PIX/ASA：IPsec VPN客戶端自動更新功能配置示例

下載選項

PDF (525.9 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (180.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (193.7 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2008 年 4 月 10 日

文件 ID:105606

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何在Cisco ASA 5500系列自適應安全裝置和Cisco PIX 500系列安全裝置中配置Cisco VPN客戶端自動更新功能。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco ASA 5500系列自適應安全裝置運行版本7.x及更高版本
Cisco PIX 500系列安全裝置運行版本7.x及更高版本
思科自適應安全裝置管理器(ASDM) 5.x版及更高版本
Cisco VPN Client 4.x及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

如何使用CLI配置Windows的客戶端更新

客戶端更新功能可讓位於中心位置的管理員在更新VPN客戶端軟體和VPN 3002硬體客戶端映像時自動通知VPN客戶端使用者。

在隧道組ipsec屬性配置模式下發出client-update命令以配置客戶端更新。如果客戶端已在運行修訂版號清單中的軟體版本，則無需更新其軟體。如果客戶端未運行清單上的軟體版本，則應該更新。最多可以指定四個客戶端更新條目。

指令語法如下：

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

rev-nums rev-nums —指定此客戶端的軟體或韌體映象。最多可輸入四個，並以逗號分隔。
type -指定要通知客戶端更新的作業系統。作業系統清單包含下列專案：
- Microsoft Windows：所有基於Windows的平台
- WIN9X：Windows 95、Windows 98和Windows ME平台
- WinNT：Windows NT 4.0、Windows 2000和Windows XP平台
- vpn3002：VPN 3002硬體客戶端
url url-string —指定軟體/韌體映象的URL。此URL必須指向適用於使用者端的檔案。

本示例為名為remotegrp的遠端訪問隧道組配置客戶端更新引數。它指定了修訂版號4.6.1以及用於檢索更新的URL，即https://support/updates。

ASA
hostname(config)#tunnel-group remotegrp type ipsec_ra hostname(config)#tunnel-group remotegrp ipsec-attributes hostname(config-ipsec)#client-update type windows url https://support/updates/rev-nums 4.6.1

ASA

hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

如何使用ASDM配置Windows的客戶端更新

本檔案假設已建立基本組態（例如介面組態）並正常運作。

要使ASDM可配置ASA，請參閱允許ASDM進行HTTPS訪問

ASDM包括兩種客戶端更新：一種是透過隧道組支援Windows客戶端和VPN 3002硬體客戶端，另一種支援作為自動更新伺服器的ASA裝置。

遠端使用者可以使用過時的VPN軟體或硬體客戶端版本。您可以隨時執行客戶端更新以執行以下功能：

啟用更新使用者端修訂。
指定套用更新的從屬端型別和修訂版本號碼。
提供用於獲取更新的URL或IP地址。
或者，通知Windows客戶端使用者應更新其VPN客戶端版本。
對於Windows客戶端，您可以為使用者提供一個完成更新的機制。
對於VPN 3002硬體客戶端使用者，更新將自動執行，不發出通知。

要配置客戶端更新，請完成以下步驟：

選擇Configuration > VPN > General > Client Update以轉至客戶端更新窗口。Client Update（客戶端更新）窗口打開。
1. 選中Enable Client Update 覈取方塊以啟用客戶端更新。
2. 選擇要應用客戶端更新的客戶端型別。可用的客戶端型別為All Windows-Based、Windows 95， 98 or ME、Windows NT 4.0， 2000 or XP以及VPN 3002 Hardware Client。
  
  如果客戶端已在運行修訂版號清單中的軟體版本，則無需更新其軟體。如果客戶端未運行清單上的軟體版本，則應該更新。您最多可以指定其中三個使用者端更新專案。All Windows Based （所有視窗）選項涵蓋所有允許的Windows平台。如果您選取此選項，請不要指定個別的Windows使用者端型別。
3. 按一下Edit以指定用於客戶端更新的更新軟體或韌體映象的可接受客戶端版本和來源。
系統將顯示Edit Client Update Entry窗口，並顯示客戶端型別選擇。
指定要在整個安全裝置上應用到所選型別的所有客戶端的客戶端更新。亦即，指定使用者端的型別、取得更新影像的URL或IP位址，以及該使用者端可接受的修訂版本號碼。您最多可以指定四個修訂版號，並以逗號分隔。按一下OK後，您的條目將會出現在Client Upgrade窗口的相應表列中。

如果客戶端修訂版號與其中一個指定的修訂版號匹配，則無需更新客戶端。

注意：對於所有Windows客戶端，您必須使用http://或https://協定作為URL的字首。對於VPN 3002硬體客戶端，您必須改為指定protocol tftp://。

它將為遠端訪問隧道組中版本號早於4.6.1的所有Windows客戶端啟動客戶端更新，並將用於檢索更新的URL指定為https://support/updates：

或者，您可以只為單個客戶端型別配置客戶端更新，而不為所有Windows客戶端配置客戶端更新，如步驟1-c所示。

VPN 3002客戶端無需使用者干預即可更新，並且使用者不會收到任何通知消息。

如果您在URL末尾包含應用程式名稱，則可以讓瀏覽器自動啟動應用程式；例如：https://support/updates/vpnclient.exe。
或者，您可以傳送通知給具有過期Windows使用者端的使用中使用者，這些使用者需要更新其使用者端。請使用「客戶端更新」窗口的「即時客戶端更新」區域傳送此通知。選擇隧道組（或全部）並按一下Update Now。圖中顯示了一個對話方塊，要求您確認是否要通知連線的客戶端有關升級的資訊。

指定的使用者會看到一個快顯視窗，這讓他們有機會啟動瀏覽器，並從您在URL中指定的網站下載更新的軟體。此消息中唯一可以配置的部分是URL。（請參閱步驟1-b或1-c。）未處於活動狀態的使用者在下次登入時將收到通知消息。您可以將此通知傳送到所有隧道組上的所有活動客戶端，也可以將其傳送到特定隧道組上的客戶端。

如果客戶端修訂號與指定的修訂號之一匹配，則無需更新客戶端，且不會向使用者傳送通知消息。VPN 3002客戶端無需使用者干預即可更新，並且使用者不會收到任何通知消息。