AnyConnect安全移動客戶端軟體常見問題

目標

本文包含設定、配置和排除Cisco AnyConnect安全移動客戶端故障的常見問題及其答案。

常見問題

目錄

產品功能

1. 什麼是Cisco AnyConnect安全移動客戶端？

2.使用Cisco AnyConnect安全移動客戶端有哪些優勢？

3. Cisco AnyConnect安全移動客戶端的主要功能是什麼？

許可證選項

4.部署AnyConnect安全移動客戶端可能需要哪些許可證？

支援

5. Cisco AnyConnect安全移動客戶端支援哪些模組？

6. Cisco AnyConnect安全移動客戶端支援哪些作業系統？

7. Cisco AnyConnect安全移動客戶端是否支援Apple iOS裝置？

8. Cisco AnyConnect安全移動客戶端支援哪些Apple iOS裝置？

9. Cisco是否支援對Cisco IOS的AnyConnect VPN訪問？

10. Cisco AnyConnect安全移動客戶端是否支援Android裝置？

11. Cisco AnyConnect安全移動客戶端支援哪些Android裝置？

安裝

12. 64位瀏覽器(IE - Internet Explorer)是否支援AnyConnect weblaunch安裝？

13.安裝Cisco AnyConnect安全移動客戶端需要什麼級別的許可權？

14.在安裝或升級Cisco AnyConnect安全移動客戶端後，是否需要重新啟動系統？

15.是否可在AnyConnect上儲存密碼憑據，以便下次不再請求身份驗證？

16.安裝Cisco AnyConnect安全移動之前，應該牢記哪些互操作性注意事項？

相容性

17.哪些已知的第三方應用程式與Cisco AnyConnect安全移動性衝突？

18. AnyConnect能否與同一台電腦上其他供應商提供的IPSec和/或SSL VPN客戶端共存？

基本故障排除

19. AnyConnect嘗試建立連線時，會成功進行身份驗證並建立SSL會話，但如果AnyConnect客戶端使用LSP或NOD32 AV，則在vpndownloader中崩潰。我該怎麼辦？

20.我使用的是AT&T撥號器，客戶端作業系統有時會出現藍色畫面，這會導致建立小型轉儲檔案。我該怎麼辦？

21.安裝Kaspersky 6.0.3時（即使已禁用），CSTP狀態= CONNECTED後，與ASA的AnyConnect連線會立即失敗，並顯示以下消息："SVC消息：t/s=3/16:無法完全建立與安全網關的連線（代理身份驗證、握手、錯誤證書等）。」

22.使用McAfee Firewall 5時，無法建立UDP DTLS連線。

23.我正在使用RRAS，當AnyConnect嘗試與主機裝置建立連線時，以下終止錯誤將返回到事件日誌：終止原因代碼29 [路由和遠端訪問服務正在運行] Windows服務「路由和遠端訪問」與Cisco AnyConnect VPN客戶端不相容。"

24.如果連線因缺少憑證而失敗，該怎麼做？

25. AnyConnect客戶端下載失敗，並產生以下錯誤消息：「Cisco AnyConnect VPN客戶端下載程式遇到問題，需要關閉。」

26.我使用Bonjour Printing Services，AnyConnect事件日誌表明無法識別IP轉發表。

27.錯誤表示此系統上已安裝的TUN版本與AnyConnect客戶端不相容。

28.如果客戶端上存在LSP模組且發生Winsock目錄衝突，我該怎麼做？

29.我正在連線DSL路由器，即使成功協商，DTLS流量也會失敗。我該怎麼辦？

30.在某些虛擬機器網路服務裝置上使用AnyConnect時，會導致效能問題。我該怎麼辦？

產品功能

1.什麼是Cisco AnyConnect安全移動客戶端？

Cisco AnyConnect安全移動客戶端（也稱為Cisco AnyConnect VPN客戶端）是一種軟體應用程式，用於連線到在各種作業系統和硬體配置上工作的虛擬專用網路(VPN)。此軟體應用程式使使用者能夠像直接連線到其網路一樣安全地訪問另一個網路的遠端資源。Cisco AnyConnect Security Mobility Solution提供了一種創新方法，可在基於電腦或智慧手機平台上保護移動使用者，為終端使用者提供更加無縫、始終受保護的體驗，並為IT管理員提供全面的策略實施。

2.使用Cisco AnyConnect安全移動客戶端有哪些優勢？

Cisco AnyConnect安全移動客戶端具有以下優勢：

• 安全且持久的連線
• 持久的安全和策略實施
• 可以從自適應安全裝置(ASA)或從企業軟體部署系統部署
• 可定製且可翻譯
• 易於配置
• 支援網際網路協定安全(IPsec)和安全套接字層(SSL)
• 支援Internet金鑰交換版本2.0(IKEv2.0)協定

3. Cisco AnyConnect安全移動客戶端的主要功能是什麼？

Cisco AnyConnect安全移動客戶端具有以下主要功能：

• 核心功能
• 連線和斷開連線功能
• 驗證和加密功能
• 介面

要瞭解有關每個功能的最低版本要求、許可證要求和支援的作業系統的詳細資訊，請按一下此處。 

許可證選項

有關RV340系列路由器上的AnyConnect許可的最新資訊，請檢視RV340系列路由器的AnyConnect許可一文。

4.部署AnyConnect安全移動客戶端可能需要哪些許可證？

您的部署可能需要以下一個或多個AnyConnect許可證：

• AnyConnect Plus — 支援基本AnyConnect功能，如用於PC和移動平台的VPN功能(AnyConnect和基於標準的IPsec Internet Key Exchange版本2(IKEv2)軟體客戶端)、聯邦資訊處理標準(FIPS)、基本終端上下文收集、802.1x Windows請求方和網路安全套接字層(SSL)VPN。Plus許可證最適用於以前由AnyConnect Essentials許可證提供的環境，以及思科身份服務引擎(ISE)狀態、網路訪問管理器或網路安全模組的使用者。
• AnyConnect Apex — 除高級功能(如無客戶端VPN、VPN狀態代理、統一狀態代理、下一代加密或套件B、安全斷言標籤語言(SAML)、所有plus服務和彈性許可證)外，還支援所有基本AnyConnect Plus功能。Apex許可證最適用於以前由AnyConnect高級版、共用、Flex和高級終端評估許可證服務的環境。
• 僅VPN（永久） — 支援適用於PC和移動平台的VPN功能、自適應安全裝置(ASA)上的無客戶端（基於瀏覽器）VPN終止、僅VPN合規性和狀態代理與ASA配合使用、FIPS合規性，以及採用AnyConnect和第三方IKEv2 VPN客戶端的下一代加密（套件B）。僅VPN許可證最適用於希望完全使用AnyConnect進行遠端訪問VPN服務，但使用者總數過高或不可預測的環境。此許可證持有者沒有其他AnyConnect功能或服務（如網路安全模組、思科雨傘漫遊、ISE狀態、網路可視性模組或網路訪問管理器）。

支援

5. Cisco AnyConnect安全移動客戶端支援哪些模組？

Cisco AnyConnect安全移動客戶端支援以下模組：

• HostScan和狀態評估
• ISE狀態
• 網路安全
• AMP啟用程式
• 網路能見度模組
• Umbrella漫遊安全模組
• 報告和故障排除模組

要瞭解有關這些模組的最低版本要求、許可證要求和支援的作業系統的詳細資訊，請按一下此處。 

6. Cisco AnyConnect安全移動客戶端支援哪些作業系統？

Cisco AnyConnect安全移動客戶端支援以下作業系統：

• Windows 10 x86（32位）和x64（64位）
• Windows 8.1 x86（32位）和x64（64位）
• Windows 8 x86（32位）和x64（64位）
• Windows 7 SP1 x86（32位）和x64（64位）
• Mac OS X 10.10、10.11和10.12
• Linux Red Hat 6（64位）
• Ubuntu 12.04(LTS)、14.04(LTS)、16.04(LTS)（所有64位）

要瞭解有關每個作業系統的AnyConnect支援的詳細資訊，請按一下此處。 

7. Cisco AnyConnect安全移動客戶端是否支援Apple iOS裝置？

會。

8. Cisco AnyConnect安全移動客戶端支援哪些Apple iOS裝置？

支援以下Apple iOS裝置：

裝置	需要Apple iOS版本
iPad Air	7.0或更高版本
iPad 2	6.0或更高版本
iPad（第3代）	6.0或更高版本
iPad（第4代）	6.0或更高版本
iPad mini	6.0或更高版本
iPad mini（帶Retina顯示屏）	7.0或更高版本
iPad-Pro	9.0或更高版本
iPhone 3GS	6.0 - 6.1.6
iPhone 4	6.0 - 7.1.2
iPhone 4S	6.0或更高版本
iPhone 5	6.0或更高版本
iPhone 5C	7.0或更高版本
iPhone 5S	7.0或更高版本
iPhone 6	8.0或更高版本
iPhone 6 Plus	8.0或更高版本
iPhone 6s	9.0或更高版本
iPhone 6s Plus	9.0或更高版本
iPod Touch（第4代）	6.0 - 6.1.6
iPod Touch（第5代）	6.0或更高版本

要瞭解適用於Apple iOS裝置的AnyConnect支援的功能，請按一下此處。 

9. Cisco是否支援AnyConnect VPN訪問Cisco IOS?

思科支援通過AnyConnect VPN訪問IOS版本15.1(2)T作為安全網關；但是，IOS版本15.1(2)T目前不支援以下AnyConnect功能：

• 登入後永遠線上VPN
• 連線失敗策略
• 提供本地印表機和繫留裝置訪問的客戶端防火牆
• 最佳網關選擇
• 隔離
• AnyConnect配置檔案編輯器

10. Cisco AnyConnect安全移動客戶端是否支援Android裝置？

會。

11. Cisco AnyConnect安全移動客戶端支援哪些Android裝置？

所有具有Android 4.0（冰淇淋三明治）及更高版本的Android裝置。

安裝

12. 64位瀏覽器(IE - Internet Explorer)是否支援AnyConnect weblaunch安裝？

64位IE瀏覽器不支援通過weblaunch安裝AnyConnect。

13.安裝Cisco AnyConnect安全移動客戶端需要什麼級別的許可權？

安裝Cisco AnyConnect Security Mobility Solution需要管理級許可權，但僅用於初始安裝。

14.安裝或升級Cisco AnyConnect安全移動客戶端後，是否需要重新啟動系統？

不需要。與IPSec VPN客戶端不同，在安裝或升級後無需重新啟動。

15.是否可在AnyConnect上儲存密碼憑據，以便下次不再請求身份驗證？

不能，無法在AnyConnect上儲存密碼憑據。

相容性

16.在安裝Cisco AnyConnect安全移動之前，應該牢記哪些互操作性注意事項？

• ISE和ASA頭端共存
• 如果您同時使用ISE和ASA進行客戶端安全評估，配置檔案必須在兩個頭端匹配。
• 如果為終端設定了網路訪問控制(NAC)代理，則AnyConnect會忽略ISE 1.3伺服器。
• 如果Cisco NAC代理和VPN狀態(HostScan)模組都安裝在客戶端上，則Cisco NAC代理必須至少為4.9.4.3版或更高版本，才能防止狀態衝突。
• 如果為ISE中的終端設定AnyConnect，NAC代理將忽略ISE 1.3伺服器。

17.哪些已知的第三方應用程式與Cisco AnyConnect安全移動性衝突？

以下第三方應用已知Cisco AnyConnect安全移動客戶端的複雜性：

• Adobe和Apple — Bonjour列印服務
  • Adobe Creative Suite 3
  • Bonjour列印服務
  • iTunes

• AT&T通訊管理器6.2和6.7版

• AT&T Sierra Wireless 875卡
• AT&T全球撥號器
• Citrix進階閘道使用者端版本2.2.1
• 防火牆衝突

• 第三方防火牆可能會干擾ASA組策略上配置的防火牆功能。
  • Juniper Odyssey客戶端
  • 卡巴斯基AV工作站6.x
  • McAfee防火牆5
  • Microsoft Internet Explorer 8
  • Microsoft路由和遠端訪問伺服器
  • Microsoft Windows Update
  • OpenVPN客戶端
  • 負載均衡器
  • Wave EMBASSY信任套件
  • 分層服務提供商(LSP)模組和NOD32 AV
  • EVDO無線網絡卡和Venturi驅動程式
  • DSL路由器
  • CheckPoint和其他第三方軟體，如Kaspersky
  • 虛擬機器網路服務驅動程式

• Windows防火牆可以阻止來自遠端站點的資料包。如果禁用防火牆，您應該能夠訪問這些資料夾。

18. AnyConnect能否與同一台電腦上其他供應商提供的IPSec和/或SSL VPN客戶端共存？

會。但以下一般規則適用於所有AnyConnect版本：

如果禁用了其他供應商產品，則AnyConnect客戶端應該工作正常，並且不應執行以下操作：

• 安裝當第三方軟體未運行時保持活動狀態的Winsock LSP。
• 安裝當第三方軟體未運行時保持活動狀態的本地http代理。
• 安裝當第三方軟體未運行時繼續攔截流量的所有驅動程式。
• 此外，對實體介面的MTU執行的任何限制都可能會導致效能下降。

基本故障排除

19. AnyConnect嘗試建立連線時，它會成功進行身份驗證並建立SSL會話，但是如果使用LSP或NOD32 AV，則AnyConnect客戶端會在vpndownloader中崩潰。我該怎麼辦？

刪除2.7版中的Internet Monitor元件，並升級到ESET NOD32 AV的3.0版。

20.我使用的是AT&T撥號器，客戶端作業系統有時會出現藍色畫面，導致建立小型轉儲檔案。我該怎麼辦？

升級到最新的7.6.2 AT&T全域性網路客戶端。

21.安裝Kaspersky 6.0.3時（即使已禁用），CSTP狀態= CONNECTED後，與ASA的AnyConnect連線會立即失敗，並顯示以下消息："SVC消息：t/s=3/16:無法完全建立與安全網關的連線（代理身份驗證、握手、錯誤證書等）。」

解除安裝Kaspersky並參考其論壇瞭解更多更新。

22.使用McAfee Firewall 5時，無法建立UDP DTLS連線。

在McAfee Firewall中央控制檯中，選擇Advanced Tasks > Advanced options and Logging，然後取消選中McAfee Firewall中的Block incoming fragments automatically覈取方塊。

23.我正在使用RRAS，當AnyConnect嘗試與主機裝置建立連線時，以下終止錯誤將返回到事件日誌：終止原因代碼29 [路由和遠端訪問服務正在運行] Windows服務「路由和遠端訪問」與Cisco AnyConnect VPN客戶端不相容。"

禁用RRAS服務。

24.如果連線因缺少憑證而失敗，該怎麼做？

第三方負載均衡器無法瞭解ASA裝置上的負載。由於ASA中的負載平衡功能足夠智慧，可以在裝置之間均勻分配VPN負載，因此我們建議改用內部ASA負載平衡。

25. AnyConnect客戶端下載失敗，並產生以下錯誤消息：「Cisco AnyConnect VPN客戶端下載程式遇到問題，需要關閉。」

將修補程式更新上傳到1.2.1.38版本以解決所有dll問題。

26.我正在使用Bonjour Printing Services，AnyConnect事件日誌表明無法識別IP轉發表。

在命令提示符下輸入net stop "bonjour service"以禁用Bonjour列印服務。蘋果公司已經生產了新版本的mDNSResponder(1.0.5.11)。為了解決這個問題，Bonjour的新版本與iTunes捆綁在一起，並且可從蘋果網站單獨下載。

要瞭解有關Cisco AnyConnect安全移動客戶端的Apple iOS已知問題和限制的更多資訊，請按一下此處。

27.錯誤表示此系統上已安裝的TUN版本與AnyConnect客戶端不相容。

解除安裝Viscosity OpenVPN客戶端。

28.如果客戶端上存在LSP模組並且發生Winsock目錄衝突，我該怎麼做？

解除安裝LSP模組。

29.我連線的是DSL路由器，即使成功協商，DTLS流量也會失敗。我該怎麼辦？

使用出廠設定連線到Linksys路由器。此設定允許穩定的DTLS會話，且ping不會中斷。新增規則以允許DTLS返回流量。

30.在某些虛擬機器網路服務裝置上使用AnyConnect時，會導致效能問題。我該怎麼辦？

取消選中AnyConnect虛擬介面卡內的所有IM裝置的繫結。應用程式dsagent.exe位於C:\Windows\System\dgagent中。雖然它沒有出現在進程清單中，但您可以通過使用TCPview(sysinternals)開啟套接字來檢視它。 終止此進程後，AnyConnect將恢復正常操作。

要瞭解更多有關其他問題和解決這些問題的故障排除提示，請按一下此處。