Cisco VPN 3000 コンセントレータでのスプリット DNS および ダイナミック DNS の設定

ダウンロード オプション

  • PDF     (186.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (236.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (258.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 1 月 14 日
Document ID:26405

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

スプリット Domain Name System(DNS; ドメイン ネーム システム)を使用すると、あるドメイン名に対する DNS クエリを、VPN トンネル経由で内部 DNS サーバで解決することができます。その他すべての DNS クエリは、Internet Service Provider(ISP; インターネット サービス プロバイダー)の DNS サーバで解決されます。内部ドメイン名のリストは、最初のトンネル ネゴシエーションの間に、VPN Client に「送信」されます。続いて VPN Client は、DNS クエリを暗号化トンネル経由で送信する必要があるか、または暗号化せずに ISP に送信する必要があるかを判別します。トラフィックのインターネットへの送信は、暗号化トンネル経由と暗号化されない送信の両方があるため、スプリット DNS はスプリット トンネリング環境でのみ使用されます。

Dynamic DNS(DDNS; ダイナミック DNS)を使用すると、VPN 接続のネゴシエーション成功時に、VPN Client ホスト名の DNS サーバへの自動登録が可能になります。VPN Client が接続を開始すると、ローカル ホスト名はコンセントレータに送信されます。コンセントレータは、アドレスを割り当てるために中央に配置された Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)サーバに、ローカル ホスト名を転送します。DHCP サーバが DDNS をサポートしている場合、割り当てられたアドレスとホスト名は自動的に入力されます。DHCP アドレス割り当ては DDNS が機能するための要件ですが、ローカル アドレス プールとは連携しません。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

スプリット DNS と DDNS はともに、コンセントレータとクライアント コードの両方のバージョン 3.6 で導入されました。この機能を有効にして設定するには、少なくともこれ以降のバージョンを実行する必要があります。このドキュメントのすべての設定は、次のソフトウェアとハードウェアのバージョンを使用して開発およびテストされています。

  • Cisco VPN 3000 コンセントレータ バージョン 3.6.7.A

  • Cisco VPN Client バージョン 3.6.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

dns_split_dynam1.gif

表記法

ドキュメント表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

スプリット DNS および DDNS の設定

スプリット DNS

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。スプリット DNS のパラメータは、Cisco VPN 3000 コンセントレータの group パラメータの下で設定されます。そのため、クライアント側での設定は必要ありません。

  1. GUI の User Management > Groups セクションで適切なグループを選択し、Modify Group を選択します。

  2. General タブで、クライアントに渡される内部 DNS サーバを 2 つまで入力します。

    dns_split_dynam2.gif

  3. Client Config タブで、スプリット トンネリング、デフォルトのドメイン名、およびスプリット DNS ドメイン リストを設定します。

    dns_split_dynam3.gif

    上記のパラメータを使用してトンネルが正常にネゴシエートされた後、Cisco.comドメインまたはTest.comドメイン内の完全修飾ドメイン名を持つホストへの参照は、トンネル経由で192.168.1.1に送信されます。

    注:  「192.168 Network」と呼ばれるスプリット トンネル リストには、192.168.0.0/16 ネットワークが含まれています。192.168.1.1 の内部 DNS サーバに対する DNS 要求が暗号化されるようにするため、これが必要になります。

DDNS

DDNS では、VPN コンセントレータで DHCP アドレス割り当てが設定される必要があります。そのため、クライアント側での設定は必要ありません。最初のトンネル ネゴシエーションの間、クライアントは自分のホスト名をコンセントレータに送信し、コンセントレータはクライアントのアドレスを要求する際に DHCP 要求パケットでこのホスト名を使用します。このホスト名を DDNS サーバに動的に追加するかどうかは、DHCP サーバで決定します。Windows 2000 の DHCP サーバは、この機能をサポートしています。

  1. VPN コンセントレータで VPN Client の DHCP アドレス割り当てを設定するには、Configuration > System > Servers > DHCP で、DHCP servers IP address を追加します。Configuration > System > IP Routing > DHCP Parameters で、DHCP がコンセントレータでグローバルに有効になっていることを確認します。

    注:これはデフォルトで有効になっています。

  2. Configuration > System > Address Management > Assignment で、DHCP サーバからアドレスを割り当てるオプションをチェックします。

    dns_split_dynam4.gif

確認

VPN Client に付属する Log Viewer を使用すると、VPN コンセントレータから正しいパラメータが送信されていることを確認できます。Options > Filters で、Internet Key Exchange(IKE; インターネット鍵交換)のログ クラスを High に設定します。トンネルのネゴシエーションの成功後は、次のメッセージ(またはネットワークに固有の同等の内容)がログに存在する必要があります。 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

上記のパラメータの定義は次のようになります。

  • INTERNAL_IPV4_ADDRESS:VPN Client 接続に割り当てられる IP アドレス

  • INTERNAL_IPV4_DNS(1):内部 DNS サーバ

  • MODECFG_UNITY_SPLIT_INCLUDE:スプリット トンネル リストのネットワークの数

  • SPLIT_NET #n:クライアントに渡される各スプリット トンネル ネットワークの詳細

  • MODECFG_UNITY_DEFDOMAIN:デフォルトのドメイン名

  • MODECFG_UNITY_SPLITDNS_NAME:INTERNAL_IPV4_DNS に送信される内部ドメインのリスト

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。その他のトラブルシューティング情報については、『VPN 3000コンセントレータの接続に関する問題のトラブルシューティング』を参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
14-Jan-2008
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています