Configurazione di Split e Dynamic DNS sul concentratore Cisco VPN 3000

Opzioni per il download

  • PDF     (135.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (239.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (259.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 gennaio 2008
ID documento:26405

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Il DNS (Domain Name System) diviso consente la risoluzione delle query DNS per determinati nomi di dominio nei server DNS interni tramite il tunnel VPN, mentre tutte le altre query DNS vengono risolte nei server DNS del provider di servizi Internet (ISP). Un elenco di nomi di dominio interni viene "inviato" al client VPN durante la negoziazione iniziale del tunnel. Il client VPN determina quindi se le query DNS devono essere inviate tramite il tunnel crittografato o non crittografate all'ISP. Il DNS separato viene utilizzato solo negli ambienti di tunneling separato, poiché il traffico viene inviato sia attraverso il tunnel crittografato sia non crittografato a Internet.

Il DNS dinamico (DNS) consente la registrazione automatica dei nomi host dei client VPN in un server DNS in caso di negoziazione corretta della connessione VPN. Quando un client VPN avvia una connessione, il nome host locale viene inviato al concentratore, che a sua volta lo inoltra al server DHCP (Dynamic Host Configuration Protocol) con posizione centrale per l'allocazione degli indirizzi. Se il server DHCP supporta DNS, l'indirizzo allocato e il nome host vengono immessi automaticamente. L'allocazione degli indirizzi DHCP è un requisito per il funzionamento del DNS, ma non funziona con i pool di indirizzi locali.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Sia il DNS diviso che il DNS sono stati introdotti nella versione 3.6 del codice del concentratore e del client. Per abilitare e configurare questa funzionalità, è necessario eseguire almeno queste versioni. Tutte le configurazioni descritte in questo documento sono state sviluppate e testate utilizzando le seguenti versioni software e hardware.

  • Cisco VPN 3000 Concentrator versione 3.6.7.A

  • Cisco VPN Client versione 3.6.1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Esempio di rete

Nel documento viene usata questa impostazione di rete:

dns_split_dynam1.gif

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Configurazione della suddivisione di DNS e DNS

Dividi DNS

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento. I parametri DNS divisi sono configurati nei parametri di gruppo di Cisco VPN 3000 Concentrator. Pertanto, non è necessaria alcuna configurazione sul client.

  1. Nella sezione Gestione utente > Gruppi della GUI, selezionare il gruppo appropriato e selezionare Modifica gruppo.

  2. Nella scheda Generale immettere un massimo di due server DNS interni da passare al client.

    dns_split_dynam2.gif

  3. Nella scheda Configurazione client configurare il tunneling suddiviso, il nome di dominio predefinito e l'elenco dei domini DNS suddivisi.

    dns_split_dynam3.gif

    Dopo che il tunnel è stato negoziato correttamente utilizzando i parametri sopra indicati, qualsiasi riferimento agli host con nomi di dominio completi nei domini Cisco.com o Test.com determina l'invio di una query DNS nel tunnel a 192.168.1.1. Le query DNS per gli host in qualsiasi altro dominio vengono inviate in modo non crittografato ai server DNS forniti da DHCP al momento dell'avvio iniziale del PC.

    Nota:  L'elenco di tunnel suddivisi denominato "rete 192.168" contiene la rete 192.168.0.0/16. Ciò è necessario affinché le richieste DNS al server DNS interno di 192.168.1.1 vengano crittografate.

DNS

Il servizio DNS richiede che l'assegnazione degli indirizzi DHCP sia configurata nel concentratore VPN. Pertanto, non è necessaria alcuna configurazione sul client. Durante la negoziazione iniziale del tunnel, il client invia il proprio nome host al concentratore che lo utilizza nel pacchetto di richiesta DHCP quando richiede un indirizzo per il client. Spetta al server DHCP aggiungere dinamicamente questo nome host al server DNS. I server DHCP Windows 2000 supportano questa funzionalità.

  1. Per configurare l'allocazione degli indirizzi DHCP per i client VPN sul concentratore VPN, in Configurazione > Sistema > Server > DHCP, aggiungere l'indirizzo IP dei server DHCP. Verificare che DHCP sia abilitato globalmente sul concentratore in Configurazione > Sistema > Instradamento IP > Parametri DHCP.

    Nota: questa opzione è attivata per default.

  2. In Configurazione > Sistema > Gestione indirizzi > Assegnazione, selezionare l'opzione per allocare gli indirizzi da un server DHCP.

    dns_split_dynam4.gif

Verifica

È possibile utilizzare il Log Viewer incluso con il client VPN per garantire che i parametri corretti vengano inviati dal concentratore VPN. In Opzioni > Filtri, impostare la classe di registro IKE (Internet Key Exchange) su Alta. Dopo la negoziazione del tunnel, i messaggi seguenti (o l'equivalente specifico della rete) devono essere presenti nel registro. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

I parametri di cui sopra sono definiti come segue:

  • INTERNAL_IPV4_ADDRESS - Indirizzo IP allocato alla connessione client VPN

  • INTERNAL_IPV4_DNS(1) - Server DNS interno

  • MODECFG_UNITY_SPLIT_INCLUDE - Numero di reti nell'elenco dei tunnel suddivisi

  • SPLIT_NET #n - Dettagli di ciascuna rete del tunnel suddiviso passati al client

  • MODECFG_UNITY_DEFDOMAIN - Nome di dominio predefinito

  • MODECFG_UNITY_SPLITDNS_NAME - Elenco dei domini interni da inviare a INTERNAL_IPV4_DNS

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione. Per ulteriori informazioni sulla risoluzione dei problemi, consultare il documento sulla risoluzione dei problemi di connessione su VPN 3000 Concentrator.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
14-Jan-2008
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci