思科 AnyConnect 安全移动客户端管理员指南，4.10 版

修改 AnyConnect 安装行为

指南

Web 部署使用 AnyConnect Web 启动，后者是无客户端 SSL 门户的一部分。可以定制无客户端 SSL 门户，但不能定制门户的 AnyConnect 部分。例如，不能定制“启动 AnyConnect”(Start AnyConnect) 按钮。

禁用客户体验反馈

默认情况下，已启用客户体验反馈模块。此模块向思科提供有关客户已启用和正在使用的功能和模块的匿名信息。此信息让我们可以深入了解用户体验，以便思科可以持续改进质量、可靠性、性能和用户体验。

要手动禁用客户体验反馈模块，请使用独立配置文件编辑器创建一个 CustomerExperience_Feedback.xml 文件。必须停止 AnyConnect 服务，将该文件命名为 CustomerExperience_Feedback.xml，然后将其放在 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback\ 目录中。如果该文件是通过禁用标志集创建的，则可将此文件手动部署到 AnyConnect。要检查结果，请打开 AnyConnect 的“关于”(About) 菜单，然后验证并确保客户体验反馈模块未在“已安装模块”(Installed Module) 部分列出。

可使用以下方法禁用客户体验反馈模块：

客户体验反馈模块客户端配置文件 - 取消选中“启用客户体验反馈服务”(Enable Customer Experience Feedback Service)，并分发此配置文件。
MST 文件 - 从 anyconnect-vpn-transforms-X.X.xxxxx.zip 中提取 anyconnect-win-disable-customer-experience-feedback.mst 文件。

修改安装行为 (Windows)

使用以下 Windows 安装程序属性来修改 AnyConnect 安装行为。在 ISO 映像中，安装程序 setup.hta 是 HTML 文件并且可以编辑。

注	AnyConnect 不支持 Windows Installer ADVERTISE 模式。

命令行参数 - 一个或多个属性作为参数传递到命令行安装程序 msiexec。此方法用于预部署，网络部署不支持此方法。
安装程序转换 - 可以使用转换修改安装程序属性表。多种工具可用于创建转换。一个常用工具是 Microsoft Orca。Orca 工具是 Microsoft Windows Installer 软件开发套件 (SDK) 的一部分，包含在 Microsoft Windows SDK 内。要获取 Windows SDK，请浏览至 http://msdn.microsoft.com，然后搜索与您的 Windows 版本对应的 SDK 并下载。

转换仅可用于预部署。（当下载程序调用安装程序时，只有思科签署的转换才能用于网络部署。）您可通过带外方法应用您自己的转换，但详情已经超出本指南的范围。

限制

AnyConnect 卸载提示不可定制。

用于定制客户端安装的 Windows 安装程序属性

以下 Windows 安装程序属性可定制 AnyConnect 安装。请注意，您还可以使用 Microsoft 支持的很多其他 Windows 安装程序属性。

Resetting the System MTU - 当 VPN 安装程序属性 (RESET_ADAPTER_MTU) 设置为 1 时，安装程序会将所有 Windows 网络适配器 MTU 设置重置为默认值。必须重新启动系统，更改方可生效。

设置 Windows 锁定 - 思科建议为设备上的最终用户授予有限的Cisco AnyConnect Secure Mobility Client权限。如果最终用户拥有额外的权限，安装程序可提供锁定功能，防止用户和本地管理员关闭或停止 AnyConnect 服务。您还可以使用服务密码通过命令提示符来停止服务。

适用于 VPN、网络访问管理器、Network Visibility Module 和 Umbrella 漫游安全模块的 MSI 安装程序支持一个公用属性 (LOCKDOWN)。当 LOCKDOWN 设置为非零值时，终端设备上的用户或本地管理员无法控制与该安装程序关联的 Windows 服务。我们建议您使用我们提供的示例转换来设置此属性，并将转换应用于您希望锁定的每个 MSI 安装程序。您可以从Cisco AnyConnect Secure Mobility Client软件下载页面下载示例转换。

如果部署核心客户端以及一个或多个可选模块，则必须对每个安装程序应用锁定属性。此操作为单向操作，无法删除，除非您重新安装产品。

注	AMP 启用程序安装程序与 VPN 安装程序配对使用。

开启 ActiveX 控件 - 在默认情况下，早期版本的 AnyConnect 在预部署 VPN 软件包时会安装 VPN WebLaunch ActiveX 控件。从 AnyConnect 3.1 开始，默认情况下将关闭 VPN ActiveX 控件安装。此更改旨在确保默认配置最为安全。

在预部署 AnyConnect 客户端和可选模块时，如果您需要将 VPN ActiveX 控件与 AnyConnect 一同安装，则您必须使用 NOINSTALLACTIVEX=0 选项和 msiexec 或转换。
Hiding AnyConnect from the Add/Remove Program List - 可从用户 Windows Control Panel 中的 Add/Remove Program 列表中隐藏已安装的 AnyConnect 模块。向安装程序传送 ARPSYSTEMCOMPONENT=1 可阻止该模块显示在已安装程序的列表中。

我们建议您使用我们提供的示例转换来设置此属性，从而将转换应用于您希望隐藏的每个模块的每个 MSI 安装程序。您可以从Cisco AnyConnect Secure Mobility Client软件下载页面下载示例转换。

AnyConnect 模块的 Windows 安装程序属性

下表提供 MSI 安装命令行调用和配置文件部署位置的示例。


已安装的模块	命令和日志文件
没有 VPN 功能的 AnyConnect 核心客户端（在安装独立模块时使用）	msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log
有 VPN 功能的 AnyConnect 核心客户端	msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log
客户体验反馈	msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK=1 /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log
诊断和报告工具 (DART)	msiexec /package anyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-dart-predeploy-k9-install-datetimestamp.log
SBL	msiexec /package anyconnect-win-version-gina-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-gina-predeploy-k9-install-datetimestamp.log
网络访问管理器	msiexec /package anyconnect-win-version-nam-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-nam-predeploy-k9-install-datetimestamp.log
状态	msiexec /package anyconnect-win-version-posture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-posture-predeploy-k9-install-datetimestamp.log
ISE 终端安全评估	msiexec /package anyconnect-win-version-iseposture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-iseposture-predeploy-k9-install-datetimestamp.log
AMP 启用程序	msiexec /package anyconnect-win-version-amp-predeploy-k9.msi /norestart/ passive /lvx* anyconnect-win-version-amp-predeploy-k9-install-datetimestamp.log
网络可视性模块	msiexec /package anyconnect-win-version-nvm-predeploy-k9.msi /norestart/ passive /lvx* anyconnect-win-version-nvm-predeploy-k9-install-datetimestamp.log
Umbrella 漫游安全模块	msiexec /package anyconnect-win-version-umbrella-predeploy-k9.msi/norestart/ passive /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log

将定制安装程序转换导入自适应安全设备

将思科提供的 Windows 转换导入自适应安全设备让您可以将其用于网络部署。

过程

步骤 1	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > 定制安装程序转换 (Customized Installer Transforms)。
步骤 2	单击导入 (Import)。系统会显示“导入 AnyConnect 定制对象”(Import AnyConnect Customization Objects) 窗口：
步骤 3	输入要导入的文件名。转换文件的名称决定了安装程序转换文件该应用于哪个模块。您可以使用以下语法来全局或按模块应用转换： _name.mst：应用于所有安装程序 <moduleid>_name.mst：应用于单个模块安装程序 name.mst：仅应用于 VPN 安装程序
步骤 4	选择平台，并指定要导入的文件。单击立即导入 (Import Now)。此文件会立即显示在安装程序转换表中。

本地化 AnyConnect 安装程序屏幕

您可以翻译 AnyConnect 安装程序显示的消息。ASA 使用转换功能来翻译安装程序显示的消息。该转换会更改安装，但会保持原始安全签名的 MSI 不变。这些转换仅翻译安装程序屏幕，而不翻译客户端 GUI 屏幕。

注	AnyConnect 的每个版本都包括本地化转换，管理员可在上传含有新软件的 AnyConnect 软件包时将转换上传到自适应安全设备。如果您使用我们的本地化转换，请确保在上传新的 AnyConnect 软件包时用 cisco.com 的最新版本更新这些转换。

我们目前提供 30 种语言转换。这些转换在 cisco.com 的 AnyConnect 软件下载页面以下面的 .zip 文件形式提供：

anyconnect-win-<VERSION>-webdeploy-k9-lang.zip

在此文件中，<VERSION> 是 AnyConnect 的版本（例如 4.3.xxxxx）。

存档包含用于可用翻译的转换（.mst 文件）。如果需要为远程用户提供的语言不是我们提供的 30 种语言之一，您可以创建您自己的转换并将其作为新语言导入 ASA。使用 Microsoft 的数据库编辑器 Orca，可以修改现有安装以及新文件。Orca 是 Microsoft Windows 安装程序软件开发套件 (SDK) 的一部分，包含在 Microsoft Windows SDK 内。

将本地化的安装程序转换导入自适应安全设备

以下过程显示如何使用 ASDM 将转换导入 ASA。

过程

步骤 1	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > 本地化的安装程序转换 (Localized Installer Transforms)。
步骤 2	单击导入 (Import)。系统将打开“导入 MST 语言本地化”(Import MST Language Localization) 窗口：
步骤 3	单击语言 (Language) 下拉列表，选择用于此转换的一种语言（和行业认可的缩写）。如果您手动输入缩写，请确保使用浏览器和操作系统识别的缩写。
步骤 4	单击立即导入 (Import Now)。将显示已成功导入表格的提示消息。
步骤 5	单击应用 (Apply) 保存更改。

在此过程中我们将语言指定为西班牙语 (ES)。下图显示在 Languages 列表中的用于 AnyConnect 的西班牙语新转换。

修改安装行为 (macOS)

AnyConnect 安装程序无法本地化。该安装程序使用的字符串来自 macOS 安装应用，而不是 AnyConnect 安装程序。

注	您不能改变用户在安装程序 UI 中看到的可选模块选择。要更改安装程序 UI 中的默认可选模块选择，需要编辑安装程序，这样做将使签名失效。

使用 ACTransform.xml 在 macOS 上自定义安装程序行为

由于 macOS 没有提供任何标准方法来自定义 .pkg 行为，所以我们创建了 ACTransforms.xml。使用安装程序定位此 XML 文件时，安装程序读取本文件，然后运行安装。您必须将文件置于与安装程序相关的特定位置。安装程序按以下顺序搜索以查看是否找到修改：

在与 .pkg 安装程序文件相同的目录内的“Profile”目录中。
在装载的磁盘映像卷的根目录中的“Profile”目录中。
在装载的磁盘映像卷的根目录中的“Profile”目录中。

XML 文件格式如下：


<ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms>

例如，macOS ACTransforms.xml 属性是 DisableVPN，用于创建 NVM 的“独立”部署。ACTransforms.xml 在 DMG 文件所在的 Profiles 目录中。

禁用客户体验反馈模块

默认情况下，已启用客户体验反馈模块。要在 macOS 上关闭此功能，请执行以下操作：

过程

步骤 1

使用磁盘实用程序或 hdiutil 将 dmg 软件包从只读转换为读/写。例如：

hdiutil convert anyconnect-macosx-i386-ver-k9.dmg -format UDRW -o anyconnect-macosx-i386-ver-k9-rw.dmg

步骤 2

编辑 ACTransforms.xml 并设置或添加以下值（如果尚未设置）。

<DisableCustomerExperienceFeedback>false</DisableCustomerExperienceFeedback>

修改安装行为 (Linux)

使用 ACTransform.xml 在 Linux 上定制安装程序行为

没有为 Linux 提供定制 .pkg 行为的标准方式，所以我们创建了 ACTransforms.xml。使用安装程序定位此 XML 文件时，安装程序读取本文件，然后运行安装。您必须将文件置于与安装程序相关的特定位置。安装程序按以下顺序搜索以查看是否找到修改：

在与 .pkg 安装程序文件相同的目录内的“Profile”目录中
在装载的磁盘映像卷的根目录中的“Profile”目录中
在与 .dmg 文件相同的目录内的“Profile”目录中

预部署软件包中的 Profiles 目录内的 XML 文件 ACTransforms.xml 的格式如下：


<ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms>

启用 DSCP 预留

您可以设置一个自定义属性，从而只对 DTLS 连接控制 Windows 或 OS X 平台上的差分服务代码点 (DSCP)。DSCP 预留允许设备优先处理延迟敏感型流量。路由器考虑是否已对此进行了设置，并对优先级流量进行标记以提高出站连接质量。

该自定义属性类型为 DSCPPreservationAllowed，有效值为 True 或 False。

注	默认情况下，AnyConnect 执行 DSCP 预留 (True)。要禁用该功能，请将头端上的自定义属性值设置为 false，并重新启动连接。

在 ASDM 中，此功能在以下位置配置：配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端访问）(Network (Client) Access) > 组策略 (Group Policies) > 添加/编辑 (Add/Edit) > 高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) > 自定义属性 (Custom Attributes)。有关配置过程，请参阅相应版本的思科 ASA 系列 VPN 配置指南中的启用 DSCP 预留部分。

设置公共 DHCP 服务器路由

在配置 Tunnel All Networks 的情况下，为了让本地 DHCP 流量能够不受阻碍地传输，AnyConnect 在 AnyConnect 客户端连接时将向本地 DHCP 服务器添加特定路由。为了防止此路由出现数据泄露，AnyConnect 还对主机设备的局域网适配器应用隐式过滤器，在该路由中阻止除 DHCP 流量外的所有流量。如果您连接到外部接口，并在连接建立后使用本地 DHCP 服务器，将创建到该服务器的特定路由，指向 NIC 而非虚拟适配器。如果同一台服务器上还运行着其他服务（如 WINS 或 DNS），则此路由将在 VPN 会话建立后中断这些服务。

在 Windows 上，通过设置组策略自定义属性，可对公共 DHCP 服务器路由的创建进行控制。no-dhcp-server-route 自定义属性必须存在并设置为 true，才能避免在建立隧道后创建公共 DHCP 服务器路由。

在 ASDM 中，此功能在以下位置配置：配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端访问）(Network (Client) Access) > 组策略 (Group Policies) > 添加/编辑 (Add/Edit) > 高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) > 自定义属性 (Custom Attributes)。有关配置过程，请参阅相应版本的思科 ASA 系列 VPN 配置指南。

定制 AnyConnect GUI 文本和消息

自适应安全设备 (ASA) 使用转换表转换 AnyConnect 显示的用户消息。转换表是具有转换消息文本字符串的文本文件。您可以使用 ASDM 或转换（用于 Windows）编辑现有消息或添加其他语言。

以下 Windows 本地化转换示例在 www.cisco.com 上提供：

用于 Windows 平台预部署软件包的语言本地化转换文件
用于 Windows 平台网络部署软件包的语言本地化转换文件

Windows 的 AnyConnect 软件包文件包含用于 AnyConnect 消息的默认英语模板。当您在 ASA 中加载 AnyConnect 软件包时，ASA 会自动导入此文件。此模板包含 AnyConnect 软件中消息字符串的最新更改。您可以使用为其他语言创建新的转换表，也可以导入 www.cisco.com 上提供的以下转换表之一（请参阅将转换表导入自适应安全设备）：

中文（简体）
中文（繁体）
捷克语
荷兰语
法语
法语（加拿大）
德语
匈牙利语
意大利语
日语
韩语
波兰语
葡萄牙语（巴西）
俄文
西班牙文（拉美）

以下各节介绍所需语言不可用或您希望进一步定制导入转换表时转换 GUI 文本和消息的过程。

添加或编辑 AnyConnect 文本和消息。您可以按照以下任一方式添加或编辑文件来更改一个或多个消息 ID 的消息文本，从而更改消息文件：
- 在打开的对话框中键入对文本的更改。
- 将打开的对话框中的文本复制到文本编辑器，进行更改，然后粘贴回对话框。
将转换表导入自适应安全设备。您可以通过单击“保存到文件”(Save to File) 来导出消息文件，进行编辑，并将其导入回 ASDM。

在 ASA 上更新转换表后，直到客户端重新启动并成功建立另一个连接，才会应用更新后的消息。

注	如果没有从 ASA 部署客户端和使用诸如 Altiris Agent 的公司软件部署系统，您可以采用诸如 Gettext 的目录实用程序手动将 AnyConnect 转换表 (anyconnect.po) 转换为 .mo 文件并将 .mo 文件安装到客户端计算机的相应文件夹中。有关详细信息，请参阅第 3 到 22 页上的“创建企业部署的消息目录”一节。

指南和限制

AnyConnect 并不完全符合所有国际化要求，但以下内容除外：

日期/时间格式并不总是遵循区域设置要求。
不支持从右到左的语言。
由于硬编码字段的长度要求，有些字符串在 UI 中会截断。
一些硬编码英语字符串保持如下：
- 更新时的状态消息。
- 不受信任的服务器消息。
- 延期更新消息。

添加或编辑 AnyConnect 文本和消息

您可以通过添加或编辑英语转换表并且更改一条或多条消息 ID 的消息文本，来更改 AnyConnect GUI 上显示的英文消息。打开消息文件后，您可通过以下方式编辑：

在打开的对话框中键入对文本的更改。
将打开的对话框中的文本复制到文本编辑器，进行更改，然后粘贴回对话框。
单击“保存到文件”(Save to File)、编辑文件并将其导入到 ASDM，以导出消息文件。

过程

步骤 1	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > GUI 文本和消息 (GUI Text and Messages)。
步骤 2	单击添加 (Add)。系统将显示“添加语言本地化条目”(Add Language Localization Entry) 窗口。
步骤 3	单击“语言”(Language) 下拉列表，然后指定语言为英语 (en)。英语转换表显示在窗格的语言列表中。
步骤 4	单击编辑 (Edit) 开始编辑消息。系统将显示“编辑语言本地化条目”(Edit Language Localization Entry) 窗口。msgid 的引号之间的文本是客户端显示的默认英语文本，不能更改。msgstr 字符串包含客户端用于替换 msgid 中默认文本的文本。在 msgstr 的引号之间插入您自己的文本。在以下示例中，我们插入“Call your network administrator at 800-553-2447”。
步骤 5	单击确定 (OK)，然后单击应用 (Apply) 以保存更改。

将转换表导入自适应安全设备

过程

步骤 1	从 www.cisco.com 下载所需的转换表。
步骤 2	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > GUI 文本和消息 (GUI Text and Messages)。
步骤 3	单击导入 (Import)。系统会显示“导入语言本地化条目”(Import Language Localization Entry) 窗口。
步骤 4	从下拉列表中选择适合的语言。
步骤 5	指定从何处导入转换表。
步骤 6	单击立即导入 (Import Now)。即可将此转换表部署至 AnyConnect 客户端，并将其用作首选语言。本地化将在 AnyConnect 重新启动并连接后应用。

注	对于在非移动设备上运行的 AnyConnect，即使没有使用思科安全桌面，也必须将思科安全桌面转换表导入自适应安全设备，这样 HostScan 消息才会进行本地化。

为企业部署创建消息目录

如果没有将客户端与 ASA 一起部署，且正在使用企业软件部署系统（例如 Altiris Agent），则可以使用实用程序（例如 Gettext）将 AnyConnect 转换表手动转换为消息目录。将表格从 .po 文件转换为 .mo 文件，之后将文件置于客户端计算机上相应的文件夹内。

注	GetText 和 PoeEdit 是第三方软件应用。AnyConnect GUI 定制的推荐方法是从 ASA 获取默认的 .mo 文件，然后根据任何部署到客户端的需要编辑该文件。使用默认 .mo 可以避免第三方应用（例如 GetText 和 PoeEdit）导致的潜在转换问题。

Gettext 是来自 GNU 项目的实用程序并在命令窗口中运行。有关详细信息，请参阅 GNU 网站 gnu.org。还可以使用基于 GUI 的实用程序（该程序使用 Gettext），例如 Poedit。poedit.net 上提供了此软件。此过程使用 Gettext 来创建消息目录：

AnyConnect 消息模板目录

AnyConnect 消息模板位于以下为每个操作系统列出的文件夹中：

注	\l10n 目录是如下所列的每个目录路径的一部分。目录名称拼写：小写 l ("el")、1、0、小写 n。

对于 Windows - <DriveLetter>:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\l10n\<LANGUAGE-CODE>\LC_MESSAGES
对于 macOS 和 Linux - /opt/cisco/anyconnect/l10n/<LANGUAGE-CODE>/LC_MESSAGES

过程

步骤 1	从 http://www.gnu.org/software/gettext/ 下载 Gettext 实用程序并将 Gettext 安装在您用于管理的计算机（不是远程用户计算机）上。
步骤 2	在已安装 AnyConnect 的计算机上检索 AnyConnect 消息模板 AnyConnect.po 的副本。
步骤 3	根据需要，编辑 AnyConnect.po 文件（使用 notepad.exe 或任何明文文本编辑器）来更改字符串。
步骤 4	运行 Gettext 消息文件编译器以基于 .po 文件创建 .mo 文件： msgfmt -o AnyConnect.mo AnyConnect.po
步骤 5	将 .mo 文件副本置于用户计算机上正确的消息模板目录下。

将新消息合并到 ASA 上的定制转换表中

新用户消息将添加到 AnyConnect 的某些版本中。为启用这些新消息的转换，新消息字符串会添加到与最新客户端映像一起打包的转换模板中。如果您已基于以前的客户端附带的模板创建了转换表，新消息不会自动向远程用户显示。您必须将最新模板与您的转换表合并以确保转换表包含这些新消息。

可使用免费的第三方工具执行合并。来自 GNU 项目的 Gettext 实用程序可用于 Windows，并可在命令窗口中运行。有关详细信息，请参阅 GNU 网站 gnu.org。还可以使用基于 GUI 的实用程序（该程序使用 Gettext），例如 Poedit。poedit.net 上提供了此软件。以下过程涵盖了这两种方法。

注	此过程假设您已将最新的 AnyConnect 映像软件包载入 ASA 中。除非您执行此操作，否则模板无法导出。

过程

步骤 1

从远程访问 VPN (Remote Access VPN) > 语言本地化 (Language Localization) > 模板 (Templates)导出最新的 AnyConnect 转换模板。导出的模板文件名为 AnyConnect.pot。此文件名确保 msgmerge.exe 程序将此文件识别为消息目录模板。

步骤 2

合并 AnyConnect 模板与转换表。

如果使用的是适用于 Windows 的 Gettext 实用程序，打开命令提示符窗口并运行以下命令。该命令会合并 AnyConnect 转换表 (.po) 和模板 (.pot)，从而创建新的 AnyConnect_merged.po 文件：

msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot

以下示例显示命令的结果：

C:\Program Files\GnuWin32\bin> msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot

....................................... done.

如果使用 Poedit，则首先打开 AnyConnect.po 文件，转到 文件 (File) > 打开 (Open) > <AnyConnect.po>。然后将其与模板合并，从 POT 文件 <AnyConnect.pot> 转到 Catalog > Update。Poedit 将在 Update Summary 窗口显示新字符串和模糊字符串。保存文件，在下一步骤中将导入此文件。

步骤 3

将已合并的转换表导入远程接入 VPN > 语言本地化。单击导入 (Import)，指定语言，然后选择 AnyConnect 作为转换域。将要导入的文件指定为 AnyConnect_merged.po。

在客户端上选择 Windows 的默认语言

当远程用户连接到 ASA 并下载客户端时，AnyConnect 会检测计算机的首选语言并通过检测指定系统区域设置应用相应的转换表。

在 Windows 上查看或更改指定的系统区域设置：

过程

步骤 1	导航到控制面板 > 区域和语言对话框。如果按类别查看控制面板，请选择时钟、区域和语言时钟 > 更改显示语言。
步骤 2	指定语言/区域设置，并指定应使用这些设置作为所有用户帐户的默认设置。

注	如果未指定位置，AnyConnect 将默认使用该语言。例如，如果未找到“fr-ca”目录，AnyConnect 将检查是否存在“fr”目录。您无需更改显示语言、位置或键盘即可查看转换。

为 AnyConnect GUI 创建定制图标和徽标

本节中的各表列出了可针对各操作系统替换的 AnyConnect 文件。表中的图像被 AnyConnect VPN 客户端和网络访问管理器模块所使用。

限制

定制组件的文件名必须与 AnyConnect GUI 上使用的文件名一致。文件名因操作系统而有所不同，并且在 macOS 和 Linux 中区分大小写。例如，如果要替换 Windows 客户端的公司徽标，必须将您的公司徽标导入为 company_logo.png。如果以其他文件名将其导入，则 AnyConnect 安装程序不会更改组件。但是，如果您部署自己的可执行文件来定制 GUI，则该可执行文件可以使用任何文件名调用资源文件。
如果导入图像作为资源文件（如 company_logo.bmp），导入的图像将定制 AnyConnect，直至您重新导入另一个使用相同文件名的图像。例如，如果将 company_logo.bmp 替换为定制图像，然后删除该图像，客户端会继续显示该图像，直至导入相同文件名的新图像（或原始思科徽标图像）为止。

更换 AnyConnect GUI 组件

可通过将您自己的定制文件导入到安全设备来定制 AnyConnect，该安全设备在客户端部署新文件。

过程

步骤 1	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > 资源 (Resources)。
步骤 2	单击导入 (Import)。Import AnyConnect Customization Objects 窗口随即显示。
步骤 3	输入要导入的文件名。
步骤 4	选择平台，并指定要导入的文件。单击立即导入 (Import Now)。现在，文件显示在对象列表中。

Windows 的 AnyConnect 图标和徽标

Windows 的所有文件位于：

%PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\res\

注	%PROGRAMFILES% 指相同名称的环境变量。在大多数 Windows 安装中，这是 C:\Program Files。


Windows 安装中的文件名和说明。	图像尺寸（像素，长 x 高）和类型
about.png “高级”(Advanced) 对话框右上角的“关于”(About) 按钮。大小不可调整。	24 x 24 PNG
about_hover.png “高级”(Advanced) 对话框右上角的“关于”(About) 按钮。大小不可调整。	24 x 24 PNG
app_logo.png 128 x 128 是最大大小。如果自定义文件不是该大小，则在应用中将其调整为 128 x 128。如果比例不同，则会将其拉伸。	128 x 128 PNG
attention.ico 系统托盘图标警告用户需要注意或交互的情况。例如，有关用户凭证的对话框。大小不可调整。	16 x 16 ICO
company_logo.png 托盘浮出控件左上角和“高级”(Advanced) 对话框中显示的公司徽标。最大大小为 97 x 58。如果自定义文件不是该大小，则其在应用中会调整为 97 x 58。如果比例不同，则会将其拉伸。	97 x 58（最大） PNG
company_logo_alt.png About 对话框右下角显示的公司徽标。最大大小为 97 x 58。如果自定义文件不是该大小，则其在应用中会调整为 97 x 58。如果比例不同，则会将其拉伸。	97 x 58 PNG
cues_bg.jpg 托盘浮出控件、“高级”(Advanced) 窗口和“关于”(About) 对话框的背景图像。因为图像未进行拉伸，因此使用过小的替换图像会导致出现黑色区域。	1260 x 1024 JPEG
error.ico 系统托盘图标警告用户有一个或多个组件出现严重错误。大小不可调整。	16 x 16 ICO
neutral.ico 表示客户端组件运行正常的系统托盘图标。大小不可调整。	16 x 16 ICO
transition_1.ico 系统托盘图标，它与 transition_2.ico 和 transition_3.ico 一同显示，表示一个或多个客户端组件在不同状态间过渡（例如 VPN 连接或网络访问管理器连接时）。3 个图标文件连续显示，看起来好像单个图标从左至右跳动。大小不可调整。	16 x 16 ICO
transition_2.ico 系统托盘图标，它与 transition_1.ico 和 transition_3.ico 一同显示，表示一个或多个客户端组件在不同状态间过渡（例如 VPN 连接或网络访问管理器连接时）。3 个图标文件连续显示，看起来好像单个图标从左至右跳动。大小不可调整。	16 x 16 ICO
transition_3.ico 系统托盘图标，它与 transition_1.ico 和 transition_2.ico 一同显示，表示一个或多个客户端组件在不同状态间过渡（例如 VPN 连接或网络访问管理器连接时）。3 个图标文件连续显示，看起来好像单个图标从左至右跳动。大小不可调整。	16 x 16 ICO
vpn_connected.ico 表示 VPN 已连接的系统托盘图标。大小不可调整。	16 x 16 ICO

Linux 的 AnyConnect 图标和徽标

Linux 的所有文件位于：

/opt/cisco/anyconnect/resources/

下表列出了您可替换的文件以及受影响的客户端 GUI 区域。


Linux 安装中的文件名和说明	图像尺寸（像素，长 x 高）和类型
company-logo.png 出现在用户界面各个选项卡上的公司徽标。对于 AnyConnect 3.0 及更高版本，使用大小不超过 62x33 像素的 PNG 图像。	142 x 92 PNG
CVCabout.png “关于”(About) 选项卡上显示的图标。	16 x 16 PNG
cvc-connect.png “连接”(Connect) 按钮旁和“连接”(Connection) 选项卡上显示的图标。	16 x 16 PNG
CVCdisconnect.png “连接”(Connection) 按钮旁显示的图标。	16 x 16 PNG
CVCinfo.png “统计”(Statistics) 选项卡上显示的图标。	16 x 16 PNG
systray_connected.png 客户端连接时显示的托盘图标。	16 x 16 PNG
systray_notconnected.png 客户端未连接时显示的托盘图标。	16 x 16 PNG
systray_disconnecting.png 客户端断开连接时显示的托盘图标。	16 x 16 PNG
systray_quarantined.png 客户端隔离时显示的托盘图标。	16x16 PNG
systray_reconnecting.png 客户端重新连接时显示的托盘图标。	16 x 16 PNG
vpnui48.png 主程序图标。	48 x 48 PNG

macOS 的 AnyConnect 图标和徽标

目前不支持在 macOS 上使用 GUI 资源自定义的 AnyConnect 图标和徽标。

创建并上传 AnyConnect 客户端帮助文件

要向 AnyConnect 用户提供帮助，请创建有关您站点的附带说明的帮助文件，并将其载入自适应安全设备上。当用户通过 AnyConnect 连接时，AnyConnect 将下载帮助文件，并在 AnyConnect 用户界面显示帮助图标。当用户单击帮助图标时，浏览器将打开帮助文件。支持 PDF 和 HTML 文件。

过程

步骤 1	创建名为 help_AnyConnect.html 的 HTML 文件。
步骤 2	在 ASDM 中，转到配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络（客户端）访问 (Network [Client] Access) > AnyConnect 定制/本地化 (AnyConnect Customization/Localization) > 二进制文件 (Binary)。
步骤 3	导入 help_AnyConnect.xxx 文件。支持的格式如下：PDF、HTML、HTM 和 MHT。
步骤 4	在 PC 上，启动 AnyConnect 并连接到自适应安全设备。将帮助文件下载至客户端 PC。您应该看到帮助图标已自动添加至 UI。
步骤 5	单击帮助图标可在浏览器中打开帮助文件。如果帮助图标未出现，请查看帮助目录以查看 AnyConnect 下载程序是否能检索帮助文件。下载程序将删除文件名的“help_”部分，因此您应该在以下目录之一看到 AnyConnect.html（具体因操作系统而异）： Windows - C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Help macOS - /opt/cisco/anyconnect/help

编写和部署脚本

发生以下事件时，您可以通过 AnyConnect 下载和运行脚本：

与安全设备建立新的客户端 VPN 会话。我们将此事件触发的脚本称为 OnConnect 脚本，因为该脚本需要此文件名前缀。
用安全设备终止客户端 VPN 会话时。我们将此事件触发的脚本称为 OnDisconnect 脚本，因为该脚本需要此文件名前缀。

值得信赖的网络检测发起的建立新客户端 VPN 会话将触发 OnConnect 脚本（假设满足运行脚本的要求），但网络中断后重新连接永久性 VPN 会话不会触发 OnConnect 脚本。

介绍此功能使用方法的某些示例包括：

VPN 连接后刷新组策略。
VPN 连接后映射网络驱动器，断开连接后取消映射。
VPN 连接后登录到服务，断开连接后注销服务。

AnyConnect 支持在 WebLaunch 和独立启动期间启动脚本。

这些说明假定您了解如何编写脚本，并了解如何从目标终端的命令行运行脚本以进行脚本测试。

注	AnyConnect 软件下载站点提供了某些示例脚本。查看时，请注意这些只是示例脚本。它们可能无法满足本地计算机运行这些脚本的要求，也可能在未针对网络和用户需求进行定制之前无法使用。思科不支持示例脚本或客户编写的脚本。

脚本要求和限制

请注意脚本有以下要求和限制：

支持的脚本数量 - AnyConnect 仅运行一个 OnConnect 脚本和一个 OnDisconnect 脚本。但这些脚本可启动其他脚本。
文件格式 - AnyConnect 通过文件名识别 OnConnect 脚本和 onDisconnect 脚本。它查找名称以 OnConnect 或 OnDisconnect 开头的文件，并忽略文件扩展名。AnyConnect 将执行找到的第一个前缀匹配的脚本。AnyConnect 可识别解释型脚本（例如 VBS、Perl 或 Bash）或可执行文件。
脚本语言 - 客户端不要求脚本以特定语言编写，但要求在客户端计算机上安装可运行脚本的应用。因此，为了保证客户端可以启动脚本，脚本必须能够从命令行运行。
Windows 安全环境对脚本的限制 - 在 Microsoft Windows 中，AnyConnect 仅在用户登录 Windows 并建立 VPN 会话后方可启动脚本。因此，用户的安全环境施加的限制适用于这些脚本。脚本只能执行用户有权调用的功能。AnyConnect 将在 Windows 执行脚本期间隐藏 cmd 窗口，因此用户无法出于测试目的在 .bat 文件中执行显示消息的脚本。
启用脚本 - 默认情况下，客户端不会启动脚本。应使用 AnyConnect 配置文件 EnableScripting 参数来启用脚本。执行该操作时，客户端不要求提供脚本。
客户端 GUI 终止 - 客户端 GUI 终止不一定会终止 VPN 会话。OnDisconnect 脚本在会话终止后运行。
在 64 位 Windows 中运行脚本 - AnyConnect 客户端是 32 位应用。在 64 位 Windows 版本中运行时，AnyConnect 将使用 cmd.exe 的 32 位版本。

由于 32 位 cmd.exe 缺乏某些 64 位 cmd.exe 支持的命令，因此某些脚本可能会在尝试运行不支持的命令时停止执行，或部分运行后停止。例如，32 位版本的 Windows 7 可能无法理解 64 位 cmd.exe 支持的 msg 命令（位于 %WINDIR%\SysWOW64 中）。

因此，在创建脚本时，请使用 32 位 cmd.exe 支持的命令。

编写、测试和部署脚本

在目标操作系统上编写和测试您的脚本。如果脚本无法从本地操作系统的命令行正常运行，则 AnyConnect 也无法正常运行该脚本。

过程

步骤 1

编写和测试您的脚本。

步骤 2

选择部署脚本的方式：

使用 ASDM 将脚本作为二进制文件导入 ASA。

转到网络 (客户端) 接入 > AnyConnect 自定义/本地化 > 脚本。

如果您使用 ASDM 6.3 版或更高版本，ASA 会在您的文件名中添加前缀 scripts_ 和前缀 OnConnect 或 OnDisconnect，以将该文件识别为脚本。当客户端连接时，安全设备会将脚本下载到远程计算机的相应目标目录中，删除 scripts_ 前缀，并保留 OnConnect 或 OnDisconnect 前缀。例如，如果您导入脚本 myscript.bat，则脚本将在安全设备中显示为 scripts_OnConnect_myscript.bat。在远程计算机上，脚本显示为 OnConnect_myscript.bat。

如果您使用的 ASDM 版本低于 6.3，则您必须导入具有以下前缀的脚本：
- scripts_OnConnect
- scripts_OnDisconnect
  
  为确保脚本能够稳定运行，请将所有 ASA 配置为部署相同的脚本。如果您要修改或替换脚本，请使用与早期版本相同的名称，并将替换脚本分配到用户可能连接的所有 ASA。当用户连接时，新脚本将覆盖同名脚本。

使用企业软件部署系统手动将脚本部署到 VPN 终端。

如果您使用此方法，请使用以下脚本文件名前缀：

OnConnect

OnDisconnect

在以下目录中安装脚本：

表 1. 规定的脚本位置
操作系统	目录
Microsoft Windows	%ALLUSERSPROFILE%\Cisco\Cisco AnyConnect Secure Mobility Client\Script
Linux （在 Linux 中，为用户、组和其他类型的文件分配执行权限。）	/opt/cisco/anyconnect
macOS	/opt/cisco/anyconnect/script

为脚本配置 AnyConnect 配置文件

过程

步骤 1	打开 VPN 配置文件编辑器，从导航窗格中选择首选项（部分 2）(Preferences [Part 2])。
步骤 2	选中启用脚本功能 (Enable Scripting)。客户端在连接或断开 VPN 连接时启动脚本。
步骤 3	选中用户可控制 (User Controllable) 使用户可以启用或禁用 On Connect 和 OnDisconnect 脚本的运行。
步骤 4	选中终止下一个事件上的脚本 (Terminate Script On Next Event)，可在过渡到另一个可编写脚本的事件时使客户端可以终止运行脚本流程。例如，在 AnyConnect 启动新 VPN 会话时，如果 VPN 会话结束并终止运行 OnDisconnect 脚本，则客户端会终止运行 On Connect 脚本。在 Microsoft Windows 上，客户端也会终止 On Connect 或 OnDisconnect 脚本启动的所有脚本及其所有脚本派生项。在 macOS 和 Linux 上，客户端只会终止 OnConnect 或 OnDisconnect 脚本，它不会终止子脚本。
步骤 5	选中SBL 建立会话时启用 OnConnect 脚本 (Enable Post SBL On Connect Script)（默认情况下启用）可在 SBL 建立 VPN 会话时使客户端启动 On Connect 脚本（如果有）。

注	请务必将客户端配置文件添加到 ASA 组策略，以将其下载到 VPN 终端。

脚本故障排除

如果脚本无法运行，按如下所述尝试解决问题：

过程

步骤 1	确保脚本有 `OnConnect` 或 `OnDisconnect` 前缀名称。编写、测试和部署脚本显示每个操作系统所需的脚本目录。
步骤 2	尝试从命令行运行脚本。如果无法从命令行运行脚本，客户端便无法运行脚本。如果脚本在命令行运行失败，请确保已安装运行脚本的应用，并尝试在操作系统上重写脚本。
步骤 3	验证 VPN 终端上的脚本目录中仅有一个 OnConnect 脚本和一个 OnDisconnect 脚本。如果客户端从 ASA 下载 OnConnect 脚本，然后下载与另一个 ASA 的文件名后缀不同的另一个 OnConnect 脚本，则客户端可能不会运行您打算运行的脚本。如果脚本路径包含多个 OnConnect 或 OnDisconnect 脚本，而且您正在使用 ASA 部署脚本，则删除脚本目录的内容并重新建立 VPN 会话。如果脚本路径包含多个 OnConnect 或 OnDisconnect 脚本，而且您采用手动部署方法，则删除不需要的脚本并重新建立 VPN 会话。
步骤 4	如果操作系统是 Linux，请确保脚本文件的权限已设置为执行。
步骤 5	确保客户端配置文件已启用脚本功能。

使用 AnyConnect API 编写和部署定制应用

对于 Windows、Linux 和 macOS 计算机，您可以使用 AnyConnect API 开发自己的可执行用户界面 (UI)。通过替换 AnyConnect 二进制文件部署您的 UI。

下表列出了不同操作系统的客户端可执行文件的文件名。


客户端操作系统	客户端 GUI 文件	客户端 CLI 文件
Windows	vpnui.exe	vpncli.exe
Linux	vpnui	vpn
macOS	ASA 部署不支持。但是，您可以为使用其他方法（例如 Altiris Agent）替换客户端 GUI 的 macOS 部署可执行文件。	vpn

可执行文件能够调用您导入 ASA 的任何资源文件，例如徽标图像。部署自己的可执行文件时，您可以对资源文件使用任意文件名。

限制

无法从自适应安全设备部署更新的 AnyConnect 软件。如果您在自适应安全设备上放置了更新版本的 AnyConnect 软件包，AnyConnect 客户端将下载更新，可替换定制 UI。您必须处理定制客户端以及相关 AnyConnect 软件的分发问题。尽管 ASDM 允许您上传二进制文件以替换 AnyConnect 客户端，但在使用定制应用时不支持此部署功能。
如果您部署网络安全或网络访问管理器，请使用Cisco AnyConnect Secure Mobility Client GUI。
不支持登录前启动。

使用 AnyConnect CLI 命令

思科 AnyConnect VPN 客户端为更喜欢输入客户端命令而不喜欢使用图形用户界面的用户提供了命令行界面 (CLI)。以下几个小节介绍了如何启动 CLI 命令提示符，以及可以通过该 CLI 使用的命令：

启动客户端 CLI 提示
使用客户端 CLI 命令
在 ASA 终止会话时阻止 Windows 弹出消息

注	在 Windows 和 macOS 中，同一下载程序会被用于 VPN UI 或 CLI 连接中的配置文件更新。在 Linux 中，VPN UI 的下载程序可以显示警告和弹出窗口，例如我们在连接或下载配置文件或其他组件时经常看到的不受信任证书警告。但是，VPN CLI 的第二个 Linux 下载程序无法显示此类弹出窗口和警告，并且您会收到连接失败消息，这是预期行为。

启动客户端 CLI 提示

要启动 CLI 命令提示符：

(Windows) 在 Windows 文件夹 C:/Program Files/Cisco/Cisco AnyConnect Secure Mobility Client 中找到文件 vpncli.exe。双击 vpncli.exe。
（Linux 和 macOS）在文件夹 /opt/cisco/anyconnect/bin/ 中找到文件 vpn。执行文件 vpn。

使用客户端 CLI 命令

如果您在交互模式下运行 CLI，则它将提供自己的提示。您还可以使用命令行。

connect IP address or alias - 客户端将建立与特定 ASA 的连接
disconnect - 客户端将关闭先前建立的连接
stats - 显示关于已建立的连接的统计信息
quit - 退出 CLI 交互模式
exit - 退出 CLI 交互模式

以下示例显示了用户通过命令行建立和终止连接：

Windows 的 ISE 安全评估代理

connect 209.165.200.224

建立与地址为 209.165.200.224 的安全设备的连接。在与请求的主机联系后，AnyConnect 客户端将显示用户所属的群组，并询问用户的用户名和密码。如果您已制定显示可选横幅，则用户必须对该横幅作出响应。默认响应为 n，这将终止连接尝试。例如：

VPN > connect 209.165.200.224
>>contacting host (209.165.200.224) for login information...
>>Please enter your username and password.
Group: testgroup
Username: testuser
Password: ********
>>notice: Please respond to banner.
VPN>
STOP! Please read. Scheduled system maintenance will occur tonight from 1:00-2:00 AM for one hour.
The system will not be available during that time.

accept? [y/n] y
>> notice: Authentication succeeded. Checking for updates...
>> state: Connecting
>> notice: Establishing connection to 209.165.200.224.
>> State: Connected
>> notice: VPN session established.
VPN>

stats

显示当前连接的统计信息；例如：

VPN > stats
[Tunnel information]

Time Connected: 01:17:33
Client Address: 192.168.23.45
Server Address: 209.165.200.224

[Tunnel Details]

Tunneling Mode: All traffic
Protocol: DTLS
Protocol Cipher: RSA_AES_256_SHA1
Protocol Compression: None

[Data Transfer]

Bytes (sent/received): 1950410/23861719
Packets (sent/received): 18346/28851
Bypassed (outbound/inbound): 0/0
Discarded (outbound/inbound): 0/0

[Secure Routes]

Network Subnet
0.0.0.0 0.0.0.0
VPN>

“断开连接”(disconnect)

关闭先前建立的连接；例如：

VPN > disconnect
>> state: Disconnecting
>> state: Disconnected
>> notice: VPN session ended.
VPN>

quit 或 exit

其中任何一个命令都将退出 CLI 交互模式；例如：

quit
goodbye
>>state: Disconnected

Linux 或 macOS

/opt/cisco/anyconnect/bin/vpn connect 1.2.3.4

建立与地址为 1.2.3.4 的 ASA 的连接

/opt/cisco/anyconnect/bin/vpn connect some_asa_alias

通过读取配置文件建立与 ASA 的连接，并查找别名 some_asa_alias 以便找到其地址

/opt/cisco/anyconnect/bin/vpn stats

显示关于该 vpn 连接的统计信息

/opt/cisco/anyconnect/bin/vpn disconnect

断开该 vpn 会话（如果存在）

在 ASA 终止会话时阻止 Windows 弹出消息

如果您通过从 ASA 发布会话重置命令来终止 AnyConnect 会话，将向终端用户显示以下 Windows 弹出消息：

The secure gateway has terminated the vpn connection. The following message was received for the gateway: Administrator Reset

您可能不希望显示此消息（例如，在使用 CLI 命令发起 VPN 隧道时）。您可以通过在客户端连接后重新启动客户端 CLI 来阻止显示此消息。下面的示例显示了当您进行此操作时 CLI 的输出结果：

C:/Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client>vpncli
Cisco AnyConnect Secure Mobility Client (version 4.x).
Copyright (c) 2016 Cisco Systems, Inc.
All Rights Reserved.
>> state: Connected
>> state: Connected
>> notice: Connected to asa.cisco.com.
>> notice: Connected to asa.cisco.com.
>> registered with local VPN subsystem.
>> state: Connected
>> notice: Connected to asa.cisco.com.
>> state: Disconnecting
>> notice: Disconnect in progress, please wait...
>> state: Disconnected
>> notice: On a trusted network.
>> error: The secure gateway has terminated the VPN connection.
The following message was received from the secure gateway: Administrator Reset
VPN>

另外，您还可以在 Windows 注册表中，在位于以下位置的终端设备上创建一个名为 SuppressModalDialogs 的 32 位双精度值。客户端将检查该名称，但会忽略其值：

64 位 Windows：

HKEY_LOCAL_MACHINE/SOFTWARE\Wow6432Node\Cisco\ Cisco AnyConnect Secure Mobility Client
32 位 Windows：

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco AnyConnect Secure Mobility Client

准备 AnyConnect 定制和本地化进行 ISE 部署

准备 AnyConnect 本地化捆绑包

AnyConnect 本地化捆绑包是包含用于本地化 AnyConnect 的转换表文件和安装程序转换文件的压缩文件。此压缩文件是 ISE AnyConnect 资源的一部分，该资源用于从 ISE 向用户部署 AnyConnect。此压缩文件的内容由 AnyConnect 部署中您支持的语言进行定义，如此过程中所述。

开始之前

ISE 要求在其 AnyConnect 本地化捆绑包中有经过编译的二进制转换表。在 Gettext 中有两种文件格式：用于进行编辑的文本 .po 格式，和在运行时使用的经过编译的二进制 .mo 格式。可使用 Gettext 工具 msgfmt 完成编译。从 http://www.gnu.org/software/gettext/ 下载 Gettext 实用程序并在您用于管理的本地计算机（不是远程用户计算机）上安装 Gettext。

过程

步骤 1

获取并准备 AnyConnect 部署使用的转换表文件。

在 www.cisco.com 上的Cisco AnyConnect Secure Mobility Client Software Download 页面上，下载并打开 AnyConnect-translations-（日期）.zip 文件。

此压缩文件包含思科提供的所有语言转换的 *.po 文件。
(可选) 查找您已为自己的环境定制或创建的任何其他转换表文件（*.po 文件）。
运行 Gettext 消息文件编译器以从您正使用的各个 *.po 文件创建 *.mo 文件：

msgfmt -o AnyConnect.mo AnyConnect.po

步骤 2

汇编 AnyConnect 部署使用的转换表文件。

在本地计算机的工作区中创建名为 l10n 的目录。
为要包含的各个语言在 l10n 下创建目录，以语言代码命名。

例如，fr-ch 代表法语（加拿大）。
将要包含的各个编译转换表放入适当命名的目录中。

请勿将任何 *.po 文件放在经过编译的转换表中。仅应将 *.mo 文件放在此文件中。

目录结构与以下类似，其中包括法语（加拿大）、希伯来语和日语的转换表：


l10n\fr-ch\AnyConnect.mo
    \he\AnyConnect.mo
    \ja\AnyConnect.mo

步骤 3

（仅适用于 Windows）获取并准备 AnyConnect 部署所使用的语言本地化转换文件。

在 www.cisco.com 上的Cisco AnyConnect Secure Mobility Client 的软件下载页，下载并打开包含语言本地化转换文件的压缩文件，该文件会将转换应用于安装程序屏幕。

压缩文件名为 anyconnect-win-（版本）-webdeploy-k9-lang.zip。

注	语言本地化文件的版本必须与您的环境中使用的 AnyConnect 版本一致。当升级到 AnyConnect 的新版本时，还必须将本地化捆绑包中使用的语言本地化文件升级到同一版本。

找到您为自己的环境定制或创建的所有语言本地化转换文件。

步骤 4

（仅适用于 Windows）汇编 AnyConnect 部署使用的语言本地化文件。

在本地计算机的同一工作区中创建名为 mst 的目录。
为要包含的各个语言在 mst 下创建目录，以语言代码命名。

例如，fr-ch 代表法语（加拿大）。
将要包含的各个语言本地化文件放入适当命名的目录中。

现在，您的目录结构与以下结构类似：


l10n\fr-ch\AnyConnect.mo
    \he\AnyConnect.mo
    \ja\AnyConnect.mo
mst\fr-ch\AnyConnect_fr-ca.mst
   \he\AnyConnect_he.mst
   \ja\AnyConnect_ja.mst

步骤 5

使用标准压缩实用程序将此目录结构压缩到适当命名的文件中，例如 AnyConnect-Localization-Bundle-（版本）.zip，以创建 AnyConnect 本地化捆绑包。

下一步做什么

将 AnyConnect 本地化捆绑包作为 ISE AnyConnect 资源（用于向用户部署 AnyConnect）的一部分上传到 ISE。

准备 AnyConnect 定制捆绑包

AnyConnect 定制捆绑包是包含定制 AnyConnect GUI 资源、定制帮助文件、VPN 脚本和安装程序转换的压缩文件。此压缩文件是 ISE AnyConnect 资源的一部分，该资源用于从 ISE 向用户部署 AnyConnect。它的目录结构如下：

win\resource\ 
   \binary 
   \transform
mac-intel\resource
         \binary
         \transform

自定义的 AnyConnect 组件包含在 Windows 和 macOS 平台的 resource、binary 和 transform 子目录中，具体如下所示：

每个 resource 子目录都包含该平台的所有定制 AnyConnect GUI 组件。

要创建这些资源，请参阅为 AnyConnect GUI 创建定制图标和徽标。
每个 binary 子目录都包含该平台的定制帮助文件和 VPN 脚本。
- 要创建 AnyConnect 帮助文件，请参阅创建并上传 AnyConnect 客户端帮助文件。
- 要创建 VPN 脚本，请参阅编写和部署脚本。
每个 transform 子目录都包含该平台的安装程序转换。
- 要创建 Windows 定制安装程序转换，请参阅修改安装行为 (Windows)
- 要创建 macOS 安装程序转换，请参阅使用 ACTransform.xml 在 macOS 上自定义安装程序行为

开始之前

准备 AnyConnect 定制捆绑包之前，先创建所有必要的定制组件。

过程

步骤 1	在本地计算机的工作区创建所述目录结构。
步骤 2	在 resources 目录下存放各个平台的定制 AnyConnect GUI 文件。确认文件均适当命名，且图标和徽标的大小合适。
步骤 3	在 binary 目录下存放定制 help_AnyConnect.html 文件。
步骤 4	在 binary 目录下存放 VPN OnConnect 和 OnDisconnect 脚本及其调用的任何其他脚本。
步骤 5	在 transform 目录下存放特定于平台的安装程序转换。
步骤 6	使用标准压缩实用程序将此目录结构压缩到适当命名的文件中，例如 AnyConnect-Customization-Bundle.zip，以创建 AnyConnect 定制捆绑包。

下一步做什么

将 AnyConnect 定制捆绑包作为 ISE AnyConnect 资源（用于向用户部署 AnyConnect）的一部分上传到 ISE。

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 定制和本地化 AnyConnect 客户端和安装程序

定制和本地化 AnyConnect 客户端和安装程序

修改 AnyConnect 安装行为

指南

禁用客户体验反馈

修改安装行为 (Windows)

限制

用于定制客户端安装的 Windows 安装程序属性

AnyConnect 模块的 Windows 安装程序属性

将定制安装程序转换导入自适应安全设备

过程

本地化 AnyConnect 安装程序屏幕

将本地化的安装程序转换导入自适应安全设备

过程

修改安装行为 (macOS)

使用 ACTransform.xml 在 macOS 上自定义安装程序行为

禁用客户体验反馈模块

过程

修改安装行为 (Linux)

使用 ACTransform.xml 在 Linux 上定制安装程序行为

启用 DSCP 预留

设置公共 DHCP 服务器路由

定制 AnyConnect GUI 文本和消息

指南和限制

添加或编辑 AnyConnect 文本和消息

过程

将转换表导入自适应安全设备

过程

为企业部署创建消息目录

过程

将新消息合并到 ASA 上的定制转换表中

过程

在客户端上选择 Windows 的默认语言

过程

为 AnyConnect GUI 创建定制图标和徽标

限制

更换 AnyConnect GUI 组件

过程

Windows 的 AnyConnect 图标和徽标

Linux 的 AnyConnect 图标和徽标

macOS 的 AnyConnect 图标和徽标

创建并上传 AnyConnect 客户端帮助文件

过程

编写和部署脚本

脚本要求和限制

编写、测试和部署脚本

过程

为脚本配置 AnyConnect 配置文件

过程

脚本故障排除

过程

使用 AnyConnect API 编写和部署定制应用

限制

使用 AnyConnect CLI 命令

启动客户端 CLI 提示

使用客户端 CLI 命令

在 ASA 终止会话时阻止 Windows 弹出消息

准备 AnyConnect 定制和本地化进行 ISE 部署

准备 AnyConnect 本地化捆绑包

开始之前

过程

下一步做什么

准备 AnyConnect 定制捆绑包

开始之前

过程

下一步做什么

此文档是否有帮助?

联系我们