MikroTik RouterOS V7.6 IPv6实战：从双栈配置到防火墙优化

1. IPv6双栈部署基础准备在MikroTik RouterOS V7.6中配置IPv6双栈网络前需要先确认几个关键点。我遇到过不少新手直接开始配置结果发现底层环境没准备好的情况这里分享几个必查项首先检查光猫是否支持IPv6。国内主流运营商现在基本都提供了IPv6支持但需要确认光猫工作在桥接模式且同时勾选了IPv4和IPv6选项。用Winbox登录路由器后在Interfaces列表里看到pppoe-out1接口就说明桥接成功了。硬件方面建议使用RB5009或CCR2004这类较新设备。实测发现某些老型号如RB750Gr3虽然也能跑IPv6但处理NDP协议时CPU占用会明显升高。我的工作台上常备着一台hEX S作为测试机它的ARM架构对IPv6支持就很稳定。软件版本要特别注意必须使用RouterOS v7.6稳定版。早期v7.x版本存在IPv6前缀委派bug有次我给客户部署时就踩过坑后来发现是v7.3的已知问题。升级命令很简单/system/package/update check-for-updatesyes downloadyes installyes2. PPPoE拨号获取IPv6前缀配置PPPoE客户端的IPv6获取时很多人会忽略前缀委派Prefix Delegation这个关键步骤。在Winbox中操作其实比命令行更直观进入IPv6 DHCP Client点击加号Interface选择pppoe-out1你的PPPoE拨号接口勾选Request前缀选项Request前缀一定要勾选Pool Name随便填个易记的名称比如ISP-PDUse Peer DNS建议勾选这样能自动获取运营商的IPv6 DNS这里有个实用技巧Pool Prefix Length通常留空即可系统会自动识别运营商分配的前缀长度。国内电信一般是/60移动可能是/56。我遇到过某地联通给/64的情况这时候就需要手动指定长度了。当Status显示为bound时说明已经成功获取到IPv6前缀。可以用命令查看详细信息/ipv6 dhcp-client print detail输出里会显示类似prefix240e:1234:5678::/60的信息这就是你的黄金门票。3. LAN端地址分配实战拿到前缀后接下来要在内网分配IPv6地址。RouterOS v7.6提供了两种方式我推荐结合使用3.1 静态地址分配在IPv6 Addresses中添加新地址Interface选择你的LAN接口比如bridge1From Pool选择之前创建的ISP-PDAddress留空让系统自动生成这里有个隐藏技巧勾选Advertise选项后这个地址会被加入路由器宣告(RA)。Windows和Android设备就能自动配置IPv6地址了。3.2 DHCPv6服务器配置虽然IPv6提倡无状态自动配置但有些设备比如打印机还是需要固定地址。配置路径在IPv6 DHCP Server/ipv6 dhcp-server add address-poolISP-PD interfacebridge1 namedhcpv6-lan建议把lease time设为12小时43200秒比默认值更合理。遇到过某企业网络因为lease time太长导致地址回收不及时的问题。4. NDP协议优化技巧邻居发现协议(NDP)是IPv6的核心但默认配置可能需要调整。进入IPv6 ND修改LAN接口的配置将Hop Limit改为64兼容更多设备Reachable Time设为30000ms平衡响应速度和性能建议勾选Managed Address Configuration和Other ConfigurationDNS配置容易被忽略如果你有自己的IPv6 DNS服务器建议在DNS Servers里手动指定。否则客户端会使用运营商DNS可能影响内网解析。MTU设置要注意IPv6头部比IPv4多20字节通常建议设为1492PPPoE或1432带VPN。但现代网络设备基本都能处理PMTU保持默认的1500反而更省事。5. IPv6防火墙最佳实践RouterOS的IPv6防火墙默认是全放行状态这非常危险分享我的生产环境配置模板5.1 基础防护规则/ipv6 firewall filter add actiondrop chaininput commentDrop invalid packets connection-stateinvalid add actionaccept chaininput commentAllow ICMPv6 protocolicmpv6 add actiondrop chaininput commentDrop all other input这条规则组合实现了拦截所有异常状态包放行必要的ICMPv6IPv6离不开ICMP默认拒绝其他入站连接5.2 防邻居发现攻击add actiondrop chaininput protocolicmpv6 icmp-options135-136 src-address-list!allowed_routers配合地址列表管理可信路由器能有效防御RA欺骗攻击。去年某学校网络瘫痪就是因为这个没配置。5.3 出站连接控制建议对LAN到WAN的出站连接也做限制add actionaccept chainforward out-interfacepppoe-out1 connection-statenew,established add actiondrop chainforward commentDrop invalid outbound这样既保证了正常上网又阻止了异常连接。6. 常见故障排查指南当IPv6不通时可以按这个顺序排查先用/ipv6 route print查看默认路由是否存在ping6 2001:4860:4860::8888测试基础连通性在客户端执行ipconfig /allWindows或ifconfigLinux检查地址分配用Wireshark抓包分析RA和DHCPv6交互过程遇到过最奇葩的案例是某品牌NAS无法获取IPv6地址最后发现是因为它只支持DHCPv6有状态分配。在ND配置里勾选Managed Address Configuration后就解决了。7. 性能优化进阶技巧对于高负载环境这几个参数调整很有帮助在IPv6 Settings中调整set accept-redirectsno accept-router-advertisementsno能减少不必要的协议开销对于大量终端的环境建议调整ND缓存/ipv6 nd set [ find defaultyes ] disabledno neighbour-limit5000如果使用IPv6 QoS记得在防火墙规则里加标记add actionmark-connection chainforward new-connection-markipv6_conn实际测试中这些优化能让CCR2004的IPv6转发性能提升15-20%。特别是在视频会议场景下延迟波动明显减小。