防火墙动态防火墙如何实现把动态前缀下发给核心网关交换机

运营商只分配一个64位的地址与缺省网关实现内部PC IPv6上网配置 - 知了社区

1. 在防火墙连接上游的接口上，配置其为DHCPv6客户端以申请前缀。例如，使用类似 ipv6 dhcp client pd 1 的命令，这会使设备动态获取前缀并自动创建一个前缀实例（例如前缀1）。
2. 在防火墙上启用DHCPv6服务器功能，并创建一个DHCPv6地址池。在该地址池中，通过 network prefix 1 命令引用上述动态获取的前缀实例。这样，DHCPv6地址池用于分配的网络段就会随上游分配的前缀变化而自动更新。
3. 将核心交换机配置为DHCPv6客户端，并使其连接防火墙的接口通过DHCPv6-PD方式请求前缀分配。
4. 核心交换机获得这个/60前缀后，可以将其划分为多个/64子网段，并在其自身的DHCPv6服务器配置中，将这些/64网段分配给不同的VLAN接口，为终端用户分配地址。

通过以上步骤，无论防火墙从上游获取的/60前缀如何变化，这个变化都会自动传递给核心交换机，从而实现动态前缀的逐级下发与分配。

先把结论说清楚：
防火墙拿到运营商动态 /60 前缀 → 用 DHCPv6 PD + 动态路由（OSPFv3）或静态默认路由 把 /60 发给核心交换机 → 核心交换机把 /60 拆成多个 /64 分配给各 VLAN。下面给你完整可落地方案（H3C 防火墙 + 核心交换机）。
一、原理简述
防火墙 WAN：通过 DHCPv6-PD 拿到 ISP 动态 /60 前缀（前缀会自动续约 / 变更）。
防火墙 LAN（连核心）：
把这个 /60 作为路由发布给核心（静态或 OSPFv3）。
不再直接给内网 VLAN 发 /64，把 “拆 /64” 的事交给核心交换机。
核心交换机：
学到防火墙发来的 /60。
在自己的 VLANIF 上从 /60 里划 /64，发 RA + 可选 DHCPv6。
/60 可拆成 16 个 /64，足够划 VLAN。
二、防火墙配置（H3C，获取 /60 并发布给核心）
1. 全局开启 IPv6
bash
运行
system-view
ipv6 enable
2. WAN 口（PPPoE 或 DHCPv6）获取 /60（PD）
以 PPPoE 为例：
bash
运行
interface Virtual-Template1
pppoe-server bind GigabitEthernet1/0/1 # 绑定外网口
ipv6 address pppoe-negotiate
ipv6 dhcp client pd ISP-PREFIX # 拿到的/60存到名字ISP-PREFIX
ppp ipv6cp enable
若为 DHCPv6 直接拨号：
bash
运行
interface GigabitEthernet1/0/1
ipv6 enable
ipv6 dhcp client pd ISP-PREFIX
3. 连接核心交换机的接口（LAN）
bash
运行
interface GigabitEthernet1/0/2 # 连核心的口
ipv6 enable
ipv6 address auto link-local
# 关键：把ISP-PREFIX这个/60生成路由并下发到路由协议
ipv6 dhcp advertise pd-route
4. 把 /60 发布给核心（两种方式）
方式 A：静态默认路由（最简单）
bash
运行
ipv6 route-static :: 0 GigabitEthernet1/0/2 # 所有IPv6流量发给核心
核心回程：
bash
运行
ipv6 route-static <ISP-PREFIX/60> <防火墙互联地址>
方式 B：OSPFv3（推荐，前缀变化自动更新）
防火墙：
bash
运行
ospfv3 1
router-id 1.1.1.1
area 0
network GigabitEthernet1/0/2
核心交换机也起 OSPFv3 area 0，邻居建立后自动学到 /60。
5. 放行 IPv6 安全策略
bash
运行
security-policy ipv6
rule name PERMIT-IPV6
source-zone untrust
destination-zone trust
action pass
三、核心交换机配置（拿到 /60，拆 /64 给 VLAN）
1. 全局 IPv6 + 连防火墙接口
bash
运行
system-view
ipv6 enable

interface GigabitEthernet1/0/1 # 连防火墙
ipv6 enable
ipv6 address 2001:db8:1::1/64 # 与防火墙互联网段
ospfv3 1 area 0 # 若用OSPFv3
2. 从 /60 划 /64 给 VLAN（关键）
假设防火墙发来：2408:xxxx:xxxx:ff00::/60
可划：
VLAN10：2408:xxxx:xxxx:ff00::/64
VLAN20：2408:xxxx:xxxx:ff01::/64
……
VLAN160：2408:xxxx:xxxx:ff0f::/64
配置示例：
bash
运行
# VLAN10
interface Vlan-interface10
ipv6 enable
ipv6 address 2408:xxxx:xxxx:ff00::1/64
ipv6 nd ra enable # 发RA，终端无状态自动配置
ipv6 nd ra prefix 2408:xxxx:xxxx:ff00::/64 0 0

# VLAN20
interface Vlan-interface20
ipv6 enable
ipv6 address 2408:xxxx:xxxx:ff01::1/64
ipv6 nd ra enable
ipv6 nd ra prefix 2408:xxxx:xxxx:ff01::/64 0 0
3. 默认路由指向防火墙
bash
运行
ipv6 route-static :: 0 2001:db8:1::2 # 防火墙互联地址
四、前缀动态变化怎么自动适配？
防火墙：ipv6 dhcp advertise pd-route 会在 /60 变化时自动更新路由。
用 OSPFv3：核心自动学到新 /60，无需改配置。
静态路由：/60 变了就要手动改，不推荐。
五、验证命令
防火墙
bash
运行
display ipv6 route-static
display dhcpv6 pd binding # 看拿到的/60
display ospfv3 peer
核心交换机
bash
运行
display ipv6 route
display ipv6 interface Vlan-interface10
display ipv6 nd ra interface Vlan-interface10

第一步：防火墙（PPPoE拨号端）配置

1. 开启全局 IPv6 功能：
   ipv6
2. 在 PPPoE 拨号接口（如 Dialer1）上申请前缀：
   1interface Dialer1 2 ipv6 dhcp client pd ISP_PREFIX // 向运营商申请前缀，并起个名字叫 ISP_PREFIX
3. 在内网接口（连接核心交换机的接口，如 GigabitEthernet1/0/1）上下发前缀：
   1interface GigabitEthernet1/0/1 2 ipv6 address ISP_PREFIX ::1/64 // 核心！使用该前缀，并自动从 /60 中切分一个 /64 给该接口作为网关地址 3 undo ipv6 nd ra halt // 开启路由通告（RA），让下游交换机感知到 IPv6 前缀

第二步：核心交换机（下游网关）配置

1. 开启全局 IPv6 功能：
   ipv6
2. 在上联防火墙的接口（如 Vlan-interface 100）上获取前缀：
   1interface Vlan-interface 100 2 ipv6 dhcp client pd CORE_PREFIX // 从防火墙获取前缀，并起个名字叫 CORE_PREFIX
3. 在各个内网 VLAN 接口（如 Vlan 10, Vlan 20）上拆分并分配 /64 前缀：
   1interface Vlan-interface 10 2 ipv6 address CORE_PREFIX ::1:0:0:1/64 // 使用 CORE_PREFIX 里的前缀，拼上 ::1:0:0:1 作为该 VLAN 的网关 3 undo ipv6 nd ra halt // 开启 RA，让该 VLAN 下的 PC 自动获取 IPv6 地址 4 5interface Vlan-interface 20 6 ipv6 address CORE_PREFIX ::2:0:0:1/64 // 拼上 ::2:0:0:1 作为 VLAN 20 的网关，以此类推 7 undo ipv6 nd ra halt

 核心原理与注意事项

• 前缀拼接原理：当防火墙获取到动态的 /60 前缀（例如 2408:abcd:1234:5670::/60）并下发给核心交换机后，核心交换机在配置 ipv6 address CORE_PREFIX ::1:0:0:1/64 时，系统会自动将获取到的 60 位前缀，与你手动填写的后缀（::1:0:0:1）进行拼接，最终生成完整的 128 位接口地址和 64 位网段。
• 动态变化的应对：由于运营商下发的 /60 前缀是动态的（PPPoE 重拨会变），使用 DHCPv6 PD 的好处就是全自动跟随。一旦防火墙获取到新的前缀，它会自动通告给核心交换机，核心交换机会自动更新所有 VLAN 接口的前缀，并重新向 VLAN 下的终端发送 RA 通告，终端也会自动更新自己的 IPv6 地址，全程无需人工干预。
• 路由自动学习：在开启 RA 和 DHCPv6 PD 后，防火墙和核心交换机通常会自动生成对应的 IPv6 路由条目。如果存在路由不通的情况，可以在防火墙上检查是否自动生成了指向核心交换机的回程路由。
• 安全策略放行：别忘了在防火墙上配置 IPv6 的安全策略（Security Policy），放通 Trust 域（内网）到 Untrust 域（外网）的 IPv6 流量，同时允许必要的 ICMPv6 协议通过，否则终端即使获取到地址也无法上网。