在 RV34x 系列路由器上設定 AnyConnect Virtual Private Network (VPN) 連線

下載選項

PDF (1.3 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.0 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2020 年 2 月 24 日

文件 ID:SMB5553

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

目標

本文件的目標是為您說明如何在 RV34x 系列路由器上設定 AnyConnect VPN 連線功能。

使用AnyConnect安全移動客戶端的優勢：

安全且持久的連線
持久的安全和策略實施
可以從自適應安全裝置(ASA)或從企業軟體部署系統部署
可定製和可翻譯的
易於配置
支援網際網路協定安全(IPSec)和安全套接字層(SSL)
支援Internet金鑰交換版本2.0(IKEv2.0)協定

簡介

虛擬專用網路(VPN)連線允許使用者通過公共或共用網路（例如Internet）來訪問、傳送和從專用網路接收資料，但仍確保與底層網路基礎設施的安全連線，以保護專用網路及其資源。

VPN客戶端是在要連線到遠端網路的電腦上安裝並運行的軟體。此客戶端軟體的設定配置必須與VPN伺服器的配置相同，例如IP地址和身份驗證資訊。此驗證資訊包括將用於加密資料的使用者名稱和預共用金鑰。根據要連線的網路的物理位置，VPN客戶端也可以是硬體裝置。如果使用VPN連線連線位於不同位置的兩個網路，通常會發生這種情況。

Cisco AnyConnect Security Mobility Client是一種軟體應用程式，用於連線到在各種作業系統和硬體配置上工作的VPN。此軟體應用程式使使用者能夠像直接連線到其網路一樣安全地訪問另一個網路的遠端資源。Cisco AnyConnect Security Mobility Solution提供了一種創新方法，可在基於電腦或智慧電話平台上保護移動使用者，為終端使用者提供更加無縫、始終受保護的體驗，並為IT管理員提供全面的策略實施。

在RV34x路由器上，從韌體版本1.0.3.15開始，無需進行AnyConnect許可。僅對客戶端許可證收費。

有關RV340系列路由器上的AnyConnect許可的其他資訊，請參閱RV340系列路由器的AnyConnect許可文章。

適用裝置 | 韌體版本

Cisco AnyConnect Security Mobility Solution — 遠端存取 | 4.4(下載最新版本)
RV34x系列 | 1.0.03.15（下載最新版本）

在RV34x上配置AnyConnect VPN連線

在RV34x上配置SSL VPN

步驟 1.訪問路由器基於Web的實用程式並選擇VPN > SSL VPN。

步驟 2.按一下On單選按鈕以啟用Cisco SSL VPN伺服器。

強制網關設定

必須使用以下配置設定：

步驟 3.從下拉選單中選擇Gateway Interface。此埠將用於通過SSL VPN隧道傳輸流量。選項包括：

WAN1
WAN2
USB1
USB2

注意：在本例中，選擇了WAN1。

步驟 4.在Gateway Port欄位中輸入用於SSL VPN網關的埠號，範圍為1到65535。

注意：在本示例中，8443用作埠號。

步驟 5.從下拉選單中選擇Certificate File。此證書對嘗試通過SSL VPN隧道訪問網路資源的使用者進行身份驗證。下拉選單包含預設證書和匯入的證書。

注意：在本示例中，選擇了「預設」(Default)。

步驟 6.在Client Address Pool欄位中輸入客戶端地址池的IP地址。此池將是分配給遠端VPN客戶端的IP地址範圍。

注意：確保IP地址範圍不會與本地網路上的任何IP地址重疊。

注意：本示例使用192.168.0.0。

步驟 7.從下拉選單中選擇Client Netmask。

注意：在本例中，選擇了255.255.255.128。

步驟 8.在Client Domain（客戶端域）欄位中輸入客戶端域名。這是應推送到SSL VPN客戶端的域名。

注意：在本示例中，WideDomain.com用作客戶端域名。

步驟 9.在Login Banner欄位中輸入顯示為登入標語的文本。這將是在每次客戶端登入時顯示的標語。

注意：在本示例中，歡迎使用Widedomain！用作登入標語。

可選網關設定

以下配置設定是可選的：

步驟 1.輸入介於60到86400之間的空閒超時值（以秒為單位）。這是SSL VPN會話可以保持空閒的持續時間。

註：在此示例中，使用3000。

步驟 2.在Session Timeout（會話超時）欄位中輸入一個以秒為單位的值。這是傳輸控制通訊協定(TCP)或使用者資料包通訊協定(UDP)作業階段在指定的閒置時間之後逾時的時間。範圍為60到1209600。

註：在此示例中，使用60。

步驟 3.在ClientDPD Timeout欄位中輸入一個值（以秒為單位），範圍為0到3600。此值指定定期傳送HELLO/ACK消息以檢查VPN隧道的狀態。

注意：必須在VPN隧道的兩端啟用此功能。

注意：在本示例中，使用350。

步驟 4.在GatewayDPD Timeout欄位中輸入一個0到3600之間的值（以秒為單位）。此值指定定期傳送HELLO/ACK消息以檢查VPN隧道的狀態。

注意：必須在VPN隧道的兩端啟用此功能。

注意：在本示例中，使用360。

步驟 5.在Keep Alive欄位中輸入一個0到600之間的值（以秒為單位）。此功能可確保您的路由器始終連線到Internet。如果斷開，它將嘗試重新建立VPN連線。

注意：在本示例中，使用40。

步驟 6.在Lease Duration欄位中輸入要連線的隧道的持續時間值（以秒為單位）。範圍為600到1209600。

注意：在本示例中，使用43500。

步驟 7.輸入可通過網路傳送的資料包大小（以位元組為單位）。範圍為576至1406。

注意：在本示例中，使用1406。

步驟 8.在Rekey Interval欄位中輸入中繼間隔時間。Rekey功能允許SSL金鑰在會話建立後重新協商。範圍是從0到43200。

註：本例中使用的是3600。

步驟 9.按一下「Apply」。

配置組策略

步驟 1.按一下Group Policies頁籤。

步驟 2.按一下SSL VPN Group Table下的Add按鈕以新增組策略。

注意：「SSL VPN組」(SSL VPN Group)表格將顯示裝置上的組策略清單。您還可以編輯清單中的第一個組策略，該策略名為SSLVPNDefaultPolicy。這是裝置提供的預設策略。

步驟 3.在Policy Name欄位中輸入您的首選策略名稱。

注意：在本示例中，使用組1策略。

步驟 4.在提供的欄位中輸入主DNS的IP地址。預設情況下，已提供此IP地址。

注意：在本例中使用的是192.168.1.1。

步驟5.（可選）在所提供的欄位中輸入輔助DNS的IP地址。這將在主DNS出現故障時用作備份。

注意：在本例中使用的是192.168.1.2。

步驟6.（可選）在提供的欄位中輸入主WINS的IP地址。

注意：在本例中使用的是192.168.1.1。

步驟7.（可選）在提供的欄位中輸入輔助WINS的IP地址。

注意：在本例中使用的是192.168.1.2。

步驟8。（可選）在說明欄位中輸入策略的說明。

注意：在本示例中，使用具有拆分隧道的組策略。

步驟9.（可選）按一下單選按鈕選擇IE代理策略以啟用Microsoft Internet Explorer(MSIE)代理設定來建立VPN隧道。選項包括：

None — 允許瀏覽器不使用代理設定。
自動 — 允許瀏覽器自動檢測代理設定。
Bypass-local — 允許瀏覽器繞過在遠端使用者上配置的代理設定。
已禁用 — 禁用MSIE代理設定。

注意：在本例中，選擇了Disabled。這是預設設定。

步驟10。（可選）在Split Tunneling Settings區域中，選中Enable Split Tunneling覈取方塊，允許以未加密方式將目的地為Internet的流量直接傳送到Internet。全通道會將所有流量傳送到終端裝置，然後將其路由到目的地資源，如此一來，就可以將企業網路從用於Web存取的路徑中移除。