IPv6基础组网典型配置案例

适用的产品和版本

设备类型	设备名称	版本
网关	RG-NBR-N7000系列网关	NBR_NTOS1.0R10P3及以后版本

业务需求

设备上WAN口通过PPPoE、DHCP、ND-RA或者静态IP获取IPv6公网地址，同时配置NAT66策略实现内网IPv6地址到公网IPv6地址的转换，实现内网终端使用IPv6进行互联网访问。

WAN口IPv6地址获取方式对比

获取方式	适用场景	优点	缺点
静态IP	建议在运营商分配有专用IPv6地址、数据中心、专线互联或对等互连等关键网络环境使用静态地址配置	地址固定，有利于网络的管理、维护和问题定位	如需变更地址，需人工干预，故不适用于动态变更或终端数量较大的场景
ND-RA	适用于家庭网络、简易办公网络等对地址管理和人员运维要求较低的场合	终端地址自动分配，配置简便，无需中央管理	地址不可控，难以实现统一地址管理，DNS参数需手动配置或通过RDNSS（Recursive DNS Server Option，RA报文的一个扩展选项）下发，部分运营商场景可能不可用
DHCP	建议在企业、校园网及需要集中统一管理的网络中采用DHCPv6方式获取IPv6地址	易于集中地址分配与管理，支持日志追溯，便于批量终端接入及权限管控	需确保网络中DHCPv6服务器及相关服务长期稳定运行
PPPoE	适用于家庭宽带、SOHO办公等基于运营商宽带拨号接入的网络环境	自动动态获取IPv6地址，便于设备更换和网络调整	分配的IPv6地址可能随拨号变化而变动，且依赖运营商服务正常

配置决策建议：

对核心路由接口、固定通信链路优先采用静态IP配置方式。
对于快速部署、小型网络且无需中心化管理的环境，可优先考虑使用ND-RA方式。
企业网骨干路由器、需统一管理的多终端接入场景，应优先选择DHCPv6配置方式。
家庭及中小型企业宽带用户，首选PPPoE拨号方式获取IPv6地址。
总体建议：
结合网络实际结构与运维需求，优先选择与运营商或上级网络环境兼容的IPv6地址获取方式。在需要地址稳定性、简化管理或自动化运维的场景下，请根据以上决策建议合理配置网关WAN口的IPv6地址类型，并确保相关网络规划与配置符合场景需求。

组网图

IPv6基础组网图

$D:\workspace\安全\14-安全\典型案例\IPv6基础组网.png$

配置思路

（1）配置设备LAN口及内网终端IPv6地址。内网终端IPv6地址根据使用场景自行规划IPv6私网地址，通常可采用DHCPv6 Server或者RA通告的方式分配内网终端IPv6地址。常用私网地址范围为FD00::/8。

（2）配置设备WAN口的公网IPv6地址。Device设备WAN口根据运营商提供的网络接入方式，采用PPPoE、DHCP、ND-RA和静态IP任意一种方式配置公网IPv6地址。

配置源NATv6转换。

（3）Device设备上配置NAT66转换将内网访问互联网的报文源地址替换为设备出口公网IPv6地址。

配置步骤

1. 配置WAN口IPv6地址

（1）登录Device，进入[网络]>>[接口]>>[物理接口]页面，点击对应WAN接口名称。

$D:\workspace\安全\14-安全\典型案例\配置WAN口.png$

（2）根据运营商提供的网络接入方式，配置WAN口IPv6地址。

WAN口静态地址：IP类型选择“IPv6”，切换到IPv6地址配置页面。开启IPv6开关，配置IPv6地址为静态地址，将运营商提供的公网IPv6地址和下一跳填入，开启默认路由和发布RA，点击<保存>即可。

WAN口通过ND-RA自动获取IPv6地址：开启IPv6开关，配置IPv6地址连接类型为ND-RA，开启发布RA，[高级地址设置]中开启默认路由，点击<保存>即可。

WAN口通过DHCPv6自动获取IPv6地址：开启IPv6开关，配置IPv6地址连接类型为DHCP，开启发布RA，在[高级地址设置]中开启默认路由，点击<保存>即可。

WAN口PPPoE拨号：开启IPv6开关，配置IPv6地址连接类型为PPPoE，输入运营商提供的账号密码，点击<保存>即可。

2. 配置LAN口IPv6地址

LAN口IPv6地址配置方式根据实际场景规划和配置，下面以配置静态IPv6地址为例。

（1）选择[网络]>>[接口]>>[物理接口]，找到需要配置IPv6地址的LAN口，点击<编辑>。

$D:\workspace\安全\14-安全\典型案例\配置LAN口.png$

（2）在跳转的编辑物理接口页面，IP类型选择IPv6，开启IPv6开关。连接类型选择“静态地址”，填写IPv6地址和前缀长度，开启“发布RA”。“DHCP服务”开关用于在LAN口上开启DHCPv6 Server，为内网终端分配IPv6地址，可根据实际需求开启。

3. 配置DHCPv6地址池（可选）

开启DHCPv6 Server，为内网终端分配IPv6地址，可根据实际需求开启。

（1）点击[网络]>>[DHCP]>>[DHCP服务器]，进入DHCPv6服务器配置页面。

（2）点击<新增>，参考如下参数进行配置。

协议类型：选择IPv6

名称：自定义DHCPv6地址池名称

接口：选择开启DHCPv6服务器的接口

首选DNS：分配给DHCPv6客户端的首选DNS服务器地址

备选DNS：分配给DHCPv6客户端的备用DNS服务器地址

租期：分配地址的有效期。租期时间超时后，客户端需要重新申请地址。

地址池：在地址池区域，点击<新增>，选择地址类型，并输入可分配地址前缀及长度，点击<确认>。

配置完成后，显示如下图。

$D:\workspace\安全\14-安全\典型案例\DHCP服务器.png$

4. 配置NAT66策略

（1）登录Device，进入[网络]>>[NAT]>>[NAT66转换]页面，点击<新增>。

（2）选择转换类型为[源地址转换]，填写策略名称，如下图所示。

（3）指定“原始数据包”中的“源地址”为内网IPv6地址。点击“源地址”下拉框，在“源地址”选择框中点击“新增地址”，填写内网IPv6地址范围，创建地址对象。

（4）“原始数据包”中的“目的地址”、“服务”设置为需要访问的外网IPv6地址和服务，通常可以直接选择any，如下图所示。

（5）配置转换后的数据包为设备出接口的IPv6地址，点击保存即可，如下图所示。

验证配置结果

1. 查看WAN口IPv6地址

登录Device，进入[网络]>>[接口]>>[物理接口]页面，查看对应接口（WAN口、LAN口）下是否有IPv6地址。

$D:\workspace\安全\14-安全\典型案例\接口地址.png$

ND-RA、DHCP和PPPoE获取到的IPv6地址查看方式相同。

2. 查看设备NAT66策略

登录Device，进入[网络]>>[NAT]>>[NAT66转换]页面，查看NAT66策略，如下图所示。

3. 查看内网终端会话

内网终端能够正常访问IPv6网络资源。登录Device，进入[监控]>>[会话]>>[详细会话信息]页面，可以查看内网终端上网会话，如下图所示。