Cisco ASAと静的IPv6トンネルエンドポイント？

私は同じ問題を抱えていました、そして私はそれを解決しました。実際、あなたの質問は私を大いに助けてくれました。ループバックトンネリングがトリックでした。

8.3リリースでは、特にNATに関してASAOSに大きな変更がありました。それが私が実行しているものなので、8.3より前の構文は機能しない可能性があります。 8.3より前にこれを行うことができるかどうかはわかりません。

設定方法は次のとおりです。これをバックアップするために、以下にいくつかの構成スニペットを含めます。

あなたのように、私はエッジルータと内部ネットワークの間にASAを持っています。パブリックアドレス可能なIPv4アドレスは1つしかありません。 ASAの外部パブリックIPアドレスを使用して、特定の外部ホストと特定の内部ホストの間でNATプロトコル41トラフィックを処理できました。トンネルは内部ホストで終端されています。

内部ホストには2つのイーサネットインターフェイスがあります。 1つは、内部ネットワークに接続されており、IPv4のみを実行します。もう1つは、ASAの外部インターフェイスと同じセグメントに接続されており、IPv6のみを実行します。 IPv6トンネル用のトンネルインターフェースもあります。トンネルの構成は、ハリケーンエレクトリックのウェブサイトから直接提供されました。それらを使用してトンネルを構成している場合は、少なくとも8つの異なるオペレーティングシステムの詳細な構成手順が表示されます。

ASAは、エッジルータのIPv4アドレスをデフォルトのIPv4ルートとして使用します。トンネルエンドポイントのIPv6アドレスをデフォルトのIPv6アドレスとして使用します。内部ホストは、IPv6のデフォルトとしてトンネルインターフェイスを使用するトンネルエンドポイントを除いて、どちらのバージョンのデフォルトルートとしてASAを使用します。

IPv6パケットは、ASAを各方向に2回通過します。アウト、それらはASAを通過し、トンネルに配置されるトンネルエンドポイントに到達し、ASAを介して再びアウトします。 IPv4とIPv6はどちらも、ASAファイアウォールのすべての利点を活用できます。

本当のトリックは、ASAを介してプロトコル41トラフィックを取得することでした。これがその仕事をした部分です：

object service 6in4
 service 41
object network ipv6_remote_endpoint
 Host x.x.x.x
object network ipv6_local_endpoint
 Host y.y.y.y

access-list outside_in extended permit object 6in4 object ipv6_remote_endpoint object ipv6_local_endpoint

nat (inside,outside) source static ipv6_local_endpoint interface destination static ipv6_remote_endpoint ipv6_remote_endpoint

それで頑張ってください！

ロブ