Назад | Перейти на главную страницу

Cisco ASA и конечная точка статического туннеля IPv6?

Недавно я установил межсетевой экран Cisco ASA 5505 на границе нашей локальной сети. Настройка проста:

Интернет <--> ASA <--> LAN

Я хотел бы предоставить хостам в локальной сети возможность подключения IPv6, настроив туннель 6in4 для SixXS.

Было бы неплохо иметь ASA в качестве конечной точки туннеля, чтобы он мог защищать трафик IPv4 и IPv6.

К сожалению, ASA, по-видимому, не может создать туннель сам и не может переадресовывать трафик протокола 41, поэтому я считаю, что вместо этого мне пришлось бы сделать одно из следующих действий:

Что вы посоветуете оптимальному способу настройки?

P.S. При необходимости у меня есть запасной общедоступный IP-адрес, и я могу развернуть другую виртуальную машину в нашей инфраструктуре VMware.

У меня была такая же проблема, и я ее решил. На самом деле ваш вопрос мне очень помог. Уловкой было петлевое туннелирование.

В версии 8.3 были значительные изменения ОС ASA, особенно в отношении NAT. Это то, что я использую, поэтому, вероятно, синтаксис не будет работать до 8.3. Я не знаю, можно ли было сделать это до 8.3.

Вот как это устроено. Я включу несколько фрагментов конфигурации ниже, чтобы подтвердить это.

Как и у вас, у меня есть ASA между моим пограничным маршрутизатором и моей внутренней сетью. У меня только один общедоступный IPv4-адрес. Мне удалось передать трафик по протоколу NAT 41 между определенным внешним хостом и конкретным внутренним хостом, используя внешний общедоступный IP-адрес ASA. Туннель завершается на внутреннем хосте.

Внутренний хост имеет два интерфейса Ethernet. Один, подключенный к внутренней сети, работает только с IPv4. Другой, подключенный к тому же сегменту, что и внешний интерфейс ASA, выполняет только IPv6. Также существует туннельный интерфейс для туннеля IPv6. Конфигурация туннеля была взята непосредственно с веб-сайта Hurricane Electric. Если у вас настроен туннель, они могут показать вам подробные инструкции по настройке как минимум для 8 различных операционных систем.

ASA использует IPv4-адрес граничного маршрутизатора в качестве маршрута IPv4 по умолчанию. Он использует IPv6-адрес конечной точки туннеля в качестве IPv6-адреса по умолчанию. Внутренние хосты используют ASA в качестве своего маршрута по умолчанию для любой версии, за исключением конечной точки туннеля, которая использует свой туннельный интерфейс по умолчанию для IPv6.

Пакеты IPv6 проходят через ASA дважды в каждом направлении. На выходе они проходят через ASA к конечной точке туннеля, где они помещаются в туннель, и снова через ASA. И IPv4, и IPv6 получают все преимущества межсетевого экрана ASA.

Настоящая уловка заключалась в передаче трафика протокола 41 через ASA. Вот что заставило это работать:

object service 6in4
 service 41
object network ipv6_remote_endpoint
 host x.x.x.x
object network ipv6_local_endpoint
 host y.y.y.y

access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint

nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint

Удачи с этим!

Роб