Cisco ASA と静的 IPv6 トンネル エンドポイント?

Cisco ASA と静的 IPv6 トンネル エンドポイント?

最近、LAN のエッジに Cisco ASA 5505 ファイアウォールをインストールしました。セットアップは簡単です。

インターネット <--> ASA <--> LAN

6in4トンネルを設定してLAN内のホストにIPv6接続を提供したいのですがシックス

ASA をトンネル エンドポイントとして使用して、IPv4 と IPv6 の両方のトラフィックをファイアウォールできると便利です。

残念ながら、ASA はトンネル自体を作成できず、プロトコル 41 トラフィックをポート転送できないようです。そのため、代わりに次のいずれかを実行する必要があると思います。

  • 独自のIPを持つホストを設定するファイアウォールを設定し、その機能をトンネル エンドポイントとして設定します。ASA はファイアウォールを設定して、v6 サブネットを LAN にルーティングできます。
  • ホストを設定する内部エンドポイントとして機能するファイアウォールは、VLAN などを介して分離され、トラフィックを ASA にループバックして、ファイアウォールとルーティングを実行できます。これは不自然なようですが、エンドポイントとして物理マシンの代わりに VM を使用できるようになります。
  • その他の方法で?

これを設定する最適な方法は何でしょうか?

PS: 必要に応じて使用できる予備のパブリック IP アドレスがあり、VMware インフラストラクチャで別の VM を起動できます。

答え1

私も同じ問題を抱えていましたが、解決しました。実際、あなたの質問は私にとって非常に役に立ちました。ループバック トンネリングが秘訣でした。

8.3 リリースでは、特に NAT に関して、ASA OS に大きな変更がありました。私が実行しているのは 8.3 なので、8.3 より前では構文が機能しない可能性があります。8.3 より前ではこれが実行できたかどうかはわかりません。

設定方法は次のとおりです。これを裏付けるために、いくつかの構成スニペットを以下に記載します。

私もあなたと同じように、エッジ ルータと内部ネットワークの間に ASA を設置しています。パブリックにアドレス指定可能な IPv4 アドレスは 1 つだけです。ASA の外部パブリック IP アドレスを使用して、特定の外部ホストと特定の内部ホスト間の NAT プロトコル 41 トラフィックを実行できました。トンネルは内部ホストで終了しています。

内部ホストには 2 つのイーサネット インターフェイスがあります。1 つは内部ネットワークに接続されており、IPv4 のみを実行します。もう 1 つは ASA の外部インターフェイスと同じセグメントに接続されており、IPv6 のみを実行します。また、IPv6 トンネル用のトンネル インターフェイスもあります。トンネルの設定は、Hurricane Electric の Web サイトから直接取得しました。Hurricane Electric でトンネルを設定している場合は、少なくとも 8 つの異なるオペレーティング システム用の詳細な設定手順を確認できます。

ASA は、エッジ ルータの IPv4 アドレスをデフォルトの IPv4 ルートとして使用します。トンネル エンドポイントの IPv6 アドレスをデフォルトの IPv6 アドレスとして使用します。内部ホストは、トンネル エンドポイントを除き、どちらのバージョンでも ASA をデフォルト ルートとして使用します。トンネル エンドポイントは、トンネル インターフェイスを IPv6 のデフォルトとして使用します。

IPv6 パケットは、各方向に 2 回 ASA を通過します。送信時には、パケットは ASA を通過してトンネル エンドポイントに到達し、そこでトンネルに入れられ、再び ASA を通過して送信されます。IPv4 と IPv6 の両方で、ASA ファイアウォールのすべての利点を享受できます。

本当の秘訣は、プロトコル 41 トラフィックを ASA 経由で取得することでした。これが機能する仕組みは次のとおりです。

object service 6in4
 service 41
object network ipv6_remote_endpoint
 host x.x.x.x
object network ipv6_local_endpoint
 host y.y.y.y

access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint

nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint

頑張ってください!

ロブ

関連情報