Cisco Anyconnect VPN是如何工作的？

Question

我正在寻找一个深刻的技术解释，它如何运作。

我的理解是它是一个SSL，其工作原理如下：

- Anyconnect creates a TLS session to the configured remote servers, authenticate the user and fetch some network details like the IP address 

- sets a local tunnel interface with that IP

- configures the routing on the host to point all traffic to the tunnel.

假设这是正确的，隧道接口数据包是如何通过TLS连接发送的？

SSL相对于IPSec VPN的一个优点是前者不需要客户端软件。如果思科Anyconnect无论如何都要安装，那么SSL还有什么优势吗？

Answer 1

我认为对"SSL VPN“的常见描述包含三种不同的内容：

1. 使用TLS或DTLS作为基本协议的VPN。(例如: AnyConnect、SSTP，甚至可以说是OpenVPN。)这些仍然需要一个客户端，就像任何其他协议一样--这里的SSL/TLS的使用没有什么神奇之处，也没有太大的优势(除了可能不被注意地通过IDS系统)。
2. 无论使用何种协议，VPN都直接从网站上启动JavaWS或ClickOnce小程序。从技术上讲，这仍然是一个客户机，只是一个不需要显式安装的客户机。我不明白为什么人们称之为"SSL“(这是因为客户端运行在HTTPS网站上吗？)，但他们还是这么做了。
3. 最后，“VPN”实际上不是IP层VPN，而仅仅是基于web的网关(代理；门户)到内部web应用程序。它们不需要专门的客户端，因为它们实际上不从操作系统截取IP数据包--它们的工作方式就像您通过HTTPS访问的普通网站(因此是SSL)。

因此，令人困惑的是，同样的思科AnyConnect产品可以满足上述任何一种描述:它的协议基于DTLS；它提供了一个Java客户端；它除了提供传统的VPN之外，还提供了一个webapp网关。

但这并不意味着同一模式同时适用于所有三种描述:例如，如果您想使用系统范围的VPN模式，它仍然需要一个在本地计算机上运行、创建虚拟接口的客户端，等等。

Answer 2

思科AnyCconnect是SSL。还有一些没有客户端的WebVPN，您可以浏览到ASA上的内部站点，进行身份验证，就像使用AnyConnect一样，但是您可以通过该门户访问内部服务器。优点是你的整个连接没有隧道--它只是你通过网站访问的任何东西。例如，从下拉字段中选择Telnet、HTTP(s)、RDP、SSH，然后在网页上告诉它要连接的IP或名称。

Cisco有另一个名为Cisco客户端的客户端，它是IPSEC客户端。仍然适用于客户端远程访问，但只需使用IPSEC。其优点是ASA附带了IPSECright的授权，而您必须购买Cisco APEX许可I才能使用AnyConnect。它会变得昂贵。

使用Cisco客户端而不是AnyConnect的一个缺点是它与Windows10和更高版本不兼容。您必须进行一些涉及SonicWall的VPN客户端的黑客攻击，或者使用类似于Shrewsoft VPN的其他方法。