Configuración del DNS dividido y dinámico en el concentrador VPN 3000 de Cisco

Opciones de descarga

  • PDF     (135.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (240.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (261.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de enero de 2008
ID del documento:26405

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Dividir el Sistema de nombres de dominio (DNS) permite consultas DNS para que ciertos nombres de dominio sean resueltos por los servidores DNS internos sobre el túnel VPN, mientras todas las otras consultas DNS son resueltas por el servidor DNS del Proveedor del servicio de Internet (ISP). Durante la negociación inicial del túnel se “empuja” una lista de nombres de dominio interno al VPN Client. El cliente VPN luego determina si las búsquedas de DNS deben enviarse a través del túnel encripción o enviarse al ISP sin cifrar. El DNS dividido sólo se usa en entornos de tunelización dividida, ya que el tráfico se envía a Internet sobre el túnel encripción y no encripción.

DNS dinámica (DDNS) permite el registro automático de los nombres de host VPN Client en un servidor DNS ante una negociación exitosa de la conexión VPN. Cuando un cliente VPN inicia una conexión, el nombre del host local se envía al concentrador, que a su vez lo reenvía al servidor ubicado centralmente en el Protocolo de configuración dinámica de host (DHCP) para la asignación de la dirección. Si el servidor DHCP soporta DDNS, entonces la dirección y el nombre de host asignados son introducidos automáticamente. La asignación de la dirección DHCP es un requisito para el funcionamiento de DDNS, pero no funciona con agrupaciones de direcciones locales.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Tanto los DDNS como los DNS divididos se introdujeron en la versión 3.6 del concentrador y del código de cliente. Debe ejecutar al menos estas versiones para activar y configurar esta función. Todas las configuraciones de este documento se desarrollaron y probaron usando estas versiones de software y hardware.

  • Concentrador Cisco VPN 3000 versión 3.6.7.A

  • Cliente Cisco VPN versión 3.6.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

dns_split_dynam1.gif

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configuración de DNS y DDNS divididos

DNS dividido

En esta sección encontrará la información para configurar las funciones descritas en este documento. Los parámetros de DNS dividido se configuran dentro de los parámetros de grupo del Concentrador VPN 3000 de Cisco. Por tanto, no es necesario configurar el cliente.

  1. En User Management (Administración de usuarios)> Sección Groups (Grupos) de la GUI, seleccione el grupo adecuado y luego Modify Group (Modificar grupo).

  2. En la ficha General, introduzca hasta dos servidores internos DNS que transmitirá al cliente.

    dns_split_dynam2.gif

  3. En la ficha Client Config (Config. del cliente), configure la tunelización dividida, el nombre de dominio predeterminado y la lista de dominio de DNS dividido.

    dns_split_dynam3.gif

    Después de que el túnel ha sido negociado con éxito utilizando los parámetros arriba, cualquier referencia a hosts con nombres de dominio totalmente aprobados en los dominios Cisco.com o Test.com resulta en una consulta DNS que se envía a través del túnel 192.168.1.1. Las consultas de DNS para hosts de cualquier otro dominio se envían sin cifrar a los servidores DNS proporcionados por DHCP en el tiempo de arranque inicial del PC.

    Nota: La lista de túnel dividido llamada "Red 192.168" contiene la red 192.168.0.0/16. Esto es necesario para el encripción de las peticiones DNS al servidor DNS interno de 192.168.1.1.

DDNS

DDNS requiere configuración de la asignación de la dirección DHCP en el Concentrador VPN. Por tanto, no es necesario configurar el cliente. Durante la negociación inicial del túnel, el cliente envía el nombre de su host al concentrador y el concentrador usa esto en su paquete de solicitud DHCP al solicitar una dirección para el cliente. Es el servidor DHCP (Dynamic Host Configuration Protocol, Protocolo de Control Dinámico de Host) el que agrega de manera dinámica este nombre de servidor en el servidor DDNS (Dynamic Domain Name Server, Servidor de Nombre de Dominio Dinámico) Los servidores Windows 2000 DHCP admiten esta funcionalidad.

  1. Para configurar la asignación de la dirección DHCP para clientes VPN en el concentrador VPN, en Configuration > System > Servers > DHCP, agregue la dirección de IP de los servidores DHCP. Asegúrese de que DHCP esté habilitado en forma global en el concentrador, en Configuration (Configuración) > System (Sistema) > IP Routing (Ruteo IP) > DHCP Parameters (Parámetros DHCP).

    Nota: Esta opción está activada de forma predeterminada.

  2. En Configuration (Configuración) > System (Sistema) > Address Management (Administración de direcciones) > Assignment (Asignación), active la opción para asignar direcciones desde un servidor DHCP.

    dns_split_dynam4.gif

Verificación

El visor de registro incluido con el VPN Client se puede utilizar para asegurarse de que los parámetros correctos se envían desde el VPN Concentrator. En Options > Filters, configure la clase de registro del Intercambio de claves de Internet (IKE) como High. Después de que el túnel se negocie correctamente, los siguientes mensajes (o su equivalente específico de la red) deben estar presentes en el registro. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

Los parámetros anteriores se definen de la siguiente manera:

  • INTERNAL_IPV4_ADDRESS - Dirección IP asignada a la conexión del cliente VPN

  • INTERNAL_IPV4_DNS(1) – Servidor DNS interno

  • MODECFG_UNITY_SPLIT_INCLUDE - Cantidad de redes en la lista de túnel dividido

  • SPLIT_NET #n - Detalles de cada red de túnel dividido que se transmitió al cliente.

  • MODECFG_UNITY_DEFDOMAIN - Nombre de dominio predeterminado

  • MODECFG_UNITY_SPLITDNS_NAME - Lista de dominios internos que se enviarán a INTERNAL_IPV4_DNS

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Para obtener información adicional sobre la resolución de problemas, consulte Resolución de problemas de conexión en el concentrador VPN 3000.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Jan-2008
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos