ACG1000 做了短信验证，ipV一切正常，当ipv6终端能正常获取地址，当不能上网

核心原因：ACG1000 的短信认证 / Portal，默认只对 IPv4 生效；IPv6 要单独开、单独放通策略、单独加入认证网段，否则 IPv6 终端就算拿到地址，也会被拦在匿名 / 未认证状态，上不了网。
下面按顺序排查，重点看 “IPv6 有没有被识别、有没有触发认证、有没有放通权限”：
一、先确认：IPv6 是否真的触发了短信认证
终端用 IPv6 访问一个 http 网站（别用 https，否则可能不弹 Portal）
看是否弹出短信认证页：
弹不出来 → IPv6 流量没被 ACG 劫持 / 识别
能弹出、能收短信、能认证成功 → 认证后仍不能上网，策略放通问题
直接能上网、不弹认证 → IPv6 没进认证策略，被放行或白名单了
二、必查配置（IPv6 容易漏的地方）
1. 全局是否开启 IPv6
系统管理 → 网络 → 基本配置 → IPv6 启用（全局 + 接口都要开）
接口：上联 / 下联口都勾 “启用 IPv6 转发”
2. 认证 “用户识别范围” 有没有加 IPv6 段
用户管理 → 认证管理 → 高级选项 → 用户识别范围
只加了 IPv4（如 10.0.0.0/8），没加 IPv6 前缀（如 2001:db8::/32）→ IPv6 用户被当成 “匿名用户”，直接拒绝上网。
必须把整个 IPv6 网段加进去，才能识别并推 Portal。
3. 短信认证策略是否勾选 “IPv6”
用户管理 → 认证管理 → 认证策略 → 新建 / 编辑
认证方式：短信认证
重点：勾选 “支持 IPv6 用户”（默认不勾！）
源网段：选你的 IPv6 地址池 / 前缀
4. 匿名用户策略是否拒绝 IPv6
用户管理 → 用户策略 → 匿名用户
看 “IPv6 流量” 是拒绝还是允许
正常：匿名用户拒绝所有 IPv6 上网，认证后才放行
5. 认证后用户策略是否放通 IPv6
用户管理 → 用户策略 → 认证用户（或短信认证用户组）
必须有一条：允许所有 IPv6 流量（或允许 http/https 等）
没这条 → 认证成功也上不了网
6. 路由与 NAT（IPv6 也要通）
ACG 要有IPv6 默认路由（指向上行防火墙 / 网关）
上行设备（防火墙）要放通 ACG 过来的 IPv6 流量，且有公网 IPv6 连通性
三、你问 “是没有配对么？”
可以理解为：IPv6 的 “认证配置、识别范围、策略” 没和 IPv6 网段配对上。
IPv4 一套配置正常
IPv6 没加进识别范围、没勾支持 IPv6、没放通认证后策略 → 拿到地址也上不了网
四、快速自检命令（在 ACG 上）
bash
运行
# 看IPv6是否全局开启
display ipv6

# 看接口IPv6状态
display ipv6 interface brief

# 看在线用户，有没有IPv6用户（状态是匿名/认证）
display user-manager online-user

# 看认证策略是否包含IPv6
display user-manager authentication-policy
五、一句话总结
IPv4 正常≠IPv6 正常，ACG 短信认证要单独给 IPv6 开 “开关、识别范围、认证策略、放通权限”，缺一不可。