Citrix Endpoint Management

VPN 设备策略

VPN 设备策略用于配置虚拟专用网络 (VPN) 设置,这些设置使用户设备能够安全地连接到企业网络。可以为以下平台配置 VPN 设备策略。每种平台需要一组不同的值,本文将对此进行详细介绍。

要添加或配置此策略,请转到配置 > 设备策略。有关详细信息,请参阅设备策略

注意:

适用于 Android 和 iOS 的 Citrix SSO 现在被称为 Citrix Secure Access。我们正在更新文档以反映此次更名。

PerApp VPN 的要求

可以通过 VPN 策略为以下平台配置 PerApp VPN 功能:

  • iOS
  • macOS
  • Android(旧版 DA)

对于 Android Enterprise,请使用“托管配置”设备策略配置 VPN 配置文件。

PerApp VPN 选项可用于某些连接类型。下表显示了 PerApp VPN 选项何时可用。

平台 连接类型 备注
iOS Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix SSO 或 Custom SSL。  
macOS Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA 或 Custom SSL。  
Android(旧版 DA) Citrix SSO  

要使用 Citrix SSO 应用程序为 iOS 和 Android(旧版 DA)设备创建 PerApp VPN,除配置 VPN 策略外,还需要执行其他步骤。此外,必须验证是否满足以下必备条件:

  • 本地 NetScaler Gateway
  • 设备上安装了以下应用程序:
    • Citrix SSO
    • Citrix Secure Hub

使用 Citrix SSO 应用程序为 iOS 和 Android 设备配置 PerApp VPN 的一般工作流程如下:

  1. 按本文中所述配置 VPN 设备策略。

  2. 将 Citrix ADC 配置为接受来自 PerApp VPN 的流量。有关详细信息,请参阅 NetScaler Gateway 上的完整 VPN 设置

iOS 设置

适用于 iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12。执行以下步骤以删除现有 VPN 设备策略并创建具有 Citrix SSO 连接类型的 VPN 设备策略:

  1. 删除适用于 iOS 的 VPN 设备策略。
  2. 使用以下设置添加适用于 iOS 的 VPN 设备策略:
    • 连接类型: Citrix SSO
    • 启用 PerApp VPN:
    • 提供程序类型: 数据包通道
  3. 添加适用于 iOS 的“应用程序属性”设备策略。对于 PerApp VPN 标识符,请选择 iOS_VPN

“设备策略”配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择将用于此连接的协议。默认值为 L2TP
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco Legacy AnyConnect: 此连接类型要求在用户设备上安装 Cisco Legacy AnyConnect VPN 客户端。Cisco 正在分阶段淘汰基于现已弃用的 VPN 框架的 Cisco Legacy AnyConnect 客户端。

      要使用当前的 Cisco AnyConnect 客户端,请使用连接类型自定义 SSL。对于必需的设置,请参阅本节中的“配置自定义 SSL 协议”。

    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • IKEv2(仅限 iOS): 仅限适用于 iOS 的 Internet 密钥交换 2 版。
    • AlwaysOn IKEv2: 总是使用 IKEv2 进行访问。
    • AlwaysOn IKEv2 双配置: 总是使用 IKEv2 双配置进行访问。
    • Citrix SSO: 适用于 iOS 12 及更高版本的 Citrix SSO 客户端。
    • 自定义 SSL: 自定义安全套接字层。捆绑包 ID 为 com.cisco.anyconnect 的 Cisco AnyConnect 客户端需要使用此连接类型。指定连接名称Cisco AnyConnect。还可以部署 VPN 策略并为 iOS 设备启用网络访问控制 (NAC) 过滤器。该过滤器阻止安装了不合规应用程序的设备建立 VPN 连接。配置需要 iOS VPN 策略的特定设置,如下面的 iOS 部分中所述。有关启用 NAC 过滤器所需的其他设置的详细信息,请参阅网络访问控制

以下各节列出了前面每种连接类型的配置选项。

为 iOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 共享机密: 键入 IPsec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证
  • 加密级别: 在列表中,选择一种加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大值(128 位): 始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 IPsec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择共享机密证书以选择此连接的身份验证类型。默认值为共享机密
  • 如果启用共享机密,请配置以下设置:
    • 组名称: 键入可选组名称。
    • 共享机密: 键入可选共享密钥。
    • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
    • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
  • 如果启用证书,请配置以下设置:
    • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
    • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
    • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为
  • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
  • Safari 域: 单击添加可添加 Safari 域名。

为 iOS 配置 Cisco 旧版 AnyConnect 协议

要从 Cisco 旧版 AnyConnect 客户端转换到新的 Cisco AnyConnect 客户端,请使用自定义 SSL 协议。

  • 提供程序捆绑包标识符: 对于 Legacy AnyConnect 客户端,捆绑包 ID 为 com.cisco.anyconnect.gui。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 包括所有网络: 选择是否允许所有网络使用此连接。默认值为
  • 排除本地网络: 选择不允许本地网络使用连接,还是允许本地网络使用连接。默认值为
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用程序: 选择当链接到 PerApp VPN 服务的应用程序开始网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Juniper SSL 协议

  • 提供商捆绑标识符: 如果您的 PerApp VPN 配置文件具有多个相同类型的 VPN 提供商的应用程序的捆绑标识符,请在此处指定要使用的提供商。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
  • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
  • 如果启用证书,请配置以下设置:
    • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
    • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
    • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
    • 域: 键入要添加的域。
  • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 F5 SSL 协议

  • 提供商捆绑标识符: 如果您的 PerApp VPN 配置文件具有多个相同类型的 VPN 提供商的应用程序的捆绑标识符,请在此处指定要使用的提供商。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 SonicWALL 协议

  • 提供商捆绑标识符: 如果您的 PerApp VPN 配置文件具有多个相同类型的 VPN 提供商的应用程序的捆绑标识符,请在此处指定要使用的提供商。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Ariba VIA 协议

  • 提供商捆绑标识符: 如果您的 PerApp VPN 配置文件具有多个相同类型的 VPN 提供商的应用程序的捆绑标识符,请在此处指定要使用的提供商。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 IKEv2 协议

本节包括用于 IKEv2、始终启用的 IKEv2 和始终启用的 IKEv2 双配置协议的设置。对于始终启用的 IKEv2 双配置协议,请为手机网络和 Wi-Fi 网络配置所有这些设置。

  • 允许用户禁用自动连接: 面向始终启用的协议。选择是否允许用户禁用与其设备上的网络的自动连接。默认值为

  • 服务器的主机名或 IP 地址: 键入 VPN 服务器的主机名或 IP 地址。

  • 本地标识符: IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填字段。

  • 远程标识符: VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。

  • 设备身份验证: 为此连接的身份验 类型选择 共享密钥证书或基于设备标识符 的设备证书。默认值为共享机密

    • 如果选择共享机密,请键入可选共享密钥。

    • 如果选择证书,请选择要使用的身份凭据。默认值为

    • 如果选择基于设备标识符的设备证书,请选择要使用的设备标识类型。默认值为 IMEI。要使用此选项,请使用 REST API 批量导入证书。请参阅使用 REST API 批量上载证书。仅当您选择 Always On IKEv2(始终启用的 IKEv2)时才可用。

  • 已启用扩展身份验证: 选择是否启用扩展身份验证协议 (EAP)。如果设置为,请键入用户帐户身份验证密码

  • 失效对等设备检测间隔: 选择联系对等设备的频率,以确保对等设备保持可访问状态。默认值为。选项包括:

    • 无: 禁用失效对等体检测。

    • 低: 每 30 分钟联系一次对等体。

    • 中: 每 10 分钟联系一次对等体。

    • 高: 1 分钟联系一次对等体。

  • 禁用移动性和多宿主: 选择是否禁用此功能。

  • 使用 IPv4/IPv6 内部子网属性: 选择是否启用此功能。

  • 禁用重定向: 选择是否禁用重定向。

  • 启用回退: 如果启用,此设置将允许通道通过蜂窝移动数据传输符合 Wi-Fi 助理的条件且需要 VPN 的流量。默认设置为

  • 设备在睡眠状态下启用 NAT 保持连接: 面向始终启用的协议。保持连接数据包维护 IKEv2 连接的 NAT 映射。芯片在设备处于唤醒状态时定期发送这些数据包。如果此设置设为开,即使设备处于睡眠状态时,芯片也会发送保持连接数据包。通过 Wi-Fi 传输时,默认时间间隔为 20 秒,通过手机网络传输时为 110秒。可以使用 NAT 保持连接时间间隔参数更改时间间隔。

  • NAT 保持连接时间间隔(秒): 默认值为 20 秒。

  • 启用完全向前保密: 选择是否启用此功能。

  • DNS 服务器 IP 地址: 可选。DNS 服务器 IP 地址字符串的列表。这些 IP 地址可以包括 IPv4 和 IPv6 地址的混合。单击添加可键入地址。

  • 域名: 可选。通道的主域。

  • 搜索域: 可选。用于完全限定单标签主机名的域字符串的列表。

  • 将补充匹配域附加到解析程序列表: 可选。确定是否将补充匹配域列表添加到解析程序的搜索域列表。默认值为

  • 补充匹配域: 可选。域字符串列表,用于确定哪些 DNS 查询应使用 DNS 服务器地址中的 DNS 解析器设置。此键将创建一个拆分 DNS 配置,在该配置中,只有某些域中的主机才能使用通道的 DNS 解析程序进行解析。不在此列表的其中一个域中的主机将使用系统的默认解析程序进行解析。

如果此参数有一个空字符串,则该字符串是默认域。因此,拆分通道配置可以将所有 DNS 查询先定向到 VPN DNS 服务器,然后再定向到主 DNS 服务器。如果 VPN 通道为网络的默认路由,列出的 DNS 服务器将成为默认解析程序。在这种情况下,补充匹配域列表将被忽略。

  • IKE SA 参数子 SA 参数: 为每个安全关联 (SA) 参数选项配置以下设置:

    • 加密算法: 在此列表中,选择要使用的 IKE 加密算法。默认值为 3DES

    • 完整性算法: 在列表中,选择要使用的完整性算法。默认值为 SHA-256

    • Diffie Hellman 组: 在列表中,选择 Diffie Hellman 组号。默认值为 2

    • IKE 生存时间(分钟): 键入 10 至 1440 之间的整数,表示 SA 生存时间(重新生成密钥时间间隔)。默认值为 1440 分钟。

  • 服务异常: 面向始终启用的协议。服务异常是指不通过始终启用的 VPN 运行的系统服务。请配置以下服务异常设置:

    • 语音邮件: 在列表中,选择处理语音邮件异常的方式。默认值为允许通过通道传输流量

    • AirPrint: 在列表中,选择处理 AirPrint 异常的方式。默认值为允许通过通道传输流量

    • 允许在 VPN 通道外部传输来自强制 Web 表格的流量: 选择是否允许用户在 VPN 通道外部连接到公共热点。默认值为

    • 允许在 VPN 通道外部传输来自所有强制联网应用程序的流量: 选择是否允许在 VPN 通道外部打开所有热点网络应用程序。默认值为

    • 强制联网应用程序捆绑包标识符: 对于允许用户访问的每个热点网络应用程序捆绑包标识符,单击添加并键入热点网络应用程序捆绑包标识符。单击保存以保存该应用程序捆绑包标识符。

  • PerApp VPN: 为 IKEv2 连接类型配置这些设置。

    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 单击添加可添加 Safari 域名。
  • 代理配置: 选择 VPN 连接通过代理服务器进行路由的方式。默认值为

为 iOS 配置 Citrix SSO 协议

Citrix SSO 客户端可从 Apple Store 获取。

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 选择 PerApp VPN 是作为应用程序代理还是作为数据包通道提供。默认设置为应用程序代理
    • 提供程序类型: 设置为数据包通道
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并指定键/值对。可用参数如下:
    • disableL3: 禁用系统级 VPN。仅允许使用 PerApp VPN。不需要任何
    • 用户代理: 将任何针对 VPN 插件客户机的 NetScaler Gateway 策略与该设备策略相关联。对于由插件发起的请求,此密钥的会自动添加到 VPN 插件中。

为 iOS 配置自定义 SSL 协议

要从 Cisco Legacy AnyConnect 客户端转换为 Cisco AnyConnect 客户端,请执行以下操作:

  1. 通过自定义 SSL 协议配置 VPN 设备策略。将该策略部署到 iOS 设备。
  2. 从上载 Cisco AnyConnect 客户端 https://apps.apple.com/us/app/cisco-secure-client/id1135064690,将应用程序添加到 Citrix Endpoint Management,然后将应用程序部署到 iOS 设备。
  3. 从 iOS 设备中删除旧 VPN 设备策略。

设置:

  • 自定义 SSL 标识符(反向 DNS 格式): 设置为捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 提供程序捆绑包标识符: 如果在自定义 SSL 标识符中指定的应用程序具有多个类型相同(应用程序代理或数据包通道)的 VPN 提供程序,请指定此捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置 iOS 的按需启用 VPN 设置
  • 包括所有网络: 选择是否允许所有网络使用此连接。默认值为
  • 排除本地网络: 选择不允许本地网络使用连接,还是允许本地网络使用连接。默认值为
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
    • 提供程序类型: 提供程序类型指示提供程序是 VPN 服务还是代理服务。对于 VPN 服务,请选择数据包通道。对于代理服务,请选择应用程序代理。对于 Cisco AnyConnect 客户端,请选择数据包通道
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存参数,或者单击取消不保存参数。

配置 VPN 设备策略以支持 NAC

  1. 配置 NAC 过滤器所需的连接类型自定义 SSL
  2. 指定连接名称VPN
  3. 对于自定义 SSL 标识符,请键入 com.citrix.NetScalerGateway.ios.app
  4. 对于提供程序捆绑包标识符,请键入 com.citrix.NetScalerGateway.ios.app.vpnplugin

步骤 3 和 4 中的值来自于 NAC 筛选所需的 Citrix SSO 安装。请勿配置身份验证密码。有关使用 NAC 功能的详细信息,请参阅网络访问控制

为 iOS 配置“按需启用 VPN”选项

  • 按需域: 对于每个域以及当用户连接时要执行的关联操作,请单击添加并执行以下操作:
  • 域: 键入要添加的域。
  • 操作: 在列表中,选择其中一项可能采取的操作:
    • 始终建立: 域始终触发 VPN 连接。
    • 从不建立: 域从不触发 VPN 连接。
    • 必要时建立: 如果域名解析失败,域将触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,就会发生故障。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,选择要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于要添加且设备的搜索域列表可以与之匹配的每个域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,选择使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项是默认选项。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 Wi-Fi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者 SSID 未出现,则匹配失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,选择指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败,域将触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,就会发生故障。
      • NeverConnect: 域从不触发 VPN 连接。
    • 操作参数: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入 DNS 服务器 IP 地址。此服务器可能不在设备的当前网络配置中。如果无法访问 DNS 服务器,则会建立 VPN 连接作为响应。确保 DNS 服务器是内部 DNS 服务器或可信外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名、服务器无法访问或者服务器不响应,则建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules:XML 内容: 键入或复制粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,有效 XML 将显示在 XML 内容文本框下方。如果无效,系统将显示一条错误消息来描述该错误。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。仅适用于 iOS 6.0 及更高版本。

配置 PerApp VPN

iOS 的 PerApp VPN 选项适用于以下连接类型:Cisco 旧版 AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix VPN、Citrix SSO 和自定义 SSL。

要配置 PerApp VPN,请执行以下操作:

  1. 配置 > 设备策略中,创建 VPN 策略。例如:

    “设备策略”配置屏幕

    “设备策略”配置屏幕

  2. 配置 > 设备策略中,创建应用程序属性策略以将应用程序与 PerApp VPN 策略相关联。对于 PerApp VPN 标识符,请选择在步骤 1 中创建的 VPN 策略的名称。对于托管应用程序捆绑包 ID,请从应用程序列表中进行选择,或者键入应用程序捆绑包 ID。(如果您部署 iOS 应用程序清单策略,则应用程序列表中包含应用程序。)

    “设备策略”配置屏幕

macOS 设置

“设备策略”配置屏幕

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,选择将用于此连接的协议。默认值为 L2TP。
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco AnyConnect: Cisco AnyConnect VPN 客户端。
    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • Citrix VPN: Citrix VPN 客户端。
    • 自定义 SSL: 自定义安全套接字层。

以下各节列出了前面每种连接类型的配置选项。

为 macOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 共享机密: 键入 IPsec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecurID 身份验证Kerberos 身份验证CryptoCard 身份验证。默认值为密码身份验证
  • 加密级别: 选择所需的加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大值(128 位):始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 IPsec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择共享机密证书以选择此连接的身份验证类型。默认值为共享机密
    • 如果启用共享机密身份验证,请配置以下设置:
      • 组名称: 键入可选组名称。
      • 共享机密: 键入可选共享密钥。
      • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
      • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
    • 如果启用证书身份验证,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 选项

为 macOS 配置 Cisco AnyConnect 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 选项
    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 启用按需匹配应用程序: 选择当链接到 PerApp VPN 服务的应用程序开始网络通信时,是否自动触发 PerApp VPN 连接。默认值为
      • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Juniper SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 F5 SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 启用按需匹配应用程序: 选择当链接到 PerApp VPN 服务的应用程序开始网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 SonicWALL 移动连接协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Ariba VIA 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。默认值为
    • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置自定义 SSL 协议

  • 自定义 SSL 标识符(反向 DNS 格式): 以反向 DNS 格式键入 SSL 标识符。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。此字段为必填字段。
  • 用户帐户: 键入可选用户帐户。
    • 连接的身份验证类型: 在列表中,选择密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在“按需启用 VPN”处于状态时配置设置的信息,请参阅配置按需启用 VPN 设置
    • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,PerApp VPN 连接是否自动触发。
      • Safari 域: 对于每个 Safari 域,只要能触发您想要加入的 PerApp VPN 连接,请单击“添加”,然后执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存域,或者单击取消不保存域。

配置“按需启用 VPN”选项

  • 按需域: 对于要添加的每个域以及当用户与之连接时要执行的关联操作,请单击添加并执行以下操作:
    • 域: 键入要添加的域。
    • 操作: 在列表中,选择其中一项可能采取的操作:
      • 始终建立: 域始终触发 VPN 连接。
      • 从不建立: 域从不触发 VPN 连接。
      • 必要时建立: 如果域名解析失败,域将触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,就会发生故障。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,选择要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于设备的搜索域列表可以与之匹配的域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,单击使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。此选项是默认选项。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 Wi-Fi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 Wi-Fi 网络,或者 SSID 未出现,则匹配失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,选择指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败,域将触发 VPN 连接尝试。当 DNS 服务器无法解析域、重定向到其他服务器或超时时,就会发生故障。
      • NeverConnect: 域从不触发 VPN 连接。
    • 操作参数: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器 IP 地址。此服务器可能不在设备的当前网络配置中。如果无法访问 DNS 服务器,则会建立 VPN 连接作为响应。此 DNS 服务器必须为内部 DNS 服务器或可信的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名、无法访问服务器或服务器没有响应,则建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules:XML 内容: 键入或复制并粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,有效 XML 将显示在 XML 内容文本框下方。如果无效,系统将显示一条错误消息来描述该错误。
  • 代理
    • 代理配置: 在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。
    • 允许用户删除策略: 可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。
    • 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在 macOS 10.7 及更高版本中可用。

Android(旧版 DA)设置

“设备策略”配置屏幕

为 Android 配置 Cisco AnyConnect VPN 协议

  • 连接名称: 输入 Cisco AnyConnect VPN 连接的名称。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的名称或 IP 地址。此字段为必填字段。
  • 身份凭据: 在列表中,选择身份凭据。
  • 备份 VPN 服务器: 键入备份 VPN 服务器信息。
  • 用户组: 键入用户组信息。
  • 可信网络
    • 自动 VPN 策略: 启用或禁用此选项,以设置 VPN 响应可信网络和不可信网络的方式。如果启用,请配置以下设置:
      • 可信网络策略: 在列表中,选择所需的策略。默认值为断开连接。可能的选项包括:
        • 断开连接: 客户端终止可信网络中的 VPN 连接。这是默认设置。
        • 连接: 客户端在可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端不执行任何操作。
        • 暂停: 用户在可信网络外部建立 VPN 会话,然后进入配置为可信的网络时,VPN 会话将挂起。用户再次离开可信网络时,会话恢复。此设置无需在离开可信网络后建立新的 VPN 会话。
      • 不可信网络策略: 在列表中,选择所需的策略。默认值为连接。可能的选项包括:
        • 连接: 客户端在不可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端在不可信网络中启动 VPN 连接。此选项禁用永远在线的 VPN。
    • 可信域: 对于客户端位于可信网络时网络接口拥有的每个域后缀,请单击添加以执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • 可信服务器: 对于客户端位于可信网络时网络接口拥有的每个服务器地址,请单击添加并执行以下操作:
      • 服务器: 键入要添加的服务器。
      • 单击保存以保存服务器,或者单击取消不保存服务器。

为 Android 配置 Citrix SSO 协议

  • 连接名称: 键入 VPN 连接的名称。此字段为必填字段。

  • 服务器名称或 IP 地址: 键入 NetScaler Gateway 的 FQDN 或 IP 地址。

  • 连接的身份验证类型: 选择身份验证类型并填写针对该类型显示的以下字段中的任何字段:

    • 用户名密码: 键入身份验证类型密码密码和证书的 VPN 凭据。可选。如果未提供 VPN 凭据,Citrix VPN 应用程序将提示输入用户名和密码。

    • 身份凭据: 针对身份验证类型证书密码和证书显示。在列表中,选择身份凭据。

  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。如果您不启用 PerApp VPN,则所有流量都将通过 Citrix VPN 通道。如果您启用 PerApp VPN,请指定以下设置。默认值为

    • 允许列表阻止列表: 如果选择允许列表,则允许列表中的所有应用程序都通过此 VPN 传输。如果选择阻止列表,除阻止列表通道中的应用程序以外的所有应用程序都将通过此 VPN 传输。
    • 应用程序列表: 允许列表或阻止列表中的应用程序。单击添加,然后键入以逗号分隔的应用程序软件包名称的列表。
  • 自定义 XML: 单击“添加”,然后键入自定义参数。Citrix Endpoint Management 支持 Citrix VPN 的以下参数:

    • DisableUserProfiles: 可选。要启用此参数,请键入 Yes 作为。如果启用,Citrix Endpoint Management 不显示用户添加的 VPN 连接,用户也无法添加连接。此设置属于全局限制,适用于所有 VPN 配置文件。
    • userAgent: 字符串值。可以指定要在每个 HTTP 请求中发送的自定义用户代理字符串。指定的用户代理字符串附加到现有 Citrix VPN 用户代理。
    • IsAlwaysOnVpn: 可选。此属性确定 VPN 配置文件是否为始终启用的 VPN 配置文件。设置为“”以指示 VPN 配置文件是“始终启用”的 VPN 配置文件,默认为“”。只有一个 VPN 配置文件可以将此属性设置为“”,以便始终启用的 VPN 能够可靠地运行。

配置 VPN 以支持 NAC

  1. 使用连接类型自定义 SSL 配置 NAC 过滤器。
  2. 指定连接名称VPN
  3. 对于自定义 XML,请单击添加并执行以下操作:
    • 参数名称: 键入 XenMobileDeviceId。此字段是根据 Citrix Endpoint Management 中的设备注册情况用于 NAC 检查的设备 ID。如果 Citrix Endpoint Management 注册并管理设备,则允许 VPN 连接。否则,在 VPN 建立时将拒绝身份验证。
    • 值: 键入 DeviceID_${device.id},该值是参数 XenMobileDeviceId 的值。
    • 单击保存保存参数。

为 Android Enterprise 配置 VPN

要为 Android 企业设备配置 VPN,请为 Citrix SSO 应用程序创建 Android Enterprise 托管配置设备策略。请参阅 为 Android Enterprise 配置 VPN 配置文件。

Android Enterprise 设置

“设备策略”配置屏幕

  • 启用始终启用的 VPN: 选择 VPN 是否始终处于开启状态。默认值为。启用后,VPN 连接将保持打开状态,直到用户手动断开连接。
  • VPN 包 键入 VPN 应用程序设备使用的软件包名称。
  • 启用锁定: 如果禁用,如果 VPN 连接不存在,则没有应用程序可以访问网络。如果启用,即使 VPN 连接不存在,您在以下设置中配置的应用程序也可以访问网络。适用于 Android 10 及更高版本的设备。
  • 排除在锁定范围内的应用程序: 单击“添加”键入要绕过锁定设置的应用程序的软件包名称。

Windows Desktop/Tablet 设置

“设备策略”配置屏幕

  • 连接名称: 输入连接的名称。此字段为必填字段。
  • 配置文件类型: 在列表中,选择本机插件。默认值为本机
  • 配置本机配置文件类型: 这些设置应用于内置于用户 Windows 设备上的 VPN。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 通道类型: 在列表中,选择要使用的 VPN 通道类型。默认值为 L2TP。可能的选项包括:
      • L2TP: 使用预共享密钥身份验证的第二层通道协议。
      • PPTP: 点对点通道。
      • IKEv2: Internet 密钥交换第 2 版。
    • 身份验证方法: 在列表中,选择要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP: 扩展身份验证协议。
      • MSChapV2: 使用 Microsoft 的质询-握手身份验证协议相互验证身份。当您为隧道类型选择 IKEv2 时,此选项不可用。
    • EAP 方法: 在列表中,选择要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时,此字段不可用。可能的选项包括:
      • TLS: 传输层安全性
      • PEAP: 受保护的可扩展身份验证协议
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 需要智能卡证书: 选择是否需要智能卡证书。默认值为
    • 自动选择客户端证书: 选择是否自动选择用于身份验证的客户端证书。默认值为。启用需要智能卡证书时此选项不可用。
    • 始终启用的 VPN: 选择是否始终启用的 VPN。默认值为。启用后,VPN 连接将保持打开状态,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件配置文件类型: 这些设置适用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 客户端应用程序 ID: 键入 VPN 插件的软件包系列名称。
    • 插件配置文件 XML: 单击浏览并导航到要使用的自定义 VPN 插件配置文件所在位置,选择此文件。有关格式及详细信息,请联系插件提供商。
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 始终启用的 VPN: 选择是否始终启用的 VPN。默认值为。启用后,VPN 连接将保持打开状态,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。

Amazon 设置

“设备策略”配置屏幕

  • 连接名称: 输入连接的名称。
  • VPN 类型: 选择连接类型。可能的选项包括:
    • L2TP PSK: 使用预共享密钥身份验证的第二层通道协议。这是默认设置。
    • L2TP RSA: 使用 RSA 身份验证的第二层通道协议。
    • IPSEC XAUTH PSK: 使用预共享密钥和扩展身份验证的 Internet 协议安全性。
    • IPSEC HYBRID RSA: 使用混合 RSA 身份验证的 Internet 协议安全性。
    • PPTP: 点对点通道。

以下各节列出了前面每种连接类型的配置选项。

为 Amazon 配置 L2TP PSK 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • L2TP 密钥: 键入共享密钥。
  • IPSec 标识符: 键入用户连接时在其设备上看到的 VPN 连接的名称。
  • IPSec 预共享密钥: 键入密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

配置适用于 Amazon 的 L2TP RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • L2TP 密钥: 键入共享密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,选择要使用的服务器证书。
  • CA 证书: 在列表中,选择要使用的 CA 证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC XAUTH PSK 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • IPSec 标识符: 键入用户连接时在其设备上看到的 VPN 连接的名称。
  • IPSec 预共享密钥: 键入共享密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC AUTH RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,选择要使用的服务器证书。
  • CA 证书: 在列表中,选择要使用的 CA 证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC HYBRID RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,选择要使用的服务器证书。
  • CA 证书: 在列表中,选择要使用的 CA 证书。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

配置适用于 Amazon 的 PPTP 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • PPP 加密(MPPE): 选择是否使用 Microsoft 点对点加密 (MPPE) 进行数据加密。默认值为
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。
VPN 设备策略