XenMobile Server

VPN 设备策略

VPN 设备策略用于配置虚拟专用网络 (VPN) 设置,这些设置使用户设备能够安全地连接到企业网络。可以为以下平台配置 VPN 设备策略。每种平台需要一组不同的值,本文将对此进行详细介绍。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

PerApp VPN 的要求

可以通过 VPN 策略为以下平台配置 PerApp VPN 功能:

  • iOS
  • macOS
  • Android(旧版 DA)
  • Samsung SAFE
  • Samsung Knox

要为 Android Enterprise 设备配置 VPN,请为 Citrix SSO 应用创建一条“托管配置”设备策略。请参阅为 Android Enterprise 配置 VPN 配置文件

PerApp VPN 选项可用于某些连接类型。下表显示了 PerApp VPN 选项何时可用。

平台 连接类型 备注
iOS Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix SSO 或 Custom SSL。  
macOS Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA 或 Custom SSL。  
Android(旧版 DA) Citrix SSO  
Samsung SAFE IPSEC、SSL VPN 类型设置为通用
Samsung Knox IPSEC、SSL VPN 类型设置为通用

要使用 Citrix SSO 应用程序为 iOS 和 Android(旧版 DA)设备创建 PerApp VPN,则除了 VPN 策略配置外,您还需要执行额外的步骤。此外,必须验证是否满足以下必备条件:

  • 本地 Citrix Gateway
  • 设备上安装了以下应用程序:
    • Citrix SSO
    • Citrix Secure Hub

使用 Citrix SSO 应用程序为 iOS 和 Android 设备配置 PerApp VPN 的一般工作流程如下:

  1. 按本文中所述配置 VPN 设备策略。

  2. 将 Citrix ADC 配置为接受来自 PerApp VPN 的流量。有关详细信息,请参阅 Citrix Gateway 上的完整 VPN 设置

iOS 设置

准备将设备升级到 iOS 12+:

适用于 iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12+。执行以下步骤可删除现有 VPN 设备策略并使用 Citrix SSO 连接类型创建 VPN 设备策略:

  1. 删除适用于 iOS 的 VPN 设备策略。
  2. 添加适用于 iOS 的 VPN 设备策略。重要设置:
    • Connection type = Citrix SSO
    • Enable per-app VPN = On
    • Provider type = Packet tunnel
  3. 添加适用于 iOS 的“应用程序属性”设备策略。对于 PerApp VPN 标识符,请选择 iOS_VPN

“设备策略”配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择将用于此连接的协议。默认值为 L2TP
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco Legacy AnyConnect: 此连接类型要求在用户设备上安装 Cisco Legacy AnyConnect VPN 客户端。Cisco 正在分阶段淘汰基于现已弃用的 VPN 框架的 Cisco Legacy AnyConnect 客户端。有关详细信息,请参阅支持文章 https://support.citrix.com/article/CTX227708

      要使用当前的 Cisco AnyConnect 客户端,请使用连接类型自定义 SSL。对于必需的设置,请参阅本节中的“配置自定义 SSL 协议”。

    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • IKEv2(仅限 iOS): 仅限适用于 iOS 的 Internet 密钥交换 2 版。
    • AlwaysOn IKEv2: 总是使用 IKEv2 进行访问。
    • AlwaysOn IKEv2 双配置: 总是使用 IKEv2 双配置进行访问。
    • Citrix SSO: 适用于 iOS 12 及更高版本的 Citrix SSO 客户端。
    • 自定义 SSL: 自定义安全套接字层。捆绑包 ID 为 com.cisco.anyconnect 的 Cisco AnyConnect 客户端需要使用此连接类型。指定连接名称Cisco AnyConnect。还可以部署 VPN 策略并为 iOS 设备启用网络访问控制 (NAC) 过滤器。该过滤器阻止安装了不合规应用程序的设备建立 VPN 连接。配置需要 iOS VPN 策略的特定设置,如下面的 iOS 部分中所述。有关启用 NAC 过滤器所需的其他设置的详细信息,请参阅网络访问控制

以下各节列出了前面每种连接类型的配置选项。

为 iOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 共享机密: 键入 IPsec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 加密级别: 在列表中,选择一种加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大(128 位):始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 IPsec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择共享机密证书以选择此连接的身份验证类型。默认值为共享机密
  • 如果启用共享机密,请配置以下设置:
    • 组名称: 键入可选组名称。
    • 共享机密: 键入可选共享密钥。
    • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
    • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
  • 如果启用证书,请配置以下设置:
    • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
    • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
    • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为
  • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
  • Safari 域: 单击添加可添加 Safari 域名。

为 iOS 配置 Cisco 旧版 AnyConnect 协议

要从 Cisco 旧版 AnyConnect 客户端转换到新的 Cisco AnyConnect 客户端,请使用自定义 SSL 协议。

  • 提供程序捆绑包标识符: 对于 Legacy AnyConnect 客户端,捆绑包 ID 为 com.cisco.anyconnect.gui。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Juniper SSL 协议

  • 提供程序捆绑包标识符: 如果您的 PerApp VPN 配置文件包含具有相同类型的多个 VPN 提供程序的应用程序的捆绑包标识符,请指定要在此处使用的提供程序。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 F5 SSL 协议

  • 提供程序捆绑包标识符: 如果您的 PerApp VPN 配置文件包含具有相同类型的多个 VPN 提供程序的应用程序的捆绑包标识符,请指定要在此处使用的提供程序。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 SonicWALL 协议

  • 提供程序捆绑包标识符: 如果您的 PerApp VPN 配置文件包含具有相同类型的多个 VPN 提供程序的应用程序的捆绑包标识符,请指定要在此处使用的提供程序。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Ariba VIA 协议

  • 提供程序捆绑包标识符: 如果您的 PerApp VPN 配置文件包含具有相同类型的多个 VPN 提供程序的应用程序的捆绑包标识符,请指定要在此处使用的提供程序。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 IKEv2 协议

本节包括用于 IKEv2、AlwaysOn IKEv2 和 AlwaysOn IKEv2 双配置协议的设置。对于 AlwaysOn IKEv2 双配置协议,请为手机网络和 Wi-Fi 网络配置所有这些设置。

  • 允许用户禁用自动连接: 面向 AlwaysOn 协议。选择是否允许用户关闭与其设备上的网络的自动连接。默认值为

  • 服务器的主机名或 IP 地址: 键入 VPN 服务器的主机名或 IP 地址。

  • 本地标识符: IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填字段。

  • 远程标识符: VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。

  • 设备身份验证: 选择共享机密证书基于设备标识符的设备证书作为此连接的身份验证类型。默认值为共享机密

    • 如果选择共享机密,请键入可选共享密钥。

    • 如果选择证书,请选择要使用的身份凭据。默认值为无。

    • 如果选择基于设备标识符的设备证书,请选择要使用的设备标识类型。默认值为 IMEI。要使用此选项,请使用 REST API 批量导入证书。请参阅使用 REST API 将证书批量上载到 iOS 设备。仅当您选择 Always On IKEv2(始终启用 IKEv2)时才可用。

  • 已启用扩展身份验证: 选择是否启用扩展身份验证协议 (EAP)。如果选择,请键入用户帐户身份验证密码

  • 失效对等体检测时间间隔: 选择联系对等设备以确保对等设备仍可访问的频率。默认值为。选项包括:

    • 无: 禁用失效对等体检测。

    • 低: 每 30 分钟联系一次对等体。

    • 中: 每 10 分钟联系一次对等体。

    • 高: 1 分钟联系一次对等体。

  • 禁用移动性和多宿主: 选择是否禁用此功能。

  • 使用 IPv4/IPv6 内部子网属性: 选择是否启用此功能。

  • 禁用重定向: 选择是否禁用重定向。

  • 设备在睡眠状态下启用 NAT 保持连接: 面向 AlwaysOn 协议。保持连接数据包维护 IKEv2 连接的 NAT 映射。芯片在设备处于唤醒状态时定期发送这些数据包。如果此设置设为开,即使设备处于睡眠状态时,芯片也会发送保持连接数据包。通过 Wi-Fi 传输时,默认时间间隔为 20 秒,通过手机网络传输时为 110秒。可以使用 NAT 保持连接时间间隔参数更改时间间隔。

  • NAT 保持连接时间间隔(秒): 默认值为 20 秒。

  • 启用完全向前保密: 选择是否启用此功能。

  • DNS 服务器 IP 地址: 可选。DNS 服务器 IP 地址字符串的列表。这些 IP 地址可以包括 IPv4 和 IPv6 地址的混合。单击添加可键入地址。

  • 域名: 可选。通道的主域。

  • 搜索域: 可选。用于完全限定单标签主机名的域字符串的列表。

  • 将补充匹配域附加到解析程序列表: 可选。确定是否将补充匹配域列表添加到解析程序的搜索域列表。默认值为

  • 补充匹配域: 可选。用于确定要使用 DNS 服务器地址中包含的 DNS 解析程序设置的 DNS 查询的域字符串的列表。此键将创建一个拆分 DNS 配置,在该配置中,只有某些域中的主机才能使用通道的 DNS 解析程序进行解析。不在此列表的其中一个域中的主机将使用系统的默认解析程序进行解析。

如果此参数包含一个空字符串,该字符串将为默认域。这说明了拆分通道配置如何将所有 DNS 查询先定向到 VPN DNS 服务器,然后再定向到主 DNS 服务器。如果 VPN 通道为网络的默认路由,列出的 DNS 服务器将成为默认解析程序。在这种情况下,补充匹配域列表将被忽略。

  • IKE SA 参数Child SA 参数。为每个安全关联 (SA) 参数选项配置以下设置:

    • 加密算法: 在此列表中,选择要使用的 IKE 加密算法。默认值为 3DES

    • 完整性算法: 在列表中,选择要使用的完整性算法。默认值为 SHA1-96

    • Diffie Hellman 组: 在列表中,选择 Diffie Hellman 组号。默认值为 2

    • IKE 生存时间(分钟): 键入 10 至 1440 之间的整数,表示 SA 生存时间(重新生成密钥时间间隔)。默认值为 1440 分钟。

  • 服务异常: 面向 AlwaysOn 协议。服务异常是指不通过 AlwaysOn VPN 运行的系统服务。请配置以下服务异常设置:

    • 语音邮件: 在列表中,选择处理语音邮件异常的方式。默认值为允许通过通道传输流量

    • AirPrint: 在列表中,选择处理 AirPrint 异常的方式。默认值为允许通过通道传输流量

    • 允许在 VPN 通道外部传输来自强制 Web 表格的流量: 选择是否允许用户在 VPN 通道外部连接到公共热点。默认值为

    • 允许在 VPN 通道外部传输来自所有强制联网应用程序的流量: 选择是否允许在 VPN 通道外部打开所有热点网络应用程序。默认值为

    • 强制联网应用程序捆绑包标识符: 对于允许用户访问的每个热点网络应用程序捆绑包标识符,单击添加并键入热点网络应用程序捆绑包标识符。单击保存以保存该应用程序捆绑包标识符。

  • PerApp VPN。为 IKEv2 连接类型配置这些设置。

    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 单击添加可添加 Safari 域名。
  • 代理配置: 选择 VPN 连接通过代理服务器进行路由的方式。默认值为

为 iOS 配置 Citrix SSO 协议

Citrix SSO 客户端可从 Apple Store(网址为 https://apps.apple.com/us/app/citrix-sso/id1333396910)获取。

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为无。
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • 提供程序类型: 设置为数据包通道
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并指定键/值对。可用参数如下:
    • disableL3: 禁用系统级 VPN。仅允许使用 PerApp VPN。不需要任何
    • useragent: 将目标为 VPN 插件客户端的任何 Citrix Gateway 策略与此设备策略相关联。对于插件发起的请求,此键的会自动添加到 VPN 插件。

为 iOS 配置自定义 SSL 协议

要从 Cisco Legacy AnyConnect 客户端转换为 Cisco AnyConnect 客户端,请执行以下操作:

  1. 通过自定义 SSL 协议配置 VPN 设备策略。将该策略部署到 iOS 设备。
  2. https://apps.apple.com/us/app/cisco-anyconnect/id1135064690 上载 Cisco AnyConnect 客户端,将该应用程序添加到 XenMobile,然后再将其部署到 iOS 设备。
  3. 从 iOS 设备中删除旧 VPN 设备策略。

设置:

  • 自定义 SSL 标识符(反向 DNS 格式): 设置为捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 提供程序捆绑包标识符: 如果在自定义 SSL 标识符中指定的应用程序具有多个类型相同(应用程序代理或数据包通道)的 VPN 提供程序,请指定此捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为无。
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 提供程序类型指示提供程序是 VPN 服务还是代理服务。对于 VPN 服务,请选择数据包通道。对于代理服务,请选择应用程序代理。对于 Cisco AnyConnect 客户端,请选择数据包通道
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存参数,或者单击取消不保存参数。

配置 VPN 设备策略以支持 NAC

  1. 配置 NAC 过滤器所需的连接类型自定义 SSL
  2. 指定连接名称VPN
  3. 对于自定义 SSL 标识符,请键入 com.citrix.NetScalerGateway.ios.app
  4. 对于提供程序捆绑包标识符,请键入 com.citrix.NetScalerGateway.ios.app.vpnplugin

步骤 3 和 4 中的值来自 NAC 过滤所需的 Citrix SSO 安装。请勿配置身份验证密码。有关使用 NAC 功能的详细信息,请参阅网络访问控制

为 iOS 配置“按需启用 VPN”选项

  • 按需域: 对于每个域以及当用户连接时要执行的关联操作,请单击添加并执行以下操作:
  • 域: 键入要添加的域。
  • 操作: 在列表中,选择其中一项可能采取的操作:
    • 始终建立: 域始终触发 VPN 连接。
    • 从不建立: 域从不触发 VPN 连接。
    • 必要时建立: 如果域名解析失败,域将触发 VPN 连接尝试。如果 DNS 服务器无法解析域、重定向到其他服务器或超时,则会失败。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,选择要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于要添加且设备的搜索域列表可以与之匹配的每个域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,选择使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项是默认选项。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 Wi-Fi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者如果 SSID 未出现,匹配将失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,选择指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • 需要时连接: 如果域名解析失败,域将触发 VPN 连接尝试。如果 DNS 服务器无法解析域、重定向到其他服务器或超时,则会失败。
      • NeverConnect: 域从不触发 VPN 连接。
    • ActionParameters: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器不需要属于设备的当前网络配置。如果无法访问 DNS 服务器,作为响应,将建立 VPN 连接。此 DNS 服务器必须为内部 DNS 服务器或可信的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名、服务器无法访问或者服务器不响应,则建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML content: 键入或复制并粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,您将在 XML 内容文本框下方看到绿色文本的有效 XML。如果无效,您会看到一条用橙色文本描述错误的错误消息。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 策略设置下方的删除策略旁边,选择选择日期删除前的持续时间(小时)
    • 如果选择选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,选择始终需要密码从不
    • 如果选择需要密码,在 Removal password(删除密码)旁边,键入必需的密码。

配置 PerApp VPN

iOS 的 PerApp VPN 选项适用于以下连接类型:Cisco 旧版 AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix VPN、Citrix SSO 和自定义 SSL。

要配置 PerApp VPN,请执行以下操作:

  1. 配置 > 设备策略中,创建 VPN 策略。例如:

    “设备策略”配置屏幕

    “设备策略”配置屏幕

  2. 配置 > 设备策略中,创建应用程序属性策略以将应用程序与 PerApp VPN 策略相关联。对于 PerApp VPN 标识符,请选择在步骤 1 中创建的 VPN 策略的名称。对于托管应用程序捆绑包 ID,请从应用程序列表中进行选择,或者键入应用程序捆绑包 ID。(如果部署了 iOS 的应用程序清单策略,应用程序列表将包含应用程序。)

    “设备策略”配置屏幕

  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。

macOS 设置

“设备策略”配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择将用于此连接的协议。默认值为 L2TP。
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco AnyConnect: Cisco AnyConnect VPN 客户端。
    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • Citrix VPN: Citrix VPN 客户端。
    • 自定义 SSL: 自定义安全套接字层。

以下各节列出了前面每种连接类型的配置选项。

为 macOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 共享机密: 键入 IPsec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 加密级别: 选择所需的加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大(128 位):始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 IPsec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择共享机密证书以选择此连接的身份验证类型。默认值为共享机密
    • 如果启用共享机密身份验证,请配置以下设置:
      • 组名称: 键入可选组名称。
      • 共享机密: 键入可选共享密钥。
      • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
      • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
    • 如果启用证书身份验证,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”选项

为 macOS 配置 Cisco AnyConnect 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”选项
    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
      • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Juniper SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 F5 SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 SonicWALL 移动连接协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Ariba VIA 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置自定义 SSL 协议

  • 自定义 SSL 标识符(反向 DNS 格式): 以反向 DNS 格式键入 SSL 标识符。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。此字段为必填字段。
  • 用户帐户: 键入可选用户帐户。
    • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为无。
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为关。
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为关。有关在按需启用 VPN 设置为时配置设置的信息,请参阅配置“按需启用 VPN”设置
    • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
      • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存域,或者单击取消不保存域。

配置“按需启用 VPN”选项

  • 按需域: 对于要添加的每个域以及当用户与之连接时要执行的关联操作,请单击添加并执行以下操作:
    • 域: 键入要添加的域。
    • 操作: 在列表中,选择其中一项可能采取的操作:
      • 始终建立: 域始终触发 VPN 连接。
      • 从不建立: 域从不触发 VPN 连接。
      • 必要时建立: 如果域名解析失败,域将触发 VPN 连接尝试。如果 DNS 服务器无法解析域、重定向到其他服务器或超时,则会失败。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,选择要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于要添加且用户设备的搜索域列表可以与之匹配的每个域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,单击使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项是默认选项。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 Wi-Fi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者如果 SSID 未出现,匹配将失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,选择指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • 需要时连接: 如果域名解析失败,域将触发 VPN 连接尝试。如果 DNS 服务器无法解析域、重定向到其他服务器或超时,则会失败。
      • NeverConnect: 域从不触发 VPN 连接。
    • ActionParameters: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器不需要属于设备的当前网络配置。如果无法访问 DNS 服务器,作为响应,将建立 VPN 连接。此 DNS 服务器必须为内部 DNS 服务器或可信的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名、服务器无法访问或者服务器不响应,则建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML 内容: 键入或复制并粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,您将在 XML 内容文本框下方看到绿色文本的有效 XML。如果无效,您会看到一条用橙色文本描述错误的错误消息。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。

Android 设置

“设备策略”配置屏幕

为 Android 配置 Cisco AnyConnect VPN 协议

  • 连接名称: 输入 Cisco AnyConnect VPN 连接的名称。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的名称或 IP 地址。此字段为必填字段。
  • 身份凭据: 在列表中,选择身份凭据。
  • 备份 VPN 服务器: 键入备份 VPN 服务器信息。
  • 用户组: 键入用户组信息。
  • 可信网络
    • 自动 VPN 策略: 启用或禁用此选项,以设置 VPN 响应可信网络和不可信网络的方式。如果启用,请配置以下设置:
      • 可信网络策略: 在列表中,选择所需的策略。默认值为断开连接。可能的选项包括:
        • 断开连接: 客户端终止可信网络中的 VPN 连接。这是默认设置。
        • 连接: 客户端在可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端不执行任何操作。
        • 暂停: 用户在可信网络外部建立 VPN 会话,然后进入配置为可信的网络时,VPN 会话将挂起。用户再次离开可信网络时,会话恢复。此设置无需在离开可信网络后建立新的 VPN 会话。
      • 不可信网络策略: 在列表中,选择所需的策略。默认值为连接。可能的选项包括:
        • 连接: 客户端在不可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端在不可信网络中启动 VPN 连接。此选项将禁用始终启用 VPN。
    • 可信域: 对于客户端位于可信网络时网络接口拥有的每个域后缀,请单击添加以执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • 可信服务器: 对于客户端位于可信网络时网络接口拥有的每个服务器地址,请单击添加并执行以下操作:
      • 服务器: 键入要添加的服务器。
      • 单击保存以保存服务器,或者单击取消不保存服务器。

为 Android 配置 Citrix SSO 协议

  • 连接名称: 键入 VPN 连接的名称。此字段为必填字段。

  • 服务器名称或 IP 地址: 键入 Citrix Gateway 的 FQDN 或 IP 地址。

  • 连接的身份验证类型: 选择身份验证类型并填写针对该类型显示的以下字段中的任何字段:

    • 用户名密码: 键入身份验证类型密码密码和证书的 VPN 凭据。可选。如果未提供 VPN 凭据,Citrix VPN 应用程序将提示输入用户名和密码。

    • 身份凭据: 针对身份验证类型证书密码和证书显示。在列表中,选择身份凭据。

  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。如果未启用 PerApp VPN,所有流量都将通过 Citrix VPN 通道传输。如果启用 PerApp VPN,请指定以下设置。默认值为

    • 白名单黑名单: 如果选择白名单,所有允许运行的应用程序都将通过此 VPN 传输。如果选择黑名单,除阻止列表通道中的应用程序以外的所有应用程序都将通过此 VPN 传输。

      注意:

      XenMobile Server 控制台包含术语“黑名单”和“白名单”。我们正在将即将发布的版本中的这些术语更改为“阻止列表”和“允许列表”。

    • 应用程序列表: 指定允许或阻止的应用程序。单击添加,然后键入以逗号分隔的应用程序软件包名称的列表。

  • 自定义 XML: 单击添加,然后键入自定义参数。XenMobile 支持 Citrix VPN 的以下参数:

    • 禁用用户配置文件: 可选。要启用此参数,请键入 Yes 作为。如果启用了此参数,XenMobile 将不显示用户添加的 VPN 连接,并且用户无法添加连接。此设置属于全局限制,适用于所有 VPN 配置文件。
    • userAgent: 字符串值。可以指定要在每个 HTTP 请求中发送的自定义用户代理字符串。指定的用户代理字符串附加到现有 Citrix VPN 用户代理。

配置 VPN 以支持 NAC

  1. 使用连接类型自定义 SSL 配置 NAC 过滤器。
  2. 指定连接名称VPN
  3. 对于自定义 XML,请单击添加并执行以下操作:
    • 参数名称: 键入 XenMobileDeviceId。此字段是用于根据 XenMobile 中的设备注册进行 NAC 检查的设备 ID。如果 XenMobile 注册并管理设备,则允许建立 VPN 连接。否则,在 VPN 建立时将拒绝身份验证。
    • 值: 键入 DeviceID_${device.id},该值是参数 XenMobileDeviceId 的值。
    • 单击保存保存参数。

为 Android Enterprise 配置 VPN

要为 Android Enterprise 设备配置 VPN,请为 Citrix SSO 应用创建一条“托管配置”设备策略。请参阅为 Android Enterprise 配置 VPN 配置文件

Android Enterprise 设置

“设备策略”配置屏幕

  • 启用始终可用的 VPN: 选择是否始终启用 VPN。默认值为。启用后,VPN 连接保持可用,直到用户手动断开连接。
  • VPN 包: 键入 VPN 应用程序设备使用的软件包名称。
  • Enable lockdown(启用锁定):如果处于禁用状态,则当 VPN 连接不存在时,任何应用程序都无法访问网络。如果处于启用状态,您在以下设置中配置的应用程序可以访问网络,即使不存在 VPN 连接也是如此。适用于 Android 10 及更高版本的设备。
  • Applications exluded from lockdown(从锁定中排除的应用程序):单击 Add(添加)键入要绕过锁定设置的应用程序的软件包名称。

Windows Desktop/Tablet 设置

“设备策略”配置屏幕

  • 连接名称: 输入连接的名称。此字段为必填字段。
  • 配置文件类型: 在列表中,选择本机插件。默认值为本机
  • 配置本机配置文件类型: 这些设置应用于内置于用户 Windows 设备上的 VPN。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 通道类型: 在列表中,选择要使用的 VPN 通道类型。默认值为 L2TP。可能的选项包括:
      • L2TP: 使用预共享密钥身份验证的第二层通道协议。
      • PPTP: 点对点通道。
      • IKEv2: Internet 密钥交换第 2 版。
    • 身份验证方法: 在列表中,选择要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP: 扩展身份验证协议。
      • MSChapV2: 使用 Microsoft 的质询-握手身份验证相互验证身份。当您选择通道类型 IKEv2 时,此选项不可用。
    • EAP 方法: 在列表中,选择要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时此字段不可用。可能的选项包括:
      • TLS: 传输层安全性
      • PEAP: 受保护的可扩展身份验证协议
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 需要智能卡证书: 选择是否需要智能卡证书。默认值为
    • 自动选择客户端证书: 选择是否自动选择用于身份验证的客户端证书。默认值为。启用需要智能卡证书时此选项不可用。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件配置文件类型: 这些设置应用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 客户端应用程序 ID: 键入 VPN 插件的软件包系列名称。
    • 插件配置文件 XML: 单击浏览并导航到要使用的自定义 VPN 插件配置文件所在位置,选择此文件。有关格式及详细信息,请联系插件提供商。
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。
VPN 设备策略