PIX/ASA: مثال تكوين ميزة التحديث التلقائي لعميل IPsec VPN

المقدمة

يصف هذا المستند كيفية تكوين ميزة التحديث التلقائي لعميل Cisco VPN في جهاز الأمان القابل للتكيف ASA 5500 Series وأجهزة الأمان Cisco PIX 500 Series Security Appliances.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• يعمل جهاز الأمان القابل للتكيف ASA 5500 Series بالإصدار 7.x والإصدارات الأحدث من Cisco

• تقوم أجهزة الأمان Cisco PIX 500 Series بتشغيل الإصدار 7.x والإصدارات الأحدث

• Cisco Adaptive Security Device Manager (ASDM)، الإصدار 5.x والإصدارات الأحدث

• Cisco VPN Client الإصدار 4.x والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

كيفية تكوين تحديث العميل ل Windows باستخدام CLI (واجهة سطر الأوامر)

تتيح ميزة تحديث العميل للمسؤولين في موقع مركزي إعلام مستخدمي عميل شبكة VPN تلقائيا عندما يحين الوقت لتحديث برنامج عميل شبكة VPN وصورة عميل جهاز VPN 3002.

قم بإصدار الأمر client-update في وضع تكوين سمات IPsec لمجموعة النفق من أجل تكوين تحديث العميل. إذا كان العميل يقوم بالفعل بتشغيل إصدار برنامج في قائمة أرقام المراجعة، فإنه لا يحتاج إلى تحديث برنامجه. إذا لم يقم العميل بتشغيل إصدار برنامج على القائمة، فيجب تحديثه. يمكنك تحديد ما يصل إلى أربعة إدخالات لتحديث العميل.

وفيما يلي صياغة الأمر:

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

• Rev-Number rev-number—يحدد صور البرامج أو البرامج الثابتة لهذا العميل. أدخل ما يصل إلى أربعة، يفصل بينها فواصل.

• النوع—يحدد أنظمة التشغيل التي سيتم إعلامها بتحديث العميل. وتشمل قائمة نظم التشغيل ما يلي:

  • نظام التشغيل Microsoft Windows: كافة الأنظمة الأساسية المستندة إلى Windows

  • نظام التشغيل Win9x: أنظمة التشغيل Windows 95 و Windows 98 و Windows ME الأساسية

  • نظام التشغيل WinNT: أنظمة Windows NT 4.0 و Windows 2000 و Windows XP الأساسية

  • vpn3002: عميل أجهزة VPN 3002

• url url-string—يحدد عنوان URL لصورة البرنامج/البرنامج الثابت. يجب أن يشير عنوان URL هذا إلى ملف مناسب للعميل.

يقوم هذا المثال بتكوين معلمات تحديث العميل لمجموعة نفق الوصول عن بعد المسماة remotegrp. وهو يحدد رقم المراجعة 4.6.1 وعنوان الربط لاسترجاع التحديث، وهو https://support/updates.

hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

كيفية تكوين تحديث العميل ل Windows باستخدام ASDM

يفترض هذا المستند أن التكوين الأساسي، مثل تكوين الواجهة، قد تم إنشاؤه بالفعل ويعمل بشكل صحيح.

ارجع إلى السماح بوصول HTTPS ل ASDM للسماح بتكوين ASA بواسطة ASDM

يتضمن ASDM نوعين من تحديث العميل: أحدهما يدعم عملاء Windows وعملاء أجهزة VPN 3002 من خلال مجموعة أنفاق، والآخر يدعم أجهزة ASA التي تعمل كخادم تحديث تلقائي.

يمكن للمستخدمين البعيدين إستخدام إصدارات برامج VPN أو أجهزة عميلة قديمة. يمكنك إجراء تحديث عميل في أي وقت لتنفيذ هذه الوظائف:

• تمكين تحديث مراجعات العملاء.

• حدد أنواع العملاء الذين ينطبق عليهم التحديث وأرقام مراجعاتهم.

• قم بتوفير عنوان URL أو عنوان IP للحصول على التحديث منه.

• إعلام مستخدمي عميل Windows بشكل إختياري بأنه يجب عليهم تحديث إصدار عميل VPN الخاص بهم.

• بالنسبة لعملاء Windows، يمكنك توفير آلية للمستخدمين لإتمام التحديث.

• بالنسبة لمستخدمي أجهزة عميل شبكة VPN 3002، يحدث التحديث تلقائيا، دون إخطار.

أتمت هذا steps in order to شكلت زبون-update:

1. أخترت تشكيل>VPN>عام>زبون تحديث in order to ذهبت إلى الزبون تحديث نافذة. يظهر إطار تحديث العميل.

   1. حدد خانة الاختيار تمكين تحديث العميل لتمكين تحديث العميل.

   2. أختر نوع العميل الذي تريد تطبيق تحديث العميل عليه. أنواع العملاء المتوفرة جميعها قائمة على أنظمة التشغيل Windows و Windows 95 و 98 أو ME و Windows NT 4.0 و 2000 أو XP و VPN 3002 Hardware Client.

      إذا كان العميل يقوم بالفعل بتشغيل إصدار برنامج في قائمة أرقام المراجعة، فإنه لا يحتاج إلى تحديث برنامجه. إذا لم يكن العميل يشغل إصدار برنامج على القائمة، فيجب تحديثه. يمكنك تحديد حتى ثلاثة من إدخالات تحديث العميل هذه. يغطي كل التحديد المستند إلى Windows كافة الأنظمة الأساسية المسموح بها ل Windows. في حالة تحديد هذا الخيار، لا تقم بتحديد أنواع عميل Windows الفردية.

   3. انقر فوق تحرير لتحديد مراجعات العميل المقبولة والمصدر الذي يتم فيه تحديث البرنامج أو صورة البرنامج الثابت المحدثة لتحديث العميل.

      

2. تظهر نافذة "تحرير إدخال تحديث العميل" وتظهر تحديد نوع العميل.

   

3. حدد تحديث العميل الذي تريد تطبيقه على كافة العملاء من النوع المحدد عبر جهاز الأمان بالكامل. أي، حدد نوع العميل، عنوان URL أو عنوان IP الذي سيتم الحصول على الصورة المحدثة منه، ورقم المراجعة أو الأرقام المقبولة لذلك العميل. يمكنك تحديد حتى أربعة أرقام مراجعة، مفصولة بفاصلة. تظهر الإدخالات الخاصة بك في الأعمدة المناسبة الجدول الموجود في نافذة ترقية العميل بعد النقر فوق موافق.

   في حالة تطابق رقم مراجعة العميل مع أحد أرقام المراجعة المحددة، فلا حاجة لتحديث العميل.

   ملاحظة: بالنسبة لجميع عملاء Windows، يجب إستخدام البروتوكول http:// أو https:// كبادئة لعنوان URL. بالنسبة لعميل أجهزة VPN 3002، يجب تحديد البروتوكول tftp:// بدلا من ذلك.

   يقوم ببدء تحديث العميل لكافة عملاء Windows لمجموعة نفق الوصول عن بعد التي تقوم بتشغيل المراجعات الأقدم من 4.6.1 ويحدد عنوان URL لاسترداد التحديث ك https://support/updates:

   

   بدلا من ذلك، يمكنك تكوين تحديث العميل فقط لأنواع العملاء الفردية، بدلا من جميع عملاء Windows، وهو ما يمكنك الاطلاع عليه إذا كانت الخطوة 1-c.

   يتم تحديث عملاء VPN 3002 دون تدخل المستخدم ولا يتلقى المستخدمون أية رسالة إعلام.

   يمكنك أن تجعل المتصفح يبدأ تطبيق تلقائيا إذا قمت بتضمين اسم التطبيق في نهاية عنوان الربط، على سبيل المثال: https://support/updates/vpnclient.exe.

4. وبشكل إختياري، يمكنك إرسال إشعار إلى المستخدمين النشطين الذين لديهم عملاء Windows قديم يحتاجون إلى تحديث العميل الخاص بهم. أستخدم منطقة "تحديث عميل Live" الخاصة بنافذة "تحديث العميل" لإرسال هذا الإشعار. أختر مجموعة النفق (أو الكل) وانقر فوق تحديث الآن. يظهر مربع حوار في شكل ويطلب منك تأكيد رغبتك في إعلام العملاء المتصلين بشأن الترقية.

   

   يرى المستخدمون المعينون نافذة منبثقة، والتي توفر لهم الفرصة لتشغيل متصفح وتنزيل البرنامج المحدث من الموقع الذي حددته في عنوان الربط. الجزء الوحيد من هذه الرسالة التي يمكنك تكوينها هو عنوان URL. (راجع الخطوات 1-b أو 1-c.) يحصل المستخدمون غير النشطين على رسالة إعلام عند تسجيل الدخول في المرة التالية. يمكنك إرسال هذا الإشعار إلى جميع العملاء النشطين على جميع مجموعات الأنفاق، أو يمكنك إرساله إلى العملاء على مجموعة نفق معينة.

   في حالة تطابق رقم مراجعة العميل مع أحد أرقام المراجعة المحددة، فلا حاجة لتحديث العميل ولا يتم إرسال رسالة إعلام إلى المستخدم. يتم تحديث عملاء VPN 3002 دون تدخل المستخدم ولا يتلقى المستخدمون أية رسالة إعلام.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems