Konfigurieren von Split und dynamischem DNS auf dem Cisco VPN 300 Concentrator

Download-Optionen

  • PDF     (136.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (240.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (261.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Januar 2008
Dokument-ID:26405

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Split Domain Name System (DNS) ermöglicht die Auflösung von DNS-Abfragen bestimmter Domänennamen auf internen DNS-Servern über den VPN-Tunnel, während alle anderen DNS-Abfragen auf die DNS-Server des Internet Service Providers (ISP) aufgelöst werden. Eine Liste interner Domänennamen wird bei der ersten Tunnelverhandlung an den VPN-Client "übertragen". Der VPN-Client bestimmt dann, ob DNS-Abfragen über den verschlüsselten Tunnel gesendet oder unverschlüsselt an den ISP gesendet werden sollen. Split DNS wird nur in Split-Tunneling-Umgebungen verwendet, da der Datenverkehr sowohl über den verschlüsselten Tunnel als auch unverschlüsselt in das Internet gesendet wird.

Dynamic DNS (DDNS) ermöglicht die automatische Registrierung von VPN-Client-Hostnamen in einem DNS-Server, sobald die VPN-Verbindung erfolgreich verhandelt wurde. Wenn ein VPN-Client eine Verbindung initiiert, wird der lokale Hostname an den Konzentrator gesendet, der diesen wiederum an den zentral gelegenen Dynamic Host Configuration Protocol (DHCP)-Server für die Adresszuweisung weiterleitet. Wenn der DHCP-Server DDNS unterstützt, werden die zugewiesene Adresse und der Hostname automatisch eingegeben. Die Zuweisung von DHCP-Adressen ist eine Voraussetzung für die Funktion von DDNS, funktioniert aber nicht mit lokalen Adresspools.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Sowohl Split DNS als auch DDNS wurden in Version 3.6 des Concentrator- als auch des Client-Codes eingeführt. Sie müssen mindestens diese Versionen ausführen, um diese Funktion zu aktivieren und zu konfigurieren. Alle Konfigurationen in diesem Dokument wurden mit diesen Software- und Hardwareversionen entwickelt und getestet.

  • Cisco VPN 3000 Concentrator Version 3.6.7.A

  • Cisco VPN Client Version 3.6.1

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

dns_split_dynam1.gif

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.

Konfigurieren von Split DNS und DDNS

DNS aufteilen

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen. Getrennte DNS-Parameter werden im Cisco VPN 300 Concentrator unter den Gruppenparametern konfiguriert. Daher ist keine Konfiguration auf dem Client erforderlich.

  1. Wählen Sie im Bereich Benutzerverwaltung > Gruppen der Benutzeroberfläche die entsprechende Gruppe aus, und wählen Sie Gruppe ändern.

  2. Geben Sie auf der Registerkarte Allgemein bis zu zwei interne DNS-Server ein, die an den Client weitergeleitet werden sollen.

    dns_split_dynam2.gif

  3. Konfigurieren Sie auf der Registerkarte Client Config (Client-Konfiguration) Split-Tunneling, den Standard-Domänennamen und die Split DNS-Domänenliste.

    dns_split_dynam3.gif

    Nachdem der Tunnel mithilfe der obigen Parameter erfolgreich ausgehandelt wurde, führt jeder Verweis auf Hosts mit vollqualifizierten Domänennamen in den Cisco.com- oder Test.com-Domänen dazu, dass eine DNS-Abfrage über den Tunnel an 192.168.1.1 gesendet wird. DNS-Abfragen für Hosts in anderen Domänen werden unverschlüsselt an die DNS-Server gesendet, die bei der ersten PC-Boot-Phase von DHCP bereitgestellt werden.

    Hinweis: Die Split-Tunnelliste mit dem Namen "192.168 Network" enthält das Netzwerk 192.168.0.0/16. Dies ist erforderlich, damit die DNS-Anfragen an den internen DNS-Server 192.168.1.1 verschlüsselt werden.

DDNS

Für DDNS muss die DHCP-Adressenzuweisung auf dem VPN Concentrator konfiguriert werden. Daher ist keine Konfiguration auf dem Client erforderlich. Während der ersten Tunnelverhandlung sendet der Client seinen Hostnamen an den Konzentrator, und der Konzentrator verwendet diesen in seinem DHCP-Anforderungspaket, wenn er eine Adresse für den Client anfordert. Der DHCP-Server muss diesen Hostnamen dynamisch dem DDNS-Server hinzufügen. Windows 2000 DHCP-Server unterstützen diese Funktion.

  1. Um die DHCP-Adressenzuweisung für VPN-Clients im VPN Concentrator zu konfigurieren, fügen Sie unter Konfiguration > System > Server > DHCP die IP-Adresse der DHCP-Server hinzu. Stellen Sie sicher, dass DHCP global auf dem Konzentrator unter Configuration > System > IP Routing > DHCP Parameters aktiviert ist.

    Hinweis: Dies ist standardmäßig aktiviert.

  2. Aktivieren Sie unter Configuration > System > Address Management > Assignment (Konfiguration > System > Adressenverwaltung > Zuweisung die Option, Adressen von einem DHCP-Server zuzuweisen.

    dns_split_dynam4.gif

Überprüfen

Mit der im VPN-Client enthaltenen Protokollanzeige kann sichergestellt werden, dass die richtigen Parameter aus dem VPN-Konzentrator gesendet werden. Legen Sie unter Optionen > Filter die Protokollklasse für Internet Key Exchange (IKE) auf Hoch fest. Nachdem der Tunnel erfolgreich ausgehandelt wurde, sollten folgende Meldungen (oder Ihr netzwerkspezifisches Äquivalent) im Protokoll vorhanden sein. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

Die obigen Parameter sind wie folgt definiert:

  • INTERNAL_IPV4_ADDRESS - IP-Adresse, die der VPN-Client-Verbindung zugewiesen ist

  • INTERNAL_IPV4_DNS(1) - Interner DNS-Server

  • MODECFG_UNITY_SPLIT_INCLUDE - Anzahl der Netzwerke in der Split-Tunnelliste

  • SPLIT_NET #n - Details zu jedem Split-Tunnel-Netzwerk, das an den Client weitergeleitet wird

  • MODECFG_UNITY_DEFDOMAIN - Standard-Domänenname

  • MODECFG_UNITY_SPLITDNS_NAME - Liste der internen Domänen, die an INTERNAL_IPV4_DNS gesendet werden sollen

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar. Weitere Informationen zur Fehlerbehebung finden Sie unter Beheben von Verbindungsproblemen im VPN 3000 Concentrator.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Jan-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren