Cisco ASA 和靜態 IPv6 隧道端點?
我最近在我們的 LAN 邊緣安裝了 Cisco ASA 5505 防火牆。設置很簡單:
網際網路 <–> ASA <–> 區域網路
我想通過設置到SixXS的 6in4 隧道來為 LAN 中的主機提供 IPv6 連接。
將 ASA 用作隧道端點會很好,這樣它就可以同時為 IPv4 和 IPv6 流量提供防火牆。
不幸的是,ASA 顯然不能自己創建隧道,也不能埠轉發協議 41 流量,所以我相信我必須改為執行以下操作之一:
- 在防火牆外設置具有自己 IP的主機,並將該功能用作隧道端點。然後 ASA 可以設置防火牆並將 v6 子網路由到 LAN。
- 在防火牆內設置一個主機作為端點,通過 vlan 或其他方式分隔,並將流量循環回 ASA,在那裡它可以被防火牆和路由。這似乎是做作的,但可以讓我使用虛擬機而不是物理機作為端點。
- 還有什麼辦法嗎?
你會建議什麼是設置它的最佳方式?
PS 如果需要,我確實有一個可用的備用公共 IP 地址,並且可以在我們的 VMware 基礎架構中啟動另一個 VM。
我有同樣的問題,我已經解決了。實際上,您的問題對我幫助很大。環回隧道是訣竅。
在 8.3 版本中,ASA 作業系統發生了重大變化,尤其是在 NAT 方面。這就是我正在執行的,因此該語法可能在 8.3 之前不起作用。我不知道你是否可以在 8.3 之前做到這一點。
這是它的設置方式。我將在下麵包含一些配置片段來支持這一點。
和你一樣,我的邊緣路由器和內部網路之間有一個 ASA。我只有一個可公開定址的 IPv4 地址。我能夠使用 ASA 的外部公共 IP 地址在特定外部主機和特定內部主機之間對協議 41 流量進行 NAT。隧道在內部主機上終止。
內部主機有兩個乙太網介面。一、連接內網,只執行IPv4。另一個連接到與 ASA 的外部介面相同的網段,僅執行 IPv6。IPv6隧道還有一個隧道介面。隧道的配置直接來自颶風電氣的網站。如果您使用它們配置了隧道,它們可以向您顯示至少 8 種不同作業系統的詳細配置說明。
ASA 使用邊緣路由器的 IPv4 地址作為其預設 IPv4 路由。它使用隧道端點的 IPv6 地址作為預設 IPv6 地址。內部主機使用 ASA 作為任一版本的預設路由,但隧道端點除外,它使用其隧道介面作為 IPv6 的預設路由。
IPv6 數據包在每個方向上通過 ASA 兩次。出來時,它們會通過 ASA,到達隧道端點,然後將它們放入隧道,然後再次通過 ASA。IPv4 和 IPv6 都獲得了 ASA 防火牆的所有優勢。
真正的訣竅是通過 ASA 獲取協議 41 流量。以下是使它起作用的部分:
object service 6in4 service 41 object network ipv6_remote_endpoint host x.x.x.x object network ipv6_local_endpoint host y.y.y.y access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
祝你好運!
搶