PIX/ASA: Konfigurationsbeispiel für die automatische Aktualisierung des IPsec-VPN-Clients

Download-Optionen

  • PDF     (348.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (188.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (203.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. April 2008
Dokument-ID:105606

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Cisco VPN Client Auto-Update-Funktion in den Adaptive Security Appliances der Serie Cisco ASA 5500 und den Security Appliances der Serie Cisco PIX 500 konfigurieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Adaptive Security Appliance der Serie ASA 5500 führt Version 7.x und höher aus

  • Cisco Security Appliances der Serie PIX 500 führen Version 7.x und höher aus

  • Cisco Adaptive Security Device Manager (ASDM) Version 5.x und höher

  • Cisco VPN Client 4.x und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

So konfigurieren Sie Client Update für Windows mit CLI

Die Client-Update-Funktion ermöglicht es Administratoren an einem zentralen Standort, VPN-Client-Benutzer automatisch zu benachrichtigen, wenn die Aktualisierung der VPN-Client-Software und des VPN 3002 Hardware-Client-Images ansteht.

Führen Sie den Befehl client-update im tunnel-group ipsec-attribute-Konfigurationsmodus aus, um das Client-Update zu konfigurieren. Wenn der Client bereits eine Softwareversion aus der Liste der Revisionsnummern verwendet, muss er die Software nicht aktualisieren. Wenn der Client keine Softwareversion aus der Liste ausführt, sollte er aktualisiert werden. Sie können bis zu vier Einträge für Clientaktualisierungen angeben.

Die Befehlssyntax lautet wie folgt: 

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

  • rev-nums rev-nums: Gibt die Software oder Firmware-Images für diesen Client an. Geben Sie bis zu vier durch Kommas getrennte Zeichen ein.

  • type: Gibt die Betriebssysteme an, die über ein Client-Update benachrichtigt werden sollen. Die Liste der Betriebssysteme umfasst folgende Komponenten:

    • Microsoft Windows: alle Windows-basierten Plattformen

    • WIN9X: Windows 95, Windows 98 und Windows ME-Plattformen

    • WinNT: Plattformen Windows NT 4.0, Windows 2000 und Windows XP

    • vpn3002: VPN 3002 Hardware-Client

  • url url-string: Gibt die URL für das Software-/Firmware-Image an. Diese URL muss auf eine Datei verweisen, die für den Client geeignet ist.

In diesem Beispiel werden die Parameter für die Clientaktualisierung für die Tunnelgruppe für den Remotezugriff mit dem Namen remotegrp konfiguriert. Sie bezeichnet die Revisionsnummer 4.6.1 und die URL für den Abruf des Updates, die https://support/updates ist.

ASA 
hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

So konfigurieren Sie Client Update für Windows mit ASDM

In diesem Dokument wird davon ausgegangen, dass die Basiskonfiguration, z. B. die Schnittstellenkonfiguration, bereits vorgenommen wurde und ordnungsgemäß funktioniert.

Weitere Informationen dazu, wie die ASA vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

ASDM umfasst zwei Arten von Client-Updates: eine, die Windows-Clients und VPN 3002-Hardware-Clients über eine Tunnelgruppe unterstützt, und die andere, die ASA-Geräte unterstützt, die als Auto-Update-Server fungieren.

Remote-Benutzer können veraltete VPN-Software oder Hardware-Client-Versionen verwenden. Sie können jederzeit eine Client-Aktualisierung durchführen, um die folgenden Funktionen auszuführen:

  • Die Aktualisierung von Clientversionen aktivieren.

  • Geben Sie die Typen und Revisionsnummern der Clients an, auf die die Aktualisierung angewendet wird.

  • Geben Sie eine URL oder eine IP-Adresse an, von der Sie das Update erhalten möchten.

  • Optional können Windows-Client-Benutzer darüber informiert werden, dass sie ihre VPN-Client-Version aktualisieren müssen.

  • Für Windows-Clients können Sie einen Mechanismus bereitstellen, mit dem Benutzer das Update durchführen können.

  • Bei Benutzern von VPN 3002-Hardware-Clients erfolgt die Aktualisierung automatisch und ohne Benachrichtigung.

Gehen Sie wie folgt vor, um ein Client-Update zu konfigurieren:

  1. Wählen Sie Configuration > VPN > General > Client Update (Konfiguration > VPN > Allgemein > Client-Update), um das Fenster für das Client-Update aufzurufen. Das Fenster Client Update (Client-Aktualisierung) wird geöffnet.

    1. Aktivieren Sie das Kontrollkästchen Enable Client Update (Client-Update aktivieren), um das Client-Update zu aktivieren.

    2. Wählen Sie den Client-Typ aus, auf den Sie das Client-Update anwenden möchten. Die verfügbaren Client-Typen sind Alle Windows-basierten, Windows 95, 98 oder ME, Windows NT 4.0, 2000 oder XP und VPN 3002 Hardware Client.

      Wenn der Client bereits eine Softwareversion aus der Liste der Revisionsnummern verwendet, muss er die Software nicht aktualisieren. Wenn der Client keine Softwareversion aus der Liste ausführt, sollte er aktualisiert werden. Sie können bis zu drei dieser Client-Update-Einträge angeben. Die Auswahl "Alle Windows-basierten" deckt alle zulässigen Windows-Plattformen ab. Wenn Sie diese Option auswählen, geben Sie nicht die einzelnen Windows-Clienttypen an.

    3. Klicken Sie auf Bearbeiten, um die zulässigen Client-Versionen und die Quelle für das aktualisierte Software- oder Firmware-Image für das Client-Update anzugeben.

      vpn-client-auto-update01.gif

  2. Das Fenster Eintrag für Clientaktualisierung bearbeiten wird angezeigt und zeigt die Auswahl des Clienttyps an.

    vpn-client-auto-update02.gif

  3. Geben Sie das Client-Update an, das auf alle Clients des ausgewählten Typs in der gesamten Sicherheits-Appliance angewendet werden soll. Geben Sie den Client-Typ, die URL oder die IP-Adresse an, von der das aktualisierte Image abgerufen werden soll, sowie die zulässige(n) Revisionsnummer(n) für den Client. Sie können bis zu vier Revisionsnummern angeben, die durch Kommas getrennt sind. Ihre Einträge werden in den entsprechenden Spalten der Tabelle im Fenster Client-Aktualisierung angezeigt, nachdem Sie auf OK geklickt haben.

    Wenn die Revisionsnummer des Clients mit einer der angegebenen Revisionsnummern übereinstimmt, muss der Client nicht aktualisiert werden.

    Hinweis: Für alle Windows-Clients müssen Sie das Protokoll http:// oder https:// als Präfix für die URL verwenden. Für den VPN 3002-Hardware-Client müssen Sie stattdessen das Protokoll tftp:// angeben.

    Er initiiert ein Client-Update für alle Windows-Clients für eine Remotezugriffstunnel-Gruppe, die Versionen vor 4.6.1 ausführt, und gibt die URL für den Abruf des Updates als https://support/updates an:

    vpn-client-auto-update03.gif

    Alternativ können Sie das Client-Update nur für einzelne Clienttypen konfigurieren und nicht für alle Windows-Clients, was Sie in Schritt 1-c sehen können.

    VPN 3002-Clients werden ohne Benutzereingriff aktualisiert, und die Benutzer erhalten keine Benachrichtigung.

    Sie können festlegen, dass der Browser automatisch eine Anwendung startet, wenn Sie den Anwendungsnamen am Ende der URL eingeben, z. B. https://support/updates/vpnclient.exe.

  4. Optional können Sie eine Benachrichtigung an aktive Benutzer mit veralteten Windows-Clients senden, die ihren Client aktualisieren müssen. Verwenden Sie den Bereich Live Client Update des Fensters Client Update, um diese Nachricht zu senden. Wählen Sie die Tunnelgruppe (oder Alle) aus, und klicken Sie auf Jetzt aktualisieren. In der Abbildung wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, zu bestätigen, dass Sie verbundene Clients über die Aktualisierung informieren möchten.

    vpn-client-auto-update04.gif

    Den angegebenen Benutzern wird ein Popup-Fenster angezeigt, in dem sie die Möglichkeit haben, einen Browser zu starten und die aktualisierte Software von der Website herunterzuladen, die Sie in der URL angegeben haben. Der einzige Teil dieser Nachricht, den Sie konfigurieren können, ist die URL. (Siehe Schritte 1-b oder 1-c.) Benutzer, die nicht aktiv sind, erhalten bei der nächsten Anmeldung eine Benachrichtigung. Sie können diese Nachricht an alle aktiven Clients in allen Tunnelgruppen senden oder Sie können sie an Clients in einer bestimmten Tunnelgruppe senden.

    Wenn die Revisionsnummer des Clients mit einer der angegebenen Revisionsnummern übereinstimmt, muss der Client nicht aktualisiert werden, und es wird keine Benachrichtigung an den Benutzer gesendet. VPN 3002-Clients werden ohne Benutzereingriff aktualisiert, und die Benutzer erhalten keine Benachrichtigung.

Überprüfung

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
10-Apr-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.