老防火墙AF6.6版本配置IPV6改造过程及问题分享

IPv6改造需求：近日协助客户将本单位进行IPv6的升级改造，通过运营商分配的IPv6地址，在不增加设备的情况下，合理的应用于本单位，中间碰到的问题进行总结分享。

1. 由于客户现有防火墙为2016年设备，当时设备搭载的版本对IPv6的支持，功能有限，本想基于NAT66进行转换，发现支持性非常差，无法正常使用，需要调整方案。

2. 检查老版本防火墙对IPv6的支持性测试，发现可以进行正常的三层路由转发及安全策略控制，根据现有的功能调整方案如下，协调运营商将分配的子网前缀64位的地址划分进行重新调整，让运营商规划一个126位的地址范围，作为跟运营商之间的互联地址，然后运营商把整个64位的路由下一跳指向客户侧的地址，例如运营商侧是2408:XXXX:XXXX:f02::1/126，客户侧为2408:XXXX:XXXX:f02::2/126。剩余其余地址段空间由客户在内网核心交换机进行划分分配使用。

3. 运营商改好后，将防火墙、内网核心交换机、PC机进行配置，使用PC机测试到的公共DNS地址2400:3200::1不通，于是逐个测试，分别到核心交换机网关是通的，防火墙的内网口地址也是通的，防火墙的外网口也是通的，但是运营商的下一跳不通，请防火墙客服介入进底层进行抓外网口数据包，发现运营商测请求PC机的MAC地址，找到问题为运营商侧问题，运营商反馈已该好配置，找他们要了具体内容，并结合目前现象分析，通过分析数据包发现，运营商侧的地址子网掩码前缀由64位，没有改到126位导致，协调他们更改。

4. 更改后，测试IPV6的地址和相关业务，访问正常。