Cisco AnyConnect 4.9 作为最新的建议版本，可用于运行 Apple iOS 10.3 及更高版本的所有 iPhone、iPad 和 iPod Touch 设备。

如果设备不支持 Apple iOS 10.3 或更高版本，则只能使用旧版 AnyConnect 4.0.05x，它可用于运行 Apple iOS 6.0 及更高版本的所有 iPhone、iPad 和 iPod Touch 设备。旧版 AnyConnect 中的 Per App 隧道需要 Apple iOS 8.3 或更高版本。

注	AnyConnect 在 iPod Touch 上的显示和操作与在 iPhone 上相同。

* 对于 iOS 设备，无论由于操作系统的实施情况如何配置 ASA，都会启用本地 LAN 访问。

以下功能对 ASA 有最低版本要求：

注	请参阅您的平台的功能表，以确认这些功能在当前 AnyConnect 移动版本中的可用性。

• 您必须升级到 ASA 9.7.1.24、9.8.2.28、9.9.2.1 或更高版本，才能使用 SAML 身份验证功能。请确保客户端和服务器版本都是最新的。

• 必须升级到 ASA 9.3.2 或更高版本才能使用 TLS 1.2。

• 必须升级到 ASA 9.3.2 或更高版本才能使用 Per App VPN 隧道连接模式。

• 必须升级到 ASA 9.0 才能使用以下移动功能：

  • IPsec IKEv2 VPN

  • Suite B 加密

  • SCEP 代理

  • 移动状况

• ASA 版本 8.0(3) 和自适应安全设备管理器 (ASDM) 6.1(3) 是支持移动设备版 AnyConnect 的最低版本。

思科 IOS 15.3(3)M+/15.2(4)M+ 支持 AnyConnect SSL 连接。

思科 ISR g2 15.2(4)M+ 支持 AnyConnect IKEv2 连接

Cisco Firepower 威胁防御版本 6.2.1 及更高版本中支持 AnyConnect SSL 和 IKEv2。

• CSCvs82209 - 在访问通过 SCEP 导入并需要生物特征进行访问的客户端证书时，iOS 13.3.1 和更高版本上发生“找不到有效证书”错误。iOS 13.3.1 移除了 AnyConnect Network Extension 使用 SCEP 导入证书的能力，这些证书具有要求生物特征（TouchID/FaceID/密码）才能访问的安全特性。在重新设计客户端以适应此更改之前，请使用无生物特征选项的 SCEP 部署证书。

• AnyConnect 可由用户手动配置、通过 iPhone 配置实用程序 (http://www.apple.com/support/iphone/enterprise/) 生成的 AnyConnect VPN 客户端配置文件配置或使用企业移动设备管理器配置。

• Apple iOS 设备仅支持一个 AnyConnect VPN 客户端配置文件。生成的配置内容始终与最近的配置文件匹配。例如，如果您连接到 vpn.example1.com，然后连接到 vpn.example2.com，则从 vpn.example2.com 导入的 AnyConnect VPN 客户端配置文件将替换从 vpn.example1.com 导入的配置文件。

• 此版本支持隧道保持连接功能；但是，它会降低设备电池的寿命。增加更新间隔值可以缓解此问题。

• 不兼容 DHE

  在 AnyConnect 版本4.6 中引入 DHE 密码支持后，会导致 ASA 9.2 之前的 ASA 版本出现不兼容问题。如果您使用 ASA 9.2 之前的版本的 DHE 密码，则必须在这些 ASA 版本上禁用 DHE 密码。

Apple iOS 按需连接注意事项：

• 当设备休眠时，由于 iOS 按需逻辑而自动连接的 VPN 会话及已配置“暂停时断开连接”的 VPN 会话会断开连接。唤醒设备后，按需逻辑将根据需要重新连接 CPN 会话。

• 启动用户界面和 VPN 连接后，AnyConnect 会收集设备信息。因此，如果用户在一开始或在设备信息（例如操作系统版本）变更后，依赖于 iOS 的按需连接功能来启动连接，AnyConnect 有时候可能误报移动安全评估信息。

• 使用 Apple 按需连接功能时，只有运行早于 4.0.05032 的旧版 AnyConnect 版本或早于 9.3 的 Apple iOS 版本，此功能才适用于您的环境。在更新 AnyConnect 后，为了确保正确建立按需连接 VPN 隧道，用户必须手动启动 AnyConnect 应用并建立连接。如果不这样做，在下次 iOS 系统尝试建立 VPN 隧道时，系统会显示错误消息“VPN 连接需要启动应用”(The VPN Connection requires an application to start up)。

思科 AnyConnect 和旧版 AnyConnect 是不同的应用，其应用 ID 有所不同。因此：

• 不能将 AnyConnect 应用从旧版 4.0.05x 或更早版本升级到新版本。较新的版本是单独的应用，安装有不同的名称和图标。

• AnyConnect 的不同版本可以共存于移动设备之上，但思科不支持此操作。如果在安装了两个 AnyConnect 版本时尝试进行连接，行为可能与预期不同。请确保您的设备上只有一个 AnyConnect 应用，并且其版本适合您的设备和环境。

• 新 AnyConnect 应用版本 4.0.07072 或更高版本不能访问或使用以旧版 AnyConnect 版本 4.0.05069 及任何更早版本导入的证书。两个应用版本均可访问和使用 MDM 部署的证书。

• 如果要更新至新版本，应删除导入到旧版 AnyConnect 应用的应用数据，例如证书和配置文件。否则，它们将继续显示在系统 VPN 设置中。在卸载旧版 AnyConnect 应用之前删除应用数据。

• 当前的 MDM 配置文件不会触发新应用。EMM 供应商必须支持 VPNType (VPN)、VPNSubType (com.cisco.anyconnect) 和 ProviderType (packet-tunnel)。为了与 ISE 集成，它们必须能够将唯一标识符传递给 AnyConnect，因为 AnyConnect 在新框架中不能再访问此信息。有关如何设置此功能，请咨询您的 EMM 供应商，有些可能需要自定义 VPN 类型，另一些在发布时可能无可用的支持。

在 AnyConnect 4.6.x 及更高版本中使用新扩展框架会导致旧版 AnyConnect 4.0.05x 中的行为发生以下变化：

• 在新版本中，发送到前端的设备 ID 不再是 UDID，而且重置为出厂设置后，设备 ID 将发生变化，除非您的设备从其进行的备份中执行恢复。

• 您可以使用 MDM 部署的证书和使用 AnyConnect 中可用的某种方法导入的证书：SCEP、通过 UI 手动导入或通过 URI 处理程序导入。新版 AnyConnect 不能再使用通过邮件或识别的这些方法之外的任何其他机制导入的证书。

• 在使用 UI 创建连接条目时，用户必须接受显示的 iOS 安全消息。

• 用户创建的条目若与从 AnyConnect VPN 配置文件中下载的主机条目名称相同，当它们处于活动状态时，在断开连接前不会对其重命名。另外，断开连接后，下载的主机连接条目将出现在 UI 中，保持连接时则不会显示在 UI 中。

在 AnyConnect 4.7. xxxxx 及更高版本中

• 当拆分排除配置中仅包含隧道 IPv6（未分配 IPv4 地址）时，连接到 ASA 的拆分隧道不起作用。

  除排除列表条目之外，所有流量均会通过隧道传输，然而拆分排除列表不被认可，所以所有 IPv6 流量都将被排除。请参阅 CSCvb80768：IPv6 拆分排除和 IPv4 全部丢弃将从隧道中排除所有 v6 流量。(RADAR 29623849)。

• 如果 AnyConnect UI 保持打开状态，并且 iOS 错误地断开了 UI 与内部 AnyConnect 扩展之间的进程间通信 (IPC)，则所有 UI 活动都会失败或响应错误。

  要解决此故障，必须关闭并重启 AnyConnect UI，由此重新建立 IPC。如果在 UI 关闭时 IPC 意外断开，则下次打开 UI 时，它会重新建立连接。请参阅 CSCvb95722：未能达到已暂停状态 (RADAR 29313229)。

• 对于按需连接，若已通过 ASA 将更新的 VPN 连接配置文件推送到客户端，则必须打开 AnyConnect UI。如果 UI 未打开，更新的配置文件将不会同步，因此不会使用所作的更改。

  遗憾的是，系统中没有标志指示用户打开 UI 来同步新配置文件（如同旧版 AnyConnect），所以更新的连接可能从未使用。目前没有解决此问题的方法。请参阅 CSCvc35923：使用按需 AC 不会通知用户必须打开 AC 来同步更新的连接配置文件 (RADAR 30173053)。

• 在受管 Per App 配置中，为 Per App 配置的应用流量在不当情况下通过用户创建（非受管）的 VPN 连接传输。

  请参阅 CSCvc36024：PerApp - 应用可通过非 PAV 完全隧道传输流量 (RADAR 29513803)。