Cisco ASA 和靜態 IPv6 隧道端點?

Cisco ASA 和靜態 IPv6 隧道端點?

我最近在 LAN 邊緣安裝了 Cisco ASA 5505 防火牆。設定很簡單:

網際網路 <--> ASA <--> LAN

我想透過設定 6in4 隧道來為 LAN 中的主機提供 IPv6 連接六XS

如果將 ASA 作為隧道端點就好了,這樣它就可以對 IPv4 和 IPv6 流量進行防火牆。

不幸的是,ASA 本身顯然無法建立隧道,而且無法連接埠轉送協定 41 流量,因此我相信我必須執行以下操作之一:

  • 設定一個擁有自己IP的主機外部防火牆,並具有隧道端點的功能。然後,ASA 可以使用防火牆並將 v6 子網路路由到 LAN。
  • 設定主機裡面充當端點的防火牆,透過 vlan 或其他方式分隔,並將流量環回 ASA,在那裡可以對其進行防火牆和路由。這似乎是人為的,但允許我使用虛擬機器而不是實體機器作為端點。
  • 還有其他辦法嗎?

您建議設定此功能的最佳方法是什麼?

PS:如果需要,我確實有一個可用的備用公用 IP 位址,並且可以在我們的 VMware 基礎架構中啟動另一個虛擬機器。

答案1

我也遇到了同樣的問題,我已經解決了。事實上,你的問題對我幫助很大。環回隧道就是訣竅。

在 8.3 版本中,ASA 作業系統發生了重大變化,特別是在 NAT 方面。這就是我正在運行的,因此該語法可能在 8.3 之前不起作用。我不知道你是否可以在 8.3 之前執行此操作。

設定方式如下。我將在下麵包含一些配置片段來支援這一點。

和您一樣,我的邊緣路由器和內部網路之間有一個 ASA。我只有一個可公開尋址的 IPv4 位址。我能夠使用 ASA 的外部公用 IP 位址對特定外部主機和特定內部主機之間的 NAT 協定 41 流量進行 NAT。隧道在內部主機上終止。

內部主機有兩個乙太網路介面。一是連接到內部網絡,僅運行 IPv4。另一個與 ASA 外部介面連接到同一網段,僅執行 IPv6。還有一個用於 IPv6 隧道的隧道介面。隧道的配置直接來自颶風電氣的網站。如果您設定了隧道,它們可以向您顯示至少 8 個不同作業系統的詳細設定說明。

ASA 使用邊緣路由器的 IPv4 位址作為其預設 IPv4 路由。它使用隧道端點的 IPv6 位址作為預設 IPv6 位址。內部主機使用 ASA 作為任一版本的預設路由,但隧道端點除外,該端點使用其隧道介面作為 IPv6 的預設路由。

IPv6 封包在每個方向上經過 ASA 兩次。出去時,它們會經過 ASA,到達隧道端點,在此處將其放入隧道中,然後再次通過 ASA 出去。 IPv4 和 IPv6 都可以獲得 ASA 防火牆的所有優點。

真正的技巧是透過 ASA 取得協議 41 流量。以下是實現該功能的部分:

object service 6in4
 service 41
object network ipv6_remote_endpoint
 host x.x.x.x
object network ipv6_local_endpoint
 host y.y.y.y

access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint

nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint

祝你好運!

相關內容