使用Meraki系統管理器配置iOS的Anyconnect PerApp VPN

簡介

本文檔介紹如何在由Meraki流動裝置管理器(MDM)和系統管理器(SM)管理的Apple iOS裝置上配置PerApp VPN。

必要條件

需求

• AnyConnect v4.0 Plus或Apex許可證。
• ASA 9.3.1或更高版本，支援每應用VPN。
• Cisco.com上提供了思科企業應用選擇器工具

採用元件

本檔案中的資訊是根據以下軟體版本：

• ASA 5506W-X版本9.15(1)10
• iPad iOS版本15.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本文檔不包括列出的進程：

• Systems Manager上的SCEP CA配置，用於生成客戶端證書
• 為iOS客戶端生成PKCS12客戶端證書

設定

步驟1.將iOS裝置註冊到Meraki系統管理器

1.1.導航到Systems Manager > Add Devices

1.2.按一下iOS選項開始註冊。

1.3.通過網際網路瀏覽器註冊裝置或使用監視器掃描QR碼。在本文檔中，使用監視器進行註冊過程。

1.4.當監視器識別QR代碼時，請在彈出的Safari通知中選擇Open "meraki.com"。

1.5.出現提示時，選擇Register。

1.6.選擇Allow以允許裝置下載MDM配置檔案。

1.7.選擇Close以完成下載。

1.8.導航到iOS設定應用，在左窗格中找到Profile Downloaded選項，然後選擇Meraki Management部分。

1.9.選擇Install選項以安裝MDM配置檔案。

1.10.您必須授予訪問安裝SM應用程式的許可權。

1.11.開啟位於主螢幕中的最近下載的應用程式Meraki MDM。

1.12.檢驗所有狀態是否都有一個綠色勾選標籤，以確認登記已完成。

步驟2.設定託管應用

為了稍後在本文檔中設定PerApp的隧道應用，您需要通過SM管理這些相同的應用。在此配置示例中，Firefox旨在通過Per App進行隧道化，因此會將其新增到託管應用中。

2.1.導航到Systems Manager > Manage > Apps以新增託管應用。

2.2.選擇Add app 選項。

2.3.根據應用程式的儲存位置選擇應用程式的型別（App Store應用程式、自定義應用程式、B2B）。選擇後選擇Next。

在此示例中，應用會公開儲存在App Store中。

2.4.出現提示時，搜尋所需的應用程式，並選擇從中下載應用程式的區域。選擇應用後選擇Save。

注意：如果國家/地區與Apple帳戶的區域不匹配，則使用者可能會遇到應用程式問題。

2.5.選擇所有所需的應用程式後，按一下Save。

步驟3.配置PerApp VPN配置檔案

3.1.導航到Systems Manager > Manage > Settings

3.2.選擇Add profile 選項。

3.3.選擇Device profile（預設）並按一下Continue。

3.4.顯示Profile Configuration選單後，寫入Name，然後在Scope下選擇目標裝置。

3.5.選擇Add settings並按iOS Per App VPN過濾配置檔案型別，選擇如下所示的選項。

3.6.顯示選單後，根據以下示例編寫連線資訊。

Systems Manager支援這些連線的兩個證書註冊：SCEP和手動註冊。在此示例中，使用手動註冊。

注意：一旦填滿文本框，請選擇Add credential，因為此選項會將您帶到一個新選單以新增證書檔案。

3.7.按一下Add credential並重定向到「證書」選單後，請寫入證書的Name，在電腦中瀏覽並查詢保護.pfx檔案（加密證書檔案）的Password。

3.8.選擇證書後，將顯示證書檔名。

3.9.選擇證書後，導航到您先前使用的VPN配置檔案，選擇最近匯入的憑證並選擇隧道應用（本例中為Firefox）。

完成此操作後，按一下Save。

3.10.驗證目標裝置上是否已安裝配置檔案。

步驟4.應用選擇器配置

4.1.從思科網站下載應用選擇器https://software.cisco.com/download/home/286281283/type/282364313/release/AppSelector-2.0

注意：在Windows電腦上運行應用程式。在MacOS裝置上使用該工具時，顯示的結果不符合預期。

4.2.開啟java應用程式。從下拉選單中選擇iOS，新增一個友好名稱，並確保在App ID中鍵入*.*。

4.3.導航到Policy，然後選擇View Policy

4.4.複製顯示的字串。（稍後將在VPN頭端配置中使用此功能）。

步驟5.每個應用VPN配置的ASA示例

conf t
webvpn
anyconnect-custom-attr perapp description PerAppVPN
anyconnect-custom-data perapp wildcard eJyrVnLOLE7Od84vqCzKTM8oUbJSgrMVNJI1FYwMDEwUwGoUgiuLS1Jzi3UUPPOS9ZR0lFxSyzKTU30yi4G6oquh3JDKglSgIYkFBTmpupn5xUB1jgUFcEVA8cwUoLyWnhZQJi0vMRekujwzJyU5sShFqTYWCAFHcjDB


ip local pool vpnpool 10.204.201.20-10.204.201.30 mask 255.255.255.0

access-list split standard permit 172.168.0.0 255.255.0.0 
access-list split standard permit 172.16.0.0 255.255.0.0

group-policy GP-perapp internal
group-policy GP-perapp attributes
vpn-tunnel-protocol ssl-client 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-tunnel-all-dns disable
anyconnect-custom perapp value wildcard

tunnel-group perapp type remote-access
tunnel-group perapp general-attributes
address-pool vpnpool
default-group-policy GP-perapp
tunnel-group perapp webvpn-attributes
authentication certificate
group-alias perapp enable
group-url https://vpn.cisco.com/perapp enable

驗證

6.驗證AnyConnect應用程式上的配置檔案安裝

6.1.開啟AnyConnect應用程式，然後在左側窗格中選擇Connections。PerApp VPN配置檔案必須顯示在名為PER-APP VPN的新部分下。

選擇i以顯示高級設定。

6.2.選擇Advanced選項。

6.3.選擇App Rules選項。

6.4.最後，確認已安裝應用規則。（Mozilla是本文檔中所需的隧道化應用，因此應用安裝成功）。

疑難排解

目前沒有適用於本文的具體疑難排解步驟。