可用于AppleiOS的AnyConnect版本,第2页。
思科建议您删除所有旧版AnyConnect应用数据,删除旧版AnyConnect应用,然后再安装新版本。
开始之前在升级设备之前,必须断开AnyConnectVPN会话(若已建立)并关闭AnyConnect应用(若已打开)。
如果不这样做,AnyConnect将要求您重启设备,然后再使用新版本的AnyConnect。
注释使用Apple按需连接功能时,只有运行早于4.0.05032的旧版AnyConnect版本或早于9.3的AppleiOS版本,此功能才适用于您的环境。
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
过程 步骤1步骤2步骤3步骤4步骤5步骤
6 轻触iOS主页上的应用商店图标。
轻触AnyConnect升级通知。
阅读新功能。
点击更新(Update)。
输入您的AppleID密码。
点击OK(确定)。
系统将开始执行AnyConnect升级。
4 AppleiOS版AnyConnect4.0.07x的新功能 AppleiOS移动设备版AnyConnect4.0.07075的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅#unique_16。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.07074的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.07074中已解决的问题,第18页。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.07072的新功能 此版思科AnyConnect是建议用于AppleiOS的最新版本。
此版本支持iOS10.3和更高版本。
此版本使用iOS提供的新扩展框架来实施VPN及其所有功能。
在试用版周期中,这版AnyConnect命名为AnyConnect2017。
除新框架之外,此版本中现在完全支持下面介绍的PerApp隧道。
注释新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
自此以后,此思科AnyConnect版本将是唯一包含所有增强功能及漏洞修复的版本。
其编号为4.0.07xxx。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.07072中已解决的问题,第18页。
如果您的设备支持iOS10,思科建议您升级到此AnyConnect版本;并请参阅已知问题和限制,第15页,了解当前的运行注意事项。
PerAppVPN传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包。
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据。
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络。
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接。
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义。
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接。
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送。
5 您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表。
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为。
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端。
AppleiOS版旧版AnyConnect4.0.05x的新功能 AppleiOS移动设备版旧版AnyConnect4.0.05069的新功能 此版本AnyConnect现命名为旧版AnyConnect。
旧版AnyConnect支持目前在应用商店已推出一段时间的AppleiOS6.0及更高版本。
它将保持可用,以便于过渡到建议的最新版思科AnyConnect。
旧版AnyConnect仅会更新升级到最新版本而无法解决的严重客户问题。
此版本继续编号为4.0.05x。
请参阅AppleiOS版旧版AnyConnect4.0.05x的新功能,第6页。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版旧版AnyConnect4.0.05069中已解决的问题,第18页。
思科建议仅在设备不支持iOS10时,再升级到此AnyConnect版本。
请参阅已知问题和限制,第15页,了解当前的运行注意事项。
AppleiOS移动设备版AnyConnect4.0.05066的新功能 此次AnyConnect更新是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05066中已解决的问题,第18页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05055的新功能 此版AppleiOS版思科AnyConnect更新了对以前版本中引入的“暂停时断开连接”(DisconnectonSuspend)和自动重新连接行为的支持。
现在,当选择“暂停时断开连接”(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源,仅适用于按需连接。
按此方式断开连接后,只有用户手动连接或配置了按需连接,AnyConnect才会作出响应而重新连接。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05055中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
6 注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05052的新功能 此版AppleiOS版思科AnyConnect现在支持“暂停时断开连接”(DisconnectonSuspend)和自动重新连接行为(如果管理员在VPN客户端配置文件中选择了它们)。
当选择“暂停时断开连接”(DisconnectonSuspend)时,AnyConnect将在设备休眠时断开连接并释放分配到VPN会话的资源。
只有用户手动连接或配置了按需连接,它才会作出响应而重新连接。
此次AnyConnect更新也是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05052中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05046的新功能 此次AppleiOS设备版思科AnyConnect安全移动客户端更新可解决最近的OpenSSL漏洞。
此外,它还是运行早期版本的设备的维护版本。
有关已解决问题的完整列表,请参阅AppleiOS版AnyConnect4.0.05046中已解决的问题,第19页。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前的运行注意事项。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
AppleiOS移动设备版AnyConnect4.0.05038的新功能 此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.0.05036中的回归问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.05038中已解决的问题,第20页。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
7 AppleiOS移动设备版AnyConnect4.0.05036的新功能 此版本的AppleiOS版AnyConnect是一个维护版本,用于解决4.0.05032中的回归问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.05036中已解决的问题,第20页。
注释请将与PerAppVPN试用版功能相关的问题和反馈以邮件形式直接发送至ac-mobile-feedback@,不要将问题提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.05032的新功能 此AnyConnect4.0版本现在支持:公共IPv6隧道连接和专用IPv6拆分隧道连接。
此外,针对同时运行AnyConnect4.0.05032或更高版本及AppleiOS9.3或更高版本的设备,已移除如下限制:升级后,如果在设备上使用AppleiOS按需连接功能来自动建立VPN连接,那么必须启动AnyConnect应用并建立VPN连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,将显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03021的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和其他问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03021中已解决的问题,第20页。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03016的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和4.0初始版本中发现的问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03016中已解决的问题。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC
8 思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.03004的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级。
它解决最新的OpenSSL漏洞和4.0初始版本中发现的问题。
有关详细信息,请参阅AppleiOS版AnyConnect4.0.03004中已解决的问题,第21页。
注释与PerAppVPNBata功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC。
思科建议您升级到此最新AnyConnect版本,并查看已知问题和限制,第15页了解当前操作注意事项。
AppleiOS移动设备版AnyConnect4.0.01324的新功能 此AnyConnect4.0版本是适用于运行早期版本的AnyConnect的AppleiOS设备的升级,包含如下所述的新功能:•TLS1.2•其他本地化•PerAppVPN(仅提供试用版和支持) 注释与此功能相关的问题和反馈应以邮件形式直接发送至ac-mobile-feedback@,而不应提交到思科TAC。
思科建议您升级到此最新AnyConnect版本。
请查看已知问题和限制,第15页了解当前操作注意事项。
TLS1.2现在,AnyConnect4.0通过以下附加密码套件支持TLS版本1.2: •DHE-RSA-AES256-SHA256•DHE-RSA-AES128-SHA256•AES256-SHA256•AES128-SHA256 注释AnyConnectTLS1.2要求使用同样支持TLS1.2的安全网关。
5500-X型号上的9.3
(2)版ASA便提供这样的网关。
其他本地化移动设备版AnyConnect4.0现在在AnyConnectAppleiOS应用中包括以下额外的语言翻译:
9 •中文(台湾地区)(zh-tw)•荷兰语(nl-nl)•法语(fr-fr)•匈牙利语(hu-hu)•意大利语(it-it)•葡萄牙语(巴西)(pt-br)•俄语(ru-ru)•西班牙语(es-es) 有关移动本地化选项和详细信息,请参阅思科AnyConnect安全移动客户端管理员指南,版本4.0中的移动设备上的本地化。
PerAppVPN隧道连接移动设备版AnyConnect4.0已获得增强,除传统系统隧道连接外,还提供PerAppVPN隧道连接。
PerAppVPN隧道连接需要: •AppleiOS8.3或更高版本•必须使用移动设备管理(MDM)解决方案将设备配置为使用PerApp。
•ASA9.3.2或更高版本,以便配置PerAppVPN隧道。
•AnyConnectv4.0Plus或Apex许可证。
注释AnyConnect基础版或高级版许可证不支持PerAppVPN。
拥有高级版或基础版许可证的客户有资格获取AnyConnect4.0迁移许可证。
有关详细信息,请参阅思科AnyConnect订购指南。
传统VPN系统隧道连接(可用作全隧道连接配置或拆分隧道连接配置)会根据目标地址通过隧道或以明文形式定向数据包。
PerAppVPN隧道连接在第7层运行,根据来源应用通过隧道或以明文形式定向数据。
PerAppVPN是拆分隧道连接,仅允许来自已批准应用的数据到达企业网络。
在PerAppVPN隧道连接模式下,会在移动设备上针对特定应用集建立连接。
AnyConnect为之隧道连接数据的应用集由ASA头端的管理员使用AnyConnect企业应用选择器工具和ASA自定义属性机制定义。
此确定并批准的应用列表会发送给AnyConnect客户端,并用于在设备上强制实施PerAppVPN隧道连接。
对于不在该列表中的所有其他应用,数据在隧道之外发送或以明文形式发送。
您的移动设备管理器必须配置移动设备来通过隧道传输与AnyConnect配置相同的应用列表。
ASA头端和移动设备管理器之间的隧道连接应用集差异可能会导致意外应用行为。
如果想要获得无缝的自动配置,请在MDM配置中配置ApponDemand,并使用数字证书连接到头端。
AnyConnect基于从ASA头端接收的配置信息确定它会在哪种模式下运行。
具体而言,即在建立会话时,与连接相关的组策略或动态访问策略(DAP)中是存在还是缺少PerAppVPN自定义属性。
如果PerAppVPN列表存在,AnyConnect会在PerAppVPN模式下运行;如果列表不存在,AnyConnect会在系统隧道连接模式下运行。
10 AppleiOS版AnyConnect功能表 AnyConnect在AppleiOS设备上支持以下功能:类别:功能部署和配置: AppleiOS 从应用存储区安装或升级。
是 思科VPN配置文件支持(手动导入) 是 思科VPN配置文件支持(连接时导入) 是 MDM配置的连接条目 是 用户配置的连接条目 是 隧道连接: TLS 是 数据报TLS(DTLS) 是 IPsecIKEv2NAT-
T 是 IKEv2-原始ESP 否 SuiteB(仅限IPsec) 是 TLS压缩 是,仅限32位设备 失效对等项检测 是 隧道保持连接 是 多个活动网络接口 否 PerApp隧道连接 是,需要思科AnyConnect4.0.09xxx及iOS10.3或更高版本。
完全隧道(OS对于某些流量可能生成异常,例如传至应是用商店的流量)。
拆分隧道(拆分包括)。
是 本地LAN(拆分排除)。
是 拆分DNS 是 自动重新连接/网络漫游 是 按需VPN(由目标触发) 是,与AppleiOS按需连接兼容。
按需VPN(由应用触发) 是,仅当在PerAppVPN模式下运行时。
11 类别:功能重新生成密钥IPv4公共传输IPv6公共传输IPv4overIPv4隧道IPv6overIPv4隧道IPv6overIPv4隧道IPv6overIPv6隧道默认域DNS服务器配置专用端代理支持代理例外公共端代理支持登录前横幅登录后横幅DSCP保留连接和断开连接: VPN负载均衡备用服务器列表最佳网关选择身份验证:SAML2.0客户端证书身份验证在线证书状态协议(OCSP)手动用户证书管理手动服务器证书管理SCEP传统注册(请针对您的平台进行确认)。
SCEP代理注册(请针对您的平台进行确认)。
自动证书选择 AppleiOS是是是是是是是是是是是,但不支持通配符规范否是是否 是是否 否是否是是是是是 12 类别:功能手动证书选择智能卡支持用户名和密码令牌/质询双重身份验证组URL(在服务器地址中指定)组选择(下拉选择)从用户证书预填充凭证保存密码用户界面: 独立GUI本地OSGUIAPI/URI处理程序(请参阅下文)UI自定义UI本地化用户首选项支持一键式VPN访问的主屏幕构件AnyConnect特定状态图标移动安全评估:(AnyConnect标识扩展,ACIDex) 序列号或唯一ID检查与头端共用操作系统和AnyConnect版本AnyConnectNVM支持 URI处理: 添加连接条目连接到VPN连接时预填充凭证断开VPN AppleiOS是否是是是是是是否 是是,功能受限制是否是,应用包含预先打包的语言。
是否否 是是否 是是是是 13 类别:功能导入证书导入本地化数据导入XML客户端配置文件URI命令的外部(用户)控件报告和故障排除: 统计信息日志记录/诊断信息(DART)认证: FIPS140-2第1层 AppleiOS是是是是 是是 是 自适应安全设备要求 以下功能对ASA有最低版本要求: 注释请参阅您的平台的功能表,以确认这些功能在当前AnyConnect移动版本中的可用性。
•必须升级到ASA9.3.2或更高版本才能使用TLS1.2。
•必须升级到ASA9.3.2或更高版本才能使用PerAppVPN隧道连接模式。
•必须升级到ASA9.0才能使用以下移动功能: IPsecIKEv2VPNSuiteB加密SCEP代理移动状况•ASA版本8.0
(3)和自适应安全设备管理器(ASDM)6.1
(3)是支持移动设备版AnyConnect的最低版本。
其他思科头端支持 思科IOS15.3
(3)M+/15.2
(4)M+支持AnyConnectSSL连接。
CiscoISRg215.2
(4)M+支持AnyConnectIKEv2连接 14 思科Firepower威胁防御版本6.2.1及更高版本中支持AnyConnectSSL和IKEv2。
已知问题和限制 已知兼容性问题 在AnyConnect4.0.07xxx中•当拆分排除配置中仅包含隧道IPv6(未分配IPv4地址)时,连接到ASA的拆分隧道不起作用。
除排除列表条目之外,所有流量均会通过隧道传输,然而拆分排除列表不被认可,所以所有IPv6流量都将被排除。
请参阅CSCvb80768:IPv6拆分排除和IPv4全部丢弃将从隧道中排除所有v6流量。
(RADAR29623849)。
•如果AnyConnectUI保持打开状态,并且iOS错误地断开了UI与内部AnyConnect扩展之间的进程间通信(IPC),则所有UI活动都会失败或响应错误。
要解决此故障,必须关闭并重启AnyConnectUI,由此重新建立IPC。
如果在UI关闭时IPC意外断开,则下次打开UI时,它会重新建立连接。
请参阅CSCvb95722:未能达到已暂停状态(RADAR29313229)。
•对于按需连接,若已通过ASA将更新的VPN连接配置文件推送到客户端,则必须打开AnyConnectUI。
如果UI未打开,更新的配置文件将不会同步,因此不会使用所作的更改。
遗憾的是,系统中没有标志指示用户打开UI来同步新配置文件(如同旧版AnyConnect),所以更新的连接可能从未使用。
目前没有解决此问题的方法。
请参阅CSCvc35923:使用按需AC不会通知用户必须打开AC来同步更新的连接配置文件(RADAR30173053)。
•在受管PerApp配置中,为PerApp配置的应用流量在不当情况下通过用户创建(非受管)的VPN连接传输。
请参阅CSCvc36024:PerApp-应用可通过非PAV完全隧道传输流量(RADAR29513803)。
在旧版AnyConnect4.0.05xxx中•网络漫游仅适用于低于iOS8的版本。
iOS8及更高版本始终如同已启用网络漫游一样运行,会尝试重新建立连接,直到成功。
有关网络漫游的完整说明,请参阅CiscoAnyConnect安全移动客户端用户指南,版本4.0.x(AppleiOS)。
•AppleID22784308问题-按需选项“从不连接”失败。
•设备休眠时收到DTLS数据包不会将其唤醒。
但是,如果已启用通知或Facetime,则TLS数据包将唤醒设备。
当设备进入睡眠状态时,AnyConnect将自动断开DTLS隧道,以便允许通过TLS连接接收的数据包将设备唤醒。
设备恢复后,DTLS隧道即可还原。
•在iPodTouch上,在后台运行的语音应用无法通过VPN接收数据包。
此功能在iPhone设备上可正常工作。
•如果VPN配置中包含大量路由或split-dns规则,则Apple设备将无法建立VPN连接。
例如,在以下情况下会发生此漏洞:连接状态下,ASA配置推送了一个包含VPN拆分的列表,其中有70多个可以将流量引至单个子网的规则。
若要防止此类漏洞,可应用全隧道配置或减少规则个数。
•在移动设备上配置大量VPN连接,可能会导致AnyConnect变慢或故障。
15 •AppleiOS将允许对设备的核心运营至关重要的流量,无论是否执行全隧道策略。
不论执行何种隧道策略,AppleiOS可不受阻碍发送的流量示例包括:所有本地LAN流量针对预先存在的连接(例如,在建立VPN连接前以流式传输的视频)的作用域路由核心Apple服务(例如,可视语音邮件流量) AppleiOS版AnyConnect准则和限制 AppleiOS版AnyConnect仅支持与远程VPN接入相关的功能,例如:•AnyConnect可由用户手动配置、通过iPhone配置实用程序(/support/iphone/enterprise/)生成的AnyConnectVPN客户端配置文件配置或使用企业移动设备管理器配置。
•AppleiOS设备仅支持一个AnyConnectVPN客户端配置文件。
生成的配置内容始终与最近的配置文件匹配。
例如,如果您连接到,然后连接到,则从导入的AnyConnectVPN客户端配置文件将替换从导入的配置文件。
•此版本支持隧道保持激活功能;但是,它会降低设备电池的寿命。
增加更新间隔值可以缓解此问题。
AppleiOS按需连接注意事项:•当设备休眠时,由于iOS按需逻辑而自动连接的VPN会话及已配置“暂停时断开连接”(DisconnectonSuspend)的VPN会话会断开连接。
唤醒设备后,按需逻辑将根据需要重新连接CPN会话。
•启动用户界面和VPN连接后,AnyConnect将收集设备信息。
因此,如果用户在一开始或在设备信息(例如操作系统版本)变更后,依赖于iOS的按需连接功能来启动连接,AnyConnect有时候可能误报移动安全评估信息。
•使用Apple按需连接功能时,只有运行早于4.0.05032的旧版AnyConnect版本或早于9.3的AppleiOS版本,此功能才适用于您的环境。
在更新AnyConnect后,为了确保正确建立按需连接VPN隧道,用户必须手动启动AnyConnect应用并建立连接。
如果不这样做,在下次iOS系统尝试建立VPN隧道时,会显示错误消息“VPN连接需要启动应用”(TheVPNConnectionrequiresanapplicationtostartup)。
思科AnyConnect和旧版AnyConnect是不同的应用,其应用ID有所不同。
因此:•不能将AnyConnect应用从旧版4.0.05x或更早版本升级到新的4.0.07x版本。
思科AnyConnect4.0.07x是单独的应用,使用不同的名称和图标进行安装。
•AnyConnect的不同版本可以共存于移动设备之上,但思科不支持此操作。
如果在安装了两个AnyConnect版本时尝试进行连接,行为可能与预期不同。
请确保您的设备上只有一个AnyConnect应用,并且其版本适合您的设备和环境。
•新AnyConnect应用版本4.0.07072或更高版本不能访问或使用以旧版AnyConnect版本4.0.05069及任何更早版本导入的证书。
两个应用版本均可访问和使用MDM部署的证书。
•如果要更新至新版本,应删除导入到旧版AnyConnect应用的应用数据,例如证书和配置文件。
否则,它们将继续显示在系统VPN设置中。
在卸载旧版AnyConnect应用之前删除应用数据。
16 •当前的MDM配置文件不会触发新应用。
EMM供应商必须支持VPNType(VPN)、VPNSubType.cisco.anyconnect)和ProviderType(packet-tunnel)。
为了与ISE集成,它们必须能够将唯一标识符传递给AnyConnect,因为AnyConnect在新框架中不能再访问此信息。
有关如何设置此功能,请咨询您的EMM供应商;有些可能需要自定义VPN类型,另一些在发布时可能无可用的支持。
在AnyConnect4.0.07x及更高版本中使用新扩展框架会导致旧版AnyConnect4.0.05x中的行为发生以下变化: •在新版本中,发送到头端的设备ID不再是UDID,而且重置为出厂设置后,设备ID将发生变化,除非您的设备从其进行的备份中执行恢复。
•您可以使用MDM部署的证书和使用AnyConnect中可用的某种方法导入的证书:SCEP、通过UI手动导入或通过URI处理程序导入。
新版AnyConnect不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书。
•在使用UI创建连接条目时,用户必须接受显示的iOS安全消息。
•用户创建的条目若与从AnyConnectVPN配置文件中下载的主机条目名称相同,当它们处于活动状态时,在断开连接前不会对其重命名。
另外,断开连接后,下载的主机连接条目将出现在UI中,保持连接时则不会显示在UI中。
AppleiOS版AnyConnect4.0.7x中未解决和已解决的问题 思科漏洞搜索工具(/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AppleiOS版AnyConnect4.0.5中的未解决问题 标识符CSCuu76224CSCuv44716CSCuy41307CSCuy99092CSCuy99108CSCuz38311CSCuz39092CSCvb22398CSCvb31542CSCvb78548CSCve10517 标题即使已播发SOA记录,也无法解析.local拆分隧道包含配置可能无法正常使用AnyConnect连接状态不同步[ios]tungrp上的MTU需要为1380或更低,才能传输IPSec流量[ios]Anyconnect无法丢弃IPv6流量当AAAA响应缓慢时,建立的iOS4.0.05032/5036连接速度缓慢iOS-4.0.05036明确全部丢弃流量文本OS在休眠期间不触发VPN-Radar#27851312iOS:PerAppSafariDom内部站点的内部CRL失败R#28176408VPN未能使用T-MobileIPv6网络从Wi-Fi过渡到蜂窝网络iOS:对于子域设置时,拆分DNS不起作用 17 AppleiOS版AnyConnect4.0.07075中已解决的问题 标识符CSCvf07751 标题iOS:4.0.7074OS未添加用于不含拆分DNS的拆分隧道的默认域 AppleiOS版AnyConnect4.0.07074中已解决的问题 标识符CSCvc35923 标题AC-NF未能通知用户必须打开AC来同步更新的配置文件 AppleiOS版AnyConnect4.0.07072中已解决的问题 标识符CSCuq52458CSCvb14706CSCvb57807 CSCve49663 标题AppleiOS:P组默认域不能用于PerAppiOS10上的AC启用调试日志而未激活配置,显示两次错误ipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日iOS/Android:在ATTLTE上未能尝试备份连接条目 AppleiOS版AnyConnect4.0.5x中未解决和已解决的问题 思科漏洞搜索工具(/bugsearch/)包含此版本中有关未解决和已解决的问题的详细信息。
需要使用思科帐户才能访问该漏洞搜索工具。
如果没有,请在/RPF/register/register.do中注册。
AppleiOS版旧版AnyConnect中未解决的问题未解决的问题仅列在最新版本之下,请参阅AppleiOS版AnyConnect4.0.7x中未解决和已解决的问题,第17页。
AppleiOS版旧版AnyConnect4.0.05069中已解决的问题此版旧版AnyConnect中未修复任何问题。
AppleiOS版AnyConnect4.0.05066中已解决的问题 标识符CSCuv35459 标题匹配的连接配置文件名称未重命名 18 标识符CSCuy12161CSCvb48664CSCvb57807 CSCvb59411 标题 AnyConnect应不再要求服务器证书具有密钥协议针对2016年9月OpenSSL漏洞评估AnyConnectipadAC客户端证书在诊断中显示过期日期1969年12月31日或1970年1月1日 iOS:在运行iOS10+的32位设备(例如iPhone5C、5、iPad4及更早产品)上执行Deflate压缩失败 AppleiOS版AnyConnect4.0.05055中已解决的问题 标识符CSCvb14706CSCvb26000 标题 iOS10上的AC启用调试日志而未激活配置,显示两次错误ACiOS:ENH-使“暂停时断开连接”(DisconnectOnSuspend)功能依赖于OS自动VPN AppleiOS版AnyConnect4.0.05052中已解决的问题 标识符CSCuv97696 CSCva32660CSCva56275CSCva86673 标题Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败ACiOS:启用客户端旁路协议导致连接失败ACiOS:ENH-支持“暂停时断开连接”(DisconnectOnSuspend)配置文件选项iOS10-IPv6APNS与仅支持具有v4的地址通过隧道的网络兼容 AppleiOS版AnyConnect4.0.05046中已解决的问题 标识符CSCut14163CSCuy15657CSCuy77264CSCuz33124 标题连接到具有多个INA的FQDN时,3.0.12240配置文件损坏更改选择的VPN配置文件失败Advanced一词在UI中未正确对齐让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络 19 标识符CSCuz38302CSCuz38319CSCuz38432CSCuz39090CSCuz52506CSCuz94483CSCva03743CSCva26758CSCva30253 标题连接到具有多个INA的FQDN时,4.0.05036配置文件损坏iOS4.0.05032/5036-MTU进程的奇怪行为-断开连接/重新连接iOS:4.0.05036无网络连接-错误消息-无法连接iOS-4.0.05036客户端版本字符串被错误地报告为Windows针对2016年5月OpenSSL漏洞评估AnyConnectiOSAnyConnect4.0.5036+PACURL不运行AnyConnectiOS多次重新连接iOS–支持通过DNS64/NAT64网络上的IP连接到IPv4头端在某些情况下,AnyConnect对话框显示的字体颜色错误 AppleiOS版AnyConnect4.0.05038中已解决的问题 标识符CSCuz38302CSCuz38319CSCuz38432CSCuz39090 标题连接到具有多个INA的FQDN时,4.0.05036配置文件损坏iOS4.0.05032/5036-MTU进程的奇怪行为-断开连接/重新连接iOS:4.0.05036无网络连接-错误消息-无法连接iOS-4.0.05036客户端版本字符串被错误地报告为Windows AppleiOS版AnyConnect4.0.05036中已解决的问题 标识符CSCuo47016CSCuy15657CSCuz33124 标题XMLSoftlibxml2基于解码堆的缓冲区下溢漏洞更改选择的VPN配置文件失败让所有具有v4地址的流量通过隧道并丢弃所有具有v6地址的流量会阻止流量传递到专用网络 AppleiOS版AnyConnect4.0.03021中已解决的问题 标识符CSCut56282 标题AnyConnectiPhone:按需域无法通过配置文件更新 20 标识符CSCux38698CSCux41420CSCux81967CSCuy25393CSCuy54600 标题AnyconnectIKEv2缓冲区溢出针对2015年12月OpenSSL漏洞评估AnyConnectAC版权信息需要更改为2016年在iPadPro上通过AnyConnect发送邮件日志失败针对2016年3月OpenSSL漏洞评估AnyConnect AppleiOS版AnyConnect4.0.03016中已解决的问题 标识符CSCuv97696 标题 Apple#22457371iOS9-使用RequiredDNSServers的按需规则在首次DNS连接时失败 CSCuw11134 iOS9-拆分隧道与所有DNS通过隧道-AAAADNS屏蔽导致DNS故障 CSCuw54786 iOS-报告错误的UDID-更改设备并从备份还原 AppleiOS版AnyConnect4.0.03004中已解决的问题 标识符CSCut46503CSCuu96241CSCuu99043 标题2015年3月OpenSSL漏洞在4.0升级后,通过外部应用启用AC时会遇到启动问题登录屏幕在离开屏幕然后返回时不可用 AnyConnectMobile相关文档 有关详细信息,请参阅以下文档:•AnyConnect版本说明•AnyConnect管理员指南•思科ASA系列文档一览 Apple提供有关在AppleiOS设备上使用VPN连接的其他信息:•/library/ios/search/?
q=vpn+server+configuration 21 •/kb/ht142422 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2015-2017CiscoSystems,Inc.Allrightsreserved. 美洲总部CiscoSystems,Inc.SanJose,CA95134-1706USA 亚太区总部CiscoSystems(USA)Pte.Ltd.Singapore 欧洲总部CiscoSystemsInternationalBVAmsterdam,TheNetherlands Cisco在全球拥有200多个办事处。
相关地址、电话和传真号码可见于Cisco位于/go/offices上的网站。
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。