【高级篇 / IPv6】(7.6) ❀ 03. 宽带IPv6 - ADSL拨号宽带上网配置 ❀ FortiGate 防火墙

　　【简介】大部分ADSL拨号宽带都支持IPv6，这里以ADSL拨号宽带为例，演示在FortiGate防火墙上的配置方法。

 准备工作

　　同上篇文章一样，为了兼顾不熟悉FortiGate防火墙的朋友，我们从基础操作进行演示，熟练的朋友可以跳过这一小节。

　　① 登录防火墙，点击防火墙管理界面右上角的【>_】图标，进入命令模式。

　　② 由于上一篇文章我们对防火墙配置了许多内容，输入命令 execute factoryrest，然后按y。这样防火墙就会恢复到出厂设置了。

　　③ 将电脑网卡的IP改为192.168.1.x网段。

　　④ 连接电脑的网线的另一头接入防火墙的MGMT接口。

　　⑤ 浏览器中输入地址 https://192.168.1.99 就可以再次登录防火墙了。如何登录、如何配置中文界面等初始设置这里就不再细述了，不清楚的可以看上一篇文章相关内容。这里直接跳过。

　　⑥ 光猫上的Lan1口是接移动500M拨号宽带的。这里将网线接入光猫的Lan1口。所有的准备工作都完成了，我们开始配置PPPoE拨号。

  拨号宽带IPv4上网配置

　　先配置IPv4下的拨号宽带上网。

　　① 选择菜单【网络】-【接口】，找到并选择wan1口，点击【编辑】。

　　② 为了更好的区分接口的作用，建议输入别名，可以输入中文。默认情况下接口的寻址模式是【DHCP】，所以可以看到自动从光猫获取了IP地址，这里忽略，点击【PPPoE】，然后输入拨号宽带的用户名和密码（这些在宽带安装时安装人员会提供给你）。点击【确认】，接口就配置完成了。

 　　③ 再次编辑wan1口，有的时候会看到状态一直显示【正在初始化】，这表示拨号不成功。这种情况下，先确定用户名和密码有没有错，再断电重启一下光猫，大部分情况下可以解决防火墙拨不了号的问题。如果仍然不能解决，将网线直接接电脑，用电脑拨号测试宽带是否正常。

　　④ 如果拨号成功，则会显示自动获取的IP、DNS和网关。

　　⑤ 如果有看上一篇文章的就知道，固定IP宽带配置的时候需要创建一条静态默认路由。但是PPPoE拨号宽带则不需要。

　　⑥ 选择菜单【仪表板】-【网络】-【路由】，查看路由表，可以看见拨号宽带自动生成一条接口为ppp2的默认路由。拨号宽带不需要手动去创建静态路由。

　　⑦ 配置好外网口后，就要配置内网口了，选择菜单【网络】-【接口】，找到并选择lan口，点击【编辑】。

　　⑧ 输入接口别名，地址寻址模式选择【静态】，IP/网络掩码这里输入你自定义的内网网段，注意子网掩码不要输入错了，很多人会输入错误的255.255.255.255。建议255.255.255.0，不要用大段的子网掩码。 

　　⑨ 如果要通过内网接口登录防火墙，管理访问IPv4要钩选择【HTTPS】，由于更改了接口IP，地址范围需要重新输入。虽然防火墙wan1口的PPPoE拨号得到的DNS，但这仍然建议选择【指定】手动输入DNS地址。可以输入运营商自带DNS地址，也可以输入通用DNS地址，例如8.8.8.8或114.114.114.114。点击【确定】，这样内网接口就配置完成了。

　　⑩ 配置好了宽带和内网接口，还需策略允许从内网口访问宽带口。防火墙默认已经建立好了一条上网策略，点击菜单【策略&对象】-【防火墙策略】，选择这条lan-wan1的策略，点击【编辑】。 

　　⑪ 策略的内容主要是三块，一是流入和流出接口，这里是从lan流入，从wan1流出。二是源、目标地址以及服务，这里都是all，没有做任何限制。三就是NAT，由内网接口下的172.16.8.x转换成wan1接口IP加端口号进入到公网。 

　　⑫ 现在把电脑连接的网线接入防火墙的1号口。

　　⑬ 电脑网卡改为DHCP自动获取，我们看到除了获取到IP地址和网关外，还获取到了上网所需要的公网DNS。

　　⑭ ping 163网址，能够解析出IP地址并ping通，说明可以正常上网了。

  拨号宽带IPv6上网配置 - Wan口

　　前面介绍了拨号宽带在IPv4下的配置，下面我们首先来了解一下IPv6的Wan口设置。

　　① 由于电脑已经接入1号口，这里用lan口接口IP地址加端口号登录防火墙。点击菜单【系统管理】-【可见功能】，IPv6默认是没有启用的，所以在前面的配置中看不到IPv6的配置内容。这里点击【IPv6】启用。

　　② 再次编辑wan1接口，可以看到除了原有的IPv4的配置外，现在又多了IPv6的配置。

　　③ 我们如果想要在wan口获得IPv6地址，就需要用到命令进行配置，点击主界面右上角的【>_】图标，进入命令窗口。

　　④ 进入命令窗口后，首先输入命令 config system interface 编辑系统接口，然后输入命令 edit wan1 编辑wan1接口（因为拨号宽带是接入wan1口的）。再输入 config ipv6，开始wan1接口的ipv6配置。前面配置的IPv4内容没有影响。

　　⑤ 首先看第一条命令 set ip6-mode pppoe 设置IPv6模式为PPPoE，一共有四种模式可以选择。

　　⑥ 对应web界面的【IPv6地址模式】设置。

　　⑦ 第二条命令 set ipv6-allowaccess https http ping 设置允许访问的协议。这里设置允许ping wan1口，以及通过wan1口登录防火墙。

　　⑧ 对应web界面【管理防问】-【IPv6】设置。

　　⑨ 第三条命令 set dhcp6-prefix-delegation enable 启用DHCP6前缀委托功能。前缀委托（Prefix Delegation）‌是一种在IPv6网络环境中自动配置IPv6地址的方法，通常由ISP的DHCP服务器为客户子网自动化分配前缀，然后根据接口ID生成完整的IPv6地址。这种方法简化了网络配置过程，减少了手动输入错误的可能性。

　　⑩ 对应于web界面【DHCPv6前缀委托】。启动DHCPv6前缀委托后，立即多出一项【IAPD 7前缀提示】的设置。

　　⑪ 输入end命令结束并保存后，再输入show命令，可以看到wan1接口的IPv6配置中自动多出一组关于 dhcp6-ipad-list 的配置，自动生成的编号为7，这个IPAD编号在后面的配置也会用到。

　　⑫ 在dhcp6-ipad-list内用命令 set prefix-hint ::/60 配置前缀。

　　⑬ 对应web界面【IAPD 7前缀提示】配置。

　　⑭ 最后一条命令 set autoconf enable 启用自动配置。

　　⑮ 对应于web界面【自动配置 IPv6地址】。

　　⑯ 最后看一下关于wan1口的IPv6的完整命令。

　　⑰ 在web界面显示的IPv6命令执行后的效果。

　　⑱ 用 diagnose ipv6 address list 命令可以看到， 由于第一篇文章修改了光猫，使得ppp2拨号口获得IPv6地址，而由于上面的那段命令，使wan1口获取了ppp2口相同的IPv6地址。

  拨号宽带IPv6上网配置 - Lan口

　　即然Wan口已经获得了IPv6地址，那么下一步就是配置Lan口，通过Wan口获得IP地址。

　　① 同样我们用命令来配置lan口的IPv6。

　　② 第一条命令 set ip6-mode delegated 设置IPv6模式为委派。 ‌IPv6委派‌是指通过PPPoE接入方式，网关设备向ISP请求前缀委派，从而获取一组IPv6子网，并将这些IPv6地址通过三层交换机的多个VLAN接口分配给内网中的每个设备。

　　③ 第二条命令 set ip6-upstream-interface "wan1" 设置IPv6上行接口为wan1口，注意这里接口名称要用双引号包起来。

　　④ 第三条命令 set ip6-delegated-prefix-iaid 7 设置IPv6委派前缀IAID，由于wan1口的IAID是7，所以这里输入7。 

　　⑤ 上面三条命令分别对应web界面的【IPv6地址模式】、【IPv6上行接口】、【标识关联标识符】。

　　⑥ 第四条命令 set ip6-subnet ::2/64 设置子网。

　　⑦ 对应web界面【IPv6子网】。

　　⑧ 命令 set ip6-send-adv enable 启用该接口的通告发送功能，命令 set ip6-manage-flag enable 启用IPv6管理标志，命令 ip6-other-flag enable 启用其它IPv6标志。这三个命令在web界面没有对应的配置。

　　⑨ 命令 set ip6-allowaccess https http ping 允许通过IPv6地址ping lan口，通过lan口登录防火墙。

　　⑩  对应于web界面【管理访问】-【IPv6】。

　　⑪  命令 set dhcp6-prefix-delegation enable 启用DHCP6前缀委托功能。

　　⑫ 对应web界面【DHCPv6前缀委托】。启动DHCPv6前缀委托后，立即多出一项【IAPD 前缀提示】的设置，这个设置和wan口的设置又略有不同。

　　⑬ 命令行中自动增加了关于dhcp6-ipad-list的一段这个可以忽略。

　　⑭ 命令 config ip6-prefix-list 配置前缀列表。

　　⑮  对应web界面【DHCPv6前缀列表】和【IPv6前缀】。【无状态地址自动配置（SLAAC）】也会自动启动，。这样会从wan1口取前64位，后64位自动生成，最终生成客户端的IPv6地址。

　　⑯  配置IPv6委派前缀列表。

　　⑰ 对应web界面【IPv6委托prefix列表】、【上行接口】、【子网】。

　　⑱ Lan口关于IPv6的配置命令就是这些了。

  拨号宽带IPv6上网配置 - DHCP6

　　由于还要给客户端分配DNS，所以这里还要配置DHCP6。 

　　①  命令 config system dhcp6 server 配置DHCP6服务器。命令edit 1编辑配置，set interface "lan" 设置DHCP6的接口为lan口。

　　②  命令 set ip-mode delegated 设置IP模式为委托，使用委托前缀方法分配客户端IP。

　　③  命令 set upstream-interface "wan1" 设置上行接口为wan1。

　　④  命令 set delegated-prefix-iaid 7 设置委托前缀IAID，wan1口为7 。

　　⑤  命令 set dns-server 设置DNS服务器，这里输入的是移动宽带的IPv6 DNS。

　　⑥  配置DHCP6服务器的全部命令是这样的。

　　⑦ 对于web界面的DHCPv6服务器配置。目前为止，接口的配置全部完成了。

　　⑧ 再次用 diagnose ipv6 address list 命令查看IPv6地址表，可以看到lan口已经成功的获得公网IPv6地址了。 

  配置IPv6访问策略

　　对wan1和lan口配置IPv6后，还需要配置访问策略才能通过IPv6上网。

　　① 选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　② 创建一条lan口到wan1口的策略，源和目标地址都为IPv6地址的all，由于IPv6地址可以直接访问，所以策略的NAT不要启用。

　　③ 同样方法创建一条wan1口到lan的IPv6地址的策略，不要启用NAT。

  验证效果

　　防火墙的wan口和lan口关于IPv6的配置都已经完成了。也配置了wan口和lan口的IPv6访问策略，下面我们来验证一下效果。

 　　① iMac的网卡自动获取到IPv6的地址。

　　② 访问IPv6测试网站，也可以完美的通过测试。