Cisco ASA と静的 IPv6 トンネル エンドポイント?

私も同じ問題を抱えていましたが、解決しました。実際、あなたの質問は私にとって非常に役に立ちました。ループバック トンネリングが秘訣でした。

8.3 リリースでは、特に NAT に関して、ASA OS に大きな変更がありました。私が実行しているのは 8.3 なので、8.3 より前では構文が機能しない可能性があります。8.3 より前ではこれが実行できたかどうかはわかりません。

設定方法は次のとおりです。これを裏付けるために、いくつかの構成スニペットを以下に記載します。

私もあなたと同じように、エッジ ルータと内部ネットワークの間に ASA を設置しています。パブリックにアドレス指定可能な IPv4 アドレスは 1 つだけです。ASA の外部パブリック IP アドレスを使用して、特定の外部ホストと特定の内部ホスト間の NAT プロトコル 41 トラフィックを実行できました。トンネルは内部ホストで終了しています。

内部ホストには 2 つのイーサネット インターフェイスがあります。1 つは内部ネットワークに接続されており、IPv4 のみを実行します。もう 1 つは ASA の外部インターフェイスと同じセグメントに接続されており、IPv6 のみを実行します。また、IPv6 トンネル用のトンネル インターフェイスもあります。トンネルの設定は、Hurricane Electric の Web サイトから直接取得しました。Hurricane Electric でトンネルを設定している場合は、少なくとも 8 つの異なるオペレーティング システム用の詳細な設定手順を確認できます。

ASA は、エッジ ルータの IPv4 アドレスをデフォルトの IPv4 ルートとして使用します。トンネル エンドポイントの IPv6 アドレスをデフォルトの IPv6 アドレスとして使用します。内部ホストは、トンネル エンドポイントを除き、どちらのバージョンでも ASA をデフォルト ルートとして使用します。トンネル エンドポイントは、トンネル インターフェイスを IPv6 のデフォルトとして使用します。

IPv6 パケットは、各方向に 2 回 ASA を通過します。送信時には、パケットは ASA を通過してトンネル エンドポイントに到達し、そこでトンネルに入れられ、再び ASA を通過して送信されます。IPv4 と IPv6 の両方で、ASA ファイアウォールのすべての利点を享受できます。

本当の秘訣は、プロトコル 41 トラフィックを ASA 経由で取得することでした。これが機能する仕組みは次のとおりです。

object service 6in4
 service 41
object network ipv6_remote_endpoint
 host x.x.x.x
object network ipv6_local_endpoint
 host y.y.y.y

access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint

nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint

頑張ってください！

ロブ