الرد على الأسئلة المتداولة حول AnyConnect - الأنفاق وأجهزة DPDs وموقت عدم النشاط
المحتويات
المقدمة
يصف هذا المستند أنفاق Cisco AnyConnect Secure Mobility Client، وسلوك إعادة الاتصال واكتشاف النظير الميت (DPD)، وموقت عدم النشاط.
معلومات أساسية
أنواع الأنفاق
هناك طريقتان تستخدمان من أجل توصيل جلسة عمل AnyConnect:
- عبر البوابة (دون عملاء)
- من خلال التطبيق المستقل
استنادا إلى طريقة إتصالك، يمكنك إنشاء ثلاثة أنفاق (جلسات) مختلفة على جهاز الأمان القابل للتكيف (ASA) من Cisco، لكل منها غرض معين:
- ClientLess أو Parent-Tunnel: هذه هي الجلسة الرئيسية التي يتم إنشاؤها في التفاوض لإعداد الرمز المميز للجلسة اللازم في حالة الحاجة إلى إعادة الاتصال بسبب مشاكل اتصال الشبكة أو الإسبات. استنادا إلى آلية الاتصال، يقوم ASA بإدراج الجلسة كبدون عميل (WebLaunch عبر البوابة) أو كأصل (AnyConnect المستقل).
- طبقة مآخذ التوصيل الآمنة (SSL)-Tunnel: يتم إنشاء اتصال SSL أولا، ويتم تمرير البيانات عبر هذا الاتصال أثناء محاولة إنشاء اتصال DTLS. وبمجرد إنشاء اتصال DTLS، يرسل العميل الحزم عبر اتصال DTLS بدلا من عبر اتصال SSL. ومن جهة أخرى، تنتقل حزم التحكم دائما عبر اتصال SSL.
- DTLS-Tunnel: عند إنشاء DTLS-Tunnel بشكل كامل، تنتقل جميع البيانات إلى نفق DTLS، ويتم إستخدام نفق SSL فقط لحركة مرور قناة التحكم العرضية. إذا حدث شيء ما لبروتوكول مخطط بيانات المستخدم (UDP)، فسيتم تقسيم نفق DTLS وستمر جميع البيانات عبر SSL-Tunnel مرة أخرى.
نموذج للمخرجات من ASA
هنا نموذج للمخرجات من طريقتي الاتصال.
اتصال AnyConnect عبر إطلاق الويب:
ASA5520-C(config)# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : walter Index : 1435
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : Clientless: (1)RC4 SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : Clientless: (1)SHA1 SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 335765 Bytes Rx : 31508
Pkts Tx : 214 Pkts Rx : 18
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 22:13:37 UTC Fri Nov 30 2012
Duration : 0h:00m:34s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
Clientless Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
Clientless:
Tunnel ID : 1435.1
Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : Web Browser
Client Ver : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
Bytes Tx : 329671 Bytes Rx : 31508
SSL-Tunnel:
Tunnel ID : 1435.2
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 1241
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.01065
Bytes Tx : 6094 Bytes Rx : 0
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 1435.3
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 Compression : LZS
UDP Src Port : 1250 UDP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : DTLS VPN Client
Client Ver : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
اتصال AnyConnect عبر التطبيق المستقل:
ASA5520-C(config)# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : walter Index : 1436
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 12244 Bytes Rx : 777
Pkts Tx : 8 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 22:15:24 UTC Fri Nov 30 2012
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 1436.1
Public IP : 172.16.250.17
Encryption : none Hashing : none
TCP Src Port : 1269 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : AnyConnect
Client Ver : 3.1.01065
Bytes Tx : 6122 Bytes Rx : 777
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 1436.2
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 1272
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.01065
Bytes Tx : 6122 Bytes Rx : 0
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 1436.3
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 Compression : LZS
UDP Src Port : 1280 UDP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : DTLS VPN Client
Client Ver : 3.1.01065
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
وحدات DPD وأجهزة توقيت عدم النشاط
متى تعتبر جلسة عمل غير نشطة
تعد جلسة العمل غير نشطة (ويبدأ المؤقت في الزيادة) فقط عندما لا يكون نفق SSL موجودا بعد ذلك في جلسة العمل. لذلك، يتم ختم كل جلسة بالوقت مع وقت إسقاط SSL-Tunnel.
ASA5520-C# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : walter Index : 1336
Public IP : 172.16.250.17
Protocol : AnyConnect-Parent <- Here just the AnyConnect-Parent is active
but not SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none
Hashing : AnyConnect-Parent: (1)none
Bytes Tx : 12917 Bytes Rx : 1187
Pkts Tx : 14 Pkts Rx : 7
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 17:42:56 UTC Sat Nov 17 2012
Duration : 0h:09m:14s
Inactivity : 0h:01m:06s <- So the session is considered Inactive
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
متى يسقط ASA نفق SSL
هناك طريقتان يمكن بهما قطع اتصال نفق SSL:
- DPD - يتم إستخدام DPD من قبل العميل لاكتشاف فشل في الاتصالات بين عميل AnyConnect والطرف الرئيسي ل ASA. يتم إستخدام DPDs أيضا لتنظيف الموارد على ASA. وهذا يضمن أن الطرف الرئيسي لا يحتفظ بالاتصالات في قاعدة البيانات إذا كانت نقطة النهاية غير مستجيبة لأدوات DPD. إذا قام ASA بإرسال DPD إلى نقطة النهاية وقام بالإجابة، فلن يتم إتخاذ أي إجراء. إذا كانت نقطة النهاية غير مستجيبة، بعد الحد الأقصى لعدد إعادة الإرسال (يعتمد على إذا تم إستخدام IKEv1 أو IKEv2) يقوم ASA بتمزيق النفق في قاعدة بيانات جلسة العمل، وينقل جلسة العمل إلى وضع انتظار للاستئناف. ما يعنيه هذا هو أن DPD من نقطة الرأس قد بدأ، وأن نقطة الرأس لم تعد تتصل مع العميل. في مثل هذه الحالات، يحمل ASA النفق الرئيسي لأعلى للسماح للمستخدم بالتجول في الشبكات، والذهاب إلى وضع السكون، واسترداد الجلسة. يتم حساب هذه الجلسات مقابل جلسات العمل المتصلة بنشاط ويتم مسحها بموجب هذه الشروط:
- مهلة وضع الخمول للمستخدم
- يقوم العميل باستئناف جلسة العمل الأصلية وتسجيل الخروج بشكل صحيح.
لتكوين DPDs، أستخدم الأمرanyconnect dpd-intervalضمن سمات WebVPN في إعدادات نهج المجموعة. بشكل افتراضي، يتم تمكين DPD ويتم تعيينه على 30 ثانية لكل من ASA (البوابة) والعميل.
- Idle-timeout - الطريقة الثانية التي يتم فيها قطع اتصال SSL-Tunnel هي عندما تنتهي صلاحية Idle-Timeout لهذا النفق. ومع ذلك، تذكر أنه لا يجب وضع الخمول في نفق SSL فقط، بل في نفق DTLS أيضا. ما لم يتم استبقاء وقت جلسة DTLS، SSL-Tunnel في قاعدة البيانات.
لماذا يجب تمكين رسائل تنشيط الاتصال إذا كانت DPDs ممكنة بالفعل
كما هو موضح مسبقا، لا يقضي DPD على جلسة عمل AnyConnect نفسها. إنه يقتل فقط النفق في تلك الجلسة حتى يتمكن العميل من إعادة إنشاء النفق. إذا تعذر على العميل إعادة إنشاء النفق، فإن جلسة العمل تبقى حتى تنتهي صلاحية المؤقت الخامل على ASA. بما أن DPDs ممكنة افتراضيا، فإن العملاء يمكن أن يتم فصلهم غالبا بسبب التدفقات التي تغلق في إتجاه واحد مع ترجمة عنوان الشبكة (NAT) وجدار الحماية وأجهزة الوكيل. إن تمكين رسائل تنشيط الاتصال على فواصل زمنية منخفضة، مثل 20 ثانية، يساعد على منع هذا.
يتم تمكين رسائل Keepalives ضمن سمات WebVPN الخاصة بنهج مجموعة معين باستخدام الأمرanyconnect ssl keepalive. بشكل افتراضي، يتم تعيين وحدات التوقيت على 20 ثانية.
سلوك عميل AnyConnect في حالة إعادة الاتصال
يحاول AnyConnect إعادة الاتصال في حالة تعطيل الاتصال. هذا غير قابل للتكوين، تلقائيا. طالما أن جلسة VPN على ال ASA لا تزال صالحة وإذا كان AnyConnect يستطيع إعادة إنشاء الاتصال الفعلي، ال VPN جلسة أستؤنفت.
تستمر ميزة "إعادة الاتصال" حتى انتهاء مهلة جلسة العمل أو انتهاء مهلة قطع الاتصال، وهي في الواقع مهلة الخمول، وتنتهي صلاحيتها (أو 30 دقيقة إذا لم يتم تكوين فترات انتهاء المهلة). وبمجرد انتهاء صلاحية هذه الشبكات، لا يمكن للعميل المتابعة لأنه قد تم بالفعل إسقاط جلسات عمل الشبكة الخاصة الظاهرية (VPN) على ASA. يستمر العميل طالما أنه يعتقد أن ASA لا يزال لديه جلسة VPN.
تتم إعادة اتصال AnyConnect بغض النظر عن كيفية تغيير واجهة الشبكة. لا يهم ما إذا تغير عنوان IP الخاص ببطاقة واجهة الشبكة (NIC)، أو ما إذا كانت محولات الاتصال من بطاقة واجهة شبكة (NIC) إلى بطاقة واجهة شبكة أخرى (لاسلكي إلى سلكي أو العكس).
عندما تضع عملية إعادة الاتصال ل AnyConnect في الاعتبار، هناك ثلاثة مستويات من الجلسات يجب عليك تذكرها. وبالإضافة إلى ذلك، فإن سلوك إعادة الاتصال لكل جلسة من هذه الجلسات يكون مقترنا بشكل واسع، بحيث يمكن إعادة إنشاء أي منها دون الاعتماد على عناصر الجلسة من الطبقة السابقة:
- إعادة اتصال TCP أو UDP [الطبقة OSI 3]
- TLS أو DTLS أو IPSec(IKE+ESP) [الطبقة OSI 4] - إستئناف TLS غير مدعوم.
- VPN [OSI الطبقة 7] - يتم إستخدام الرمز المميز لجلسة شبكة VPN كرمز مصادقة مميز لإعادة إنشاء جلسة عمل شبكة VPN عبر قناة آمنة عندما يكون هناك انقطاع. هو آلية خاصة تماثل جدا، من الناحية النظرية، كيفية إستخدام رمز Kerberos المميز أو شهادة العميل للمصادقة. الرمز المميز فريد ومشفر تم إنشاؤه بواسطة الطرف الرئيسي، والذي يحتوي على معرف الجلسة بالإضافة إلى حمولة عشوائية تم إنشاؤها بشكل تشفير. ويتم تمريرها إلى العميل كجزء من إنشاء الشبكة الخاصة الظاهرية (VPN) الأولية بعد إنشاء قناة آمنة للوصول إلى الطرف الرئيسي. وهو يظل صالحا طوال مدة جلسة العمل على الطرف الرئيسي، ويتم تخزينه في ذاكرة العميل، وهي عملية ذات امتياز.
العملية الفعلية
يتم بدء تشغيل مؤقت "مهلة قطع الاتصال" بمجرد تعطيل اتصال الشبكة. يستمر عميل AnyConnect في محاولة إعادة الاتصال طالما لم تنته صلاحية هذا المؤقت. تم تعيين مهلة قطع الاتصال إلى الإعداد الأدنى لنهج المجموعة Idle-Timeout أو الحد الأقصى لوقت الاتصال.
تظهر قيمة هذا المؤقت في عارض الأحداث لجلسة عمل AnyConnect في التفاوض:
في هذا المثال، يتم قطع اتصال الجلسة بعد دقيقتين (120 ثانية)، ويمكن التحقق منها في "محفوظات الرسائل" الخاصة ب AnyConnect:
كما هو مرئي من الرسائل السابقة، فشلت إعادة الاتصال. ومع ذلك، إذا كانت عملية إعادة الاتصال ناجحة، ففيما يلي ما يحدث:
- يبقى النفق الأصل كما هو. لم تتم إعادة التفاوض بهذا الإجراء لأن هذا النفق يحتفظ بالرمز المميز للجلسة المطلوب لجلسة العمل لإعادة الاتصال.
- خلقت SSL جديد و DTLS جلسة، ومنافذ مصدر مختلف استعملت في ال reconnect.
- يتم إستعادة جميع قيم Idle-Timeout.
- تم إستعادة مهلة عدم النشاط.
في هذه الحالة التي فشلت فيها محاولات إعادة الاتصال، تواجه هذه الرسالة:
سلوك عميل AnyConnect في حالة تعليق النظام
هناك ميزة تجوال تسمح ل AnyConnect بإعادة الاتصال بعد سكون الكمبيوتر. يستمر العميل في المحاولة حتى انتهاء مهلة وضع الخمول أو جلسة العمل ولا يقوم العميل بهدم النفق على الفور عند دخول النظام في وضع الإسبات/الاستعداد. للمستخدمين الذين لا يريدون هذه الميزة، قم بتعيين مهلة الجلسة على قيمة منخفضة لمنع إعادة اتصال السكون/الاستئناف.
يمكن التحكم في سلوك إعادة الاتصال التلقائي ل AnyConnect من خلال ملف تعريف AnyConnect XML باستخدام هذا الإعداد:
<AutoReconnect UserControllable="true">true
<AutoReconnectBehavior>ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
مع هذا التغيير، يحاول AnyConnect إعادة الاتصال عندما يتم إسترجاع الكمبيوتر من وضع السكون. يقوم تفضيل AutoReconnectBehavior افتراضيا ب DisconnectOnSuspend. يختلف هذا السلوك عن سلوك عميل AnyConnect الإصدار 2.2. لإعادة الاتصال بعد الاستئناف، يجب على مسؤول الشبكة إما تعيين ReconnectAfterResume في ملف التعريف أو جعل تفضيلات AutoReconnect و AutoReconnectBehavior متاحة تحكم المستخدم فيها في ملف التعريف للسماح للمستخدمين بتعيينها.
الأسئلة المتكررة
الربع الأول. يحتوي AnyConnect DPD على فترة زمنية ولكن لا توجد عمليات إعادة محاولة - كم عدد الحزم التي يجب أن تفوتها قبل أن يقوم بوضع علامة "ميت" على الطرف البعيد؟
ألف - ومن منظور العملاء، لم تقم إدارة شؤون الإعلام إلا بهدم نفق خلال مرحلة إنشاء النفق. إذا واجه العميل ثلاث محاولات (يرسل أربع حزم) أثناء مرحلة إنشاء النفق ولم يتلقى إستجابة من خادم VPN الأساسي، فيعود إلى إستخدام أحد خوادم النسخ الاحتياطي إذا تم تكوين واحدة. ومع ذلك، بمجرد إنشاء النفق، لا يكون للنوافذ التي لم تشملها أي تأثير على النفق من منظور العميل. التأثير الحقيقي ل DPDs على ال VPN نادل كما هو موضح في القسم DPDs و Inactivity Timers.
الربع الثاني. هل معالجة DPD مختلفة ل AnyConnect باستخدام IKEv2؟
A. نعم، يحتوي IKEv2 على عدد ثابت من عمليات إعادة المحاولة - ست عمليات إعادة محاولة/سبع حزم.
الربع الثالث. هل هناك غرض آخر ل AnyConnect الأصل-النفق؟
A. بالإضافة إلى أنه خريطة على ASA، يتم إستخدام النفق الرئيسي من أجل دفع ترقيات صورة AnyConnect من ASA إلى العميل، لأن العميل غير متصل بشكل نشط أثناء عملية الترقية.
الربع الرابع. هل يمكنك تصفية جلسات العمل غير النشطة فقط وتسجيل الخروج منها؟
a. يمكنك تصفية الجلسات غير النشطة باستخدام الأمر show vpn-sessionDB AnyConnect filter inactive. مهما، هناك ما من أمر أن يدون فقط جلسة غير نشط. بدلا من ذلك، تحتاج إلى تسجيل الخروج من جلسات عمل معينة أو تسجيل الخروج من كل جلسة عمل لكل مستخدم (فهرسة - اسم)، بروتوكول، أو مجموعة نفق. تم تصنيف طلب تعزيز، معرف تصحيح الأخطاء من Cisco CSCuh55707، من أجل إضافة الخيار لتسجيل الخروج من جلسات العمل غير النشطة فقط.
الربع الخامس. ماذا يحدث للنفق الأصل عند انتهاء صلاحية أنفاق DTLS أو TLS Idle-Timeout؟
a. تتم إعادة تعيين المؤقت "من وضع الخمول إلى اليسار" الخاص بجلسة عمل AnyConnect-parent بعد أن يتم قطع نفق SSL أو DTLS-Tunnel. وهذا يسمح للمهلة الخاملة بالعمل كمهلة غير متصلة. ويصبح هذا الوقت المسموح به للعميل لإعادة الاتصال بشكل فعال. إذا لم يقم العميل بإعادة الاتصال ضمن المؤقت، فسيتم إنهاء النفق الرئيسي.
الربع السادس. لماذا يتم الاحتفاظ بالجلسة بمجرد أن تقوم وحدات توقيت DPD بقطع اتصال الجلسة، ولماذا لا يقوم ASA بإصدار عنوان IP؟
ألف - لا يعرف طرف الرأس حالة العميل. في هذه الحالة، ينتظر ASA إعادة اتصال العميل على أمل أن يتم ذلك حتى تنتهي جلسة العمل على المؤقت الخامل. لا تقتل DPD جلسة عمل AnyConnect، بل تقتل النفق فقط (في هذه الجلسة) حتى يتمكن العميل من إعادة إنشاء النفق. إذا لم يقم العميل بإعادة إنشاء نفق، فإن جلسة العمل تبقى حتى انتهاء صلاحية المؤقت الخامل.
إذا كان القلق حول جلسات العمل التي يتم إستخدامها، فقم بتعيين عمليات تسجيل الدخول المتزامنة إلى قيمة منخفضة مثل واحد. باستخدام هذا الإعداد، يتم حذف جلسة العمل الخاصة بالمستخدمين الذين لديهم جلسة عمل في قاعدة بيانات جلسة العمل عندما يقومون بتسجيل الدخول مرة أخرى.
الربع السابع. ما هو السلوك إذا فشل ASA من نشط إلى وضع الاستعداد؟
ألف - في البداية، عندما يتم إنشاء الجلسة، يتم نسخ الأنفاق الثلاثة (الأصل و SSL و DTLS) إلى الوحدة الاحتياطية. بمجرد فشل ASA، تتم إعادة إنشاء جلسات عمل DTLS و TLS لأنها لا تتم مزامنتها إلى الوحدة الاحتياطية، ولكن أي بيانات تتدفق عبر الأنفاق يجب أن تعمل دون انقطاع بعد إعادة إنشاء جلسة عمل AnyConnect.
جلسات عمل SSL/DTLS غير معبرة عن الحالة، لذلك لا يتم الاحتفاظ بحالة SSL والرقم التسلسلي ويمكن أن تكون خاضعة للضريبة إلى حد ما. لذلك، تحتاج تلك جلسة أن يكون reestablished من الصفر، أي يكون أنجزت مع الأصل جلسة ورمز الجلسة.
الربع الثامن. لماذا توجد مهلتان مختلفتان، مهلة الخمول وتعطيل قطع الاتصال، إذا كانا كلاهما نفس القيمة؟
ألف - وعندما وضعت البروتوكولات، تم النص على فترتين مختلفتين:
- مهلة الخمول - مهلة الخمول هي عندما لا يتم تمرير أي بيانات عبر اتصال.
- مهلة قطع الاتصال - تكون المهلة التي تم قطع الاتصال بها خاصة عندما تتخلى عن جلسة عمل VPN لأنه قد تم فقدان الاتصال ولا يمكن إعادة إنشائه.
لم يتم تنفيذ المهلة التي تم قطع الاتصال بها على ASA. وبدلا من ذلك، يرسل ASA قيمة مهلة الخمول لكل من فترات انتهاء المهلة الخاملة وغير المتصلة للعميل.
لا يستخدم العميل المهلة الخاملة، لأن ASA يعالج المهلة الخاملة. يستخدم العميل قيمة انتهاء المهلة التي تم قطع الاتصال بها، والتي هي نفسها قيمة مهلة الخمول، لمعرفة متى يتم التخلي عن محاولات إعادة الاتصال منذ أن قام ASA بإسقاط الجلسة.
مع أنه غير متصل بشكل نشط بالعميل، يعمل ASA على إرسال الجلسة في المرة الواحدة عبر مهلة الخمول. كان السبب الرئيسي لعدم تنفيذ المهلة التي تم قطع الاتصال بها على ASA هو تجنب إضافة مؤقت آخر لكل جلسة عمل لشبكة VPN وزيادة النفقات العامة على ASA (على الرغم من أنه يمكن إستخدام نفس المؤقت في كلا الحالتين، فقط مع قيم مهلة مختلفة، نظرا لأن الحالتين غير متبادلتين).
القيمة الوحيدة التي تمت إضافتها مع انتهاء المهلة التي تم قطع الاتصال بها هي السماح للمسؤول بتحديد مهلة مختلفة عندما يكون العميل غير متصل بشكل نشط مقابل خامل. كما تمت الإشارة مسبقا، تم تصنيف معرف تصحيح الأخطاء من Cisco CSCsl52873 لهذا الغرض.
الربع التاسع. ماذا يحدث عندما يتم إيقاف جهاز العميل مؤقتا؟
A. بشكل افتراضي، يحاول AnyConnect إعادة إنشاء اتصال VPN عندما تفقد الاتصال. لا يحاول إعادة إنشاء اتصال VPN بعد إستئناف النظام بشكل افتراضي. ارجع إلى سلوك عميل AnyConnect في حالة تعليق النظام للحصول على تفاصيل.
الطراز Q10. عند حدوث عملية إعادة اتصال، هل يحدث رفرفة المحول الظاهري AnyConnect، أم هل يتغير جدول التوجيه على الإطلاق؟
A. إعادة الاتصال على مستوى النفق لا تفعل ذلك أيضا. هذه إعادة اتصال على SSL أو DTLS فقط. هذه تستغرق حوالي 30 ثانية قبل أن تستسلم. إذا فشل DTLS، يتم إسقاطه فقط. إذا فشل SSL، فإنه يتسبب في إعادة الاتصال على مستوى الجلسة. تقوم إعادة الاتصال على مستوى جلسة العمل بإعادة تنفيذ التوجيه بالكامل. إذا لم يتغير عنوان العميل المعين في إعادة الاتصال أو أية معلمات تكوين أخرى تؤثر على المحول الظاهري (VA)، فلا يتم تعطيل VA. في حين أنه من غير المحتمل أن يكون هناك أي تغيير في معلمات التكوين المستلمة من ASA، من الممكن أن يؤدي التغيير في الواجهة المادية المستخدمة لاتصال VPN (على سبيل المثال، إذا قمت بإلغاء الإرساء وانتقلت من الاتصال السلكي إلى WiFi) إلى قيمة مختلفة لوحدة الإرسال القصوى (MTU) لاتصال VPN. تؤثر قيمة وحدة الحد الأقصى للنقل (MTU) على VA، ويتسبب التغيير فيها في تعطيل VA ثم إعادة تمكينه.
الطراز Q11. هل توفر إعادة الاتصال التلقائي إستمرارية للجلسة؟ إذا كان الأمر كذلك، هل توجد أية وظائف إضافية تمت إضافتها في عميل AnyConnect؟
a. لا يوفر AnyConnect أي سحر إضافي لاستيعاب إستمرارية جلسة العمل للتطبيقات. ولكن يتم إستعادة اتصال VPN تلقائيا، بعد فترة وجيزة من إستئناف اتصال الشبكة بالمعبر الآمن، شريطة عدم انتهاء صلاحية فترات انتهاء صلاحية الخمول وجلسة العمل التي تم تكوينها على ASA. وعلى عكس عميل IPsec، ينتج عن إعادة الاتصال التلقائي نفس عنوان IP الخاص بالعميل. على الرغم من محاولة AnyConnect إعادة الاتصال، يظل المهايئ الظاهري AnyConnect ممكنا وفي حالة الاتصال، لذلك يظل عنوان IP للعميل موجودا وممكنا على كمبيوتر العميل طوال الوقت، مما يوفر مقاومة عنوان IP للعميل. ومع ذلك، لا تزال تطبيقات الكمبيوتر العميل تدرك فقدان الاتصال بالخوادم الخاصة بها على شبكة المؤسسة إذا استغرق الأمر وقتا طويلا للغاية لاستعادة اتصال الشبكة الخاصة الظاهرية (VPN).
الربع الثاني عشر. تعمل هذه الميزة على جميع متغيرات نظام التشغيل Microsoft Windows (Vista 32-بت و 64-بت و XP). ماذا عن الماكنتوش؟ هل يعمل على OS X 10.4؟
أ. تعمل هذه الميزة على Mac و Linux. كانت هناك مشاكل مع ماك ولينكس، ولكن تم إجراء تحسينات مؤخرا، لا سيما بالنسبة إلى ماك. لا يزال Linux يتطلب بعض الدعم الإضافي (Cisco بق id CSCsr16670، cisco بق id CSCsm69213)، لكن الوظيفة الأساسية موجودة أيضا. فيما يتعلق بنظام التشغيل Linux، لا يدرك AnyConnect حدوث إيقاف مؤقت/إستئناف (وضع السكون/التنبيه). هذا بشكل أساسي له تأثيران:
- لا يمكن أن يكون إعداد ملف تعريف/تفضيل AutoReconnectBehavior مدعوما على نظام التشغيل Linux بدون دعم الإيقاف المؤقت/الاستئناف، لذلك تحدث عملية إعادة الاتصال دائما بعد الإيقاف المؤقت/الاستئناف.
- في Microsoft Windows و Macintosh، يتم إجراء عمليات إعادة الاتصال على الفور على مستوى جلسة العمل بعد الاستئناف، مما يسمح بمحول أسرع إلى واجهة مادية مختلفة. على Linux، لأن AnyConnect غير مدرك تماما للتعليق/الاستئناف، تتم إعادة الاتصال على مستوى النفق أولا (SSL و DTLS) وهذا قد يعني أن عملية إعادة الاتصال تأخذ فترة أطول قليلا. ولكن لا تزال عمليات إعادة الاتصال تحدث على نظام التشغيل Linux.
الربع الثالث عشر. هل هناك أي قيود على الميزة من حيث الاتصال (السلكية، وشبكة Wi-Fi، و 3G وما إلى ذلك)؟ هل يدعم الانتقال من وضع إلى آخر (من Wi-Fi إلى 3G، 3G إلى سلكي، وما إلى ذلك)؟
a. لا يتم ربط AnyConnect بواجهة مادية معينة طوال العمر الافتراضي لاتصال VPN. إذا فقدت الواجهة المادية المستخدمة لاتصال VPN أو إذا تجاوزت محاولات إعادة الاتصال فوقه حد فشل معين، فإن AnyConnect لم يعد يستخدم تلك الواجهة ويحاول الوصول إلى البوابة الآمنة باستخدام أي واجهات تتوفر حتى تنتهي صلاحية وحدات توقيت وضع الخمول أو جلسة العمل. لاحظ أن أي تغيير في الواجهة الفعلية قد يؤدي إلى قيمة MTU مختلفة ل VA، مما يؤدي إلى تعطيل VA وإعادة تمكينه، ولكن مع إستمرار وجود عنوان IP الخاص بالعميل نفسه.
إذا كان هناك أي انقطاع في الشبكة (الواجهة معطلة، الشبكات التي تم تغييرها، الواجهات التي تم تغييرها)، يحاول AnyConnect إعادة الاتصال، حيث لا توجد حاجة إلى إعادة المصادقة على إعادة الاتصال. ينطبق هذا أيضا على محول من الواجهات المادية:
مثال:
1. wireless off, wired on: AC connection established
2. disconnect wired physically, turn wired on: AC re-established connection in
30 seconds
3. connect wired, turn off wireless: AC re-established connection in 30 secs
الربع الرابع عشر. كيف تتم مصادقة عملية الاستئناف؟
a. في السيرة الذاتية، يمكنك إعادة إرسال الرمز المميز المصدق عليه الذي يبقى لفترة بقاء جلسة العمل، ثم إعادة إنشاء الجلسة.
الربع الخامس عشر. هل يتم إجراء تفويض LDAP أيضا عند إعادة الاتصال أو المصادقة فقط؟
أ. يتم هذا فقط في التوصيل الأولي.
الربع السادس عشر. هل يتم تشغيل ميزة ما قبل تسجيل الدخول و/أو الفحص التلقائي عند الاستئناف؟
أ. لا، هذه تعمل على التوصيل الأولي فقط. وسوف يتم تحديد وضع مماثل لميزة تقييم الوضع الدوري في المستقبل.
الربع السابع عشر. فيما يتعلق بموازنة حمل الشبكة الخاصة الظاهرية (VPN) (LB) واستئناف الاتصال، هل يتصل العميل مرة أخرى مباشرة بعضو نظام المجموعة الذي تم توصيله به من قبل؟
A: نعم، هذا صحيح لأنك لا تقوم بإعادة حل اسم المضيف عبر DNS لإعادة إنشاء الجلسة الحالية.
معلومات ذات صلة
- مرجع ASA DPD: معرف تصحيح الأخطاء من Cisco CSCsr63074 - لا يتم إرسال DPD عندما يكون النظير معطلا والنفق غير خامل على S2s مع 7.2.4
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
22-Dec-2023 |
النص البديل المحدث والترجمة الآلية والتنسيق. |
2.0 |
22-Nov-2022 |
العنوان والمقدمة المحدثان، الترجمة الآلية، متطلبات النمط، الجراثيم، والتكوين. |
1.0 |
13-Aug-2021 |
الإصدار الأولي |
التعليقات