在Cisco VPN 3000集中器上配置拆分和動態DNS

簡介

分割域名系統(DNS)允許通過VPN隧道將特定域名的DNS查詢解析到內部DNS伺服器，而所有其他DNS查詢則解析到網際網路服務提供商(ISP)的DNS伺服器。在初始隧道協商期間，內部域名清單被「推送」到VPN客戶端。然後VPN客戶端確定DNS查詢是應該通過加密隧道傳送，還是以未加密的方式傳送到ISP。拆分DNS僅在拆分隧道環境中使用，因為流量既通過加密隧道傳送，又未加密到Internet。

動態DNS(DDNS)允許在VPN連線成功協商後，將VPN客戶端主機名自動註冊到DNS伺服器。當VPN客戶端發起連線時，本地主機名將傳送到集中器，集中器又將本地主機名轉發到位於中心位置的動態主機配置協定(DHCP)伺服器以進行地址分配。如果DHCP伺服器支援DDNS，則會自動輸入分配的地址和主機名。DHCP地址分配是DDNS正常工作的要求，但是不適用於本地地址池。

必要條件

需求

本文件沒有特定需求。

採用元件

分隔DNS和DDNS均在3.6版的集中器和客戶端代碼中引入。您必須至少運行這些版本才能啟用和配置此功能。本文檔中的所有配置均使用以下軟體和硬體版本進行開發和測試。

• Cisco VPN 3000集中器版本3.6.7.A

• Cisco VPN使用者端版本3.6.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

網路圖表

本檔案會使用以下網路設定：

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

配置拆分DNS和DDNS

拆分DNS

本節提供用於設定本文件中所述功能的資訊。在Cisco VPN 3000集中器上的組引數下配置拆分DNS引數。因此，不需要在客戶端上進行配置。

1. 在GUI的User Management > Groups部分下，選擇適當的組，然後選擇Modify Group。

2. 在General頁籤下，輸入最多兩個內部DNS伺服器，以傳遞給客戶端。

   

3. 在Client Config（客戶端配置）頁籤下，配置拆分隧道、預設域名和拆分DNS域清單。

   

   使用上述引數成功協商隧道後，對Cisco.com或Test.com域中具有完全限定域名的主機的任何引用都會導致通過隧道向192.168.1.1傳送DNS查詢。任何其他域中主機的DNS查詢會在初始PC啟動時以未加密的方式傳送到DHCP提供的DNS伺服器。

   附註：  稱為「192.168網路」的拆分隧道清單包含192.168.0.0/16網路。這是必要的，這樣才能對發往內部DNS伺服器192.168.1.1的DNS請求進行加密。

DDNS

DDNS要求在VPN集中器上配置DHCP地址分配。因此，不需要在客戶端上進行配置。在初始隧道協商期間，客戶端將其主機名傳送到集中器，而集中器在其DHCP請求資料包中使用該主機名請求客戶端的地址。由DHCP伺服器將此主機名動態新增到DDNS伺服器。Windows 2000 DHCP伺服器支援此功能。

1. 要在VPN集中器上配置VPN客戶端的DHCP地址分配，請在Configuration > System > Servers > DHCP下，新增DHCP伺服器IP地址。確保在Configuration > System > IP Routing > DHCP Parameters下的集中器上全域性啟用DHCP。

   註：預設情況下啟用。

2. 在Configuration > System > Address Management > Assignment下，選中用於從DHCP伺服器分配地址的選項。

   

驗證

VPN客戶端隨附的日誌檢視器可用於確保從VPN集中器傳送正確的引數。在Options > Filters下，將Internet金鑰交換(IKE)日誌類設定為High。成功協商通道後，日誌中應出現以下消息（或您的網路特定等效消息）。

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

上述引數定義如下：

• INTERNAL_IPV4_ADDRESS — 分配給VPN客戶端連線的IP地址

• INTERNAL_IPV4_DNS(1) — 內部DNS伺服器

• MODECFG_UNITY_SPLIT_INCLUDE — 拆分隧道清單中的網路數

• SPLIT_NET #n — 傳遞到客戶端的每個拆分隧道網路的詳細資訊

• MODECFG_UNITY_DEFDOMAIN -預設域名

• MODECFG_UNITY_SPLITDNS_NAME — 要傳送到INTERNAL_IPV4_DNS的內部域清單

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。有關其他故障排除資訊，請參閱排除VPN 3000集中器上的連線問題。

相關資訊

• Cisco VPN 3000系列集中器支援頁面
• Cisco VPN 3000系列使用者端支援頁面
• IPSec支援頁面
• 技術支援 - Cisco Systems