我正在 ASA 5506 ver 9.9(2)36 上配置公共 IPv6(双栈,带静态 IPv4 块)。ISP 已分配单个 /64 前缀,其中2001:2:3:4::1(不是实际 IP)是他们的设备,2001:2:3:4::2可能是我们的 ASA。对于静态 IPv6 分配,我通常看到 ISP 为我们的设备提供 /126 块,为 LAN 设备提供路由的 /64(或更大)。我以前从未配置过只有 /64 的 ASA,而且似乎需要外部和内部接口都位于同一个前缀上,这当然是不可能的。
LAN 主机正确地为自己分配了前缀,并具有到内部接口的本地链接的正确默认路由。我尝试将 /64 块 IPv6 分配给内部接口,在外部接口上设置到其路由器的默认路由,因为我能够从外部接口上的本地链接 ping 其本地链接。这当然不起作用。
我已经确认它们的上行路由正常工作,因为当 /64 分配给外部接口时,我能够从 ASA 传递流量(traceroute out、ssh in)。
在回复他们之前,我想知道这种配置在 ASA(或其他)上是否可行?在我看来,这似乎行不通,但是有很多 IPv6 巫术我不完全理解。
一些配置:
interface GigabitEthernet1/1
security-level 0
nameif outside
ip address x.x.1.1 255.255.255.0
ipv6 address 2001:2:3:4::2/64
ipv6 enable
ipv6 nd suppress-ra
!
interface GigabitEthernet1/2
security-level 100
nameif inside
ip address 192.168.0.1 255.255.255.0
! ipv6 address 2001:2:3:4::3/64 ! this doesn't work of course
ipv6 enable
ipv6 nd prefix 2001:2:3:4::/64
ipv6 route outside ::/0 2001:2:3:4::1
谢谢!
答案1
您说得对,前缀是 /64。使路由变得简单。
大多数地址计划需要多个 /64。每个前缀、LAN 接口、安全区域、测试网络都需要一个。对于一个站点来说,/48 还算合理,对于一个小型站点来说,/56 或许是合理的。
CPE 主机使用您委托的前缀进行寻址的情况并不常见。IPv6 有足够的地址空间供 ISP 设备为自己获取不同的地址。或者 CPE 可能使用链路本地地址,而其接口没有任何公共 IP。无论哪种情况,委托的前缀都应完全属于您。
看来需要与 ISP 进行对话。