使用Meraki系统管理器为iOS配置Anyconnect PerApp VPN

下载选项

  • PDF     (3.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (3.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.7 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 2 月 28 日
文档 ID:220259

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在Meraki移动设备管理器(MDM)和系统管理器(SM)管理的Apple iOS设备上配置PerApp VPN。

    先决条件

    要求

    • AnyConnect v4.0 Plus或Apex许可证。
    • ASA 9.3.1或更高版本,可支持Per App VPN。
    • Cisco Enterprise Application Selector工具可在Cisco.com上获取

    使用的组件

    本文档中的信息基于以下软件版本:

    • ASA 5506W-X版本9.15(1)10
    • iPad iOS版本15.1

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    本文档不包括列出的流程:

    • Systems Manager上的SCEP CA配置,用于生成客户端证书
    • iOS客户端的PKCS12客户端证书生成

    配置

    步骤1:将iOS设备注册到Meraki系统管理器

    1.1.导航到Systems Manager > Add Devices

    SM - Dashboard

    1.2.单击iOS选项开始注册。

    Device enrollment type

    1.3.通过互联网浏览器注册设备或使用摄像头扫描QR码。在本文档中,摄像头用于注册过程。

    Enrollment menu for iOS device

    1.4.当摄像头识别QR代码时,选择弹出的Safari通知中的打开meraki.com”。

    Enrollment menu view from iPad

    1.5.出现提示时,选择Register

    Enrollment process

    1.6.选择Allow以允许设备下载MDM配置文件。

    Enrollment process to grant access to download

    1.7.选择关闭以完成下载。

    Enrollment process - download complete

    1.8.导航到iOS设置应用,在左侧窗格中找到Profile Downloaded选项,然后选择Meraki Management部分。

    Enrollment process - profile selection

    1.9.选择安装选项以安装MDM配置文件。

    Enrollment process - profile installation

    1.10.您必须授予访问安装SM应用程序。

    SM approval

    1.11.打开位于主屏幕中的最近下载的应用程序Meraki MDM

    SM view from iOS main menu

    1.12.检验所有状态是否都有一个绿色勾选标记,以确认登记已完成。

    SM compliance

    第二步:设置托管应用

    为了稍后在本文档中设置PerApp的隧道应用,您需要通过SM管理这些相同的应用。在此配置示例中,Firefox旨在通过Per App进行隧道传输,因此会将其添加到托管应用中。

    2.1.导航到Systems Manager > Manage > Apps以添加托管应用。

    SM device configuration

    2.2.选择Add app选项。

    SM add managed apps

    2.3.根据应用的存储位置选择应用的类型(应用商店应用、自定义、B2B)。选择Next后,选择它。

    在本示例中,应用公开存储在App Store中。

    SM add managed app

    2.4.出现提示时,搜索所需的应用程序,并选择从中下载该应用程序的区域。选择应用后选择Save

    :如果国家/地区与Apple帐户所在区域不匹配,用户可能会遇到应用程序问题。

    SM select managed ap

    2.5.选择所有所需的应用程序后,单击Save

    第三步:配置PerApp VPN配置文件

    3.1.导航到Systems Manager > Manage > Settings

    SM - add new device

    3.2.选择Add profile选项。

    SM - policy add new device

    3.3.选择Device profile(默认),然后点击Continue。

    SM - search for type of policy

    3.4.显示Profile Configuration菜单后,在Scope下写入Name并选择目标设备。

    Configure scope of perapp policy

    3.5.选择Add settings并按iOS Per App VPN过滤配置文件类型,选择如下所示的选项。

    Menu to select PerApp policy

    3.6.显示菜单后,根据以下示例编写连接信息。

    Systems Manager支持这些连接的两个证书注册:SCEP和手动注册。在本示例中,使用手动注册。

    注意:填写文本框后,请选择Add credential,因为此选项会将您引导至新菜单以添加证书文件。

    Menu to configure PerApp parameters

    3.7.单击Add credential并重定向到Certificate菜单后,请写入Name证书,在计算机中浏览并查找保护.pfx文件(加密证书文件)的Password

    Menu to configure credentials (certificate)

    3.8.选择证书后,将显示证书文件名。

    Menu to confirm credentials

    3.9.选择证书后,导航到您之前使用的VPN配置文件,然后选择最近导入的凭证并选择隧道应用(本例中为Firefox)。

    完成此操作后,单击Save

    Menu to confirm PerApp parameters prior to deployment

    3.10.验证配置文件是否已安装在目标设备上。

    Confirm installation of profile

    第四步:应用选择器配置

    4.1.从思科网站下载应用选择器https://software.cisco.com/download/home/286281283/type/282364313/release/AppSelector-2.0

    注意:在Windows计算机上运行应用程序。在MacOS设备上使用工具时,显示的结果不是预期结果。

    4.2.打开java应用程序。从下拉菜单中选择iOS,添加一个友好名称,并确保在应用ID中键入*.*

    AppSelector wildcard

    4.3.导航到Policy并选择View Policy

    AppSelector wildcard - view policy

    4.4.复制显示的字符串。(这稍后将在VPN头端配置中使用)。

    AppSelector wildcard - view policy - export value

    第五步:每个应用VPN配置的ASA示例

    conf t
    webvpn
    anyconnect-custom-attr perapp description PerAppVPN
    anyconnect-custom-data perapp wildcard eJyrVnLOLE7Od84vqCzKTM8oUbJSgrMVNJI1FYwMDEwUwGoUgiuLS1Jzi3UUPPOS9ZR0lFxSyzKTU30yi4G6oquh3JDKglSgIYkFBTmpupn5xUB1jgUFcEVA8cwUoLyWnhZQJi0vMRekujwzJyU5sShFqTYWCAFHcjDB


    ip local pool vpnpool 10.204.201.20-10.204.201.30 mask 255.255.255.0

    access-list split standard permit 172.168.0.0 255.255.0.0 
    access-list split standard permit 172.16.0.0 255.255.0.0

    group-policy GP-perapp internal
    group-policy GP-perapp attributes
    vpn-tunnel-protocol ssl-client 
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value split
    split-tunnel-all-dns disable
    anyconnect-custom perapp value wildcard

    tunnel-group perapp type remote-access
    tunnel-group perapp general-attributes
    address-pool vpnpool
    default-group-policy GP-perapp
    tunnel-group perapp webvpn-attributes
    authentication certificate
    group-alias perapp enable
    group-url https://vpn.cisco.com/perapp enable

    验证

    6.验证AnyConnect应用程序上的配置文件安装

    6.1.打开AnyConnect应用程序,然后在左侧窗格中选择Connections。PerApp VPN配置文件必须显示在名为PER-APP VPN的新部分下。

    选择i以显示高级设置。

    Verify VPN connection profile

    6.2.选择Advanced选项。

    Verify VPN advanced parameters

    6.3.选择App Rules选项。

    Verify app rules

    6.4.最后,确认已安装应用规则。(Mozilla是本文档中所需的隧道应用,因此应用安装成功)。

    App Rules from perapp

    故障排除

    本文档目前没有具体的故障排除步骤。

    修订历史记录

    版本 发布日期 备注
    1.0
    27-Feb-2023
    初始版本

    提供者

    • Hugo Olguin

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品