【簡介】大部分ADSL撥號寬帶都支持IPv6，這里以ADSL撥號寬帶為例，演示在FortiGate防火墻上的配置方法。

---

?準備工作

　　同上篇文章一樣，為了兼顧不熟悉FortiGate防火墻的朋友，我們從基礎操作進行演示，熟練的朋友可以跳過這一小節。

　　① 登錄防火墻，點擊防火墻管理界面右上角的【>_】圖標，進入命令模式。

　　② 由于上一篇文章我們對防火墻配置了許多內容，輸入命令 execute factoryrest，然后按y。這樣防火墻就會恢復到出廠設置了。

　　③ 將電腦網卡的IP改為192.168.1.x網段。

　　④ 連接電腦的網線的另一頭接入防火墻的MGMT接口。

　　⑤?瀏覽器中輸入地址 https://192.168.1.99 就可以再次登錄防火墻了。如何登錄、如何配置中文界面等初始設置這里就不再細述了，不清楚的可以看上一篇文章相關內容。這里直接跳過。

　　⑥ 光貓上的Lan1口是接移動500M撥號寬帶的。這里將網線接入光貓的Lan1口。所有的準備工作都完成了，我們開始配置PPPoE撥號。

??撥號寬帶IPv4上網配置

　　先配置IPv4下的撥號寬帶上網。

　　① 選擇菜單【網絡】-【接口】，找到并選擇wan1口，點擊【編輯】。

　　② 為了更好的區分接口的作用，建議輸入別名，可以輸入中文。默認情況下接口的尋址模式是【DHCP】，所以可以看到自動從光貓獲取了IP地址，這里忽略，點擊【PPPoE】，然后輸入撥號寬帶的用戶名和密碼（這些在寬帶安裝時安裝人員會提供給你）。點擊【確認】，接口就配置完成了。

?　　③ 再次編輯wan1口，有的時候會看到狀態一直顯示【正在初始化】，這表示撥號不成功。這種情況下，先確定用戶名和密碼有沒有錯，再斷電重啟一下光貓，大部分情況下可以解決防火墻撥不了號的問題。如果仍然不能解決，將網線直接接電腦，用電腦撥號測試寬帶是否正常。

　　④ 如果撥號成功，則會顯示自動獲取的IP、DNS和網關。

　　⑤ 如果有看上一篇文章的就知道，固定IP寬帶配置的時候需要創建一條靜態默認路由。但是PPPoE撥號寬帶則不需要。

　　⑥ 選擇菜單【儀表板】-【網絡】-【路由】，查看路由表，可以看見撥號寬帶自動生成一條接口為ppp2的默認路由。撥號寬帶不需要手動去創建靜態路由。

　　⑦ 配置好外網口后，就要配置內網口了，選擇菜單【網絡】-【接口】，找到并選擇lan口，點擊【編輯】。

　　⑧ 輸入接口別名，地址尋址模式選擇【靜態】，IP/網絡掩碼這里輸入你自定義的內網網段，注意子網掩碼不要輸入錯了，很多人會輸入錯誤的255.255.255.255。建議255.255.255.0，不要用大段的子網掩碼。?

　　⑨ 如果要通過內網接口登錄防火墻，管理訪問IPv4要鉤選擇【HTTPS】，由于更改了接口IP，地址范圍需要重新輸入。雖然防火墻wan1口的PPPoE撥號得到的DNS，但這仍然建議選擇【指定】手動輸入DNS地址。可以輸入運營商自帶DNS地址，也可以輸入通用DNS地址，例如8.8.8.8或114.114.114.114。點擊【確定】，這樣內網接口就配置完成了。

　　⑩ 配置好了寬帶和內網接口，還需策略允許從內網口訪問寬帶口。防火墻默認已經建立好了一條上網策略，點擊菜單【策略&對象】-【防火墻策略】，選擇這條lan-wan1的策略，點擊【編輯】。?

　　? 策略的內容主要是三塊，一是流入和流出接口，這里是從lan流入，從wan1流出。二是源、目標地址以及服務，這里都是all，沒有做任何限制。三就是NAT，由內網接口下的172.16.8.x轉換成wan1接口IP加端口號進入到公網。?

　　? 現在把電腦連接的網線接入防火墻的1號口。

　　? 電腦網卡改為DHCP自動獲取，我們看到除了獲取到IP地址和網關外，還獲取到了上網所需要的公網DNS。

　　? ping 163網址，能夠解析出IP地址并ping通，說明可以正常上網了。

??撥號寬帶IPv6上網配置 - Wan口

　　前面介紹了撥號寬帶在IPv4下的配置，下面我們首先來了解一下IPv6的Wan口設置。

　　① 由于電腦已經接入1號口，這里用lan口接口IP地址加端口號登錄防火墻。點擊菜單【系統管理】-【可見功能】，IPv6默認是沒有啟用的，所以在前面的配置中看不到IPv6的配置內容。這里點擊【IPv6】啟用。

　　② 再次編輯wan1接口，可以看到除了原有的IPv4的配置外，現在又多了IPv6的配置。

　　③ 我們如果想要在wan口獲得IPv6地址，就需要用到命令進行配置，點擊主界面右上角的【>_】圖標，進入命令窗口。

　　④ 進入命令窗口后，首先輸入命令 config system interface 編輯系統接口，然后輸入命令 edit wan1 編輯wan1接口（因為撥號寬帶是接入wan1口的）。再輸入 config ipv6，開始wan1接口的ipv6配置。前面配置的IPv4內容沒有影響。

　　⑤ 首先看第一條命令 set ip6-mode pppoe 設置IPv6模式為PPPoE，一共有四種模式可以選擇。

　　⑥ 對應web界面的【IPv6地址模式】設置。

　　⑦ 第二條命令 set ipv6-allowaccess https http ping 設置允許訪問的協議。這里設置允許ping wan1口，以及通過wan1口登錄防火墻。

　　⑧ 對應web界面【管理防問】-【IPv6】設置。

　　⑨ 第三條命令 set dhcp6-prefix-delegation enable 啟用DHCP6前綴委托功能。前綴委托（Prefix Delegation）?是一種在IPv6網絡環境中自動配置IPv6地址的方法，通常由ISP的DHCP服務器為客戶子網自動化分配前綴，然后根據接口ID生成完整的IPv6地址。這種方法簡化了網絡配置過程，減少了手動輸入錯誤的可能性。

　　⑩ 對應于web界面【DHCPv6前綴委托】。啟動DHCPv6前綴委托后，立即多出一項【IAPD 7前綴提示】的設置。

　　? 輸入end命令結束并保存后，再輸入show命令，可以看到wan1接口的IPv6配置中自動多出一組關于 dhcp6-ipad-list 的配置，自動生成的編號為7，這個IPAD編號在后面的配置也會用到。

　　? 在dhcp6-ipad-list內用命令 set prefix-hint ::/60?配置前綴。

　　? 對應web界面【IAPD 7前綴提示】配置。

　　? 最后一條命令 set autoconf enable 啟用自動配置。

　　? 對應于web界面【自動配置 IPv6地址】。

　　? 最后看一下關于wan1口的IPv6的完整命令。

　　? 在web界面顯示的IPv6命令執行后的效果。

　　? 用 diagnose ipv6 address list 命令可以看到，?由于第一篇文章修改了光貓，使得ppp2撥號口獲得IPv6地址，而由于上面的那段命令，使wan1口獲取了ppp2口相同的IPv6地址。

??撥號寬帶IPv6上網配置 - Lan口

　　即然Wan口已經獲得了IPv6地址，那么下一步就是配置Lan口，通過Wan口獲得IP地址。

　　① 同樣我們用命令來配置lan口的IPv6。

　　② 第一條命令 set ip6-mode delegated 設置IPv6模式為委派。??IPv6委派?是指通過PPPoE接入方式，網關設備向ISP請求前綴委派，從而獲取一組IPv6子網，并將這些IPv6地址通過三層交換機的多個VLAN接口分配給內網中的每個設備。

　　③ 第二條命令 set ip6-upstream-interface "wan1" 設置IPv6上行接口為wan1口，注意這里接口名稱要用雙引號包起來。

　　④ 第三條命令 set ip6-delegated-prefix-iaid 7 設置IPv6委派前綴IAID，由于wan1口的IAID是7，所以這里輸入7。?

　　⑤ 上面三條命令分別對應web界面的【IPv6地址模式】、【IPv6上行接口】、【標識關聯標識符】。

　　⑥ 第四條命令 set ip6-subnet ::2/64 設置子網。

　　⑦ 對應web界面【IPv6子網】。

　　⑧ 命令 set ip6-send-adv enable 啟用該接口的通告發送功能，命令 set ip6-manage-flag enable 啟用IPv6管理標志，命令 ip6-other-flag enable 啟用其它IPv6標志。這三個命令在web界面沒有對應的配置。

　　⑨ 命令 set ip6-allowaccess https http ping 允許通過IPv6地址ping lan口，通過lan口登錄防火墻。

　　⑩? 對應于web界面【管理訪問】-【IPv6】。

　　?? 命令 set dhcp6-prefix-delegation enable 啟用DHCP6前綴委托功能。

　　? 對應web界面【DHCPv6前綴委托】。啟動DHCPv6前綴委托后，立即多出一項【IAPD 前綴提示】的設置，這個設置和wan口的設置又略有不同。

　　? 命令行中自動增加了關于dhcp6-ipad-list的一段這個可以忽略。

　　? 命令 config ip6-prefix-list 配置前綴列表。

　　?? 對應web界面【DHCPv6前綴列表】和【IPv6前綴】。【無狀態地址自動配置（SLAAC）】也會自動啟動，。這樣會從wan1口取前64位，后64位自動生成，最終生成客戶端的IPv6地址。

　　?? 配置IPv6委派前綴列表。

　　? 對應web界面【IPv6委托prefix列表】、【上行接口】、【子網】。

　　? Lan口關于IPv6的配置命令就是這些了。

??撥號寬帶IPv6上網配置 - DHCP6

　　由于還要給客戶端分配DNS，所以這里還要配置DHCP6。?

　　①? 命令 config system dhcp6 server 配置DHCP6服務器。命令edit 1編輯配置，set interface "lan"?設置DHCP6的接口為lan口。

　　②? 命令 set ip-mode delegated 設置IP模式為委托，使用委托前綴方法分配客戶端IP。

　　③? 命令 set upstream-interface "wan1" 設置上行接口為wan1。

　　④? 命令 set delegated-prefix-iaid 7 設置委托前綴IAID，wan1口為7 。

　　⑤? 命令 set dns-server 設置DNS服務器，這里輸入的是移動寬帶的IPv6 DNS。

　　⑥? 配置DHCP6服務器的全部命令是這樣的。

　　⑦ 對于web界面的DHCPv6服務器配置。目前為止，接口的配置全部完成了。

　　⑧ 再次用 diagnose ipv6 address list 命令查看IPv6地址表，可以看到lan口已經成功的獲得公網IPv6地址了。?

??配置IPv6訪問策略

　　對wan1和lan口配置IPv6后，還需要配置訪問策略才能通過IPv6上網。

　　① 選擇菜單【策略&對象】-【防火墻策略】，點擊【新建】。

　　② 創建一條lan口到wan1口的策略，源和目標地址都為IPv6地址的all，由于IPv6地址可以直接訪問，所以策略的NAT不要啟用。

　　③ 同樣方法創建一條wan1口到lan的IPv6地址的策略，不要啟用NAT。

??驗證效果

　　防火墻的wan口和lan口關于IPv6的配置都已經完成了。也配置了wan口和lan口的IPv6訪問策略，下面我們來驗證一下效果。

?　　① iMac的網卡自動獲取到IPv6的地址。

　　② 訪問IPv6測試網站，也可以完美的通過測試。

---