저는 최근 LAN 가장자리에 Cisco ASA 5505 방화벽을 설치했습니다. 설정은 간단합니다.
인터넷 <--> ASA <--> LAN
6in4 터널을 설정하여 LAN의 호스트에 IPv6 연결을 제공하고 싶습니다.SixXS.
ASA를 터널 끝점으로 사용하여 IPv4 및 IPv6 트래픽을 모두 방화벽할 수 있으면 좋을 것입니다.
불행하게도 ASA는 터널 자체를 생성할 수 없고 프로토콜 41 트래픽을 포트 포워딩할 수 없으므로 대신 다음 중 하나를 수행해야 한다고 생각합니다.
- 자체 IP로 호스트 설정밖의방화벽을 설치하고 해당 기능을 터널 끝점으로 사용합니다. 그런 다음 ASA는 방화벽을 수행하고 v6 서브넷을 LAN으로 라우팅할 수 있습니다.
- 호스트 설정내부에VLAN 등을 통해 분리된 엔드포인트 역할을 하는 방화벽을 사용하고 트래픽을 ASA로 다시 루프하여 방화벽을 설정하고 라우팅할 수 있습니다. 이것은 인위적인 것처럼 보이지만 물리적 머신 대신 VM을 엔드포인트로 사용할 수 있게 해줍니다.
- 다른 방법은 없나요?
이를 설정하는 최적의 방법은 무엇이라고 제안하시겠습니까?
PS 필요한 경우 사용할 수 있는 예비 공용 IP 주소가 있으며 VMware 인프라에서 다른 VM을 가동할 수 있습니다.
답변1
저도 같은 문제가 있었는데 해결했어요. 실제로 귀하의 질문이 저에게 큰 도움이 되었습니다. 루프백 터널링이 트릭이었습니다.
8.3 릴리스에는 특히 NAT와 관련하여 ASA OS가 크게 변경되었습니다. 이것이 제가 실행하고 있는 것이므로 8.3 이전에는 구문이 작동하지 않을 가능성이 높습니다. 8.3 이전에도 이 작업을 수행할 수 있는지 모르겠습니다.
설정 방법은 다음과 같습니다. 이를 백업하기 위해 아래에 몇 가지 구성 조각을 포함하겠습니다.
귀하와 마찬가지로 저는 에지 라우터와 내부 네트워크 사이에 ASA를 가지고 있습니다. 공개적으로 주소를 지정할 수 있는 IPv4 주소는 하나만 있습니다. ASA의 외부 공용 IP 주소를 사용하여 특정 외부 호스트와 특정 내부 호스트 간에 NAT 프로토콜 41 트래픽을 수행할 수 있었습니다. 터널은 내부 호스트에서 종료됩니다.
내부 호스트에는 두 개의 이더넷 인터페이스가 있습니다. 하나는 내부 네트워크에 연결되어 IPv4만 실행합니다. ASA의 외부 인터페이스와 동일한 세그먼트에 연결된 다른 하나는 IPv6만 실행합니다. IPv6 터널을 위한 터널 인터페이스도 있습니다. 터널 구성은 Hurricane Electric 웹사이트에서 직접 가져왔습니다. 터널이 구성되어 있는 경우 최소 8개의 서로 다른 운영 체제에 대한 자세한 구성 지침을 표시할 수 있습니다.
ASA는 에지 라우터의 IPv4 주소를 기본 IPv4 경로로 사용합니다. 터널 끝점의 IPv6 주소를 기본 IPv6 주소로 사용합니다. 내부 호스트는 터널 인터페이스를 IPv6의 기본값으로 사용하는 터널 끝점을 제외하고 두 버전 모두에 대해 기본 경로로 ASA를 사용합니다.
IPv6 패킷은 ASA를 각 방향으로 두 번씩 통과합니다. 밖으로 나가면 ASA를 거쳐 터널에 들어가는 터널 끝점으로 이동한 다음 다시 ASA를 통해 나갑니다. IPv4와 IPv6 모두 ASA 방화벽의 모든 이점을 얻습니다.
진짜 비결은 ASA를 통해 프로토콜 41 트래픽을 얻는 것이었습니다. 그 작업을 수행한 부분은 다음과 같습니다.
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
행운을 빕니다!
롭