参考本节来配置 Cisco VPN 服务器，以便与 iOS、iPadOS 和 macOS 配合使用，三者都支持 Cisco ASA 5500 Security Appliance 和 PIX 防火墙，还支持 IOS v12.4(15)T 或更高版本的 Cisco IOS VPN 路由器。VPN 3000 系列集中器不支持 VPN 功能。

iOS、iPadOS 和 macOS 支持以下认证方式：

预共享密钥 IPsec 认证，通过 xauth 进行用户认证。

利用客户端和服务器证书进行 IPSec 认证，可选择通过 xauth 进行用户认证。

混合认证，服务器提供证书，客户端提供预共享密钥，进行 IPsec 认证。要求用户认证（通过 xauth 提供），包括以下认证方式：

用户名和密码

RSA SecurID

Cisco Unity 协议根据一组常见参数，使用认证群组来分组用户。应创建一个针对用户的认证群组。对于预共享密钥认证和混合认证，群组名称必须在设备上配置，并且使用群组的共享密钥（预共享密钥）作为群组密码。

使用证书认证时，没有共享密钥。用户的群组根据证书中的栏位来确定。Cisco 服务器设置可用于将证书中的栏位对应到用户群组。

在 ISAKMP 优先级列表中，RSA-Sig 必须拥有最高优先级。

你可以指定这些设置以定义 IPsec 的实施方式：

模式：隧道模式。

IKE 交换模式：“积极模式”（适用于预共享密钥认证和混合认证）或“主模式”（适用于证书认证）。

加密算法：3DES、AES-128 或 AES256。

认证算法：HMAC-MD5 或 HMAC-SHA1。

Diffie-Hellman 群组：预共享密钥认证和混合认证需要群组 2，证书认证需要配合 3DES 和 AES-128 使用群组 2，以及配合 AES-256 使用群组 2 或群组 5。

完全正向保密 (PFS)：对于 IKE 阶段 2，如果使用 PFS，则 Diffie-Hellman 群组必须与用于 IKE 阶段 1 的群组相同。

模式配置：必须启用。

失效对等体检测：推荐。

标准 NAT 遍历：受支持并且可以启用（不支持 IPsec over TCP）。

负载均衡：受支持且可以启用。

阶段 1 的密钥更新：当前不受支持。建议将服务器上的密钥更新时间设定为一小时。

ASA 地址掩码：确保所有设备地址池掩码都未设定或都设定为 255.255.255.255。例如：

asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255。

如果使用建议的地址掩码，则可能会忽略 VPN 配置所采用的某些路由。若要避免发生这种情况，请确保路由表包含所有必要的路由，并且验证子网地址可以访问，然后再进行部署。

应用程序版本：客户端软件版本会被发送到服务器，使服务器能够根据设备的软件版本接受或拒绝连接。

横幅：横幅（如果是在服务器上配置的）会显示在设备上，用户必须接受它，否则会断开连接。

分离隧道：支持。

分离 DNS：支持。

默认域：支持。