VPN 设置

使用此有效负载可输入 VPN 设置以连接到网络。用户不能修改您在配置描述文件中指定的设置。

【注】为所有配置描述文件使用 VPN 有效负载。有关更多信息,请参阅关于描述文件和有效负载有效负载最佳实践

基本设置

若要配置 Aruba VIA、Check Point Mobile VPN、Cisco AnyConnect、F5 SSL、Juniper SSL 或 SonicWALL Mobile Connect,请从“连接类型”弹出式菜单中选取合适的项目。确定“领域”和“角色” (Juniper) 或“群组”值 (Cisco) 与 VPN 服务器上指定的值相匹配。用户必须同时安装配置描述文件及合适的鉴定应用。F5 BIG-IP Edge Client、Junos Pulse、Cisco AnyConnect 和 Aruba Network VIA 应用可从 App Store 中下载。

有关其他 SSL VPN 解决方案,请联系厂商并询问他们是否在 App Store 中提供应用。如果提供,请从“连接类型”弹出式菜单中选取“自定 SSL”,然后输入厂商提供的配置信息。请确保“标识符”栏匹配厂商的 VPN 应用指定的标识符,并且为可逆 DNS 格式(例如 com.example.myvpn)。您的用户必须同时安装厂商的应用以及配置描述文件以连接到您的网络。

如果您想要配置有效负载,以便设备必须通过活跃的 VPN 连接来连接到任何网络,请选取“IKEv2(仅限 iOS)”并选择“始终打开 VPN”。您可以分别为蜂窝移动网络和 Wi-Fi 配置“始终打开 VPN”,也可以同时配置。

有些 VPN 和 Wi-Fi 设置(如 802.1X 参数)只能通过配置描述文件进行设定。

有关支持的 VPN 协议、鉴定方式以及 IKEv2 的信息,请参阅《iOS 部署参考》中的 VPN 概览

不管您选取哪种连接类型,以下项目均可用于配置。

选取连接类型后,连接的其他设置将变为可用。

设置

描述

连接名称

连接在设备上的显示名称。

连接类型

建立 VPN 连接的方法。选取其中一个 VPN 方法后,服务器和帐户后的选项会发生更改以匹配该特定方法。

服务器

VPN 网关服务器的主机名或 IP 地址。

帐户

鉴定连接需要用户帐户。

用户鉴定(除 IPSec Cisco 外的所有连接类型)

用户鉴定的方法。L2TP 和 PPTP 的可用类型为:

  • 密码(可以输入的密码)

  • RSA SecurID

  • IPSec (Cisco)

  • 证书(仅限 OS X)

  • Kerberos(仅限 OS X)

  • CryptoCard(仅限 OS X)

其他类型的 VPN 连接方法使用各种各样的用户鉴定设置

机器鉴定

所需的鉴定类型。对于 L2TP,选取“共享密钥”或“证书”,并提供适当的设置信息。其他类型的 VPN 连接方法使用各种各样的机器鉴定设置

加密级别(仅限 PPTP)

连接使用的加密级别。可以设定为“无”、“自动”或“最大(128 位)”。

发送所有流量(仅限 L2TP 和 PPTP)

强制所有网络流量通过 VPN 连接发送。

代理设置

iOS 和 OS X 支持手动 VPN 代理,以及使用 PAC 或 WPAD 的自动代理配置。若要指定 VPN 代理,请从“代理设置”弹出式菜单中选取一个选项。

对于基于 PAC 的自动代理配置,请从弹出式菜单中选取“自动”,然后输入 PAC 文件的 URL。

对于 Web Proxy Autodiscovery (WPAD) 配置,请从弹出式菜单中选取“自动”。将“代理服务器 URL”栏留空。设备将使用 DHCP 和 DNS 请求 WPAD 文件。

部分 VPN 配置需要身份。根据 VPN 的配置,VPN 有效负载可能要求相关的证书有效负载包含与该身份相关联的证书。

请求 VPN 域

在含基于证书的 L2TP 配置的设备上,您可以打开“请求 VPN 域”,以便在访问特定域时建立 VPN 连接。

您需要配置域或主机匹配模式,以及确定存在匹配项时执行的操作。

此操作应用于所有匹配的地址。地址使用简单的字符串匹配进行比较,从末尾开始反向比较。地址“.example.com”与“support.example.com”和“sales.example.com”相匹配,但与“www.private-example.com”不匹配。不过,如果您将匹配域指定为“example.com”(注意开头没有句点),则它会与“www.private-example.com”和所有其他地址相匹配。

请求操作

描述

总是

为与指定的域相匹配的任何地址发起 VPN 连接。

永不

不会为与指定的域相匹配的地址发起 VPN 连接,但如果 VPN 处于活跃状态,则可以使用它。

需要时建立

在 DNS 查找失败之后,才会为与指定的域相匹配的地址发起 VPN 连接。

LDAP 连接不会发起 VPN 连接;如果 VPN 尚未由其他应用(如 Safari)建立,则 LDAP 查找将失败。

在闲置两分钟后,设备会关闭“请求 VPN 域”所发起的 VPN 会话。如果连接是通过“设置”手动建立的,则仅 VPN 服务器的超时适用。

VPN 代理

iOS 支持手动 VPN 代理,以及使用 PAC 或 WPAD 的自动代理配置。若要指定 VPN 代理,请从“代理设置”弹出式菜单中选取一个选项。

设置

描述

基于 PAC 的自动代理配置

从弹出式菜单中选取“自动”,然后输入 PAC 文件的 URL,例如 http://www.example.com/filename.pac。

Web Proxy Autodiscovery (WPAD) 配置

从弹出式菜单中选取“自动”。如果您将“代理服务器 URL”栏留空,则设备将使用 DHCP(通过 252 条目)或 DNS(通过名为“WPAD”的 A 记录)来请求 wpad.dat 文件。

您可以通过点按 添加有效负载按钮 来添加 VPN 配置。

变量

借助 OS X,可以在简单证书注册协议 (SCEP) AuthName 和 XAuthName 栏中使用以下变量。安装期间将在设备上解析这些变量。您可以将这些变量与静态文本组合,如 Mac.%HardwareUUID%,以创建复合名称。

变量

替换

%AD_ComputerID%

Active Directory 电脑 ID

%AD_Domain%

Active Directory 域

%AD_DomainForestName%

Active Directory 树系名称

%AD_DomainGuid%

Active Directory GUID

%AD_DomainNameDNS%

Active Directory DNS 名称

%AD_KerberosID%

Active Directory Kerberos ID

%ComputerName%

电脑名称,如“系统偏好设置”>“共享”中设定

%HardwareUUID%

电脑的唯一标识符

%HostName%

电脑的 DNS 名称,如 mac1.example.com

%LocalHostName%

电脑的本地网络名称,如 Mac1.local

%MACAddress%

电脑的以太网 (en0) MAC 地址

%SerialNumber%

电脑的序列号