vlan内网pc如何获取ipv6公网地址

https://zhiliao.h3c.com/Theme/details/199336

防火墙 PPPoE 拨号获取 IPv6，内网 PC 拿到公网 IPv6 地址完整配置
一、整体组网逻辑
防火墙外网口 PPPoE 拨号：运营商下发 IPv6 全球单播地址 + 网段前缀
防火墙做IPv6 前缀代理 / RA 通告 + DHCPv6，把公网 IPv6 前缀下放内网
交换机透传 IPv6 报文、放行 RA/DHCPv6
内网 PC 自动获取纯公网 IPv6 地址（非内网私有地址）
二、前提确认
运营商线路已开通IPv6，PPPoE 拨号能正常拿到 IPv6 地址与/64或/56前缀
防火墙全局开启ipv6功能
交换机全局开启 IPv6，VLAN 放行 IPv6 转发
三、防火墙核心配置（H3C 防火墙通用）
1. 全局开启 IPv6
plaintext
system-view
ipv6
2. 外网 PPPoE 接口配置（拨号获取 IPv6）
plaintext
interface Dialer1
mode pppoe
pppoe bind GigabitEthernet 0/0 //绑定外网物理口
ip address pppoe-negotiate
ipv6 address pppoe-negotiate //自动协商运营商IPv6地址
# 开启PPPoE拨号协商IPv6
ppp ipv6cp enable
3. 内网三层接口 / VLANIF 配置（对接交换机）
plaintext
interface Vlan-interface 100 //防火墙互联交换机内网口VLAN
ipv6 enable
# 核心：发布运营商下发的公网IPv6前缀
ipv6 nd ra prefix auto //自动继承拨号获取的IPv6前缀下发内网
# 开启RA路由通告（PC无状态自动配置必备）
ipv6 nd ra enable
# 开启DHCPv6（分配IPv6地址+DNS）
dhcpv6 server
dhcpv6 pool IPV6_POOL
network auto //自动使用运营商公网前缀
dns-server 2409:xxxx::1 //运营商IPv6 DNS
domain-name ***.***
# 接口调用地址池
interface Vlan-interface 100
dhcpv6 select server
dhcpv6 server apply pool IPV6_POOL
4. IPv6 默认路由（内网走防火墙出外网）
plaintext
ipv6 route-static :: 0 Dialer1 preference 60
5. 安全策略放行 IPv6 流量
plaintext
# 允许内网IPv6访问外网
security-policy ipv6
rule permit source any destination any
四、交换机配置（S5500/S12508 等）
1. 全局开启 IPv6
plaintext
system-view
ipv6
2. 互联防火墙端口（VLAN100）
plaintext
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan all
undo stp enable //优化IPv6转发
ipv6 enable
3. 接入 PC 端口 VLAN101
plaintext
interface GigabitEthernet 1/0/2
port link-type access
port access vlan 101
ipv6 enable
4. VLAN 间 IPv6 互通
plaintext
vlan 100
vlan 101
interface Vlan-interface 100
ipv6 enable
interface Vlan-interface 101
ipv6 enable
交换机无需配置 IPv6 地址，只做二层透传 + 三层转发即可
五、PC 端设置（自动获取公网 IPv6）
Windows：以太网属性 → IPv6 协议 自动获取 IP、自动获取 DNS
鸿蒙 / 安卓 / 终端：网络设置开启自动 IPv6
生效后查看：
plaintext
ipconfig
拿到地址格式：2409 开头运营商公网 IPv6 地址，不是 fe80 内网链路地址
六、关键关键点（必懂）
两种获取方式
无状态 SLAAC：靠防火墙 RA 通告，PC 自动拼公网 IPv6
DHCPv6：防火墙分配完整公网 IPv6 + 网关 + DNS
必须开启：ppp ipv6cp enable 否则拨号拿不到 IPv6 前缀
内网所有 VLAN 均可统一下发同一段运营商公网 IPv6 网段
无需配置 IPv6 NAT，公网地址直出外网
七、排错命令
plaintext
# 防火墙查看拨号IPv6
display ipv6 interface Dialer1
# 查看内网RA通告
display ipv6 nd ra interface Vlan-interface 100
# 查看DHCPv6分配
display dhcpv6 server address used
# 查看IPv6路由
display ipv6 routing-table

要让内网PC通过防火墙的PPPoE拨号获取IPv6公网地址，关键在于通过DHCPv6 PD (Prefix Delegation，前缀委派) 让防火墙能自动将运营商分配的前缀分配给内网终端。

 关键配置概念

你需要配置以下三个关键功能：

1. DHCPv6 PD (前缀委派)：在外网口请求运营商的前缀，然后分配给内网使用。

2. ND RA (邻居发现路由通告)：在内网口发送包含前缀信息的RA报文，通知设备生成地址。

3. IPv6安全策略：在域间策略中放行IPv6流量。

防火墙侧配置（分步示例）

1. WAN口（PPPoE拨号接口）

interface Dialer1

ipv6 address auto # 通过SLAAC获取全球单播地址 ipv6 address auto link-local ipv6 dhcp client pd 1 rapid-commit option-group 1

• pd 1：将获取的前缀编号为1，供内网口调用。

• option-group 1：创建一个选项组来获取DNS等参数。

2. 内网口（与交换机互联的VLAN接口）

interface Vlan-interface100

ipv6 address 1 ::/64 # 使用PD 1获取的前缀 undo ipv6 nd ra halt # 开启路由通告 ipv6 dhcp select server # 作为DHCPv6服务器为内网分配地址 ipv6 dhcp server apply pool vlan100_pool

• ipv6 address 1 ::/64：此处的1与pd 1对应，表示接口将自动使用委派的前缀-。

• undo ipv6 nd ra halt：让防火墙发送RA报文，告知PC可以生成IPv6地址。

3. IPv6默认路由：
配置默认路由指向Dialer1接口，让内网IPv6流量能正确转发：

ipv6 route-static :: 0 Dialer1

 交换机侧配合

防火墙与交换机互联的VLAN 100，以及PC所在的VLAN 101，都需要在交换机上创建并进行二层透传。核心是确保内网口（VLAN 100）发出的RA报文，能到达PC所在VLAN。你需要确保：

• 交换机上存在VLAN 100和VLAN 101。

• 防火墙接口透传VLAN 100，PC端口透传VLAN 101。

在S5500等交换机上，这通常是默认行为，但请确认无高级策略阻断。

 验证配置

在PC端可以用ipconfig /all查看IPv6地址，如果看到一个以240e:或2409:等开头的地址，就代表获取到了运营商下发的公网IPv6地址。

在防火墙上，可以使用以下命令核查：

• display ipv6 dhcp client：检查PD状态是否为OPEN。

• display ipv6 prefix 1：检查分配到的前缀。

• display ipv6 interface Vlan-interface100：检查VLAN接口上的IPv6地址。