在 Cisco VPN 3000 集中器上配置分割与动态 DNS

简介

拆分域名系统(DNS)允许通过VPN隧道将特定域名的DNS查询解析到内部DNS服务器，而所有其他DNS查询则解析到互联网服务提供商(ISP)的DNS服务器。内部域名列表在初始隧道协商期间“推送”到VPN客户端。然后，VPN客户端确定DNS查询应通过加密隧道发送还是未加密地发送到ISP。分割DNS仅用于分割隧道环境，因为流量通过加密隧道发送且未加密到Internet。

动态DNS(DDNS)允许在成功协商VPN连接后自动将VPN客户端主机名注册到DNS服务器。当VPN客户端发起连接时，本地主机名将发送到集中器，集中器又将此主机名转发到集中位置的动态主机配置协议(DHCP)服务器以进行地址分配。如果DHCP服务器支持DDNS，则自动输入分配的地址和主机名。DHCP地址分配是DDNS运行所必需的，但与本地地址池不同。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

集中器和客户端代码的3.6版中都引入了拆分DNS和DDNS。必须至少运行这些版本才能启用和配置此功能。本文档中的所有配置都是使用这些软件和硬件版本开发和测试的。

• 思科VPN 3000集中器版本3.6.7.A

• Cisco VPN 客户端 3.6.1 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置：

规则

有关文件规则的更多信息请参见“ Cisco技术提示规则”。

配置分割 DNS 和DDNS

分割 DNS

本部分提供有关如何配置本文档所述功能的信息。拆分DNS参数在Cisco VPN 3000集中器的组参数下配置。因此，无需在客户端上进行配置。

1. 在GUI的User Management > Groups 部分下，选择相应的组，然后选择Modify Group。

2. 在General选项卡下，输入最多两台内部DNS服务器，以下传到客户端。

   

3. 在Client Config选项卡下，配置分割隧道、默认域名和分割DNS域列表。

   

   使用上述参数成功协商隧道后，对Cisco.com或Test.com域中具有完全限定域名的主机的任何引用都会导致通过隧道向192.168.1.1发送DNS查询。在初始PC启动时，对任何其他域中主机的DNS查询将未加密地发送到DNS服务器。

   注意：  名为“192.168网络”的分割隧道列表包含192.168.0.0/16网络。这是必需的，以便对发往192.168.1.1的内部DNS服务器的DNS请求进行加密。

DDNS

DDNS要求在VPN集中器上配置DHCP地址分配。因此，无需在客户端上进行配置。在初始隧道协商期间，客户端将其主机名发送到集中器，集中器在为客户端请求地址时在其DHCP请求数据包中使用该主机名。由DHCP服务器将此主机名动态添加到DDNS服务器。Windows 2000 DHCP服务器支持此功能。

1. 要在VPN集中器上为VPN客户端配置DHCP地址分配，请在Configuration > System > Servers > DHCP 下添加DHCP服务器IP地址。确保在集中器上的“配置”>“系统”> IP路由>“DHCP参数”下全局启用DHCP。

   注意：默认情况下启用此功能。

2. 在Configuration > System > Address Management > Assignment下，选中从DHCP服务器分配地址的选项。

   

验证

VPN客户端随附的日志查看器可用于确保从VPN集中器向下发送正确的参数。在选项 > 过滤器下，将互联网密钥交换(IKE)日志类设置为高。成功协商隧道后，日志中应显示以下消息（或特定于网络的对等消息）。

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

上述参数定义如下：

• INTERNAL_IPV4_ADDRESS — 分配给VPN客户端连接的IP地址

• INTERNAL_IPV4_DNS(1) — 内部DNS服务器

• MODECFG_UNITY_SPLIT_INCLUDE — 拆分隧道列表中的网络数

• SPLIT_NET #n — 每个向下传递给客户端的拆分隧道网络的详细信息

• MODECFG_UNITY_DEFDOMAIN — 默认域名

• MODECFG_UNITY_SPLIDNS_NAME — 要发送到INTERNAL_IPV4_DNS的内部域列表

故障排除

目前没有针对此配置的故障排除信息。有关其他故障排除信息，请参阅排除VPN 3000集中器上的连接问题。

相关信息

• Cisco VPN 3000 系列集中器支持页
• Cisco VPN 3000 系列客户端支持页
• IPSec 支持页面
• 技术支持 - Cisco Systems