Split Domain Name System (DNS) ermöglicht die Auflösung von DNS-Abfragen bestimmter Domänennamen auf internen DNS-Servern über den VPN-Tunnel, während alle anderen DNS-Abfragen auf die DNS-Server des Internet Service Providers (ISP) aufgelöst werden. Eine Liste interner Domänennamen wird bei der ersten Tunnelverhandlung an den VPN-Client "übertragen". Der VPN-Client bestimmt dann, ob DNS-Abfragen über den verschlüsselten Tunnel gesendet oder unverschlüsselt an den ISP gesendet werden sollen. Split DNS wird nur in Split-Tunneling-Umgebungen verwendet, da der Datenverkehr sowohl über den verschlüsselten Tunnel als auch unverschlüsselt in das Internet gesendet wird.
Dynamic DNS (DDNS) ermöglicht die automatische Registrierung von VPN-Client-Hostnamen in einem DNS-Server, sobald die VPN-Verbindung erfolgreich verhandelt wurde. Wenn ein VPN-Client eine Verbindung initiiert, wird der lokale Hostname an den Konzentrator gesendet, der diesen wiederum an den zentral gelegenen Dynamic Host Configuration Protocol (DHCP)-Server für die Adresszuweisung weiterleitet. Wenn der DHCP-Server DDNS unterstützt, werden die zugewiesene Adresse und der Hostname automatisch eingegeben. Die Zuweisung von DHCP-Adressen ist eine Voraussetzung für die Funktion von DDNS, funktioniert aber nicht mit lokalen Adresspools.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Sowohl Split DNS als auch DDNS wurden in Version 3.6 des Concentrator- als auch des Client-Codes eingeführt. Sie müssen mindestens diese Versionen ausführen, um diese Funktion zu aktivieren und zu konfigurieren. Alle Konfigurationen in diesem Dokument wurden mit diesen Software- und Hardwareversionen entwickelt und getestet.
Cisco VPN 3000 Concentrator Version 3.6.7.A
Cisco VPN Client Version 3.6.1
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen. Getrennte DNS-Parameter werden im Cisco VPN 300 Concentrator unter den Gruppenparametern konfiguriert. Daher ist keine Konfiguration auf dem Client erforderlich.
Wählen Sie im Bereich Benutzerverwaltung > Gruppen der Benutzeroberfläche die entsprechende Gruppe aus, und wählen Sie Gruppe ändern.
Geben Sie auf der Registerkarte Allgemein bis zu zwei interne DNS-Server ein, die an den Client weitergeleitet werden sollen.
Konfigurieren Sie auf der Registerkarte Client Config (Client-Konfiguration) Split-Tunneling, den Standard-Domänennamen und die Split DNS-Domänenliste.
Nachdem der Tunnel mithilfe der obigen Parameter erfolgreich ausgehandelt wurde, führt jeder Verweis auf Hosts mit vollqualifizierten Domänennamen in den Cisco.com- oder Test.com-Domänen dazu, dass eine DNS-Abfrage über den Tunnel an 192.168.1.1 gesendet wird. DNS-Abfragen für Hosts in anderen Domänen werden unverschlüsselt an die DNS-Server gesendet, die bei der ersten PC-Boot-Phase von DHCP bereitgestellt werden.
Hinweis: Die Split-Tunnelliste mit dem Namen "192.168 Network" enthält das Netzwerk 192.168.0.0/16. Dies ist erforderlich, damit die DNS-Anfragen an den internen DNS-Server 192.168.1.1 verschlüsselt werden.
Für DDNS muss die DHCP-Adressenzuweisung auf dem VPN Concentrator konfiguriert werden. Daher ist keine Konfiguration auf dem Client erforderlich. Während der ersten Tunnelverhandlung sendet der Client seinen Hostnamen an den Konzentrator, und der Konzentrator verwendet diesen in seinem DHCP-Anforderungspaket, wenn er eine Adresse für den Client anfordert. Der DHCP-Server muss diesen Hostnamen dynamisch dem DDNS-Server hinzufügen. Windows 2000 DHCP-Server unterstützen diese Funktion.
Um die DHCP-Adressenzuweisung für VPN-Clients im VPN Concentrator zu konfigurieren, fügen Sie unter Konfiguration > System > Server > DHCP die IP-Adresse der DHCP-Server hinzu. Stellen Sie sicher, dass DHCP global auf dem Konzentrator unter Configuration > System > IP Routing > DHCP Parameters aktiviert ist.
Hinweis: Dies ist standardmäßig aktiviert.
Aktivieren Sie unter Configuration > System > Address Management > Assignment (Konfiguration > System > Adressenverwaltung > Zuweisung die Option, Adressen von einem DHCP-Server zuzuweisen.
Mit der im VPN-Client enthaltenen Protokollanzeige kann sichergestellt werden, dass die richtigen Parameter aus dem VPN-Konzentrator gesendet werden. Legen Sie unter Optionen > Filter die Protokollklasse für Internet Key Exchange (IKE) auf Hoch fest. Nachdem der Tunnel erfolgreich ausgehandelt wurde, sollten folgende Meldungen (oder Ihr netzwerkspezifisches Äquivalent) im Protokoll vorhanden sein.
34 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 35 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x63000010 MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 38 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x6300000D MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 39 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x6300000F SPLIT_NET #1 subnet = 192.168.0.0 mask = 255.255.0.0 protocol = 0 src port = 0 dest port=0 40 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x6300000E MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 41 11:43:38.069 03/07/03 Sev=Info/5 IKE/0x6300000E MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com
Die obigen Parameter sind wie folgt definiert:
INTERNAL_IPV4_ADDRESS - IP-Adresse, die der VPN-Client-Verbindung zugewiesen ist
INTERNAL_IPV4_DNS(1) - Interner DNS-Server
MODECFG_UNITY_SPLIT_INCLUDE - Anzahl der Netzwerke in der Split-Tunnelliste
SPLIT_NET #n - Details zu jedem Split-Tunnel-Netzwerk, das an den Client weitergeleitet wird
MODECFG_UNITY_DEFDOMAIN - Standard-Domänenname
MODECFG_UNITY_SPLITDNS_NAME - Liste der internen Domänen, die an INTERNAL_IPV4_DNS gesendet werden sollen
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar. Weitere Informationen zur Fehlerbehebung finden Sie unter Beheben von Verbindungsproblemen im VPN 3000 Concentrator.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Jan-2008 |
Erstveröffentlichung |