Windows 10 移动版和 Phone 8.1 版 Cisco AnyConnect 安全移动客户端 4.1.x 版本说明

Windows 10 移动版和 Phone 8.1 版 Cisco AnyConnect 安全移动客户端 4.1.x 版本说明首次发布日期 : 2015 年 05 月 01 日上次修改日期 : 2016 年 03 月 04 日 Windows 10 移动版和 Windows Phone 8.1 设备版 AnyConnect AnyConnect 安全移动客户端为远程用户提供与思科 ASA 5500 系列的安全 VPN 连接通过该客户端, 用户能够无缝安全地远程访问企业网络, 使安装的应用可如同直接连接到企业网络一般进行通信 AnyConnect 支持通过 IPv4 或 IPv6 隧道连接到 IPv4 和 IPv6 资源本文档专为 AnyConnect 安全移动客户端和自适应安全设备 (ASA) 5500 的系统管理员编写, 用于补充 Cisco AnyConnect 安全移动客户端版本 4.1 管理员指南, 并为 Windows Phone 设备上运行的 AnyConnect 提供版本特定信息该 AnyConnect 应用仅在 Windows 应用商店中提供思科不分发 AnyConnect 移动应用, 您也不能从 ASA 部署该移动应用, 但, 您可以从 ASA 为桌面设备部署其他版本的 AnyConnect, 并同时支持此移动版本 AnyConnect 移动版支持策略思科支持应用商店当前提供的 AnyConnect 版本 ; 但, 修复和增强功能仅在最新发行的版本中提供 AnyConnect 许可若要连接到 ASA 头端, 需提供 AnyConnect 4.x Plus 或 Apex 许可证 ; 试用许可证可用 ; 请参阅 Cisco AnyConnect 订购指南有关最新的最终用户许可协议, 请参阅思科最终用户许可协议,AnyConnect 安全移动客户端版本 4.x 有关我们的开源许可确认, 请参阅适用于移动设备的 Cisco AnyConnect 安全移动客户端版本 4.0 中使用的开源软件相关文档有关详细信息, 请参阅以下文档 : Windows Phone 版 Cisco AnyConnect 安全移动客户端版本 4.1.x 用户指南 Cisco AnyConnect 安全移动客户端 4.1 版本说明 1

Windows Phone 支持的设备 Cisco AnyConnect 安全移动客户端版本 4.1 管理员指南思科 ASA 系列文档一览 Windows Phone 支持的设备 Windows 10 移动版支持运行 Microsoft Windows 10 移动版的移动设备支持 AnyConnect Windows 10 移动版不适用于非移动 Windows 10 设备思科拥有适用于非移动设备的完整功能版 AnyConnect, 但尚未在 Windows 应用商店中分发 Windows Phone 8.1 支持运行 Microsoft Windows Phone 8.1 更新的移动设备支持 AnyConnect, 其中包括以下版本 : 8.10.14141.167 8.10.14147.180 8.10.14157.200 8.10.14176.243 8.10.14192.280 8.10.14203.206 8.10.14219.341 或 8.10.14226.359 Phone 上的 OS 必须上述版本之一,AnyConnect 才能正常工作用户可以在其设备上的设置 (Settings) > 关于 (About) > 详细信息 (More Information) 中确认其 OS 版本有关更多 OS 版本信息, 请参阅 Microsoft 的 Windows Phone 8.1 更新历史记录较低版本的 Windows Phone 8.1 允许安装 AnyConnect, 但 AnyConnect 既不会运行, 也不能在设置 (Settings) > VPN > 添加配置文件 (AddProfile) > 类型 (Type) 下配置 Windows 10 移动设备版 AnyConnect 4.1.03017 的新功能 AnyConnect 4.1.03017 Windows Phone 移动设备版 Cisco AnyConnect 安全移动客户端的初始候选版本有关此应用中受支持的功能的列表, 请参阅 Windows 10 移动版和 Phone 8.1 AnyConnect 功能表, 第 6 页思科建议您查看 Windows 10 版和 Windows Phone 8.1 版 AnyConnect 的准则和限制, 第 9 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01031 的新功能 AnyConnect 4.1.01031 Windows Phone 移动设备版 Cisco AnyConnect 安全移动客户端的初始候选版本有关此应用中受支持的功能的列表, 请参阅 Windows 10 移动版和 Phone 8.1 AnyConnect 功能表, 第 6 页思科建议您查看 Windows 10 版和 Windows Phone 8.1 版 AnyConnect 的准则和限制, 第 9 页了解当前操作注意事项 2

Windows Phone 移动设备版 AnyConnect 4.1.01029 的新功能 Windows Phone 移动设备版 AnyConnect 4.1.01029 的新功能 Windows Phone 版 Cisco AnyConnect 安全移动客户端的此更新我们的首个候选版本, 它包含以下附加功能 : 现在支持自动重新连接, 但在 Windows Phone 8.1 上有以下限制 : 如果中断无线电覆盖,Windows Phone 8.1 不支持 VPN 自动重新连接具体指, 当手机从 WiFi 切换到蜂窝网络 ( 反之亦然 ), 或者从一个 WiFi 网络漫游到另一个 WiFi 网络时, 不支持 VPN 自动重新连接如果维持无线电覆盖, 但与 VPN 网关之间的连接由于临时网络中断而断开,Windows Phone 8.1 将尝试自动重新连接 VPN 在这种情况下, 如果有数据要通过隧道发送, 操作系统将尝试重新连接 VPN 操作系统将尝试重新连接 VPN 10 次或一分钟 ( 以时间较短者为准 ) 在尝试 10 次或一分钟后, 操作系统将完全断开 VPN 连接, 此时需要用户干预才能重新连接有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新的试用版 AnyConnect 请查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01026 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此试用版更新包含以下附加功能 : 它解决了 OpenSSL 2015 年 6 月和 7 月漏洞 AnyConnect 应用现在使用从 ASA 提供的组策略 MTU 该 MTU 以前硬编码为 1500 用户现在可以在诊断 (Diagnostics) 屏幕上管理已导入的不受信任的服务器证书完全支持拆分隧道, 有关配置详细信息, 请参阅 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新的试用版 AnyConnect 请查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01017 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此试用版更新包含以下附加功能 : 此版本现在可以正确处理具有多个中间证书的服务器证书链 3

Windows Phone 移动设备版 AnyConnect 4.1.01015 的新功能 VPN 配置文件的服务器名称或 IP 地址 (Server name or IP address) 字段现在可以接受组 URL 和端口规范, 但需要注意以下几点 : 如果要指定组 URL 或端口, 必须在服务器名称或 IP 地址 (Server name or IP address) 字段的开头处输入 https:// 例如, 使用 https://vpn.cisco.com: 端口 / 组 URL, 而不 vpn.cisco.com: 端口 / 组 URL 配置文件名称 (Profile name) 字段将自动填入服务器名称或 IP 地址 (Server name or IP address) 字段的内容, 即使其中可能包含无效字符也如此如有需要, 可以仅使用有效的字母数字字符来手动指定配置文件名称 (Profile name) 有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新的试用版 AnyConnect 请查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01015 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此试用版更新包含以下附加功能 : AnyConnect 现在默认为阻止不受信任的服务器 (Block Untrusted Servers), 用户可以在 AnyConnect 应用的设置 (Settings) 屏幕中更改此首选项此外, 现在会显示有关不受信任证书的详细信息已更新 AnyConnect GUI, 其图标和 GUI 现在与设备主题匹配限制了代理配置, 但需要注意以下几点 : 除 TCP 80 外,Windows Phone 8.1 OS 不支持任何端口上的代理当 VPN 服务器配置中包含具有端口号的代理服务器时,AnyConnect 会对该端口号分段, 然后再将配置应用于 VPN 通道此外,Windows Phone 8.1 OS 不允许向 VPN 连接应用代理例外系统将以静默方式忽略 VPN 服务器上配置的以及传送到 AnyConnect 的所有代理例外 AnyConnect 现在能够通过 Microsoft Windows 更新服务器自动检索缺失的可信根证书有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新的试用版 AnyConnect 请查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 4

Windows Phone 移动设备版 AnyConnect 4.1.01012 的新功能 Windows Phone 移动设备版 AnyConnect 4.1.01012 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此试用版更新包含以下附加功能 : 公共和专用网络 IPv6 隧道支持从头端收到不受信任的证书时, 提供更清晰的最终用户警告最终用户现在将收到动态访问策略 (DAP) 通知有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新的试用版 AnyConnect 请查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01008 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此试用版更新包含以下附加功能 : Windows Phone 用户现在可以看到 ASA 上配置的登录前和登录后横幅身份验证提示现在正常工作, 可提示用户输入相应的内容在建立 VPN 连接时, 用户证书现在如预期一样运行不再需要 ASA 上的 ASA 客户端证书缓存解决方法 SCEP 仍不可用, 需使用平台上其他可用的方法来配置用户证书有关此版 Windows Phone AnyConnect 的问题和反馈, 应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC 思科建议您升级到此最新 AnyConnect 版本, 并查看 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题, 第 10 页了解当前操作注意事项 Windows Phone 移动设备版 AnyConnect 4.1.01001 的新功能 Windows Phone 设备版 Cisco AnyConnect 安全移动客户端的此初始试用版本支持 Windows Phone 支持的设备设备上的以下 VPN 功能 : 5

Windows 10 移动版和 Phone 8.1 AnyConnect 功能表相关问题和反馈应以邮件形式直接发送至 ac-mobile-feedback@cisco.com, 而不应提交到思科 TAC Windows 10 移动版和 Phone 8.1 AnyConnect 功能表 Windows Phone 版 Cisco AnyConnect 支持以下远程访问功能 : 类别 : 功能 Windows Phone 部署和配置 : 从应用商店安装或升级思科 VPN 配置文件支持 ( 手动导入 ) 思科 VPN 配置文件支持 ( 连接时导入 ) MDM 配置的连接条目用户配置的连接条目隧道连接 : TLS 数据报 TLS (DTLS) IPsec IKEv2 NAT-T IKEv2 - 原始 ESP Suite B( 仅限 IPsec) TLS 压缩失效对等项检测隧道保持连接多个活动网络接口 Per App 隧道连接 ( 需要 Plus 或 Apex 许可证以及 ASA 9.4.2 或更高版本 ) 全隧道 ( 操作系统可能将某些流量视为例外, 例如, 传输至应用商店的流量 ) 拆分隧道 ( 包括拆分 ) 本地 LAN( 不包括拆分 ),Windows Phone 8.1 中的缺陷 6

Windows 10 移动版和 Phone 8.1 AnyConnect 功能表类别 : 功能拆分 DNS 自动重新连接 / 网络漫游按需 VPN( 由目标触发 ) 按需 VPN( 由应用触发 ) 重新生成密钥 IPv4 公共传输 IPv6 公共传输 IPv4 over IPv4 隧道 IPv6 over IPv4 隧道默认域 DNS 服务器配置专用端代理支持代理例外公共端代理支持登录前横幅登录后横幅 DSCP 保留 Windows Phone, 前提用户仍然在同一网络中且网络连接未终止, 仅通过网关启动,Windows Phone 8.1 中的支持受限连接和断开连接 : VPN 负载均衡备用服务器列表最佳网关选择身份验证 : 客户端证书身份验证手动用户证书管理手动服务器证书管理 SCEP 传统注册 ( 请针对您的平台进行确认 ) SCEP 代理注册 ( 请针对您的平台进行确认 ), 使用 Windows 设备功能 7

Windows 10 移动版和 Phone 8.1 AnyConnect 功能表类别 : 功能自动证书选择手动证书选择智能卡支持用户名和密码令牌 / 质询双重身份验证组 URL( 在服务器地址中指定 ) 组选择 ( 下拉选择 ) 从用户证书预填充凭证保存密码 Windows Phone 用户界面 : 独立 GUI 本地 OS GUI API/URI 处理程序 ( 请参阅下文 ) UI 自定义 UI 本地化用户首选项支持一键式 VPN 访问的主屏幕构件 AnyConnect 特定状态图标, 功能受限制部分移动安全评估 :(AnyConnect 标识扩展, ACIDex) 序列号或唯一 ID 检查与头端共用操作系统和 AnyConnect 版本 URI 处理 : 添加连接条目连接到 VPN 连接时预填充凭证断开 VPN 8

自适应安全设备要求类别 : 功能导入证书导入本地化数据导入 XML 客户端配置文件 URI 命令的外部 ( 用户 ) 控件 Windows Phone 报告和故障排除 : 统计信息日志记录 / 诊断信息 (DART), 需要 Field Medic 应用认证 : FIPS 140-2 第 1 层自适应安全设备要求以下功能对 ASA 有最低版本要求 : 请参阅您的平台的功能表, 以确认这些功能在当前 AnyConnect 移动版本中的可用性必须升级到 ASA 9.3.2 或更高版本才能使用 TLS 1.2 必须升级到 ASA 9.0 才能使用以下移动功能 : IPsec IKEv2 VPN Suite B 加密 SCEP 代理移动状况 ASA 版本 8.0(3) 和自适应安全设备管理器 (ASDM) 6.1(3) 支持移动设备版 AnyConnect 的最低版本已知问题和限制 Windows 10 版和 Windows Phone 8.1 版 AnyConnect 的准则和限制由于不支持 DTLS 和 IPsec/IKEv2 而导致性能受限 9

已知问题和限制不支持 VPN 漫游 ( 在 WiFi 网络与 3/4G 网络之间转换 ) AnyConnect 既不接收也不处理来自安全网关的 AnyConnect VPN 配置文件由用户断开的连接不会从头端完全断开思科建议连接到提供短暂空闲超时的 ASA VPN 组, 以便清除 ASA 上的孤立会话当移动设备用户连接到没有有效移动版许可证的 ASA 时, 该用户将进入登录循环, 即, 输入凭证后, 身份验证将重启, 最后 ( 经过 5 次尝试后 ) 向用户发送一条通用错误消息 :VPN 连接失败, 错误代码为 602 (The VPN connection has failed with error code 602) 请与您的管理员联系, 确保在安全网关上安装有效的移动版许可证 Windows 10 移动版和 Phone 8.1 版 AnyConnect 的已知兼容性问题在连接 VPN 时, 某些 Windows 应用由于实施方面的原因而不受支持经测试, 以下 Windows 本地应用无法运行 :MSN 财经 MSN 美食健康与健身 MSN 资讯天气 MSN 体育经测试, 以下应用可成功运行 :xbox 音乐 xbox 游戏 xbox 视频播客由于 Windows Phone 8.1 中的 OS 缺陷, 某些情况 ( 在漫游 / 重新连接期间间歇性发生 ) 将导致无法传递流量如果符合这种情况, 后续连接尝试将导致 602 错误您必须重启设备才能解决此问题我们期望 Microsoft 能在 Windows 10 移动版中解决这一缺陷, 同时我们也会与 Microsoft 携手加速解决此问题如果中断无线电覆盖,Windows Phone 8.1 不支持 VPN 自动重新连接具体指, 当手机从 WiFi 切换到蜂窝网络 ( 反之亦然 ), 或者从一个 WiFi 网络漫游到另一个 WiFi 网络时, 不支持 VPN 自动重新连接如果维持无线电覆盖, 但与 VPN 网关之间的连接由于临时网络中断而断开,Windows Phone 8.1 将尝试自动重新连接 VPN 在这种情况下, 如果有数据要通过隧道发送, 操作系统将尝试重新连接 VPN 操作系统将尝试重新连接 VPN 10 次或一分钟 ( 以时间较短者为准 ) 在尝试 10 次或一分钟后, 操作系统将完全断开 VPN 连接, 此时需要用户干预才能重新连接 Windows Phone 8.1 OS 强制实施有关拆分隧道 VPN 的以下策略 : IPv4 和 IPv6 拆分隧道连接均受支持, 但, 如果将 IPv4 或 IPv6 设置为所有流量通过隧道 (tunnel all traffic), 则会忽略其他地址系列的所有拆分隧道规则, 而所有 IPv4 和 IPv6 流量都将通过隧道若要在配置了拆分隧道 VPN 的情况下访问网络中的主机, 还必须在发送自 VPN 网关的组策略配置中指定拆分 DNS 或默认域名则将无法访问某些主机在隧道中进行 DNS 解析的主机名必须解析为属于拆分隧道路由的地址在隧道外进行 DNS 解析的主机名必须解析为不属于拆分隧道路由的地址 Windows Phone 8.1 OS 支持受限的代理配置, 但需要注意以下几点 : 除 TCP 80 外,Windows Phone 8.1 OS 不支持任何端口上的代理当 VPN 服务器配置中包含具有端口号的代理服务器时,AnyConnect 会对该端口号分段, 然后再将配置应用于 VPN 通道 10

未解决和已解决的 AnyConnect 问题此外,Windows Phone 8.1 OS 不允许向 VPN 连接应用代理例外系统将以静默方式忽略 VPN 服务器上配置的以及传送到 AnyConnect 的所有代理例外必须对 VPN 配置文件中的自动连接功能进行额外的按需 VPN 配置, 才能保存配置文件如果未进行额外的按需配置, 您必须关闭自动连接 (Connect automatically) 功能以便保存 (Save) 配置文件 Windows Phone OS 版本 8.10.14157.200 或更低版本上的证书使用标识存在一个已知问题请在设置 (Settings) > 关于 (About) 中确认 OS 版本若要避免此问题, 请将 Windows Phone 升级 ( 如果设置 (Settings) > Phone 更新 (Phone Update) 中有更新 ) 未解决和已解决的 AnyConnect 问题思科漏洞搜索工具 (https://tools.cisco.com/bugsearch/) 提供此版本中下列未解决和已解决的问题的相关详细信息需要使用思科帐户才能访问该漏洞搜索工具如果没有, 请在 https://tools.cisco.com/ RPF/register/register.do 中注册 Windows 10 移动版 AnyConnect 4.1.03017 中的未解决问题标识符 CSCuv32132 CSCuv46369 CSCuv68051 CSCuv74230 标题 [Windows Phone] 客户端需要正确处理来自 ASA 的 DPD 设置 [Windows Phone 文档 ] 无法连接到纯 IPv6 网络 [Windows Phone] 重新连接问题 [Windows Phone] 启动 VPN 隧道时性能低下 11

未解决和已解决的 AnyConnect 问题 12

思科和思科徽标思科和 / 或其附属公司在美国和其他国家 / 地区的商标或注册商标要查看思科商标列表, 请访问此网址 :http:// www.cisco.com/go/trademarks 文中提及的第三方商标为其相应所有者的财产合作伙伴一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系 (1110R) 2015-2016 Cisco Systems, Inc. All rights reserved.