Apple aygıtları için Cisco IPsec VPN ayarlama
Cisco VPN sunucunuzu, tümü de Adaptive Security Appliance 5500 Series ve Private Internet Exchange Cisco güvenlik duvarlarını destekleyen iOS, iPadOS ve macOS ile kullanım için ayarlamak üzere bu bölümü kullanın. IOS sürüm 12.4(15)T veya daha yenisine sahip Cisco IOS VPN yönelticilerini de destekler. VPN 3000 Series Concentrators VPN özelliklerini desteklemez.
Kimlik doğrulama yöntemleri
iOS, iPadOS ve macOS aşağıdaki kimlik doğrulama yöntemlerini destekler:
xauthkomutunu kullanarak kullanıcı kimlik doğrulama ile önceden paylaşılan anahtar IPsec kimlik doğrulaması.xauthkullanılarak isteğe bağlı kimlik doğrulama ile IPSec kimlik doğrulaması için istemci ve sunucu sertifikaları.Sunucunun bir sertifika sağladığı ve istemcinin IPsec kimlik doğrulaması için önceden paylaşılan anahtar sağladığı hibrit kimlik doğrulama. Kullanıcı kimlik doğrulaması gerekir ve kimlik doğrulama yönteminin kullanıcı adıyla parolasını içeren
xauthve RSA SecurID yoluyla sağlanır.
Kimlik doğrulama grupları
Cisco Unity protokolü, kullanıcıları ortak bir parametre kümesine göre gruplamak için kimlik doğrulama gruplarını kullanır. Kullanıcılar için bir kimlik doğrulama grubu yaratmanız gerekir. Önceden paylaşılan anahtar ve hibrit kimlik doğrulama için, grubun paylaşılan sırrı (önceden paylaşılan anahtar) grup parolası olacak şekilde grup adının aygıtta ayarlanması gerekir.
Sertifika kimlik doğrulamasını kullanırken paylaşılan sır yoktur. Kullanıcının grubu sertifikadaki alanlardan belirlenir. Bir sertifikadaki alanları kullanıcı gruplarıyla eşleştirmek için Cisco sunucu ayarları kullanılabilir.
RSA-Sig, ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetim Protokolü) öncelik listesinde en yüksek önceliğe sahip olmalıdır.
IPsec ayarları ve açıklamaları
IPsec’in nasıl uygulanacağını tanımlamak için bu ayarları belirtebilirsiniz:
Mod: Tünel modu.
IKE değişim modları: Önceden paylaşılan anahtar ve hibrit kimlik doğrulama için Agresif mod veya sertifikayla kimlik doğrulama için Ana mod.
Şifreleme algoritmaları: 3DES, AES-128 veya AES256.
Kimlik doğrulama algoritmaları: HMAC-MD5 veya HMAC-SHA1.
Diffie-Hellman Grupları: Önceden paylaşılan anahtar ve hibrit kimlik doğrulama için grup 2 gerekir; sertifika kimlik doğrulaması için 3DES ve AES-128 ile grup 2 ve AES-256 ile grup 2 veya 5 gerekir.
Mükemmel İletme Gizliliği (PFS): PFS kullanılıyorsa IKE aşama 2 için; Diffie-Hellman Grubu, IKE aşama 1 için kullanılan grupla aynı olmalıdır.
Mod konfigürasyonu: Etkinleştirilmelidir.
Yanıt vermeyen eş algılama: Önerilen.
Standart NAT geçişi: Desteklenir ve etkinleştirilebilir (TCP üzerinden IPsec desteklenmez).
Yük dengeleme: Desteklenir ve etkinleştirilebilir.
Aşama 1’in yeniden anahtarlanması: Şu an desteklenmemektedir. Sunucudaki yeniden anahtarlama sürelerinin bir saat olarak ayarlanması önerilir.
ASA adres maskesi: Aygıt adresi havuzundaki tüm maskelerin ayarlanmamış olduğundan veya 255.255.255.255 olarak ayarlanmış olduğundan emin olun. Örneğin:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255Önerilen adres maskesini kullanıyorsanız, VPN konfigürasyonu tarafından varsayılan bazı yollar yok sayılabilir. Bunu önlemek için, yönlendirme tablonuzun gerekli tüm yolları içerdiğinden ve alt ağ adreslerinin dağıtımdan önce erişilebilir olduğundan emin olun.
Uygulama sürümü: İstemci yazılım sürümü sunucuya gönderilerek sunucunun, aygıtın yazılım sürümüne göre bağlantıları kabul etmesini veya reddetmesini sağlar.
Başlık: Başlık (sunucuda ayarlanmışsa) aygıtta görüntülenir ve kullanıcının başlığı kabul etmesi veya bağlantıyı kesmesi gerekir.
Bölünmüş tünel: Destekleniyor.
Bölünmüş DNS: Destekleniyor.
Saptanmış alan: Destekleniyor.