产品文档
XenMobile® Server
查看 PDF

VPN 设备策略

April 16, 2026
投稿者: 
C

VPN 设备策略配置虚拟专用网络 (VPN) 设置,使用户设备能够安全地连接到企业资源。您可以为以下平台配置 VPN 设备策略。每个平台都需要一组不同的值,本文将详细介绍这些值。

要添加或配置此策略,请转到“配置 > 设备策略”。有关详细信息,请参阅设备策略

每应用 VPN 的要求

您可以通过 VPN 策略为以下平台配置每应用 VPN 功能:

  • iOS
  • macOS
  • Android (旧版 DA)
  • Samsung SAFE
  • Samsung Knox

要为 Android Enterprise 设备配置 VPN,请为 Citrix SSO 应用程序创建托管配置设备策略。请参阅为 Android Enterprise 配置 VPN 配置文件

每应用 VPN 选项适用于某些连接类型。下表指示何时可以使用每应用 VPN 选项。

平台 连接类型 备注
iOS Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix SSO 或 Custom SSL。  
macOS Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA 或 Custom SSL。  
Android (旧版 DA) Citrix SSO  
Samsung SAFE IPSEC、SSL VPN 类型设置为“通用
Samsung Knox IPSEC、SSL VPN 类型设置为“通用

要使用 Citrix SSO 应用程序为 iOS 和 Android (旧版 DA) 设备创建每应用 VPN,除了 VPN 策略配置之外,您还需要执行额外步骤。此外,您必须验证是否满足以下先决条件:

  • 本地 Citrix Gateway
  • 设备上安装了以下应用程序:
    • Citrix SSO
    • Citrix Secure Hub™

使用 Citrix SSO 应用程序为 iOS 和 Android 设备配置每应用 VPN 的一般工作流程如下:

  1. 按照本文所述配置 VPN 设备策略。

  2. 配置 Citrix ADC 以接受来自每应用 VPN 的流量。有关详细信息,请参阅在 Citrix Gateway 上进行完整 VPN 设置

iOS 设置

为设备升级到 iOS 12 做准备:

iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12。请执行以下步骤删除现有 VPN 设备策略并创建具有 Citrix SSO 连接类型的 VPN 设备策略:

  1. 删除适用于 iOS 的 VPN 设备策略。
  2. 添加适用于 iOS 的 VPN 设备策略。重要设置:
    • 连接类型 = Citrix SSO
    • 启用每应用 VPN =
    • 提供程序类型 = 数据包隧道
  3. 添加适用于 iOS 的应用程序属性设备策略。对于“每应用 VPN 标识符”,选择 iOS_VPN

设备策略配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择要用于此连接的协议。默认值为 L2TP
    • L2TP: 具有预共享密钥身份验证的第 2 层隧道协议。
    • PPTP: 点对点隧道协议。
    • IPSec: 您的企业 VPN 连接。

    • Cisco Legacy AnyConnect: 此连接类型要求用户设备上安装 Cisco Legacy AnyConnect VPN 客户端。Cisco 正在逐步淘汰基于现已弃用的 VPN 框架的 Cisco Legacy AnyConnect 客户端。有关详细信息,请参阅支持文章 https://support.citrix.com/article/CTX227708

      要使用当前的 Cisco AnyConnect 客户端,请使用“连接类型”为“自定义 SSL”。有关所需设置,请参阅本节中的“配置自定义 SSL 协议”。

    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks 虚拟 Internet 访问客户端。
    • IKEv2 (仅限 iOS): 仅适用于 iOS 的 Internet 密钥交换版本 2。
    • AlwaysOn IKEv2: 使用 IKEv2 的始终开启访问。
    • AlwaysOn IKEv2 双重配置: 使用 IKEv2 双重配置的始终开启访问。
    • Citrix SSO: 适用于 iOS 12 及更高版本的 Citrix SSO 客户端。
    • 自定义 SSL: 自定义安全套接字层。此连接类型是具有捆绑 ID com.cisco.anyconnect 的 Cisco AnyConnect 客户端所必需的。将“连接名称”指定为 Cisco AnyConnect。您还可以部署 VPN 策略并为 iOS 设备启用网络访问控制 (NAC) 筛选器。此筛选器会阻止安装了不合规应用程序的设备的 VPN 连接。此配置需要 iOS VPN 策略的特定设置,如以下 iOS 部分所述。有关启用 NAC 筛选器所需的其他设置的详细信息,请参阅网络访问控制

以下各节列出了前面每种连接类型的配置选项。

配置适用于 iOS 的 L2TP 协议

  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 共享密钥:键入 IPsec 共享密钥。
  • 发送所有流量:选择是否通过 VPN 发送所有流量。默认值为“”。

配置适用于 iOS 的 PPTP 协议

  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 加密级别:在列表中,选择一个加密级别。默认值为“”。
    • 无:不使用加密。
    • 自动:使用服务器支持的最强加密级别。
    • 最大值(128 位):始终使用 128 位加密。
  • 发送所有流量:选择是否通过 VPN 发送所有流量。默认值为“”。

配置适用于 iOS 的 IPsec 协议

  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“共享密钥”或“证书”。默认值为“共享密钥”。
  • 如果启用“共享密钥”,请配置以下设置:
    • 组名称:键入可选的组名称。
    • 共享密钥:键入可选的共享密钥。
    • 使用混合身份验证:选择是否使用混合身份验证。使用混合身份验证时,服务器首先向客户端进行身份验证,然后客户端向服务器进行身份验证。默认值为“”。
    • 提示输入密码:选择是否在用户连接到网络时提示他们输入密码。默认值为“”。
  • 如果启用“证书”,请配置以下设置:
    • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
    • 连接时提示输入 PIN:选择是否要求用户在连接到网络时输入其 PIN。默认值为“”。
    • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。
  • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。默认值为“”。
  • Safari 域:单击“添加”以添加 Safari 域名。

配置适用于 iOS 的 Cisco 旧版 AnyConnect 协议

要从 Cisco 旧版 AnyConnect 客户端过渡到新的 Cisco AnyConnect 客户端,请使用自定义 SSL 协议。

  • 提供程序捆绑包标识符:对于旧版 AnyConnect 客户端,捆绑包 ID 为 com.cisco.anyconnect.gui。
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 组:键入可选的组名称。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN:选择是否在用户连接到网络时提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。默认值为“”。
    • 提供程序类型:选择每应用 VPN 是作为“应用代理”还是作为“数据包隧道”提供。默认值为“应用代理”。
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域:键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 iOS 的 Juniper SSL 协议

  • 提供程序捆绑包标识符:如果您的每应用 VPN 配置文件具有具有多个相同类型 VPN 提供程序的应用的捆绑包标识符,请在此处指定要使用的提供程序。
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 领域:键入可选的领域名称。
  • 角色:键入可选的角色名称。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN:选择是否在用户连接到网络时提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。默认值为“”。
    • 提供程序类型:选择每应用 VPN 是作为“应用代理”还是作为“数据包隧道”提供。默认值为“应用代理”。
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域:键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 iOS 的 F5 SSL 协议

  • 提供程序捆绑包标识符:如果您的每应用 VPN 配置文件具有具有多个相同类型 VPN 提供程序的应用的捆绑包标识符,请在此处指定要使用的提供程序。
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN:选择是否在用户连接到网络时提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。
    • 提供程序类型:选择每应用 VPN 是作为“应用代理”还是作为“数据包隧道”提供。默认值为“应用代理”。
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域:键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 iOS 的 SonicWALL 协议

  • 提供程序捆绑包标识符:如果您的每应用 VPN 配置文件具有具有多个相同类型 VPN 提供程序的应用的捆绑包标识符,请在此处指定要使用的提供程序。
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 登录组或域:键入可选的登录组或域。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN:选择是否在用户连接到网络时提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。如果将此选项设置为“”,请配置以下设置:
    • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。
    • 提供程序类型:选择每应用 VPN 是作为“应用代理”还是作为“数据包隧道”提供。默认值为“应用代理”。
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域:键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 iOS 的 Ariba VIA 协议

  • 提供程序捆绑包标识符:如果您的每应用 VPN 配置文件具有具有多个相同类型 VPN 提供程序的应用的捆绑包标识符,请在此处指定要使用的提供程序。
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN:选择是否在用户连接到网络时提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN:选择是否在用户连接到网络时触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”设置为“”时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域:键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 iOS 的 IKEv2 协议

本节包含用于 IKEv2、AlwaysOn IKEv2 和 AlwaysOn IKEv2 双配置协议的设置。对于 AlwaysOn IKEv2 双配置协议,请为蜂窝网络和 Wi-Fi 网络配置所有这些设置。

  • 允许用户禁用自动连接:对于 AlwaysOn 协议。选择是否允许用户在其设备上关闭自动连接到网络。默认值为“”。

  • 服务器主机名或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。

  • 本地标识符:IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填项。

  • 远程标识符:VPN 服务器的 FQDN 或 IP 地址。此字段为必填项。

  • 设备身份验证:为此连接选择身份验证类型:共享密钥证书基于设备标识符的设备证书。默认值为共享密钥

    • 如果选择共享密钥,请键入可选的共享密钥。

    • 如果选择证书,请选择要使用的身份凭据。默认值为

    • 如果选择基于设备标识符的设备证书,请选择要使用的设备身份类型。默认值为 IMEI。要使用此选项,请使用 REST API 批量导入证书。请参阅使用 REST API 批量上传证书到 iOS 设备。仅当您选择 Always On IKEv2 时可用。

  • 启用扩展身份验证:选择是否启用扩展身份验证协议 (EAP)。如果选择,请键入用户帐户身份验证密码

  • 对等体检测间隔:选择联系对等设备的频率,以确保对等设备保持可达。默认值为。选项包括:

    • :禁用对等体检测。

    • :每 30 分钟联系对等体一次。

    • :每 10 分钟联系对等体一次。

    • :每 1 分钟联系对等体一次。

  • 禁用移动性和多宿主:选择是否禁用此功能。

  • 使用 IPv4/IPv6 内部子网属性:选择是否启用此功能。

  • 禁用重定向:选择是否禁用重定向。

  • 设备休眠时启用 NAT 保活:适用于 AlwaysOn 协议。保活数据包可维护 IKEv2 连接的 NAT 映射。当设备处于唤醒状态时,芯片会定期发送这些数据包。如果此设置处于开启状态,即使设备处于休眠状态,芯片也会发送保活数据包。Wi-Fi 上的默认间隔为 20 秒,蜂窝网络上的默认间隔为 110 秒。您可以通过 NAT 保活间隔参数更改间隔。

  • NAT 保活间隔(秒):默认为 20 秒。

  • 启用完全前向保密:选择是否启用此功能。

  • DNS 服务器 IP 地址:可选。DNS 服务器 IP 地址字符串列表。这些 IP 地址可以包含 IPv4 和 IPv6 地址的混合。单击添加以键入地址。

  • 域名:可选。隧道的首要域。

  • 搜索域:可选。用于完全限定单标签主机名的域字符串列表。

  • 将补充匹配域附加到解析器列表:可选。确定是否将补充匹配域列表添加到解析器的搜索域列表。默认值为

  • 补充匹配域:可选。用于确定哪些 DNS 查询应使用 DNS 服务器地址中的 DNS 解析器设置的域字符串列表。此密钥创建了一个拆分 DNS 配置,其中只有特定域中的主机通过隧道的 DNS 解析器进行解析。不在该列表中的域中的主机将通过系统的默认解析器进行解析。

如果此参数为空字符串,则该字符串为默认域。这是拆分隧道配置在主 DNS 服务器之前将所有 DNS 查询定向到 VPN DNS 服务器的方式。如果 VPN 隧道是网络的默认路由,则列出的 DNS 服务器将成为默认解析器。在这种情况下,将忽略补充匹配域列表。

  • IKE SA 参数子 SA 参数。为每个安全关联 (SA) 参数选项配置以下设置:

    • 加密算法:在列表中,选择要使用的 IKE 加密算法。默认值为 3DES

    • 完整性算法:在列表中,选择要使用的完整性算法。默认值为 SHA1-96

    • Diffie Hellman 组:在列表中,选择 Diffie Hellman 组编号。默认值为 2

    • IKE 生命周期(分钟):键入一个介于 10 和 1440 之间的整数,表示 SA 生命周期(重新密钥间隔)。默认值为 1440 分钟。

  • 服务例外:适用于 AlwaysOn 协议。服务例外是指不受 AlwaysOn VPN 限制的系统服务。配置以下服务例外设置:

    • 语音邮件:在列表中,选择如何处理语音邮件例外。默认值为允许流量通过隧道

    • AirPrint:在列表中,选择如何处理 AirPrint 例外。默认值为允许流量通过隧道

    • 允许来自 VPN 隧道外部的强制 Web 表单的流量:选择是否允许用户连接到 VPN 隧道外部的公共热点。默认值为

    • 允许来自 VPN 隧道外部的所有强制网络应用的流量:选择是否允许 VPN 隧道外部的所有热点网络应用。默认值为

    • 强制网络应用捆绑包标识符:对于用户被允许访问的每个热点网络应用捆绑包标识符,单击添加,然后键入热点网络应用捆绑包标识符。单击保存以保存应用捆绑包标识符。

  • 每应用 VPN。为 IKEv2 连接类型配置以下设置:

    • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为
    • 按需匹配应用已启用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。默认值为
    • Safari 域:单击添加以添加 Safari 域名。

  • 代理配置:选择 VPN 连接如何通过代理服务器路由。默认值为

配置适用于 iOS 的 Citrix SSO 协议

Citrix SSO 客户端可在 Apple Store 中获取:https://apps.apple.com/us/app/citrix-sso/id1333396910

  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为密码证书。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选的身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN:选择连接到网络时是否提示用户输入 PIN。默认值为
      • 启用按需 VPN:选择当用户连接到网络时是否启用触发 VPN 连接。默认值为。有关在启用按需 VPN设置为时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为。如果将此选项设置为,请配置以下设置:
    • 按需匹配应用已启用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。
    • 提供程序类型:选择每应用 VPN 是作为应用代理还是作为数据包隧道提供。默认值为应用代理
    • 提供程序类型:设置为数据包隧道
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击添加并执行以下操作:
      • :键入要添加的域。
      • 单击保存以保存域,或单击取消以不保存域。
  • 自定义 XML:对于要添加的每个自定义 XML 参数,单击添加并指定键/值对。可用参数包括:
    • disableL3:禁用系统级 VPN。仅允许每应用 VPN。不需要
    • useragent:将此设备策略与任何针对 VPN 插件客户端的 Citrix Gateway 策略关联。对于由插件启动的请求,此键的会自动添加到 VPN 插件中。

配置适用于 iOS 的自定义 SSL 协议

要从 Cisco Legacy AnyConnect 客户端过渡到 Cisco AnyConnect 客户端:

  1. 使用自定义 SSL 协议配置 VPN 设备策略。将策略部署到 iOS 设备。
  2. https://apps.apple.com/us/app/cisco-anyconnect/id1135064690 上传 Cisco AnyConnect 客户端,将应用添加到 XenMobile,然后将应用部署到 iOS 设备。
  3. 从 iOS 设备中删除旧的 VPN 设备策略。

设置:

  • 自定义 SSL 标识符(反向 DNS 格式):设置为捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 提供程序捆绑包标识符:如果自定义 SSL 标识符中指定的应用具有多个相同类型(应用代理或数据包隧道)的 VPN 提供程序,则指定此捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 服务器名称或 IP 地址:键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户:键入可选的用户帐户。
  • 连接的身份验证类型:在列表中,选择此连接的身份验证类型为密码证书。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选的身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据:在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN:选择连接到网络时是否提示用户输入 PIN。默认值为
      • 启用按需 VPN:选择当用户连接到网络时是否启用触发 VPN 连接。默认值为。有关在启用按需 VPN设置为时配置设置的信息,请参阅配置适用于 iOS 的按需 VPN 设置
  • 启用每应用 VPN:选择是否启用每应用 VPN。默认值为。如果将此选项设置为,请配置以下设置:
    • 按需匹配应用已启用:选择当链接到每应用 VPN 服务的应用启动网络通信时,每应用 VPN 连接是否自动触发。
    • 提供程序类型:提供程序类型指示提供程序是 VPN 服务还是代理服务。对于 VPN 服务,请选择数据包隧道。对于代理服务,请选择应用代理。对于 Cisco AnyConnect 客户端,请选择数据包隧道
    • Safari 域:对于要包含的每个可触发每应用 VPN 连接的 Safari 域,单击添加并执行以下操作:
      • :键入要添加的域。
      • 单击保存以保存域,或单击取消以不保存域。
  • 自定义 XML:对于要添加的每个自定义 XML 参数,单击添加并执行以下操作:
    • 参数名称:键入要添加的参数的名称。
    • :键入与参数名称关联的值。
    • 单击保存以保存参数,或单击取消以不保存参数。

配置 VPN 设备策略以支持 NAC

  1. 配置 NAC 筛选器需要 自定义 SSL连接类型
  2. 指定连接名称VPN
  3. 对于 自定义 SSL 标识符,键入 com.citrix.NetScalerGateway.ios.app
  4. 对于 提供程序捆绑包标识符,键入 com.citrix.NetScalerGateway.ios.app.vpnplugin

步骤 3 和 4 中的值来自 NAC 筛选所需的 Citrix SSO 安装。您无需配置身份验证密码。有关使用 NAC 功能的详细信息,请参阅网络访问控制

配置 iOS 的按需 VPN 选项

  • 按需域: 对于用户连接时要执行的每个域和关联操作,单击添加并执行以下操作:
  • 域: 键入要添加的域。
  • 操作: 在列表中选择以下可能的操作之一:
    • 始终建立: 该域始终触发 VPN 连接。
    • 从不建立: 该域从不触发 VPN 连接。
    • 必要时建立: 如果域名解析失败,该域会尝试触发 VPN 连接。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,会发生失败。
    • 单击保存以保存域,或单击取消以不保存域。
  • 按需规则
    • 操作: 在列表中,选择要执行的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许按需 VPN 在触发时连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接,并且只要规则匹配,就不再按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 数组。
      • 忽略: 保持任何现有 VPN 连接处于活动状态,但只要规则匹配,就不再按需重新连接。
    • DNSDomainMatch: 对于要添加的、设备的搜索域列表可以匹配的每个域,单击添加并执行以下操作:
      • DNS 域: 键入域名。您可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或单击取消以不保存域。
    • DNSServerAddressMatch: 对于要添加的、网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。您可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的任何 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或单击取消以不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,选择正在使用的主要网络接口硬件类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项是默认值。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 Wi-Fi 网络接口硬件。
      • 蜂窝网络: 仅匹配蜂窝网络接口硬件。
    • SSIDMatch: 对于要添加的、与当前网络匹配的每个 SSID,单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者 SSID 未出现,则匹配失败。将此列表留空以匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消以不保存 SSID。
    • URLStringProbe: 键入要获取的 URL。如果此 URL 成功获取且未重定向,则此规则匹配。
    • ActionParameters : Domains: 对于要添加的、EvaluateConnection 检查的每个域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或单击取消以不保存域。
    • ActionParameters : DomainAction: 在列表中,选择指定 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败,该域会尝试触发 VPN 连接。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,会发生失败。
      • NeverConnect: 该域从不触发 VPN 连接。
    • Action Parameters: RequiredDNSServers: 对于用于解析指定域的每个 DNS 服务器 IP 地址,单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需是设备当前网络配置的一部分。如果 DNS 服务器不可访问,则会建立 VPN 连接作为响应。此 DNS 服务器必须是内部 DNS 服务器或受信任的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或单击取消以不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入要探测的 HTTP 或 HTTPS(首选)URL,使用 GET 请求。如果 URL 的主机名无法解析、服务器不可访问或服务器无响应,则会建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML content: 键入或复制并粘贴按需规则的 XML 配置。
      • 单击检查字典以验证 XML 代码。如果 XML 有效,您将在 XML content 文本框下方看到绿色文本“有效 XML”。如果无效,您将看到橙色文本描述错误的错误消息。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接如何通过代理服务器路由。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填项。
        • 代理服务器的端口: 键入代理服务器端口号。此字段为必填项。
        • 用户名: 键入可选的代理服务器用户名。
        • 密码: 键入可选的代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填项。
  • 策略设置
    • 策略设置下,在删除策略旁边,选择选择日期删除前持续时间(小时)
    • 如果选择选择日期,请单击日历以选择要删除的具体日期。
    • 允许用户删除策略列表中,选择始终需要密码从不
    • 如果选择需要密码,请在删除密码旁边,键入所需的密码。

配置每应用 VPN

iOS 的每应用 VPN 选项适用于以下连接类型:Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix VPN、Citrix SSO 和 Custom SSL。

要配置每应用 VPN:

  1. 配置 > 设备策略 中,创建 VPN 策略。例如:

    设备策略配置屏幕

    设备策略配置屏幕

  2. 配置 > 设备策略 中,创建应用属性策略以将应用与每应用 VPN 策略关联。对于 每应用 VPN 标识符,选择在步骤 1 中创建的 VPN 策略名称。对于 托管应用捆绑包 ID,从应用列表中选择或键入应用捆绑包 ID。(如果部署 iOS 应用清单策略,则应用列表包含应用。)

    设备策略配置屏幕

  • 策略设置
    • 删除策略: 选择一种方法来安排策略删除。可用选项包括选择日期删除前持续时间(小时)
      • 选择日期: 单击日历以选择要删除的具体日期。
      • 删除前持续时间(小时): 键入一个数字(以小时为单位),直到策略删除。仅适用于 iOS 6.0 及更高版本。

macOS 设置

设备策略配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择此连接要使用的协议。默认值为 L2TP。
    • L2TP: 带有预共享密钥身份验证的第 2 层隧道协议。
    • PPTP: 点对点隧道协议。
    • IPSec: 您的企业 VPN 连接。
    • Cisco AnyConnect: Cisco AnyConnect VPN 客户端。
    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks 虚拟 Internet 访问客户端。
    • Citrix VPN: Citrix VPN 客户端。
    • Custom SSL: 自定义安全套接字层。

以下部分列出了上述每种连接类型的配置选项。

配置 macOS 的 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 共享密钥: 键入 IPsec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为关闭

配置 macOS 的 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 加密级别: 选择所需的加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大 (128 位):始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为关闭

配置 macOS 的 IPsec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“共享密钥”或“证书”。默认值为“共享密钥”。
    • 如果启用“共享密钥”身份验证,请配置以下设置:
      • 组名称: 键入可选的组名称。
      • 共享密钥: 键入可选的共享密钥。
      • 使用混合身份验证: 选择是否使用混合身份验证。使用混合身份验证时,服务器首先向客户端进行身份验证,然后客户端向服务器进行身份验证。默认值为“”。
      • 提示输入密码: 选择当用户连接到网络时是否提示他们输入密码。默认值为“”。
    • 如果启用“证书”身份验证,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否要求他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 选项

配置适用于 macOS 的 Cisco AnyConnect 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 组: 键入可选的组名称。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 选项
    • 启用按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
      • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。默认值为“”。
      • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
        • 域: 键入要添加的域。
        • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 macOS 的 Juniper SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 领域: 键入可选的领域名称。
  • 角色: 键入可选的角色名称。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 设置
  • 启用按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。默认值为“”。
    • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 macOS 的 F5 SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 设置
  • 启用按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。默认值为“”。
    • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 macOS 的 SonicWALL Mobile Connect 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 登录组或域: 键入可选的登录组或域。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 设置
  • 启用按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。默认值为“”。
    • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 macOS 的 Ariba VIA 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选的用户帐户。
  • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 设置
  • 启用按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。默认值为“”。
    • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。

配置适用于 macOS 的自定义 SSL 协议

  • 自定义 SSL 标识符(反向 DNS 格式): 键入反向 DNS 格式的 SSL 标识符。此字段为必填项。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。此字段为必填项。
  • 用户帐户: 键入可选的用户帐户。
    • 连接的身份验证类型: 在列表中,为该连接的身份验证类型选择“密码”或“证书”。默认值为“密码”。
    • 如果启用“密码”,请在“身份验证密码”字段中键入可选的身份验证密码。
    • 如果启用“证书”,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为“”。
      • 连接时提示输入 PIN: 选择当用户连接到网络时是否提示他们输入 PIN。默认值为“”。
      • 启用按需 VPN: 选择当用户连接到网络时是否启用触发 VPN 连接。默认值为“”。有关在“启用按需 VPN”为“”时配置设置的信息,请参阅配置按需 VPN 设置
    • 按应用 VPN: 选择是否启用按应用 VPN。默认值为“”。如果启用此选项,请配置以下设置:
      • 启用按需匹配应用: 选择当链接到按应用 VPN 服务的应用启动网络通信时,按应用 VPN 连接是否自动触发。
      • Safari 域: 对于要包含的每个可触发按应用 VPN 连接的 Safari 域,单击“添加”并执行以下操作:
        • 域: 键入要添加的域。
        • 单击“保存”以保存域,或单击“取消”以不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,单击“添加”并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与“参数名称”关联的值。
    • 单击“保存”以保存域,或单击“取消”以不保存域。

配置按需 VPN 选项

  • 按需域: 对于要添加的每个域以及用户连接到这些域时要执行的关联操作,单击“添加”并执行以下操作:
    • 域: 键入要添加的域。
    • 操作: 在列表中选择以下可能的操作之一:
      • 始终建立: 域始终触发 VPN 连接。
      • 从不建立: 域从不触发 VPN 连接。
      • 必要时建立: 如果域名解析失败,则域会触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,会发生故障。
    • 单击“保存”以保存域,或单击“取消”以不保存域。
  • 按需规则
    • 操作: 在列表中,选择要执行的操作。默认值为“EvaluateConnection”。可能的操作包括:
      • 允许: 允许按需 VPN 在触发时连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接,并且只要规则匹配,就不再按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 数组。
      • 忽略: 保留任何现有 VPN 连接,但只要规则匹配,就不再按需重新连接。
    • DNS 域匹配: 对于要添加的每个用户设备的搜索域列表可以匹配的域,单击“添加”并执行以下操作:
      • DNS 域: 键入域名。您可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击“保存”以保存域,或单击“取消”以不保存域。
    • DNS 服务器地址匹配: 对于要添加的每个网络中任何指定的 DNS 服务器可以匹配的 IP 地址,单击“添加”并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。您可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的任何 DNS 服务器。
      • 单击“保存”以保存 DNS 服务器地址,或单击“取消”以不保存 DNS 服务器地址。
    • 接口类型匹配: 在列表中,单击正在使用的主要网络接口硬件的类型。默认值为“未指定”。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项为默认值。
      • 以太网: 仅匹配以太网网络接口硬件。
      • Wi-Fi: 仅匹配 Wi-Fi 网络接口硬件。
      • 蜂窝: 仅匹配蜂窝网络接口硬件。
    • SSID 匹配: 对于要添加的每个要与当前网络匹配的 SSID,单击“添加”并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者 SSID 未出现,则匹配失败。将此列表留空以匹配任何 SSID。
      • 单击“保存”以保存 SSID,或单击“取消”以不保存 SSID。
    • URL 字符串探测: 键入要获取的 URL。如果此 URL 成功获取且未重定向,则此规则匹配。
    • ActionParameters : 域: 对于要添加的每个 EvaluateConnection 检查的域,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。
    • ActionParameters : 域操作: 在列表中,选择指定 ActionParameters : 域VPN 行为。默认值为“ConnectIfNeeded”。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败,则域会触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,会发生故障。
      • NeverConnect: 域从不触发 VPN 连接。
    • Action Parameters: 所需 DNS 服务器: 对于要添加的每个用于解析指定域的 DNS 服务器 IP 地址,单击“添加”并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需是设备当前网络配置的一部分。如果 DNS 服务器不可访问,则会建立 VPN 连接作为响应。此 DNS 服务器必须是内部 DNS 服务器或受信任的外部 DNS 服务器。
      • 单击“保存”以保存 DNS 服务器,或单击“取消”以不保存 DNS 服务器。
    • ActionParameters : 所需 URL 字符串探测: (可选)键入要使用 GET 请求探测的 HTTP 或 HTTPS(首选)URL。如果 URL 的主机名无法解析、服务器不可访问或服务器无响应,则会建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML 内容: 键入或复制并粘贴 XML 配置按需规则。
      • 单击“检查字典”以验证 XML 代码。如果 XML 有效,您将在“XML 内容”文本框下方看到绿色文本“有效 XML”。如果无效,您将看到橙色文本中描述错误的错误消息。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接如何通过代理服务器路由。默认值为“”。
      • 如果启用“手动”,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填项。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填项。
        • 用户名: 键入可选的代理服务器用户名。
        • 密码: 键入可选的代理服务器密码。
      • 如果配置“自动”,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填项。

Android 设置

设备策略配置屏幕

配置适用于 Android 的 Cisco AnyConnect VPN 协议

  • 连接名称: 键入 Cisco AnyConnect VPN 连接的名称。此字段为必填项。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的名称或 IP 地址。此字段为必填项。
  • 身份凭据: 在列表中,选择身份凭据。
  • 备份 VPN 服务器: 键入备份 VPN 服务器信息。
  • 用户组: 键入用户组信息。
  • 受信任网络
    • 自动 VPN 策略: 启用或禁用此选项以设置 VPN 如何响应受信任和不受信任的网络。如果启用,请配置以下设置:
      • 受信任网络策略: 在列表中,选择所需的策略。默认值为“断开连接”。可能的选项包括:
        • 断开连接: 客户端在受信任网络中终止 VPN 连接。此设置为默认值。
        • 连接: 客户端在受信任网络中启动 VPN 连接。
        • 不执行任何操作: 客户端不执行任何操作。
        • 暂停: 当用户在受信任网络外部建立 VPN 会话,然后进入配置为受信任的网络时,VPN 会话将暂停。当用户再次离开受信任网络时,会话将恢复。此设置消除了在离开受信任网络后建立新 VPN 会话的需要。
      • 不受信任网络策略: 在列表中,选择所需的策略。默认值为“连接”。可能的选项包括:
        • 连接: 客户端在不受信任网络中启动 VPN 连接。
        • 不执行任何操作: 客户端在不受信任网络中启动 VPN 连接。此选项禁用始终开启的 VPN。
    • 受信任域: 对于客户端位于受信任网络中时网络接口具有的每个域后缀,单击“添加”并执行以下操作:
      • 域: 键入要添加的域。
      • 单击“保存”以保存域,或单击“取消”以不保存域。
    • 受信任服务器: 对于客户端位于受信任网络中时网络接口具有的每个服务器地址,单击“添加”并执行以下操作:
      • 服务器: 键入要添加的服务器。
      • 单击“保存”以保存服务器,或单击“取消”以不保存服务器。

配置适用于 Android 的 Citrix SSO 协议

  • 连接名称: 键入 VPN 连接的名称。此字段为必填项。

  • 服务器名称或 IP 地址: 键入 Citrix Gateway 的 FQDN 或 IP 地址。

  • 连接的身份验证类型: 选择一种身份验证类型,并填写该类型出现的任何字段:

    • 用户名密码: 键入密码密码和证书身份验证类型的 VPN 凭据。可选。如果您不提供 VPN 凭据,Citrix VPN 应用程序将提示您输入用户名和密码。

    • 身份凭据: 出现在证书密码和证书身份验证类型中。在列表中,选择一个身份凭据。

  • 启用每应用 VPN: 选择是否启用每应用 VPN。如果您不启用每应用 VPN,所有流量都将通过 Citrix VPN 隧道。如果您启用每应用 VPN,请指定以下设置。默认值为关闭

    • 白名单黑名单: 如果为白名单,则所有允许的应用程序都将通过此 VPN 隧道。如果为黑名单,则除阻止列表上的应用程序外,所有应用程序都将通过此 VPN 隧道。

      注意:

      XenMobile® Server 控制台包含“黑名单”和“白名单”术语。我们将在即将发布的版本中将这些术语更改为“阻止列表”和“允许列表”。

    • 应用程序列表: 指定允许或阻止的应用程序。单击添加,然后键入一个逗号分隔的应用程序包名称列表。

  • 自定义 XML: 单击添加,然后键入自定义参数。XenMobile 支持 Citrix VPN 的以下参数:

    • DisableUserProfiles: 可选。要启用此参数,请在中键入。如果启用,XenMobile 不会显示用户添加的 VPN 连接,并且用户无法添加连接。此设置是全局限制,适用于所有 VPN 配置文件。
    • userAgent: 字符串值。您可以指定一个自定义用户代理字符串,以在每个 HTTP 请求中发送。指定的自定义用户代理字符串将附加到现有的 Citrix VPN 用户代理。

配置 VPN 以支持 NAC

  1. 使用自定义 SSL连接类型来配置 NAC 筛选器。
  2. 连接名称指定为 VPN
  3. 对于自定义 XML,单击添加并执行以下操作:
    • 参数名称: 键入 XenMobileDeviceId。此字段是用于基于 XenMobile 中的设备注册进行 NAC 检查的设备 ID。如果 XenMobile 注册并管理设备,则允许 VPN 连接。否则,在建立 VPN 时将拒绝身份验证。
    • 值: 键入 DeviceID_${device.id},这是参数 XenMobileDeviceId 的值。
    • 单击保存以保存参数。

配置适用于 Android Enterprise 的 VPN

要配置适用于 Android Enterprise 设备的 VPN,请为 Citrix SSO 应用程序创建托管配置设备策略。请参阅配置适用于 Android Enterprise 的 VPN 配置文件

Android Enterprise 设置

设备策略配置屏幕

  • 启用始终开启的 VPN: 选择 VPN 是否始终开启。默认值为关闭。启用后,VPN 连接将保持开启状态,直到用户手动断开连接。
  • VPN 包: 键入设备使用的 VPN 应用程序的包名称。
  • 启用锁定: 如果禁用,则在 VPN 连接不存在时,任何应用程序都无法访问网络。如果启用,则您在以下设置中配置的应用程序可以访问网络,即使 VPN 连接不存在。适用于 Android 10 及更高版本的设备。
  • 从锁定中排除的应用程序: 单击添加以键入要绕过锁定设置的应用程序的包名称。

Windows 桌面/平板电脑设置

设备策略配置屏幕

  • 连接名称: 输入连接的名称。此字段为必填项。
  • 配置文件类型: 在列表中,选择本机插件。默认值为本机
  • 配置本机配置文件类型: 这些设置适用于内置于用户 Windows 设备中的 VPN。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填项。
    • 记住凭据: 选择是否缓存凭据。默认值为关闭。启用后,凭据将尽可能缓存。
    • DNS 后缀: 键入 DNS 后缀。
    • 隧道类型: 在列表中,选择要使用的 VPN 隧道类型。默认值为 L2TP。可能的选项包括:
      • L2TP: 带有预共享密钥身份验证的第 2 层隧道协议。
      • PPTP: 点对点隧道协议。
      • IKEv2: Internet 密钥交换版本 2。
    • 身份验证方法: 在列表中,选择要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP: 可扩展身份验证协议。
      • MSChapV2: 使用 Microsoft 的质询握手身份验证进行相互身份验证。当您为隧道类型选择 IKEv2 时,此选项不可用。
    • EAP 方法: 在列表中,选择要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时,此字段不可用。可能的选项包括:
      • TLS: 传输层安全性。
      • PEAP: 受保护的可扩展身份验证协议。
    • 受信任的网络: 键入一个逗号分隔的网络列表,这些网络不需要 VPN 连接即可访问。例如,当用户位于公司无线网络上时,他们可以直接访问受保护的资源。
    • 需要智能卡证书: 选择是否需要智能卡证书。默认值为关闭
    • 自动选择客户端证书: 选择是否自动选择用于身份验证的客户端证书。默认值为关闭。启用需要智能卡证书时,此选项不可用。
    • 始终开启的 VPN: 选择 VPN 是否始终开启。默认值为关闭。启用后,VPN 连接将保持开启状态,直到用户手动断开连接。
    • 本地旁路: 键入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件配置文件类型: 这些设置适用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填项。
    • 记住凭据: 选择是否缓存凭据。默认值为关闭。启用后,凭据将尽可能缓存。
    • DNS 后缀: 键入 DNS 后缀。
    • 客户端应用程序 ID: 键入 VPN 插件的包系列名称。
    • 插件配置文件 XML: 单击浏览并导航到文件位置,选择要使用的自定义 VPN 插件配置文件。有关格式和详细信息,请联系插件提供商。
    • 受信任的网络: 键入一个逗号分隔的网络列表,这些网络不需要 VPN 连接即可访问。例如,当用户位于公司无线网络上时,他们可以直接访问受保护的资源。
    • 始终开启的 VPN: 选择 VPN 是否始终开启。默认值为关闭。启用后,VPN 连接将保持开启状态,直到用户手动断开连接。
    • 本地旁路: 键入地址和端口号,以允许本地资源绕过代理服务器。
VPN 设备策略
April 16, 2026
投稿者: 
C
April 16, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.