我最近在我们的局域网边缘安装了 Cisco ASA 5505 防火墙。设置很简单:
互联网 <--> ASA <--> LAN
我想通过设置 6in4 隧道为 LAN 中的主机提供 IPv6 连接六XS。
最好将 ASA 作为隧道端点,这样它就可以同时保护 IPv4 和 IPv6 流量。
不幸的是,ASA 显然无法自行创建隧道,也无法转发协议 41 流量,因此我认为我必须执行以下操作之一:
- 设置具有自己 IP 的主机外部防火墙,并将其作为隧道端点。然后,ASA 可以将 v6 子网设置为防火墙并将它路由到 LAN。
- 设置主机里面防火墙充当端点,通过 VLAN 或其他方式进行隔离,并将流量循环回 ASA,在那里可以对其进行防火墙和路由。这似乎是人为的,但允许我使用虚拟机而不是物理机作为端点。
- 还有其他方法吗?
您建议的最佳设置方法是什么?
PS:如果需要的话,我确实有一个可用的备用公共 IP 地址,并且可以在我们的 VMware 基础架构中启动另一台 VM。
答案1
我遇到了同样的问题,我已经解决了。实际上,你的问题对我帮助很大。环回隧道就是诀窍。
在 8.3 版本中,ASA OS 发生了重大变化,尤其是在 NAT 方面。这就是我正在运行的版本,因此语法在 8.3 之前的版本中可能不起作用。我不知道在 8.3 之前的版本中您是否可以这样做。
设置方法如下。我将在下面添加一些配置片段来支持这一点。
和你一样,我在边缘路由器和内部网络之间有一个 ASA。我只有一个可公开寻址的 IPv4 地址。我能够使用 ASA 的外部公共 IP 地址在特定外部主机和特定内部主机之间进行 NAT 协议 41 流量。隧道终止于内部主机。
内部主机有两个以太网接口。一个连接到内部网络,仅运行 IPv4。另一个连接到与 ASA 外部接口相同的段,仅运行 IPv6。还有一个用于 IPv6 隧道的隧道接口。隧道的配置直接来自 Hurricane Electric 的网站。如果您与他们配置了隧道,他们可以向您展示至少 8 种不同操作系统的详细配置说明。
ASA 使用边缘路由器的 IPv4 地址作为其默认 IPv4 路由。它使用隧道端点的 IPv6 地址作为其默认 IPv6 地址。内部主机使用 ASA 作为其任一版本的默认路由,但隧道端点除外,它使用其隧道接口作为 IPv6 的默认路由。
IPv6 数据包在每个方向上都会经过 ASA 两次。出站时,数据包会经过 ASA,到达隧道端点,然后被放入隧道,最后再经过 ASA 出站。IPv4 和 IPv6 都可以享受 ASA 防火墙的所有优势。
真正的诀窍是让协议 41 流量通过 ASA。以下是实现该功能的部分:
object service 6in4
service 41
object network ipv6_remote_endpoint
host x.x.x.x
object network ipv6_local_endpoint
host y.y.y.y
access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint
nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint
祝你好运!
抢