Cisco VPN 3000 Concentrator에서 분할 및 동적 DNS 구성

다운로드 옵션

  • PDF     (154.5 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (235.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (255.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2008년 1월 14일
문서 ID:26405

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

DNS(Split Domain Name System)를 사용하면 특정 도메인 이름에 대한 DNS 쿼리를 VPN 터널을 통해 내부 DNS 서버로 확인할 수 있으며, 다른 모든 DNS 쿼리는 ISP(Internet Service Provider)의 DNS 서버로 확인할 수 있습니다. 초기 터널 협상 중에 내부 도메인 이름 목록이 VPN 클라이언트에 "푸시됨"됩니다. 그런 다음 VPN 클라이언트는 DNS 쿼리를 암호화된 터널을 통해 전송할지 아니면 암호화되지 않은 상태로 ISP에 전송할지를 결정합니다. 스플릿 DNS는 스플릿 터널링 환경에서만 사용됩니다. 트래픽은 암호화된 터널을 통해 전송되고 암호화되지 않은 상태로 인터넷에 전송되기 때문입니다.

DDNS(Dynamic DNS)를 사용하면 VPN 연결을 협상한 후 DNS 서버에 VPN 클라이언트 호스트 이름을 자동으로 등록할 수 있습니다. VPN Client가 연결을 시작하면 로컬 호스트 이름이 Concentrator로 전송되며, 이 경우 주소 할당을 위해 중앙 위치에 있는 DHCP(Dynamic Host Configuration Protocol) 서버로 전달됩니다. DHCP 서버가 DDNS를 지원하는 경우 할당된 주소와 호스트 이름이 자동으로 입력됩니다. DHCP 주소 할당은 DDNS가 작동하기 위한 요구 사항이지만 로컬 주소 풀에서는 작동하지 않습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

스플릿 DNS와 DDNS 모두 Concentrator 및 클라이언트 코드의 버전 3.6에서 도입되었습니다. 이 기능을 활성화하고 구성하려면 적어도 이러한 버전을 실행해야 합니다. 이 문서의 모든 컨피그레이션은 이러한 소프트웨어 및 하드웨어 버전을 사용하여 개발 및 테스트되었습니다.

  • Cisco VPN 3000 Concentrator 버전 3.6.7.A

  • Cisco VPN Client 버전 3.6.1

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

dns_split_dynam1.gif

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

스플릿 DNS 및 DDNS 구성

스플릿 DNS

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다. 스플릿 DNS 매개변수는 Cisco VPN 3000 Concentrator의 그룹 매개변수 아래에 구성됩니다. 따라서 클라이언트에 컨피그레이션이 필요하지 않습니다.

  1. GUI의 User Management > Groups 섹션 아래에서 적절한 그룹을 선택하고 Modify Group을 선택합니다.

  2. General(일반) 탭에서 클라이언트에 전달할 내부 DNS 서버를 최대 2개까지 입력합니다.

    dns_split_dynam2.gif

  3. Client Config 탭에서 스플릿 터널링, 기본 도메인 이름 및 스플릿 DNS 도메인 목록을 구성합니다.

    dns_split_dynam3.gif

    위의 매개 변수를 사용하여 터널이 성공적으로 협상되면 Cisco.com 또는 Test.com 도메인에서 정규화된 도메인 이름을 가진 호스트에 대한 모든 참조는 터널을 통해 DNS 쿼리를 192.168.1.1으로 보냅니다. 다른 도메인의 호스트에 대한 DNS 쿼리는 초기 PC 부팅 시 DHCP에서 제공하는 DNS 서버로 암호화되지 않은 상태로 전송됩니다.

    참고:  "192.168 Network"라는 스플릿 터널 목록에는 192.168.0.0/16 네트워크가 포함되어 있습니다. 192.168.1.1의 내부 DNS 서버에 대한 DNS 요청이 암호화되도록 해야 합니다.

DDNS

DDNS는 VPN Concentrator에 DHCP 주소 할당을 구성해야 합니다. 따라서 클라이언트에 컨피그레이션이 필요하지 않습니다. 초기 터널 협상 중에 클라이언트는 호스트 이름을 Concentrator로 전송하고 Concentrator는 클라이언트에 대한 주소를 요청할 때 DHCP 요청 패킷에서 이를 사용합니다. 이 호스트 이름을 DDNS 서버에 동적으로 추가하는 것은 DHCP 서버에 달려 있습니다. Windows 2000 DHCP 서버는 이 기능을 지원합니다.

  1. VPN Concentrator에서 VPN 클라이언트에 대한 DHCP 주소 할당을 구성하려면 Configuration(구성) > System(시스템) > Servers(서버) > DHCP(DHCP)에서 DHCP 서버 IP 주소를 추가합니다. Configuration(컨피그레이션) > System(시스템) > IP Routing(IP 라우팅) > DHCP Parameters(DHCP 매개변수)에서 Concentrator에서 DHCP가 전역으로 활성화되었는지 확인합니다.

    참고: 이 옵션은 기본적으로 활성화되어 있습니다.

  2. Configuration(구성) > System(시스템) > Address Management(주소 관리) > Assignment(할당)에서 DHCP 서버에서 주소를 할당하는 옵션을 선택합니다.

    dns_split_dynam4.gif

다음을 확인합니다.

VPN Client에 포함된 로그 뷰어를 사용하여 VPN Concentrator에서 올바른 매개 변수를 전송할 수 있습니다. Options(옵션) > Filters(필터)에서 IKE(Internet Key Exchange) 로그 클래스를 High(높음)로 설정합니다. 터널이 성공적으로 협상되면 다음 메시지(또는 네트워크별 해당 메시지)가 로그에 있어야 합니다. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

위의 매개변수는 다음과 같이 정의됩니다.

  • INTERNAL_IPV4_ADDRESS - VPN 클라이언트 연결에 할당된 IP 주소

  • INTERNAL_IPV4_DNS(1) - 내부 DNS 서버

  • MODEFG_UNITY_SPLIT_INCLUDE - 스플릿 터널 목록의 네트워크 수

  • SPLIT_NET #n - 클라이언트로 전달된 각 스플릿 터널 네트워크의 세부 정보

  • MODEFG_UNITY_DEFDOMAIN - 기본 도메인 이름

  • MODEFG_UNITY_SPLITDNS_NAME - INTERNAL_IPV4_DNS로 전송할 내부 도메인 목록

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다. 추가 문제 해결 정보는 VPN 3000 Concentrator의 연결 문제 해결을 참조하십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
14-Jan-2008
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품