إستخدام اكتشاف البوابة المقيدة ل AnyConnect ومعالجتها

خيارات التنزيل

  • PDF     (366.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (197.3 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (131.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٧ نوفمبر ٢٠٢٤
معرّف المستند:118086

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند ميزة اكتشاف المنفذ المقيد Cisco AnyConnect Mobility Client ومتطلبات عمله بشكل صحيح.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة ب Cisco AnyConnect Secure Mobility Client.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • الإصدار 4.7 من AnyConnect
    • أجهزة الأمان المعدلة Cisco Adaptive Security Appliance (ASA)، الإصدار 9.10

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تستخدم العديد من النقاط الفعالة اللاسلكية في الفنادق والمطاعم والمطارات والأماكن العامة الأخرى البوابات الأسيرة لحجب وصول المستخدمين إلى الإنترنت. يقومون بإعادة توجيه طلبات HTTP إلى مواقع الويب الخاصة بهم التي تتطلب من المستخدمين إدخال بيانات الاعتماد الخاصة بهم أو الإقرار بالأحكام والشروط الخاصة بمضيف النقاط الساخنة. 

    نظرة عامة

    تتطلب العديد من المنشآت التي توفر شبكة Wi-Fi وإمكانية الوصول السلكي، مثل المطارات والمقاهي والفنادق، أن يدفع المستخدمون قبل الحصول على إمكانية الوصول، أو أن يوافقوا على الالتزام بسياسة إستخدام مقبولة، أو كليهما. وتستخدم هذه المرافق أسلوبا يسمى البوابة المقيدة لمنع التطبيقات من الوصول إلى أن يفتح المستخدمون متصفحا ويقبلون شروط الوصول.

    متطلبات إصلاح البوابة المأسورة

    يتطلب دعم كل من اكتشاف البوابة المقيدة ومعالجتها أحد هذه التراخيص:

    • إصدار VPN الخاص ب AnyConnect Premium (طبقة مآخذ التوصيل الآمنة (SSL))
    • Cisco AnyConnect Secure Mobility

    يمكنك إستخدام ترخيص Cisco AnyConnect Secure Mobility من أجل توفير الدعم لاكتشاف البوابة المقيدة ومعالجتها بالاقتران مع أي من AnyConnect Essentials أو ترخيص AnyConnect Premium.

    ملاحظة: يتم دعم اكتشاف المدخل الموقوف ومعالجته على نظامي التشغيل Microsoft Windows و Macintosh OS X مدعومين بإصدار AnyConnect قيد الاستخدام.

    ملاحظة: لا تدعم الشبكة الخاصة الظاهرية (VPN) المستمرة الاتصال من خلال وكيل

    اكتشاف نقطة اتصال البوابة المقيدة

    يعرض AnyConnect رسالة الخطأ "غير قادر على الاتصال بخادم VPN" على واجهة المستخدم الرسومية (GUI) إذا لم يتمكن من الاتصال، بغض النظر عن السبب. يحدد خادم VPN البوابة الآمنة. في حالة تمكين "الاتصال الدائم" وعدم وجود مدخل أسير، يستمر العميل في محاولة الاتصال بالشبكة الخاصة الظاهرية (VPN) وتحديث رسالة الحالة وفقا لذلك.

    في حال تمكين الشبكة الخاصة الظاهرية (VPN) "الدائمة"، يتم إغلاق سياسة فشل الاتصال وتعطيل إصلاح البوابة المقيدة، ويكشف AnyConnect عن وجود بوابة أسيرة، ثم يعرض واجهة المستخدم الرسومية (GUI) ل AnyConnect هذه الرسالة مرة واحدة لكل اتصال ومرة واحدة لكل إعادة اتصال:

    The service provider in your current location is restricting access to the internet. 
    The AnyConnect protection settings must be lowered for you to log on with the service 
    provider. Your current enterprise security policy does not allow this.

    إذا كشف AnyConnect عن وجود مدخل أسير ويختلف تكوين AnyConnect عن التكوين الذي تم وصفه مسبقا، فإن واجهة المستخدم الرسومية (GUI) ل AnyConnect تعرض هذه الرسالة مرة واحدة لكل اتصال ومرة واحدة لكل إعادة اتصال:

    The service provider in your current location is restricting access to the internet. 
    You need to log on with the service provider before you can establish a VPN session. 
    You can try this by visiting any website with your browser.

    تحذير: يتم تمكين الكشف عن المدخل المتنقل بشكل افتراضي وهو غير قابل للتكوين. لا يقوم AnyConnect بتعديل أي إعدادات تكوين للمستعرض أثناء اكتشاف البوابة المقيدة.

    إصلاح نقطة اتصال المدخل المتنقل

    يقصد ب Captive Portal Relmediation العملية التي تستوفي فيها متطلبات نقطة اتصال عبر المدخل موجودة في الأسر للحصول على إمكانية الوصول إلى الشبكة.

    لا يقوم AnyConnect بإصلاح البوابة المقيدة، وهو يعتمد على المستخدم النهائي لإجراء عملية الإصلاح.

    لتنفيذ عملية إصلاح البوابة المقيدة، يلبي المستخدم النهائي متطلبات موفر النقاط الساخنة. ويمكن أن تشمل هذه المتطلبات دفع رسم للوصول إلى الشبكة، أو توقيع على سياسة إستخدام مقبولة، أو بعض المتطلبات الأخرى التي يحددها الموفر.

    يجب السماح بشكل صريح بمعالجة المدخل المتنقل في ملف تعريف عميل AnyConnect VPN إذا تم تمكين AnyConnect Always-on وتم تعيين نهج فشل الاتصال على "مغلق". إذا تم تمكين "الاتصال الدائم" وتم تعيين نهج فشل الاتصال على "فتح"، فلن تحتاج إلى السماح بشكل صريح بمعالجة البوابة المقيدة في ملف تعريف عميل AnyConnect VPN لأن المستخدم غير مقيد من الوصول إلى الشبكة.

    اكتشاف البوابة المقيدة خطأ

    يمكن أن يفترض AnyConnect بشكل زائف أنه في بوابة أسيرة في هذه الحالات:

    • إذا حاول AnyConnect الاتصال بشهادة تحتوي على اسم خادم (CN) غير صحيح، فهذا يعني أن عميل AnyConnect يتعامل معه كبيئة مدخل احتيالية.

      لمنع هذه المشكلة، تأكد من تكوين شهادة ASA بشكل صحيح. يجب أن تتطابق قيمة CN في الشهادة مع اسم خادم ASA في ملف تعريف عميل VPN.

    • إذا كان هناك جهاز آخر على الشبكة قبل ASA يستجيب عند محاولة المستخدم الاتصال ب ASA عن طريق منع وصول HTTPS إلى ASA، فإن عميل AnyConnect يتعامل معه كبيئة مدخل احتيالية. يمكن أن يحدث هذا الموقف عندما يكون المستخدم على شبكة داخلية ويتصل من خلال جدار حماية للاتصال ب ASA.

      إذا كان يجب عليك تقييد الوصول إلى ASA من داخل الشركة، فقم بتكوين جدار الحماية بحيث لا ترجع حركة مرور HTTP و HTTPS إلى عنوان ASA حالة HTTP. يسمح بوصول HTTP/HTTPS إلى ASA أو يتم حظره بالكامل (المعروف أيضا باسم Black-holed) لضمان عدم إرجاع طلبات HTTP/HTTPS المرسلة إلى ASA إستجابة غير متوقعة.

    سلوك AnyConnect

    يوضح هذا القسم كيفية تصرف AnyConnect.

    1. يحاول AnyConnect أستكشاف HTTPS إلى اسم المجال المؤهل بالكامل (FQDN) المحدد في ملف تعريف XML.

    2. إذا كان هناك خطأ في الشهادة (FQDN غير موثوق به/خطأ)، فسيحاول AnyConnect تحقيق HTTP إلى FQDN المحدد في ملف تعريف XML. إذا كانت هناك أي إستجابة أخرى غير HTTP 302، فإنها تعمل كما لو كانت خلف مدخل أسير.

    تم اكتشاف البوابة المقيدة بشكل غير صحيح مع IKEv2

    عند محاولة اتصال الإصدار 2 من مفتاح الإنترنت Internet Key Exchange (IKEv2) ب ASA مع تعطيل مصادقة SSL، والذي يشغل مدخل Adaptive Security Device Manager (ASDM) على المنفذ 443، ينتج عن تحقيق HTTPS الذي تم إجراؤه للكشف عن المدخل المتنقل إعادة توجيه إلى مدخل ASDM (/admin/public/index.html). ونظرا لأن العميل لا يتوقع ذلك، فإنه يظهر كإعادة توجيه لبوابة أسيرة، ويتم منع محاولة الاتصال لأنه يبدو أن إصلاح المدخل الأسير مطلوب.

    الحلول

    إذا واجهت هذه المشكلة، فهذه بعض الحلول البديلة الممكنة:

    • قم بإزالة أوامر HTTP على هذه الواجهة حتى لا ينصت ASA إلى إتصالات HTTP على الواجهة.

    • قم بإزالة TrustPoint ل SSL على الواجهة.

    • تمكين خدمات عميل IKEV2.

    • تمكين WebVPN على الواجهة.

    تحذير: توجد المشكلة نفسها لموجهات Cisco IOS®. إذا تم تمكين خادم IP http على برنامج Cisco IOS، والذي يكون مطلوبا إذا تم إستخدام نفس المربع كخادم PKI، فإن AnyConnect يكتشف البوابة المقيدة بشكل زائف. الحل البديل هو إستخدام ip http access-class لإيقاف الاستجابات لطلبات AnyConnect HTTP، بدلا من طلب المصادقة.

    تعطيل ميزة "المدخل الأسير"

    من الممكن تعطيل ميزة "المدخل الأسير" في الإصدار 4.2.00096 من AnyConnect client والإصدارات الأحدث. يمكن أن يحدد المسؤول ما إذا كان الخيار يمكن أن يكون قابلا للتكوين من قبل المستخدم أو معطلا. يتوفر هذا الخيار تحت قسم التفضيلات (الجزء 1) في محرر ملف التخصيص. يمكن للمسؤول تحديد تعطيل اكتشاف المدخل المتنقل أو تحكم المستخدم كما هو موضح في التقاط شاشة محرر ملف التعريف هذا:

    Disable Captive Portal 2

    إذا تم تحديد إمكانية تحكم المستخدم، يظهر مربع الاختيار في علامة التبويب "تفضيلات" بواجهة مستخدم AnyConnect Secure Mobility Client كما هو موضح هنا:

    Captive Portal Disable 3

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    07-Nov-2024
    تنسيق محدث.
    2.0
    03-Nov-2023
    مقدمة محدثة ومتطلبات نمط وتنسيق.
    1.0
    13-Aug-2014
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Gustavo Medina
      Technical Solutions Architect

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات