VPN 设备策略

可以在 XenMobile 中添加一个设备策略,用于配置虚拟专用网络 (VPN) 设置,使用户设备安全地连接到企业网络。可以为以下平台配置 VPN 策略。每种平台需要一组不同的值,本文将对此进行详细介绍。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕图

重要:

准备将设备升级到 iOS 12:适用于 iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12。删除您的 VPN 设备策略,然后创建使用 Citrix SSO 连接类型的新 VPN 设备策略。

删除 VPN 设备策略后,Citrix VPN 连接将继续在以前部署的设备中运行。在用户注册期间,您的新 VPN 设备策略配置将在 XenMobile Server 10.9 中生效。

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,单击将用于此连接的协议。默认值为 L2TP
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco Legacy AnyConnect: 此连接类型要求在用户设备上安装 Cisco Legacy AnyConnect VPN 客户端。Cisco 正在分阶段淘汰基于现已弃用的 VPN 框架的 Cisco Legacy AnyConnect 客户端。有关详细信息,请参阅 XenMobile 支持文章https://support.citrix.com/article/CTX227708

      要使用当前的 Cisco AnyConnect 客户端,请使用连接类型自定义 SSL。对于必需的设置,请参阅本节中的“配置自定义 SSL 协议”。

    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • IKEv2(仅限 iOS): 仅限适用于 iOS 的 Internet 密钥交换 2 版。
    • Citrix VPN: 适用于 iOS 的 Citrix VPN 客户端。
    • 自定义 SSL: 自定义安全套接字层。捆绑包 ID 为 com.cisco.anyconnect 的 Cisco AnyConnect 客户端需要使用此连接类型。指定连接名称Cisco AnyConnect

以下各节列出了前面每种连接类型的配置选项。

为 iOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecureID 身份验证
  • 共享机密: 键入 IPSec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecureID 身份验证
  • 加密级别: 在列表中,单击加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大(128 位): 始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 iOS 配置 IPSec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击共享机密证书以选择此连接的身份验证类型。默认值为共享机密
  • 如果启用共享机密,请配置以下设置:
    • 组名称: 键入可选组名称。
    • 共享机密: 键入可选共享密钥。
    • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
    • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
  • 如果启用证书,请配置以下设置:
    • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
    • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
    • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅在 iOS 9.0 及更高版本中可用。
  • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
  • Safari 域: 单击添加可添加 Safari 域名。

为 iOS 配置 Cisco Legacy AnyConnect 协议

要从 Cisco Legacy AnyConnect 客户端转换到新的 Cisco AnyConnect 客户端,请使用自定义 SSL 协议。

  • 提供程序捆绑包标识符: 对于 Legacy AnyConnect 客户端,捆绑包 ID 为 com.cisco.anyconnect.gui。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Juniper SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 F5 SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 SonicWALL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 Ariba VIA 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 iOS 配置 IKEv2 协议

本节包括用于 IKEv2、AlwaysOn IKEv2 和 AlwaysOn IKEv2 双配置协议的设置。

  • 允许用户禁用自动连接: 面向 AlwaysOn 协议。选择是否允许用户关闭与其设备上的网络的自动连接。默认值为

  • 服务器的主机名或 IP 地址: 键入 VPN 服务器的主机名或 IP 地址。

  • 本地标识符: IKEv2 客户端的 FQDN 或 IP 地址。此字段为必填字段。

  • 远程标识符: VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。

  • 计算机身份验证: 选择共享机密证书作为此连接的身份验证类型。默认值为共享机密

    • 如果选择共享机密,请键入可选共享密钥。

    • 如果选择证书,请选择要使用的身份凭据。默认值为

  • 已启用扩展身份验证: 选择是否启用扩展身份验证协议 (EAP)。如果选择,请键入用户帐户身份验证密码。(iOS 8.0 及更高版本)

  • 失效对等体检测时间间隔: 选择联系对等设备以确保对等设备仍可访问的频率。默认值为。选项包括:(iOS 8.0 及更高版本)

    • 无: 禁用失效对等体检测。

    • 低: 每 30 分钟联系一次对等体。

    • 中: 每 10 分钟联系一次对等体。

    • 高: 1 分钟联系一次对等体。

  • 禁用移动性和多宿主: 选择是否禁用此功能。(iOS 9.0+)

  • 使用 IPv4/IPv6 内部子网属性: 选择是否启用此功能。(iOS 9.0+)

  • 禁用重定向: 选择是否禁用重定向。(iOS 9.0+)

  • 设备在睡眠状态下启用 NAT 保持连接: 面向 AlwaysOn 协议。保持连接数据包维护 IKEv2 连接的 NAT 映射。芯片在设备处于唤醒状态时定期发送这些数据包。如果此设置设为开,即使设备处于睡眠状态时,芯片也会发送保持连接数据包。通过 WiFi 传输时,默认时间间隔为 20 秒,通过手机网络传输时为 110秒。可以使用 NAT 保持连接时间间隔参数更改时间间隔。(iOS 9.0+)

  • NAT 保持连接时间间隔(秒): 默认值为 20 秒。(iOS 9.0+)

  • 启用完全向前保密: 选择是否启用此功能。(iOS 9.0+)

  • DNS 服务器 IP 地址: 可选。DNS 服务器 IP 地址字符串的列表。这些 IP 地址可以包括 IPv4 和 IPv6 地址的混合。单击添加可键入地址。

  • 域名: 可选。通道的主域。(iOS 10.0+)

  • 搜索域: 可选。用于完全限定单标签主机名的域字符串的列表。

  • 将补充匹配域附加到解析程序列表: 可选。确定是否将补充匹配域列表中的域附加到解析程序的搜索域的列表。0 表示附加;1 表示不附加。默认值为 0

  • 补充匹配域: 可选。用于确定要使用 DNS 服务器地址中包含的 DNS 解析程序设置的 DNS 查询的域字符串的列表。此键将创建一个拆分 DNS 配置,在该配置中,只有某些域中的主机才能使用通道的 DNS 解析程序进行解析。不在此列表的其中一个域中的主机将使用系统的默认解析程序进行解析。

如果此参数包含一个空字符串,该字符串将用作默认域。这说明了拆分通道配置如何将所有 DNS 查询先定向到 VPN DNS 服务器,然后再定向到主 DNS 服务器。如果 VPN 通道成为网络的默认路由,列出的 DNS 服务器将成为默认解析程序。在这种情况下,补充匹配域列表将被忽略。

  • IKE SA 参数Child SA 参数。为每个安全关联 (SA) 参数选项配置以下设置:

    • 加密算法: 在此列表中,单击要使用的 IKE 加密算法。默认值为 3DES

    • 完整性算法: 在列表中,单击要使用的完整性算法。默认值为 SHA1-96

    • Diffie Hellman 组: 在列表中,单击 Diffie Hellman 组号。默认值为 2

    • 生存时间(分钟): 键入 10 至 1440 之间的整数,表示 SA 生存时间(重新生成密钥时间间隔)。默认值为 1440 分钟。

  • 服务异常: 面向 AlwaysOn 协议。服务异常是指不通过 AlwaysOn VPN 运行的系统服务。请配置以下服务异常设置:

    • 语音邮件: 在列表中,单击处理语音邮件异常的方式。默认值为允许通过通道传输流量

    • AirPrint: 在列表中,单击处理 AirPrint 异常的方式。默认值为允许通过通道传输流量

    • 允许在 VPN 通道外部传输来自强制 Web 表格的流量: 选择是否允许用户在 VPN 通道外部连接到公共热点。默认值为

    • 允许在 VPN 通道外部传输来自所有强制联网应用程序的流量: 选择是否允许在 VPN 通道外部打开所有热点网络应用程序。默认值为

    • 强制联网应用程序捆绑包标识符: 对于允许用户访问的每个热点网络应用程序捆绑包标识符,单击添加并键入热点网络应用程序捆绑包标识符。单击保存以保存该应用程序捆绑包标识符。

  • PerApp VPN。为 IKEv2 连接类型配置这些设置。

    • 启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅在 iOS 9.0 及更高版本中可用。
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 单击添加可添加 Safari 域名。
  • 代理配置: 选择 VPN 连接通过代理服务器进行路由的方式。默认值为

为 iOS 配置 Citrix VPN 协议

Citrix VPN 客户端可从 Apple Store 的此处获取。

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并指定键/值对。可用参数如下:
    • disableL3: 禁用系统级 VPN。仅允许使用 PerApp VPN。不需要任何
    • useragent: 将目标为 VPN 插件客户端的任何 NetScaler 策略与此设备策略相关联。此键的会自动附加到 VPN 插件发起的请求的该插件。

为 iOS 配置自定义 SSL 协议

要从 Cisco Legacy AnyConnect 客户端转换为 Cisco AnyConnect 客户端,请执行以下操作:

  1. 通过自定义 SSL 协议配置 VPN 设备策略。将该策略部署到 iOS 设备。
  2. https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8 上载 Cisco AnyConnect 客户端,将该应用程序添加到 XenMobile Server,然后再将其部署到 iOS 设备。
  3. 从 iOS 设备中删除旧 VPN 设备策略。

设置:

  • 自定义 SSL 标识符(反向 DNS 格式): 设置为捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 提供程序捆绑包标识符: 如果在自定义 SSL 标识符中指定的应用程序具有多个类型相同(应用程序代理或数据包通道)的 VPN 提供程序,请指定此捆绑包标识符。对于 Cisco AnyConnect 客户端,请使用 com.cisco.anyconnect
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 iOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果将此选项设置为“开”,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • 提供程序类型: 提供程序类型指示提供程序是 VPN 服务还是代理服务。对于 VPN 服务,请选择数据包通道。对于代理服务,请选择应用程序代理。对于 Cisco AnyConnect 客户端,请选择数据包通道
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存参数,或者单击取消不保存参数。

为 iOS 配置“按需启用 VPN”选项

  • 按需域: 对于要添加的每个域以及当用户与之连接时要执行的关联操作,请单击添加并执行以下操作:
  • 域: 键入要添加的域。
  • 操作: 在列表中,单击其中一项可能采取的操作:
    • 始终建立: 域始终触发 VPN 连接。
    • 从不建立: 域从不触发 VPN 连接。
    • 必要时建立: 如果域名解析失败(如 DNS 服务器无法解析域、重定向到其他服务器或超时时),域触发 VPN 连接尝试。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,单击要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于要添加且设备的搜索域列表可以与之匹配的每个域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,单击使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。这是默认值。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 WiFi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 WiFi 网络,或者如果 SSID 未出现,匹配将失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,单击指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败(如 DNS 服务器无法解析域、重定向到其他服务器或超时时),域触发 VPN 连接尝试。
      • NeverConnect: 域从不触发 VPN 连接。
    • ActionParameters: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需属于设备的当前网络配置。如果无法访问 DNS 服务器,作为响应,将建立 VPN 连接。此 DNS 服务器应该为内部 DNS 服务器或可信的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名,如果无法访问服务器,或者如果服务器不使用 200 HTTP 状态代码响应,作为响应,将建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML content: 键入或复制并粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,将在 XML 内容文本框的下面显示绿色字体的“有效 XML”;否则,将看到描述错误的黄色错误消息。
  • 代理
    • 代理配置: 在列表中,单击 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 策略设置下方的删除策略旁边,单击选择日期删除前的持续时间(小时)
    • 如果单击选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,单击始终需要密码从不
    • 如果单击需要密码,在 Removal password(删除密码)旁边,键入必需的密码。

配置 PerApp VPN

iOS 的 PerApp VPN 选项适用于以下连接类型:Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix VPN 和自定义 SSL。

要配置 PerApp VPN,请执行以下操作:

  1. 配置 > 设备策略中,创建 VPN 策略。例如:

    “设备策略”配置屏幕图

    “设备策略”配置屏幕图

    Secure Hub 的 PerApp VPN 策略具有以下设置要求:

    • 连接名称: 设置为 XenMobile。XenMobile 使用该连接名称作为 VPN 提供程序本地化的说明。Secure Hub 使用 VPN 本地化的说明来区分设备范围内的提供程序与每应用提供程序。

    • 连接类型: 设置为自定义 SSL

    • 自定义 SSL 标识符: 设置为 Secure Hub 的捆绑包标识符。

    • 提供程序捆绑包标识符: 设置为 Secure Hub 网络扩展名的捆绑包标识符。该捆绑包标识符是 Secure Hub 的捆绑包标识符,在自定义 SSL 标识符中指定,并附加 .NE

    • 提供程序类型: 设置为数据包通道

  2. 配置 > 设备策略中,创建应用程序属性策略以将应用程序与 PerApp VPN 策略相关联。对于 PerApp VPN 标识符,请选择在步骤 1 中创建的 VPN 策略的名称。对于托管应用程序捆绑包 ID,请从应用程序列表中进行选择,或者键入应用程序捆绑包 ID。(如果部署了 iOS 的应用程序清单策略,应用程序列表将包含应用程序。)

    “设备策略”配置屏幕图

macOS 设置

“设备策略”配置屏幕图

  • 连接名称: 键入连接的名称。
  • 连接类型: 在列表中,单击将用于此连接的协议。默认值为 L2TP。
    • L2TP: 使用预共享密钥身份验证的第二层通道协议。
    • PPTP: 点对点通道。
    • IPSec: 企业 VPN 连接。
    • Cisco AnyConnect: Cisco AnyConnect VPN 客户端。
    • Juniper SSL: Juniper Networks SSL VPN 客户端。
    • F5 SSL: F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect: 适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA: Ariba Networks Virtual Internet Access 客户端。
    • Citrix VPN: Citrix VPN 客户端。
    • 自定义 SSL: 自定义安全套接字层。

以下各节列出了前面每种连接类型的配置选项。

为 macOS 配置 L2TP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecureID 身份验证Kerberos 身份验证CryptoCard 身份验证之一。默认值为密码身份验证
  • 共享机密: 键入 IPSec 共享密钥。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 PPTP 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 选择密码身份验证RSA SecureID 身份验证Kerberos 身份验证CryptoCard 身份验证之一。默认值为密码身份验证
  • 加密级别: 选择所需的加密级别。默认值为
    • 无: 不使用加密。
    • 自动: 使用服务器支持的最强加密级别。
    • 最大(128 位): 始终使用 128 位加密。
  • 发送所有流量: 选择是否通过 VPN 发送所有流量。默认值为

为 macOS 配置 IPSec 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击共享机密证书以选择此连接的身份验证类型。默认值为共享机密
    • 如果启用共享机密身份验证,请配置以下设置:
      • 组名称: 键入可选组名称。
      • 共享机密: 键入可选共享密钥。
      • 使用混合身份验证: 选择是否使用混合身份验证。利用混合身份验证,服务器首先向客户端验证自己的身份,然后客户端向服务器验证自己的身份。默认值为
      • 提示输入密码: 选择是否在用户连接到网络时提示用户输入其密码。默认值为
    • 如果启用证书身份验证,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在连接到网络时需要用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置

为 macOS 配置 Cisco AnyConnect 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 组: 键入可选组名称。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
    • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
      • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Juniper SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 领域: 键入可选领域名称。
  • 角色: 键入可选角色名称。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 F5 SSL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 SonicWALL 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 登录组或域: 键入可选登录组或域。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Ariba VIA 协议

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置 Citrix VPN 协议

Citrix VPN 客户端可从 Apple Store 的此处获取。

  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。
  • 用户帐户: 键入可选用户帐户。
  • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
  • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅适用于 iOS 7.0 及更高版本。如果启用此选项,请配置以下设置:
    • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
    • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并指定键/值对。可用参数如下:
    • disableL3: 禁用系统级 VPN。仅允许使用 PerApp VPN。不需要任何
    • useragent: 将目标为 VPN 插件客户端的任何 NetScaler 策略与此设备策略相关联。此键的会自动附加到 VPN 插件发起的请求的该插件。

为 macOS 配置自定义 SSL 协议

  • 自定义 SSL 标识符(反向 DNS 格式): 以反向 DNS 格式键入 SSL 标识符。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的服务器名称或 IP 地址。此字段为必填字段。
  • 用户帐户: 键入可选用户帐户。
    • 连接的身份验证类型: 在列表中,单击密码证书以选择此连接的身份验证类型。默认值为密码
    • 如果启用密码,请在身份验证密码字段中键入可选身份验证密码。
    • 如果启用证书,请配置以下设置:
      • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
      • 连接时提示输入 PIN: 选择是否在用户连接到网络时提示用户输入其 PIN。默认值为
      • 按需启用 VPN: 选择是否在用户连接到网络时启用触发 VPN 连接。默认值为。有关在按需启用 VPN 设置为时配置设置的信息,请参阅为 macOS 配置“按需启用 VPN”设置
    • PerApp VPN: 选择是否启用 PerApp VPN。默认值为。如果启用此选项,请配置以下设置:
      • 按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。
      • Safari 域: 对于要包含的可以触发 PerApp VPN 连接的每个 Safari 域,单击添加并执行以下操作:
        • 域: 键入要添加的域。
        • 单击保存以保存域,或者单击取消不保存域。
  • 自定义 XML: 对于要添加的每个自定义 XML 参数,请单击添加并执行以下操作:
    • 参数名称: 键入要添加的参数的名称。
    • 值: 键入与参数名称关联的值。
    • 单击保存以保存域,或者单击取消不保存域。

为 macOS 配置“按需启用 VPN”选项

  • 按需域: 对于要添加的每个域以及当用户与之连接时要执行的关联操作,请单击添加并执行以下操作:
    • 域: 键入要添加的域。
    • 操作: 在列表中,单击其中一项可能采取的操作:
      • 始终建立: 域始终触发 VPN 连接。
      • 从不建立: 域从不触发 VPN 连接。
      • 必要时建立: 如果域名解析失败(如 DNS 服务器无法解析域、重定向到其他服务器或超时时),域触发 VPN 连接尝试。
    • 单击保存以保存域,或者单击取消不保存域。
  • 按需规则
    • 操作: 在列表中,单击要采取的操作。默认值为 EvaluateConnection。可能的操作包括:
      • 允许: 允许在触发时 VPN 按需进行连接。
      • 连接: 无条件启动 VPN 连接。
      • 断开连接: 删除 VPN 连接并且在规则匹配时不按需重新连接。
      • EvaluateConnection: 评估每个连接的 ActionParameters 阵列。
      • 忽略: 保持任何现有 VPN 连接,并且在规则匹配时不按需重新连接。
    • DNSDomainMatch: 对于要添加且用户设备的搜索域列表可以与之匹配的每个域,请单击添加并执行以下操作:
      • DNS 域: 键入域名。可以使用通配符“*”前缀来匹配多个域。例如,*.example.com 匹配 mydomain.example.com、yourdomain.example.com 和 herdomain.example.com。
      • 单击保存以保存域,或者单击取消不保存域。
    • DNSServerAddressMatch: 对于要添加且网络的任何指定 DNS 服务器可以匹配的每个 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器地址: 键入要添加的 DNS 服务器地址。可以使用通配符“*”后缀来匹配 DNS 服务器。例如,17.* 匹配 A 类子网中的所有 DNS 服务器。
      • 单击保存以保存 DNS 服务器地址,或者单击取消不保存 DNS 服务器地址。
    • InterfaceTypeMatch: 在列表中,单击使用的主要网络接口硬件的类型。默认值为未指定。可能的值包括:
      • 未指定: 匹配任何网络接口硬件。这是默认值。
      • 以太网: 仅匹配以太网网络接口硬件。
      • WiFi: 仅匹配 WiFi 网络接口硬件。
      • 手机网络: 仅匹配手机网络网络接口硬件。
    • SSIDMatch: 对于要添加且匹配当前网络的每个 SSID,请单击添加并执行以下操作。
      • SSID: 键入要添加的 SSID。如果网络不是 WiFi 网络,或者如果 SSID 未出现,匹配将失败。将此列表留空可匹配任何 SSID。
      • 单击保存以保存 SSID,或单击取消不保存 SSID。
    • URLStringProbe: 键入要提取的 URL。如果此 URL 在未经重定向的情况下成功提取,此规则匹配。
    • ActionParameters : Domains: 对于要添加且 EvaluateConnection 检查的每个域,请单击添加并执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • ActionParameters : DomainAction: 在列表中,单击指定的 ActionParameters : Domains 域的 VPN 行为。默认值为 ConnectIfNeeded。可能的操作包括:
      • ConnectIfNeeded: 如果域名解析失败(如 DNS 服务器无法解析域、重定向到其他服务器或超时时),域触发 VPN 连接尝试。
      • NeverConnect: 域从不触发 VPN 连接。
    • ActionParameters: RequiredDNSServers: 对于要用于解析指定域的每个 DNS 服务器 IP 地址,请单击添加并执行以下操作:
      • DNS 服务器: 仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。键入要添加的 DNS 服务器。此服务器无需属于设备的当前网络配置。如果无法访问 DNS 服务器,作为响应,将建立 VPN 连接。此 DNS 服务器应该为内部 DNS 服务器或可信的外部 DNS 服务器。
      • 单击保存以保存 DNS 服务器,或者单击取消不保存 DNS 服务器。
    • ActionParameters : RequiredURLStringProbe: (可选)键入使用 GET 请求探查的 HTTP 或 HTTPS(首选)URL。如果无法解析 URL 的主机名,如果无法访问服务器,或者如果服务器不使用 200 HTTP 状态代码响应,作为响应,将建立 VPN 连接。仅当 ActionParameters : DomainAction = ConnectIfNeeded 时有效。
    • OnDemandRules : XML 内容: 键入或复制并粘贴 XML 按需配置规则。
      • 单击检查字典验证 XML 代码。如果 XML 有效,将在 XML 内容文本框的下面显示绿色字体的“有效 XML”;否则,将看到描述错误的黄色错误消息。
  • 代理
    • 代理配置: 在列表中,单击 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,请配置以下设置:
        • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。
        • 用户名: 键入可选代理服务器用户名。
        • 密码: 键入可选代理服务器密码。
      • 如果配置自动,请配置以下设置:
        • 代理服务器 URL: 键入代理服务器的 URL。此字段为必填字段。

Android 设置

“设备策略”配置屏幕图

为 Android 配置 Citrix VPN 协议

  • 连接名称: 键入 VPN 连接的名称。此字段为必填字段。

  • 服务器名称或 IP 地址: 键入 NetScaler Gateway 的 FQDN 或 IP 地址。

  • 连接的身份验证类型: 选择身份验证类型并填写针对该类型显示的以下字段中的任何字段:

    • 用户名密码: 键入身份验证类型密码密码和证书的 VPN 凭据。可选。如果未提供 VPN 凭据,Citrix VPN 应用程序将提示输入用户名和密码。

    • 身份凭据: 针对身份验证类型证书密码和证书显示。

  • 启用 PerApp VPN: 选择是否启用 PerApp VPN。如果未启用 PerApp VPN,所有流量都将通过 Citrix VPN 通道传输。如果启用 PerApp VPN,请指定以下设置。默认值为

    • 白名单黑名单: 选择一项设置。如果选择白名单,白名单通道中的所有应用程序都将通过此 VPN 传输。如果选择黑名单,除黑名单通道中的应用程序以外的所有应用程序都将通过此 VPN 传输。

    • 应用程序列表: 指定加入白名单或黑名单中的应用程序。单击添加,然后键入以逗号分隔的应用程序软件包名称的列表。

  • 自定义 XML: 单击添加,然后键入自定义参数。XenMobile 支持 Citrix VPN 的以下参数:

    • disableL3Mode: 可选。要启用此参数,请键入 Yes 作为。如果启用了此参数,XenMobile 将不显示用户添加的 VPN 连接,并且用户无法添加新连接。这是一项全局限制,适用于所有 VPN 配置文件。

    • userAgent: 字符串值。可以指定要在每个 HTTP 请求中发送的自定义用户代理字符串。指定的用户代理字符串附加到现有 Citrix VPN 用户代理。

为 Android 配置 Cisco AnyConnect VPN 协议

  • 连接名称: 输入 Cisco AnyConnect VPN 连接的名称。此字段为必填字段。
  • 服务器名称或 IP 地址: 键入 VPN 服务器的名称或 IP 地址。此字段为必填字段。
  • 备份 VPN 服务器: 键入备份 VPN 服务器信息。
  • 用户组: 键入用户组信息。
  • 身份凭据: 在列表中,选择身份凭据。
  • 可信网络
    • 自动 VPN 策略: 启用或禁用此选项,以设置 VPN 响应可信网络和不可信网络的方式。如果启用,请配置以下设置:
      • 可信网络策略: 在列表中,单击所需的策略。默认值为断开连接。可能的选项包括:
        • 断开连接: 客户端终止可信网络中的 VPN 连接。这是默认值。
        • 连接: 客户端在可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端不执行任何操作。
        • 暂停: 用户在可信网络外部建立 VPN 会话后进入配置为可信的网络时,挂起 VPN 会话(而不是断开会话的连接)。用户再次离开可信网络时,会话恢复。这样无需在离开可信网络后建立新的 VPN 会话。
      • 不可信网络策略: 在列表中,单击所需的策略。默认值为连接。可能的选项包括:
        • 连接: 客户端在不可信网络中启动 VPN 连接。
        • 不执行任何操作: 客户端在不可信网络中启动 VPN 连接。此选项将禁用始终启用 VPN。
    • 可信域: 对于客户端位于可信网络时网络接口可能具有的每个域后缀,请单击添加以执行以下操作:
      • 域: 键入要添加的域。
      • 单击保存以保存域,或者单击取消不保存域。
    • 可信服务器: 对于客户端位于可信网络时网络接口可能具有的每个服务器地址,请单击添加并执行以下操作:
      • 服务器: 键入要添加的服务器。
      • 单击保存以保存服务器,或者单击取消不保存服务器。

配置 Samsung SAFE 设置

“设备策略”配置屏幕图

  • 连接名称: 键入连接的名称。
  • VPN 类型: 在列表中,单击将用于此连接的协议。默认值为使用预共享密钥的 L2TP。可能的选项包括:
    • 使用预共享密钥的 L2TP: 使用预共享密钥身份验证的第二层通道协议。此为默认设置。
    • 使用证书的 L2TP: 使用证书的第二层通道协议。
    • PPTP: 点对点通道。
    • 企业: 企业 VPN 连接。适用于 SAFE 2.0 之前的版本。
    • 通用: 通用 VPN 连接。适用于 SAFE 2.0 或更高版本。

为 Samsung SAFE 配置使用预共享密钥的 L2TP 协议

  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • 预共享密钥: 键入预共享密钥。必须使用此选项。

为 Samsung SAFE 配置使用证书的 L2TP 协议

  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为

为 Samsung SAFE 配置 PPTP 协议

  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • 启用加密: 选择是否在 VPN 连接上启用加密。

为 Samsung SAFE 配置企业协议

  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 启用备份服务器: 选择是否启用备份 VPN 服务器。如果启用,请在备份 VPN 服务器上,键入备份 VPN 服务器的 FQDN 或 IP 地址。
  • 启用用户身份验证: 选择是否需要进行用户身份验证。如果启用,请配置以下设置:
    • 用户名: 键入用户名。
    • 密码: 键入用户密码。
  • 组名称: 键入可选组名称。
  • 身份验证方法: 在列表中,单击要使用的身份验证方法。可能的选项包括:
    • 证书: 使用证书身份验证。这是默认值。如果选择此选项,请在身份凭据列表中,单击要使用的凭据。默认值为
    • 预共享密钥: 使用预共享密钥。如果选择此选项,请在“预共享密钥”字段中,键入共享密钥。
    • 混合 RSA: 使用采用 RSA 证书的混合身份验证。
    • EAP MD5: EAP 对等体向 EAP 服务器进行身份验证,但是不相互验证身份。
    • EAP MSCHAPv2: 使用 Microsoft 的质询-握手身份验证相互验证身份。
  • CA 证书: 在列表中,单击要使用的证书。默认值为
  • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。默认值为
  • 启用智能卡身份验证: 选择是否允许用户使用智能卡进行身份验证。默认值为
  • 启用移动选项: 选择是否启用移动选项。默认值为
  • Diffie-Hellman 组值(密钥强度): 在列表中,单击要使用的密钥强度。默认值为 0。
  • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。默认值为自动。可能的选项包括:
    • 自动: 自动使用拆分通道。
    • 手动: 通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    • 已禁用: 不使用拆分通道。
  • SuiteB 类型: 在列表中,单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括:
    • GCM-128: 使用 128 位 AES-GCM 加密
    • GMAC-128: 使用 128 位 AES-GMAC 加密。
    • GMAC-256: 使用 256 位 AES-GMAC 加密。
    • 无: 不使用加密。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Samsung SAFE 配置通用协议

  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 启用用户身份验证: 选择是否需要进行用户身份验证。如果启用,请在密码中,键入用户密码。
  • 用户名: 键入用户名。
  • 包名称代理 VPN: 在设备上安装的 VPN 的包名称或 ID,例如 Mocana 或 Pulse Secure。
  • VPN 连接类型: 在列表中,单击 IPSECSSL 以选择要使用的连接类型。默认值为 IPSEC。以下各节介绍了每种连接类型的配置设置。

为 Samsung SAFE 配置 IPSEC 连接类型设置

  • 标识: 键入此配置的可选标识符。
  • IPsec 组 ID 类型: 在列表中,单击要使用的 IPsec 组 ID 类型。默认值为默认值。可能的选项包括:
    • 默认值
    • IPv4 地址
    • 完全限定域名 (FQDN)
    • 用户 FQDN
    • IKE 密钥 ID
  • IKE 版本: 在列表中,单击要使用的 Internet 密钥交换版本。默认值为 IKEv1
  • 身份验证方法: 在列表中,单击要使用的身份验证方法。默认值为证书。可能的选项包括:
    • 证书: 使用证书身份验证。如果选择此选项,请在身份凭据列表中,单击要使用的凭据。默认值为
    • 预共享密钥: 使用预共享密钥。如果选择此选项,请在预共享密钥字段中,键入共享密钥。
    • 混合 RSA: 使用采用 RSA 证书的混合身份验证。
    • EAP MD5: EAP 对等体向 EAP 服务器进行身份验证,但是不相互验证身份。
    • EAP MSCHAPv2: 使用 Microsoft 的质询-握手身份验证相互验证身份。
    • 基于 CAC 的身份验证: 使用通用访问卡 (CAC) 进行身份验证。
  • 身份凭据: 在列表中,单击要使用的身份凭据。默认值为
  • CA 证书: 在列表中,单击要使用的证书。
  • 启用失效对等体检测: 选择是否联系对等体以确定其仍然有效。默认值为
  • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。
  • 启用移动选项: 选择是否启用移动选项。
  • IKE 生存时间(分钟): 键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟(24 小时)。
  • Diffie-Hellman 组值(密钥强度): 在列表中,单击要使用的密钥强度。默认值为 0
  • IKE 阶段 1 密钥交换模式: 选择主模式积极模式作为 IKE 阶段 1 协商模式。默认值为主模式
    • 主模式: 协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式
    • 积极模式: 协商期间会向潜在攻击者泄露某些信息(例如,协商对等体的身份),但是速度高于主模式
  • 完全向前保密(PFS)值: 选择是否使用 PFS 以要求使用新密钥交换重新协商连接。
  • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。可能的选项包括:
    • 自动: 自动使用拆分通道。
    • 手动: 通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    • 已禁用: 不使用拆分通道。
  • IPSEC 加密算法: IPSec 协议使用的 VPN 配置。
  • IKE 加密算法: IPSec 协议使用的 VPN 配置。
  • IKE 完整性算法: IPSec 协议使用的 VPN 配置。
  • 供应商: 与 KNOX API 通信的通用代理的个人配置文件。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。
  • PerApp VPN: 对于要添加的每个 PerApp VPN,请单击添加并执行以下操作:
    • PerApp VPN: 应用程序进行通信时使用的 VPN 配置。
    • 单击保存以保存 PerApp VPN,或者单击取消不保存 PerApp VPN。

为 Samsung SAFE 配置 SSL 连接类型设置

  • 身份验证方法: 在列表中,单击要使用的身份验证方法。默认值为不适用。可能的选项包括:
    • 不适用
    • 证书: 使用证书身份验证。如果选择此选项,请在身份凭据列表中,单击要使用的凭据。默认值为
    • 基于 CAC 的身份验证: 使用通用访问卡 (CAC) 进行身份验证。
  • CA 证书: 在列表中,单击要使用的证书。
  • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。
  • 启用移动选项: 选择是否启用移动选项。
  • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。可能的选项包括:
    • 自动: 自动使用拆分通道。
    • 手动: 通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    • 已禁用: 不使用拆分通道。
  • SSL 算法: 键入用于客户端-服务器协商的 SSL 算法。
  • 供应商: 与 KNOX API 通信的通用代理的个人配置文件。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。
  • PerApp VPN: 对于要添加的每个 PerApp VPN,请单击添加并执行以下操作:
    • PerApp VPN: 应用程序进行通信时使用的 VPN 配置。
    • 单击保存以保存 PerApp VPN,或者单击取消不保存 PerApp VPN。

配置 Samsung KNOX 设置

“设备策略”配置屏幕图

为 Samsung KNOX 配置任何策略时,策略仅在 Samsung KNOX 容器内应用。

  • VPN 类型: 在列表中,单击要配置的 VPN 连接类型,即 企业(适用于 KNOX 2.0 之前的版本)或通用(适用于 KNOX 2.0 或更高版本)。默认值为企业

以下各节列出了前面每种连接类型的配置选项。

为 Samsung KNOX 配置企业协议

  • 连接名称: 键入连接的名称。此字段为必填字段。
  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 启用备份服务器: 选择是否启用备份 VPN 服务器。如果启用,请在备份 VPN 服务器上,键入备份 VPN 服务器的 FQDN 或 IP 地址。
  • 启用用户身份验证: 选择是否需要进行用户身份验证。如果启用,请配置以下设置:
    • 用户名: 键入用户名。
    • 密码: 键入用户密码。
  • 组名称: 键入可选组名称。
  • 身份验证方法: 在列表中,单击要使用的身份验证方法。可能的选项包括:
    • 证书: 使用证书身份验证。对于证书身份验证,还要从身份凭据列表中选择要使用的凭据。
    • 预共享密钥: 使用预共享密钥。如果选择此选项,请在“预共享密钥”字段中,键入共享密钥。
    • 混合 RSA: 使用采用 RSA 证书的混合身份验证。
    • EAP MD5: EAP 对等体向 EAP 服务器进行身份验证,但是不相互验证身份。
    • EAP MSCHAPv2: 使用 Microsoft 的质询-握手身份验证相互验证身份。
  • CA 证书: 在列表中,单击要使用的证书。
  • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。
  • 启用智能卡身份验证: 选择是否允许用户使用智能卡进行身份验证。默认值为
  • 启用移动选项: 选择是否启用移动选项。
  • Diffie-Hellman 组值(密钥强度): 在列表中,单击要使用的密钥强度。默认值为 0
  • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。可能的选项包括:
    • 自动: 自动使用拆分通道。
    • 手动: 通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
    • 已禁用: 不使用拆分通道。
  • SuiteB 类型: 在列表中,单击要使用的 NSA Suite B 加密级别。可能的选项包括:
    • GCM-128: 使用 128 位 AES-GCM 加密,这是默认值。
    • GCM-256: 使用 256 位 AES-GCM 加密。
    • GMAC-128: 使用 128 位 AES-GMAC 加密。
    • GMAC-256: 使用 256 位 AES-GMAC 加密。
    • 无: 不使用加密。
  • 转发路由: 如果您的企业 VPN 服务器支持多个路由表,请单击添加以添加其他可选转发路由。

为 Samsung KNOX 配置通用协议

  • 连接名称: 键入连接的名称。此字段为必填字段。
  • 包名称代理 VPN: 在设备上安装的 VPN 的包名称或 ID,例如 Mocana 或 Pulse Secure。
  • 主机名: 键入 VPN 主机的名称。必须使用此选项。
  • 启用用户身份验证: 选择是否需要进行用户身份验证。如果启用,请配置以下设置:
    • 用户名: 键入用户名。
    • 密码: 键入用户密码。
  • 标识: 键入此配置的可选标识符。仅在 VPN 连接类型 = IPSEC 时适用。
  • VPN 连接类型: 在列表中,单击 IPSECSSL 以选择要使用的连接类型。默认值为 IPSEC。以下各节介绍了每种连接类型的配置设置。
  • 配置 IPSEC 连接设置
    • 标识: 键入此配置的可选标识符。
    • IPsec 组 ID 类型: 在列表中,单击要使用的 IPsec 组 ID 类型。默认值为默认值。可能的选项包括:
      • 默认值
      • IPv4 地址
      • 完全限定域名 (FQDN)
      • 用户 FQDN
      • IKE 密钥 ID
    • IKE 版本: 在列表中,单击要使用的 Internet 密钥交换版本。默认值为 IKEv1
    • 身份验证方法: 在列表中,单击要使用的身份验证方法。默认值为证书。可能的选项包括:
      • 证书: 使用证书身份验证。如果选择此选项,请在身份凭据列表中,单击要使用的凭据。默认值为
      • 预共享密钥: 使用预共享密钥。如果选择此选项,请在预共享密钥字段中,键入共享密钥。
      • 混合 RSA: 使用采用 RSA 证书的混合身份验证。
      • EAP MD5: EAP 对等体向 EAP 服务器进行身份验证,但是不相互验证身份。
      • EAP MSCHAPv2: 使用 Microsoft 的质询-握手身份验证相互验证身份。
      • 基于 CAC 的身份验证: 使用通用访问卡 (CAC) 进行身份验证。
    • CA 证书: 在列表中,单击要使用的证书。
    • 启用失效对等体检测: 选择是否联系对等体以确定其仍然有效。默认值为
    • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。
    • 启用移动选项: 选择是否启用移动选项。
    • IKE 生存时间(分钟): 键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟(24 小时)。
    • ipsec 生存时间(分钟): 键入必须重新建立 VPN 连接之前经过的分钟数。默认值为 1440 分钟(24 小时)。
    • Diffie-Hellman 组值(密钥强度): 在列表中,单击要使用的密钥强度。默认值为 0
    • IKE 阶段 1 密钥交换模式: 选择主模式积极模式作为 IKE 阶段 1 协商模式。默认值为主模式
      • 主模式: 协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式
      • 积极模式: 协商期间会向潜在攻击者泄露某些信息(例如,协商对等体的身份),但是速度高于主模式
    • 完全向前保密(PFS)值: 选择是否使用 PFS 以要求使用新密钥交换重新协商连接。
    • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。可能的选项包括:
      • 自动: 自动使用拆分通道。
      • 手动: 通过在 VPN 服务器上指定的 IP 地址和端口使用拆分通道。
      • 已禁用: 不使用拆分通道。
    • SuiteB 类型: 在列表中,单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括:
      • GCM-128: 使用 128 位 AES-GCM 加密。
      • GCM-256: 使用 256 位 AES-GCM 加密。
      • GMAC-128: 使用 128 位 AES-GMAC 加密。
      • GMAC-256: 使用 256 位 AES-GMAC 加密。
      • 无: 不使用加密。
    • IPSEC 加密算法: IPSec 协议使用的 VPN 配置。
    • IKE 加密算法: IPSec 协议使用的 VPN 配置。
    • IKE 完整性算法: IPSec 协议使用的 VPN 配置。
    • Knox: 仅适用于 Samsung KNOX 的配置。
    • 供应商: 与 KNOX API 通信的通用代理的个人配置文件。
    • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
      • 转发路由: 键入转发路由的 IP 地址。
      • 单击保存以保存路由,或者单击取消不保存路由。
    • PerApp VPN: 对于要添加的每个 PerApp VPN,请单击添加并执行以下操作:
      • PerApp VPN: 应用程序进行通信时使用的 VPN 配置。
      • 单击保存以保存 PerApp VPN,或者单击取消不保存 PerApp VPN。
  • 配置 SSL 连接设置
    • 身份验证方法: 在列表中,单击要使用的身份验证方法。可能的选项包括:
      • 不适用: 不应用任何身份验证方法。这是默认值。
      • 证书: 使用证书身份验证。这是默认值。如果选择此选项,请在身份凭据列表中,单击要使用的凭据。默认值为“无”。
      • 基于 CAC 的身份验证: 使用通用访问卡 (CAC) 进行身份验证。
    • CA 证书: 在列表中,单击要使用的证书。
    • 启用默认路由: 选择是否启用到 VPN 服务器的默认路由。
    • 启用移动选项: 选择是否启用移动选项。
    • 拆分通道类型: 在列表中,单击要使用的拆分通道类型。可能的选项包括:
      • 自动: 自动使用拆分通道。
      • 手动: 通过指定的 IP 地址和端口使用拆分通道。
      • 已禁用: 不使用拆分通道。
    • SuiteB 类型: 在列表中,单击要使用的 NSA Suite B 加密级别。默认值为 GCM-128。可能的选项包括:
      • GCM-128: 使用 128 位 AES-GCM 加密。
      • GCM-256: 使用 256 位 AES-GCM 加密。
      • GMAC-128: 使用 128 位 AES-GMAC 加密。
      • GMAC-256: 使用 256 位 AES-GMAC 加密。
      • 无:不使用加密: 键入用于客户端-服务器协商的 SSL 算法。
    • SSL 算法: 键入用于客户端-服务器协商的 SSL 算法。
    • Knox: 仅适用于 Samsung KNOX 的配置。
    • 供应商: 与 KNOX API 通信的通用代理的个人配置文件。
    • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
      • 转发路由: 键入转发路由的 IP 地址。
      • 单击保存以保存路由,或者单击取消不保存路由。
    • PerApp VPN: 对于要添加的每个 PerApp VPN,请单击添加并执行以下操作:
      • PerApp VPN: 应用程序进行通信时使用的 VPN 配置。
      • 单击保存以保存 PerApp VPN,或者单击取消不保存 PerApp VPN。

Windows Phone 设置

“设备策略”配置屏幕图

这些设置仅在 Windows 10 及更高版本的受监督手机上受支持。

  • 连接名称: 输入连接的名称。此字段为必填字段。
  • 配置文件类型: 在列表中,单击本机插件。默认值为本机。以下各节介绍了其中每个选项的设置。
  • 配置本机配置文件类型设置: 这些设置适用于内置于用户 Windows Phone 的 VPN。
    • VPN 服务器名称: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 通道协议: 在列表中,单击要使用的 VPN 通道的类型。默认值为 L2TP。可能的选项包括:
      • L2TP: 使用预共享密钥身份验证的第二层通道协议。
      • PPTP: 点对点通道。
      • IKEv2: Internet 密钥交换第 2 版。
    • 身份验证方法: 在列表中,单击要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP: 扩展身份验证协议。
      • MSChapV2: 使用 Microsoft 的质询-握手身份验证相互验证身份。选择 IKEv2 作为通道类型时,此选项不可用。选择 MSChapV2 时,会显示自动使用 Windows 凭据选项;默认值为
    • EAP 方法: 在列表中,单击要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时此字段不可用。可能的选项包括:
      • TLS: 传输层安全性
      • PEAP: 受保护的可扩展身份验证协议
    • DNS 后缀: 键入 DNS 后缀。
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 需要智能卡证书: 选择是否需要智能卡证书。默认值为“关”。
    • 自动选择客户端证书: 选择是否自动选择用于身份验证的客户端证书。默认值为“关”。启用“需要智能卡证书”时此选项不可用。
    • 记住凭据: 选择是否缓存凭据。默认值为“关”。启用后,会在合适的时候缓存凭据。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为“关”。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件协议类型: 这些设置应用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址: 键入 VPN 服务器的 URL、主机名或 IP 地址。
    • 客户端应用程序 ID: 键入 VPN 插件的软件包系列名称。
    • 插件配置文件 XML: 单击“浏览”并导航到要使用的自定义 VPN 插件配置文件所在位置,选择此文件。有关格式及详细信息,请联系插件提供商。
    • DNS 后缀: 键入 DNS 后缀。
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 记住凭据: 选择是否缓存凭据。默认值为“关”。启用后,会在合适的时候缓存凭据。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为“关”。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。

Windows Desktop/Tablet 设置

“设备策略”配置屏幕图

  • 连接名称: 输入连接的名称。此字段为必填字段。
  • 配置文件类型: 在列表中,单击本机插件。默认值为本机
  • 配置本机配置文件类型: 这些设置应用于内置于用户 Windows 设备上的 VPN。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 通道类型: 在列表中,单击要使用的 VPN 通道类型。默认值为 L2TP。可能的选项包括:
      • L2TP: 使用预共享密钥身份验证的第二层通道协议。
      • PPTP: 点对点通道。
      • IKEv2: Internet 密钥交换第 2 版。
    • 身份验证方法: 在列表中,单击要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP: 扩展身份验证协议。
      • MSChapV2: 使用 Microsoft 的质询-握手身份验证相互验证身份。选择 IKEv2 作为通道类型时,此选项不可用。
    • EAP 方法: 在列表中,单击要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时此字段不可用。可能的选项包括:
      • TLS: 传输层安全性
      • PEAP: 受保护的可扩展身份验证协议
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 需要智能卡证书: 选择是否需要智能卡证书。默认值为
    • 自动选择客户端证书: 选择是否自动选择用于身份验证的客户端证书。默认值为。启用需要智能卡证书时此选项不可用。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。
  • 配置插件配置文件类型: 这些设置应用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址: 键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 记住凭据: 选择是否缓存凭据。默认值为。启用后,会在合适的时候缓存凭据。
    • DNS 后缀: 键入 DNS 后缀。
    • 客户端应用程序 ID: 键入 VPN 插件的软件包系列名称。
    • 插件配置文件 XML: 单击浏览并导航到要使用的自定义 VPN 插件配置文件所在位置,选择此文件。有关格式及详细信息,请联系插件提供商。
    • 可信网络: 键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 始终启用 VPN: 选择是否始终启用 VPN。默认值为。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 绕过本地地址: 键入地址和端口号,以允许本地资源绕过代理服务器。

配置 Amazon 设置

“设备策略”配置屏幕图

  • 连接名称: 输入连接的名称。
  • VPN 类型: 单击连接类型。可能的选项包括:
    • L2TP PSK: 使用预共享密钥身份验证的第二层通道协议。这是默认值。
    • L2TP RSA: 使用 RSA 身份验证的第二层通道协议。
    • IPSEC XAUTH PSK: 使用预共享密钥和扩展身份验证的 Internet 协议安全性。
    • IPSEC HYBRID RSA: 使用混合 RSA 身份验证的 Internet 协议安全性。
    • PPTP: 点对点通道。

以下各节列出了前面每种连接类型的配置选项。

为 Amazon 配置 L2TP PSK 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • L2TP 密钥: 键入共享密钥。
  • IPSec 标识符: 键入用户连接时在其设备上看到的 VPN 连接的名称。
  • IPSec 预共享密钥: 键入密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

配置适用于 Amazon 的 L2TP RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • L2TP 密钥: 键入共享密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,单击要使用的服务器证书。
  • CA 证书: 在列表中,单击要使用的 CA 证书。
  • 身份凭据: 在列表中,单击要使用的身份凭据。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC XAUTH PSK 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • IPSec 标识符: 键入用户连接时在其设备上看到的 VPN 连接的名称。
  • IPSec 预共享密钥: 键入共享密钥。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC AUTH RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,单击要使用的服务器证书。
  • CA 证书: 在列表中,单击要使用的 CA 证书。
  • 身份凭据: 在列表中,单击要使用的身份凭据。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

为 Amazon 配置 IPSEC HYBRID RSA 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • 服务器证书: 在列表中,单击要使用的服务器证书。
  • CA 证书: 在列表中,单击要使用的 CA 证书。
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。

配置适用于 Amazon 的 PPTP 设置

  • 服务器地址: 键入 VPN 服务器的 IP 地址。
  • 用户名: 键入可选用户名。
  • 密码: 键入可选密码。
  • DNS 搜索域: 键入用户设备的搜索域列表可以与之匹配的域。
  • DNS 服务器: 键入用于解析指定域的 DNS 服务器的 IP 地址。
  • PPP 加密(MPPE): 选择是否使用 Microsoft 点对点加密 (MPPE) 进行数据加密。默认值为
  • 转发路由: 如果企业 VPN 服务器支持转发路由,对于要使用的每种转发路由,请单击添加并执行以下操作:
    • 转发路由: 键入转发路由的 IP 地址。
    • 单击保存以保存路由,或者单击取消不保存路由。