PIX/ASA: esempio di configurazione della funzione di aggiornamento automatico del client VPN IPsec

Opzioni per il download

  • PDF     (346.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (189.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (204.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:10 aprile 2008
ID documento:105606

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare la funzione di aggiornamento automatico di Cisco VPN Client in Cisco ASA serie 5500 Adaptive Security Appliance e Cisco PIX serie 500 Security Appliance.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco ASA serie 5500 Adaptive Security Appliance eseguito versione 7.x e successive

  • Cisco PIX serie 500 Security Appliance esegue la versione 7.x e successive

  • Cisco Adaptive Security Device Manager (ASDM) versione 5.x e successive

  • Cisco VPN Client 4.x e versioni successive

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Come configurare l'aggiornamento client per Windows con CLI

La funzionalità di aggiornamento client consente agli amministratori di una postazione centrale di notificare automaticamente agli utenti client VPN il momento in cui aggiornare il software client VPN e l'immagine client hardware VPN 3002.

Per configurare l'aggiornamento del client, usare il comando client-update in modalità di configurazione ipsec-attributes del gruppo di tunnel. Se il client sta già eseguendo una versione software nell'elenco dei numeri di revisione, non è necessario aggiornare il software. Se il client non esegue una versione del software nell'elenco, deve essere aggiornato. È possibile specificare fino a quattro voci di aggiornamento client.

La sintassi del comando è la seguente: 

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

  • rev-nums rev-nums - Specifica le immagini software o firmware per questo client. Immetti un massimo di quattro caratteri, separati da virgole.

  • type - Specifica i sistemi operativi a cui inviare la notifica di un aggiornamento client. L'elenco dei sistemi operativi comprende:

    • Microsoft Windows: tutte le piattaforme basate su Windows

    • WIN9X: piattaforme Windows 95, Windows 98 e Windows ME

    • WinNT: piattaforme Windows NT 4.0, Windows 2000 e Windows XP

    • vpn3002: client hardware VPN 3002

  • url url-string: specifica l'URL dell'immagine software/firmware. L'URL deve puntare a un file appropriato per il client.

In questo esempio vengono configurati i parametri di aggiornamento client per il gruppo di tunnel di accesso remoto denominato remotegrp. Indica il numero di revisione 4.6.1 e l'URL per il recupero dell'aggiornamento, ovvero https://support/updates.

ASA 
hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

Configurazione dell'aggiornamento client per Windows con ASDM

in questo documento si presume che la configurazione di base, ad esempio la configurazione dell'interfaccia, sia già stata creata e funzioni correttamente.

Per configurare l'ASA con ASDM, consultare il documento sulla concessione dell'accesso HTTPS per ASDM

ASDM include due tipi di aggiornamento dei client: uno che supporta i client Windows e i client hardware VPN 3002 tramite un gruppo di tunnel e l'altro che supporta i dispositivi ASA che agiscono come server di aggiornamento automatico.

Gli utenti remoti possono utilizzare versioni software VPN o client hardware obsolete. È possibile eseguire un aggiornamento client in qualsiasi momento per eseguire le seguenti funzioni:

  • Abilita l'aggiornamento delle revisioni client.

  • Specificare i tipi e i numeri di revisione dei client a cui si applica l'aggiornamento.

  • Specificare un URL o un indirizzo IP da cui ottenere l'aggiornamento.

  • Facoltativamente, notificare agli utenti client Windows che devono aggiornare la versione del client VPN.

  • Per i client Windows, è possibile fornire agli utenti un meccanismo per eseguire l'aggiornamento.

  • Per gli utenti di client hardware VPN 3002, l'aggiornamento viene eseguito automaticamente, senza alcuna notifica.

Per configurare un aggiornamento client, completare la procedura seguente:

  1. Scegliere Configurazione > VPN > Generale > Aggiornamento client per passare alla finestra di aggiornamento client. Viene visualizzata la finestra Client Update (Aggiornamento client).

    1. Per abilitare l'aggiornamento client, selezionare la casella di controllo Abilita aggiornamento client.

    2. Scegliere il tipo di client a cui applicare l'aggiornamento client. I tipi di client disponibili sono Tutti basati su Windows, Windows 95, 98 o ME, Windows NT 4.0, 2000 o XP e Client hardware VPN 3002.

      Se il client sta già eseguendo una versione software nell'elenco dei numeri di revisione, non è necessario aggiornare il software. Se il client non esegue una versione del software presente nell'elenco, deve essere aggiornato. È possibile specificare fino a tre di queste voci di aggiornamento client. La selezione All Windows Based (Tutti i sistemi basati su Windows) copre tutte le piattaforme Windows consentite. Se si seleziona questa opzione, non specificare i singoli tipi di client Windows.

    3. Fare clic su Edit (Modifica) per specificare le revisioni client accettabili e l'origine dell'immagine software o firmware aggiornata per l'aggiornamento client.

      vpn-client-auto-update01.gif

  2. Viene visualizzata la finestra Modifica voce aggiornamento client che mostra la selezione del tipo di client.

    vpn-client-auto-update02.gif

  3. Specificare l'aggiornamento del client che si desidera applicare a tutti i client del tipo selezionato nell'intero accessorio di protezione. ovvero specificare il tipo di client, l'URL o l'indirizzo IP da cui ottenere l'immagine aggiornata e il numero o i numeri di revisione accettabili per il client. È possibile specificare fino a quattro numeri di revisione, separati da virgole. Le voci vengono visualizzate nelle colonne appropriate della tabella nella finestra Aggiornamento client dopo aver fatto clic su OK.

    Se il numero di revisione del client corrisponde a uno dei numeri di revisione specificati, non è necessario aggiornare il client.

    Nota: per tutti i client Windows, è necessario utilizzare il protocollo http:// o https:// come prefisso dell'URL. Per il client hardware VPN 3002, è necessario specificare il protocollo tftp://.

    Viene avviato un aggiornamento client per tutti i client Windows per un gruppo di tunnel di accesso remoto che esegue revisioni precedenti alla 4.6.1 e viene specificato l'URL per il recupero dell'aggiornamento nel formato https://support/updates:

    vpn-client-auto-update03.gif

    In alternativa, è possibile configurare l'aggiornamento del client solo per i singoli tipi di client, anziché per tutti i client Windows, come illustrato nel passaggio 1-c.

    I client VPN 3002 vengono aggiornati senza l'intervento dell'utente e gli utenti non ricevono alcun messaggio di notifica.

    È possibile fare in modo che il browser avvii automaticamente un'applicazione se si include il nome dell'applicazione alla fine dell'URL, ad esempio https://support/updates/vpnclient.exe.

  4. Facoltativamente, è possibile inviare una notifica agli utenti attivi con client Windows obsoleti che devono aggiornare il proprio client. Per inviare questo avviso, utilizzare l'area Live Client Update della finestra Client Update. Scegliere il gruppo di tunnel (o Tutto) e fare clic su Aggiorna. Nella figura viene visualizzata una finestra di dialogo in cui viene richiesto di confermare l'invio di una notifica ai client connessi per l'aggiornamento.

    vpn-client-auto-update04.gif

    Gli utenti designati visualizzano una finestra popup che consente loro di avviare un browser e scaricare il software aggiornato dal sito specificato nell'URL. L'unica parte di questo messaggio che è possibile configurare è l'URL. (Vedere i passaggi 1-b o 1-c.) Gli utenti non attivi riceveranno un messaggio di notifica al successivo accesso. È possibile inviare questo avviso a tutti i client attivi su tutti i gruppi di tunnel oppure ai client su un determinato gruppo di tunnel.

    Se il numero di revisione del client corrisponde a uno dei numeri di revisione specificati, non è necessario aggiornare il client e non viene inviato alcun messaggio di notifica all'utente. I client VPN 3002 vengono aggiornati senza l'intervento dell'utente e gli utenti non ricevono alcun messaggio di notifica.

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
10-Apr-2008
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti