[FortiGate] 企业级防火墙接入IPV6场景配置

精选原创

科来者 2024-06-21 19:20:05 博主文章分类：Network & Security ©著作权

文章标签 IPV6 DNS fortigate 策略企业 文章分类 运维

©著作权归作者所有：来自51CTO博客作者科来者的原创作品，请联系作者获取转载授权，否则将追究法律责任

1.硬件设备

FortiGate F系列

IPV6不是什么新鲜技术词，现在的移动设备和Windows操作系统都支持IPv6，因一些业务需求，分支公司需要接入IPV6，就看如何实现。

2.启用IPV6功能

在FGT默认的管理GUI界面里面，是不显示IPV6功能界面，需要在系统管理——>可见功能设置，开启IPV6。系统刷新界面后，会在接口管理中新增IPV6接口，以及策略中新增IPV6策略，新增IPV6 DHCP，新增IPV6路由表，新增IPV6 DNS。

[FortiGate] 企业级防火墙接入IPV6场景配置_DNS

[FortiGate] 企业级防火墙接入IPV6场景配置_企业_02

但是，我们也只是能够开启IPV6功能，但是没有提供菜单配置，所以我们需要进入console界面配置具体功能，才算是正式启用。

配置WAN口，IPV6 Address设置

config system int
edit wan1
config ipv6
set ip6-mode pppoe
set dhcp6-prefix-delegation enable
set autoconf enable
end
next
end

配置wan口，IPV6 DNS

国内aliyun IPV6 DNS

IPv6地址：2400:3200::1, 2400:3200:baba::1

国外Google IPV6 DNS

2001:4860:4860::8888
2001:4860:4860::4444

[FortiGate] 企业级防火墙接入IPV6场景配置_fortigate_03

配置IPV6 DHCPV6

1.使用Fortiguard DNS

config sys dhcp6 server
edit 1
set interface lan
set upstream-int wan1
set ip-mode delegated
set dns-service default
next
end

2.使用指定IPV6 DNS SERVER

如果存在dns解析缓慢，可切换第二种模式，采用国内DHCPv6 DNS解析，提升网页打开速度，亲测有效。

set dns-service specify 首先执行，才能执行以下命令
set dns-server1 xx::xx
set dns-server2 xx::xx
set dns-server3 xx::xx

[FortiGate] 企业级防火墙接入IPV6场景配置_DNS_04

配置IPV6放行策略

config firewall policy6
    edit 1
        set name "Default out"
        set srcintf "lan"
        set dstintf "wan2"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next