Configuration du DNS partagé et DNS dynamique sur le concentrateur Cisco VPN 3000

Options de téléchargement

  • PDF     (135.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (241.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (262.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 janvier 2008
ID du document:26405

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le système DNS (Split Domain Name System) permet aux requêtes DNS de certains noms de domaine d'être résolues aux serveurs DNS internes via le tunnel VPN, tandis que toutes les autres requêtes DNS sont résolues aux serveurs DNS du fournisseur d'accès Internet (FAI). Une liste de noms de domaine internes est « poussée » vers le client VPN lors de la négociation initiale du tunnel. Le client VPN détermine ensuite si les requêtes DNS doivent être envoyées via le tunnel chiffré ou non chiffrées au FAI. Le DNS fractionné est utilisé uniquement dans les environnements de fractionnement en canaux, car le trafic est envoyé à la fois via le tunnel chiffré et non chiffré vers Internet.

DDNS (Dynamic DNS) permet l'enregistrement automatique des noms d'hôtes du client VPN dans un serveur DNS lors de la négociation réussie de la connexion VPN. Lorsqu'un client VPN initie une connexion, le nom d'hôte local est envoyé au concentrateur, qui à son tour le transfère au serveur DHCP (Dynamic Host Configuration Protocol) situé au centre pour l'allocation d'adresse. Si le serveur DHCP prend en charge DDNS, l'adresse attribuée et le nom d'hôte sont entrés automatiquement. L'allocation d'adresses DHCP est une condition requise pour que DDNS fonctionne, mais ne fonctionne pas avec les pools d'adresses locales.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les DNS fractionnés et DDNS ont été introduits dans la version 3.6 du code client et du concentrateur. Vous devez exécuter au moins ces versions pour activer et configurer cette fonctionnalité. Toutes les configurations de ce document ont été développées et testées à l'aide de ces versions logicielles et matérielles.

  • Concentrateur Cisco VPN 3000 Version 3.6.7.A

  • Client VPN Cisco Version 3.6.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

dns_split_dynam1.gif

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configuration de DNS et DDNS fractionnés

Division DNS

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document. Les paramètres DNS fractionnés sont configurés sous les paramètres de groupe sur le concentrateur Cisco VPN 3000. Par conséquent, aucune configuration n'est nécessaire sur le client.

  1. Sous la section Gestion des utilisateurs > Groupes de l'interface utilisateur graphique, sélectionnez le groupe approprié et sélectionnez Modifier le groupe.

  2. Sous l'onglet Général, saisissez jusqu'à deux serveurs DNS internes à transmettre au client.

    dns_split_dynam2.gif

  3. Sous l'onglet Configuration du client, configurez la transmission tunnel partagée, le nom de domaine par défaut et la liste de domaines DNS fractionnés.

    dns_split_dynam3.gif

    Une fois le tunnel négocié avec succès à l'aide des paramètres ci-dessus, toute référence aux hôtes avec des noms de domaine complets dans les domaines Cisco.com ou Test.com entraîne l'envoi d'une requête DNS via le tunnel vers 192.168.1.1. Les requêtes DNS pour les hôtes de tout autre domaine sont envoyées non cryptées aux serveurs DNS fournis par DHCP au moment du démarrage initial du PC.

    Remarque : la liste de tunnels fractionnés appelée « Réseau 192.168 » contient le réseau 192.168.0.0/16. Cela est nécessaire pour que les requêtes DNS adressées au serveur DNS interne 192.168.1.1 soient chiffrées.

DDNS

DDNS nécessite que l'attribution d'adresse DHCP soit configurée sur le concentrateur VPN. Par conséquent, aucune configuration n'est nécessaire sur le client. Au cours de la négociation de tunnel initiale, le client envoie son nom d'hôte au concentrateur et le concentrateur l'utilise dans son paquet de requête DHCP lorsqu'il demande une adresse pour le client. Il appartient au serveur DHCP d'ajouter dynamiquement ce nom d'hôte au serveur DDNS. Les serveurs DHCP de Windows 2000 prennent en charge cette fonctionnalité.

  1. Pour configurer l'allocation d'adresse DHCP pour les clients VPN sur le concentrateur VPN, sous Configuration > System > Servers > DHCP, ajoutez l'adresse IP des serveurs DHCP. Assurez-vous que DHCP est activé globalement sur le concentrateur sous Configuration > System > IP Routing > DHCP Parameters.

    Remarque : cette option est activée par défaut.

  2. Sous Configuration > System > Address Management > Assignment, cochez l'option permettant d'allouer des adresses à partir d'un serveur DHCP.

    dns_split_dynam4.gif

Vérification

La visionneuse de journaux incluse avec le client VPN peut être utilisée pour s'assurer que les paramètres corrects sont envoyés vers le bas à partir du concentrateur VPN. Sous Options > Filters, définissez la classe de journal IKE (Internet Key Exchange) sur High. Une fois le tunnel négocié, les messages suivants (ou votre équivalent spécifique au réseau) doivent être présents dans le journal. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

Les paramètres ci-dessus sont définis comme suit :

  • INTERNAL_IPV4_ADDRESS : adresse IP attribuée à la connexion du client VPN

  • INTERNAL_IPV4_DNS(1) - Serveur DNS interne

  • MODECFG_UNITY_SPLIT_INCLUDE - Nombre de réseaux dans la liste de tunnels fractionnés

  • SPLIT_NET #n - Détails de chaque réseau de tunnel partagé transmis au client

  • MODECFG_UNITY_DEFDOMAIN - Nom de domaine par défaut

  • MODECFG_UNITY_SPLITDNS_NAME - Liste des domaines internes à envoyer à INTERNAL_IPV4_DNS

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration. Pour plus d'informations sur le dépannage, référez-vous à Dépannage des problèmes de connexion sur le concentrateur VPN 3000.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
14-Jan-2008
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits