PIX/ASA : exemple de configuration de la fonctionnalité de mise à jour automatique du client VPN IPsec

Options de téléchargement

  • PDF     (347.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (189.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (205.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 avril 2008
ID du document:105606

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer la fonctionnalité de mise à jour automatique du client VPN Cisco dans les dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500 et les dispositifs de sécurité de la gamme Cisco PIX 500.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • L'appliance de sécurité adaptatif Cisco ASA 5500 exécute la version 7.x et les versions ultérieures

  • Les appliances de sécurité de la gamme Cisco PIX 500 exécutent les versions 7.x et ultérieures

  • Cisco Adaptive Security Device Manager (ASDM) versions 5.x et ultérieures

  • Client VPN Cisco 4.x et versions ultérieures

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configuration de la mise à jour du client pour Windows avec CLI

La fonction de mise à jour du client permet aux administrateurs d'un site central d'avertir automatiquement les utilisateurs du client VPN lorsqu'il est temps de mettre à jour le logiciel client VPN et l'image du client matériel VPN 3002.

Émettez la commande client-update en mode de configuration tunnel-group ipsec-attributes afin de configurer la mise à jour du client. Si le client exécute déjà une version de logiciel dans la liste des numéros de révision, il n'a pas besoin de mettre à jour son logiciel. Si le client n'exécute pas de version logicielle dans la liste, il doit effectuer une mise à jour. Vous pouvez spécifier jusqu'à quatre entrées de mise à jour client.

La syntaxe de la commande est la suivante : 

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

  • rev-nums rev-nums : spécifie les images du logiciel ou du microprogramme pour ce client. Saisissez jusqu'à quatre caractères, séparés par des virgules.

  • type : spécifie les systèmes d'exploitation à avertir d'une mise à jour client. La liste des systèmes d'exploitation comprend les éléments suivants :

    • Microsoft Windows : toutes les plates-formes Windows

    • WIN9X : plates-formes Windows 95, Windows 98 et Windows ME

    • WinNT : plates-formes Windows NT 4.0, Windows 2000 et Windows XP

    • vpn3002 : client matériel VPN 3002

  • url url-string : indique l'URL de l'image du logiciel/microprogramme. Cette URL doit pointer vers un fichier approprié pour le client.

Cet exemple configure les paramètres de mise à jour du client pour le groupe de tunnels d'accès à distance appelé remotegrp. Il désigne le numéro de révision 4.6.1 et l'URL pour la récupération de la mise à jour, qui est https://support/updates.

ASA 
hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

Configuration de la mise à jour du client pour Windows avec ASDM

Ce document suppose que la configuration de base, telle que la configuration d'interface, est déjà faite et fonctionne correctement.

Référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM

L'ASDM englobe deux types de mise à jour client : l'un qui prend en charge les clients Windows et les clients matériels VPN 3002 via un groupe de tunnels, et l'autre qui prend en charge les périphériques ASA agissant comme serveur de mise à jour automatique.

Les utilisateurs distants peuvent utiliser des versions obsolètes du logiciel VPN ou du client matériel. Vous pouvez effectuer une mise à jour client à tout moment pour effectuer ces fonctions :

  • Activer la mise à jour des révisions client.

  • Spécifiez les types et les numéros de révision des clients auxquels la mise à jour s'applique.

  • Fournissez une URL ou une adresse IP à partir de laquelle obtenir la mise à jour.

  • Notification facultative aux utilisateurs de clients Windows qu'ils doivent mettre à jour leur version de client VPN.

  • Pour les clients Windows, vous pouvez fournir un mécanisme permettant aux utilisateurs d'effectuer la mise à jour.

  • Pour les utilisateurs de client matériel VPN 3002, la mise à jour se produit automatiquement, sans notification.

Complétez ces étapes afin de configurer une mise à jour client :

  1. Choisissez Configuration > VPN > General > Client Update afin d'accéder à la fenêtre de mise à jour du client. La fenêtre Client Update s'ouvre.

    1. Cochez la case Enable Client Update afin d'activer la mise à jour du client.

    2. Sélectionnez le type de client auquel vous souhaitez appliquer la mise à jour du client. Les types de client disponibles sont Tous Windows, Windows 95, 98 ou ME, Windows NT 4.0, 2000 ou XP et Client matériel VPN 3002.

      Si le client exécute déjà une version de logiciel dans la liste des numéros de révision, il n'a pas besoin de mettre à jour son logiciel. Si le client n'exécute pas une version logicielle de la liste, il doit la mettre à jour. Vous pouvez spécifier jusqu'à trois de ces entrées de mise à jour client. La sélection Tous les systèmes Windows couvre toutes les plates-formes Windows autorisées. Si vous sélectionnez cette option, ne spécifiez pas les types de clients Windows individuels.

    3. Cliquez sur Edit afin de spécifier les révisions de client acceptables et la source pour le logiciel mis à jour ou l'image de microprogramme pour la mise à jour de client.

      vpn-client-auto-update01.gif

  2. La fenêtre Edit Client Update Entry apparaît et affiche la sélection du type de client.

    vpn-client-auto-update02.gif

  3. Spécifiez la mise à jour du client que vous souhaitez appliquer à tous les clients du type sélectionné sur l'ensemble de l'appliance de sécurité. Autrement dit, spécifiez le type de client, l'URL ou l'adresse IP à partir de laquelle obtenir l'image mise à jour, et le ou les numéros de révision acceptables pour ce client. Vous pouvez spécifier jusqu'à quatre numéros de révision, séparés par des virgules. Vos entrées apparaissent dans les colonnes appropriées du tableau de la fenêtre Mise à niveau du client après avoir cliqué sur OK.

    Si le numéro de révision du client correspond à l'un des numéros de révision spécifiés, il n'est pas nécessaire de mettre à jour le client.

    Remarque : pour tous les clients Windows, vous devez utiliser le protocole http:// ou https:// comme préfixe de l'URL. Pour le client matériel VPN 3002, vous devez spécifier le protocole tftp:// à la place.

    Il lance une mise à jour client pour tous les clients Windows pour un groupe de tunnels d'accès à distance exécutant des révisions antérieures à 4.6.1 et spécifie l'URL pour la récupération de la mise à jour comme https://support/updates :

    vpn-client-auto-update03.gif

    Vous pouvez également configurer la mise à jour du client uniquement pour les types de clients individuels, plutôt que pour tous les clients Windows, comme vous pouvez le voir à l'étape 1-c.

    Les clients VPN 3002 se mettent à jour sans intervention de l'utilisateur et les utilisateurs ne reçoivent aucun message de notification.

    Vous pouvez faire en sorte que le navigateur démarre automatiquement une application si vous incluez le nom de l'application à la fin de l'URL ; par exemple : https://support/updates/vpnclient.exe.

  4. Vous pouvez éventuellement envoyer une notification aux utilisateurs actifs avec des clients Windows obsolètes qui ont besoin de mettre à jour leur client. Utilisez la zone Live Client Update de la fenêtre Client Update afin d'envoyer cette notification. Choisissez le groupe de tunnels (ou Tous) et cliquez sur Mettre à jour maintenant. Une boîte de dialogue apparaît dans la figure et vous demande de confirmer que vous souhaitez informer les clients connectés de la mise à niveau.

    vpn-client-auto-update04.gif

    Les utilisateurs désignés voient une fenêtre contextuelle qui leur offre la possibilité de lancer un navigateur et de télécharger le logiciel mis à jour à partir du site que vous avez spécifié dans l'URL. La seule partie de ce message que vous pouvez configurer est l'URL. (Voir les étapes 1-b ou 1-c.) Les utilisateurs qui ne sont pas actifs reçoivent un message de notification la prochaine fois qu'ils se connectent. Vous pouvez envoyer cette notification à tous les clients actifs sur tous les groupes de tunnels, ou vous pouvez l'envoyer aux clients sur un groupe de tunnels particulier.

    Si le numéro de révision du client correspond à l'un des numéros de révision spécifiés, il n'est pas nécessaire de mettre à jour le client et aucun message de notification n'est envoyé à l'utilisateur. Les clients VPN 3002 se mettent à jour sans intervention de l'utilisateur et les utilisateurs ne reçoivent aucun message de notification.

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Apr-2008
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits