【简介】上一篇文章了解了如何在60E上配置ADSL拨号IPv4上网，这篇文章将介绍如何在FortiGate上配置IPv6，使得内网电脑都能以IPv6地址上网。

---

 启用IPv6

　　由于IPv6比较小众，默认在防火墙是看不到的。

　　① 接上一篇文章，由于Internal已经由默认的192.168.1.99更改为172.16.8.1，因此以https://172.16.8.1:8443登录防火墙。由于防火墙wan1口已经接入互联网，因此会显示WAN IP。

　　② 选择菜单【系统管理】-【可见功能】，默认IPv6是未启用的，这里点击启用【IPv6】。点击【应用】保存修改。

  IPv6 - wan口

　　我们上一篇文章已经知道ADSL拨号宽带支持IPv6，那么我们首先要让wan口从宽带中获得IPv6地址。

　　① 再次编辑wan1接口，可以看到新出现的IPv6配置。 

　　② 由于ADSL拨号宽带是自动分配地址，因此这里启用【自动配置IPv6地址】，启用后上面的【IPv6地址模式】和【IPv6地址/前缀】变成灰色不可操作。

　　③ 启用【DHCPv6前缀委托】，会自动多出一项【IAPD前缀提示】。

　　④ 点击【IAPD前缀委托】右边加号，会显示ID和前缀输入框。

　　⑤ 这里ID输入5，前缀输入::/56。

　　⑥ 管理访问IPv6启用HTTPS、HTTP和PING，允许通过IPv6登录入Ping通防火墙。点击【确认】，wan1口的IPv6就配置完了。

　　⑦ 点击管理界面右上角【>_】图标进入命令窗口。

　　⑧ 通过命令查看wan1接口的配置，可以看wan1口关于IPv6的全部配置。但是这还不够，需要再加一段命令。

　　⑨ 再在wan1接口的IPv6配置中加这行命令。

　　⑩ 最后显示的wan1接口IPv6配置是这样的。

　　⑪ 用 diagnose ipv6 address list 命令，可以看到ppp2虚拟口获得了IPv6公网IP。 

  IPv6 - lan口

　　wan口IPv6配置完了，下一步就是配置lan口中的IPv6了。

　　① 编辑internal接口，看到和wan1口一样的IPv6配置。

　　② 【IPv6地址模式】选择【委派】，多出【标识关联标识符】和【IPv6上行接口】两行选项。

　　③ 【标识关联标识符】输入数字5，也就是wan1接口的IPAD ID，就可以在【IPv6上行接口】选择wan1口了。 

　　④ 【IPv6子网】输入::1/56。

　　⑤ 同样，为了方便用IPv6访问internal接口，管理访问IPv6启用HTTPS、HTTP和PING。点击【确认】。

　　⑥ 通过命令查看internal接口的配置，可以看internal口关于IPv6的全部配置。但是这些还不够，需要再补充几条命令。

　　⑦ 补充以上三条命令。

　　⑧ 最后internal关于IPv6的命令是这样的。

　　⑨ 再用diagnose ipv6 address list 命令查看，可以看到internal接口也获得了IPv6公网IP。

  IPv6 - dhcp6

　　wan口lan口都配置完了，下一步就要配置dhcp6了。

　　① 电脑是接入防火墙的internal接口，由internal接口的DHCP分配IP地址，编辑internal接口，可以看到DHCP6服务器选项。

　　② 启用【DHCPv6服务器】，多出许多选项。

　　③ DHCPv6状态默认为【启用】，IPv6子网输入::/64。

　　③ 【DNS服务】选择【委派】，多出一行【上行接口】，下拉选择wan1口，这将会从wan1口得到宽带的IPv6 DNS。点击【确认】。

　　④ 用命令查看DHCP6的配置，可以看到以上内容。 

　　⑤ 加入上面两条命令。

　　⑥ 最后整个DHCP6的命令是这样的。

  IPv6策略

　　接口配置完成，下一步是配置IPv6的上网策略。

　　① 选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　② IPv6上网策略和IPv4的基本相入，流入接口为internal，流出接口为wan1，但是源地址和目标地址是选择IPv6的all，另外NAT不要启用。

　　③ 通过对比可以看到IPv4和IPv6上网策略不同的地方。

   验证效果

　　所有的配置都完成了，现在我们来看看效果。

　　① 查看电脑网卡，通过DHCP获得了IPv6的公网地址。  

　　② 接在防火墙internal接口下的Mac电脑成功的通过IPv6验证。

　　③ 将PC电脑防火墙的internal接口，同样获得IPv6的公网IP和DNS地址。IPv6地址没有重复。

　　④ 同样通过了IPv6测试。

---