Split en Dynamische DNS configureren op Cisco VPN 3000 Concentrator

Downloadopties

  • PDF     (135.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (238.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (259.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 januari 2008
Document-id:26405

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Met Split Domain Name System (DNS) kunnen DNS-vragen voor bepaalde domeinnamen worden opgelost in interne DNS-servers via de VPN-tunnel, terwijl alle andere DNS-vragen zijn opgelost in de DNS-servers (ISP) van de Internet Service Provider. Een lijst met interne domeinnamen wordt tijdens de eerste tunnelonderhandeling naar de VPN-client geduwd. De VPN-client bepaalt vervolgens of DNS-vragen via de gecodeerde tunnel moeten worden verzonden of niet-versleuteld naar de ISP. Split DNS wordt alleen gebruikt in een gesplitste tunneling-omgeving, omdat verkeer zowel via de versleutelde tunnel als niet versleuteld via het internet.

Dynamische DNS (DDNS) maakt automatische registratie van VPN-clienthostnamen in een DNS-server mogelijk na succesvolle onderhandeling over de VPN-verbinding. Wanneer een VPN-client een verbinding start, wordt de lokale host-naam naar de concentrator verzonden, die deze vervolgens naar de centraal gesitueerde DHCP-server (Dynamic Host Configuration Protocol) voor de adrestoewijzing doorstuurt. Als de DHCP-server DDNS ondersteunt, dan worden het toegewezen adres en de hostnaam automatisch ingevoerd. DHCP-adrestoewijzing is een voorwaarde voor het functioneren van de DDNS, maar werkt niet met plaatselijke adresprotocollen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Zowel gesplitste DNS als DDNS zijn toegevoegd in versie 3.6 van zowel concentrator- als clientcode. U dient ten minste deze versies uit te voeren om deze functie in te schakelen en te configureren. Alle configuraties in dit document zijn ontwikkeld en getest met behulp van deze software- en hardwareversies.

  • Cisco VPN 3000 Concentrator versie 3.6.7.A

  • Cisco VPN-client versie 3.6.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

dns_split_dynam1.gif

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Splitsen en DNS configureren

DNS splitsen

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven. Split DNS-parameters worden onder de groepsparameters op Cisco VPN 3000 Concentrator ingesteld. Daarom is geen configuratie op de cliënt nodig.

  1. Selecteer onder het gedeelte Gebruikersbeheer > Groepen van de GUI, de juiste groep en selecteer Wijzigen.

  2. Voer onder het tabblad Algemeen maximaal twee interne DNS-servers in die naar de client worden doorgegeven.

    dns_split_dynam2.gif

  3. Selecteer onder het tabblad Client Config de volgende instellingen voor gesplitste tunneling, de standaardnaam van het domein en de gesplitste DNS-domeinlijst.

    dns_split_dynam3.gif

    Nadat de tunnel met succes is overeengekomen met behulp van de bovenstaande parameters, wordt elke verwijzing naar hosts met volledig gekwalificeerd domeinnamen in de Cisco.com- of Test.com-domeinen resulteren in een DNS-query die via de tunnel wordt verzonden naar 192.168.1.1. DNS-vragen voor hosts in een ander domein worden niet versleuteld naar de DNS-servers die door DHCP zijn geleverd tijdens de eerste opstarttijd van de PC.

    OPMERKING:  De gesplitste tunnellijst genaamd "192.168 Network" bevat het 192.168.0.0/16 netwerk. Dit is nodig om de DNS-verzoeken naar de interne DNS-server van 192.168.1.1 te versleutelen.

DDNS

DDNS vereist dat de DHCP-adrestoewijzing op de VPN-centrator wordt geconfigureerd. Daarom is geen configuratie op de cliënt nodig. Tijdens de eerste tunnelonderhandeling, verstuurt de client zijn hostnaam naar de concentrator en gebruikt de concentrator dit in zijn DHCP-verzoekpakket wanneer hij om een adres voor de client vraagt. Het is tot de DHCP-server om deze hostnaam dynamisch aan de DDNS-server toe te voegen. Windows 2000 DHCP-servers ondersteunen deze functionaliteit.

  1. Om de DHCP-adrestoewijzing voor VPN-clients in de VPN-Concentrator te configureren voegt u onder Configuration > System > servers > DHCP toe het DHCP-serveradres. Zorg ervoor dat DHCP wereldwijd is ingeschakeld voor de concentrator onder Configuration > System > IP Routing > DHCP-parameters.

    Opmerking: standaard ingeschakeld.

  2. Onder Configuration > System > Address Management > Asmission, controleer de optie om adressen toe te wijzen vanaf een DHCP-server.

    dns_split_dynam4.gif

Verifiëren

Het logvenster dat met de VPN-client is meegeleverd, kan worden gebruikt om er zeker van te zijn dat de juiste parameters worden verzonden vanuit de VPN-centrator. Stel onder Opties > Filters de logklasse Internet Key Exchange (IKE) in op Hoog. Nadat de tunnel met succes is overeengekomen, zouden de volgende berichten (of uw netwerk-specifieke equivalent) in het logboek aanwezig moeten zijn. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

De bovenstaande parameters zijn als volgt gedefinieerd:

  • INTERN_IPV4_ADRES - IP-adres toegewezen aan VPN-clientverbinding

  • INTERNAL_IPV4_DNS(1) - Interne DNS-server

  • MODECFG_UNITY_SPLIT_INCLUDE - Aantal netwerken in de gesplitste tunnellijst

  • SPLIT_NET #n - Details van elk netwerk van gesplitste tunnels dat tot de client is doorgegeven

  • MODECFG_UNITY_DEFDOMAIN - Standaarddomeinnaam

  • MODECFG_UNITY_SPLITDNS_NAME - Lijst met interne domeinen die naar INTERNAL_IPV4_DNS moeten worden verzonden

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie. Raadpleeg voor meer informatie over probleemoplossing de verbindingsproblemen met probleemoplossing in de VPN-Concentrator 3000.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Jan-2008
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco