تكوين DNS المنقسم والحركي على مركز Cisco VPN 3000

المقدمة

يسمح نظام اسم المجال المقسم (DNS) باستعلامات DNS الخاصة ببعض أسماء المجالات ليتم حلها إلى خوادم DNS الداخلية عبر نفق VPN، بينما يتم تحليل كافة استعلامات DNS الأخرى إلى خوادم DNS الخاصة بموفر خدمة الإنترنت (ISP). يتم "دفع" قائمة بأسماء المجالات الداخلية إلى عميل VPN أثناء تفاوض النفق الأولي. وبعد ذلك يحدد عميل شبكة VPN ما إذا كان يجب إرسال استعلامات DNS عبر النفق المشفر أو إرسالها دون تشفير إلى ISP. يتم إستخدام نظام أسماء المجالات (DNS) المنقسم فقط في بيئات تقسيم الاتصال النفقي، نظرا لأنه يتم إرسال حركة مرور البيانات عبر النفق المشفر وغير المشفرة إلى الإنترنت.

يسمح DNS الديناميكي (DDNS) بالتسجيل التلقائي لأسماء مضيف VPN VPN في خادم DNS عند التفاوض الناجح على اتصال VPN. عندما يقوم عميل شبكة VPN بتهيئة اتصال، يتم إرسال اسم المضيف المحلي إلى مركز التركيز، والذي يقوم بدوره بإعادة توجيه هذا إلى خادم بروتوكول التكوين الديناميكي للمضيف (DHCP) الموجود في موقع مركزي لتخصيص العنوان. إذا كان خادم DHCP يدعم DDNS، فسيتم إدخال العنوان المخصص واسم المضيف تلقائيا. تخصيص عنوان DHCP هو مطلب لعمل DDNS، ولكنه لا يعمل مع تجمعات العناوين المحلية.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تم إدخال كل من DNS و DDNS المقسمة في الإصدار 3.6 من كل من التركيز ورمز العميل. يجب تشغيل هذه الإصدارات على الأقل لتمكين هذه الميزة وتكوينها. تم تطوير جميع التكوينات الواردة في هذا المستند واختبارها باستخدام إصدارات البرامج والمكونات المادية التالية.

• Cisco VPN 3000 Concentrator، الإصدار 3.6.7.a

• Cisco VPN Client، الإصدار 3.6.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

تكوين تقسيم DNS و DDNS

تقسيم DNS

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند. يتم تكوين معلمات Split DNS ضمن معلمات المجموعة على مركز Cisco VPN 3000. لذلك، لا يلزم أي تكوين على العميل.

1. تحت قسم إدارة المستخدم>مجموعات في واجهة المستخدم الرسومية، حدد المجموعة المناسبة، وحدد تعديل المجموعة.

2. تحت علامة التبويب "عام"، أدخل ما يصل إلى خادمي DNS داخليين لتمريرهما إلى العميل.

   

3. تحت علامة التبويب تكوين العميل، قم بتكوين اتصال نفقي منقسم واسم المجال الافتراضي وقائمة مجال DNS المقسمة.

   

   بعد التفاوض بنجاح باستخدام المعلمات الواردة أعلاه، ينتج عن أي مرجع إلى مضيفين لديهم أسماء مجال مؤهلة بالكامل في مجالات Cisco.com أو Test.com استعلام DNS يتم إرساله عبر النفق إلى 192.168.1.1. يتم إرسال استعلامات DNS للمضيفين في أي مجال آخر دون تشفير إلى خوادم DNS التي يوفرها DHCP في وقت بدء تشغيل الكمبيوتر الشخصي الأولي.

   ملاحظة: تحتوي قائمة النفق المقسم المسماة "شبكة 192.168" على شبكة 192.168.0.0/16. وهذا ضروري حتى يتم تشفير طلبات DNS إلى خادم DNS الداخلي ل 192.168.1.1.

DDNS

يتطلب DDNS تكوين تعيين عنوان DHCP على مركز VPN. لذلك، لا يلزم أي تكوين على العميل. أثناء تفاوض النفق الأولي، يرسل العميل اسم المضيف الخاص به إلى مركز التركيز، ويستخدم مركز التركيز هذا في حزمة طلب DHCP الخاصة به عند طلب عنوان للعميل. يرجع الأمر إلى خادم DHCP لإضافة اسم المضيف هذا بشكل ديناميكي إلى خادم DDNS. تدعم خوادم Windows 2000 DHCP هذه الوظيفة.

1. لتكوين تخصيص عنوان DHCP لعملاء VPN على مركز VPN، تحت تشكيل>نظام>خوادم>DHCP>DHCP، أضف عنوان IP لخوادم DHCP. تأكد من تمكين DHCP بشكل عام على مركز التركيز تحت التكوين>النظام>توجيه IP>معلمات DHCP.

   ملاحظة: يتم تمكين هذا بشكل افتراضي.

2. تحت تشكيل>نظام>إدارة العنوان>تعيين، فحصت الخيار أن يعين عنوان من DHCP نادل.

   

التحقق من الصحة

يمكن إستخدام عارض السجل المضمن مع عميل VPN لضمان إرسال المعلمات الصحيحة من مركز VPN. تحت خيارات > عوامل التصفية، قم بتعيين فئة سجل تبادل مفاتيح الإنترنت (IKE) على مرتفع. بعد التفاوض بنجاح، يجب أن تكون الرسائل التالية (أو ما يعادلها الخاص بالشبكة) موجودة في السجل.

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

وقد تم تحديد البارامترات المذكورة أعلاه على النحو التالي:

• Internal_IPv4_ADDRESS - عنوان IP المخصص لاتصال عميل VPN

• Internal_IPv4_DNS(1) - خادم DNS داخلي

• modecfg_unity_split_include - عدد الشبكات في قائمة النفق المقسم

• SPLIT_NET #N - يتم تمرير تفاصيل كل شبكة نفق منفصل إلى العميل

• modecfg_unity_defdomain - اسم المجال الافتراضي

• MODECFG_UNITY_SPLITDNS_NAME - قائمة المجالات الداخلية التي سيتم إرسالها إلى internal_IPv4_DNS

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين. للحصول على معلومات إضافية حول أستكشاف الأخطاء وإصلاحها، ارجع إلى أستكشاف أخطاء الاتصال وإصلاحها على مركز VPN 3000.

معلومات ذات صلة

• صفحة دعم مركز Cisco VPN 3000 Series
• صفحة دعم عميل Cisco VPN 3000 Series
• صفحة دعم IPSec
• الدعم الفني - Cisco Systems