谈谈目前国内运营商 IPv6 现状

国内运营商并没有不愿意为普通用户分配 IPv6 地址，相反，国内运营商非常积极，并且在某些地区，安装宽带的师傅知识量也得到了一定提升。在这里我会以我的经验来谈谈这一问题。

基本情况

目前我常驻的地方有两个，均在重庆。第一个定居点已经住了 10 多年，宽带一直为中国电信，没有变过，接入方式一直为桥接。第二个定居点是去年才过去的，一般是工作日住，宽带去年 10 月才办好，运营商为中国移动，接入方式为光猫拨号。两者均为 500M 带宽。

首先总结一下目前的使用情况：

因此我认为，网络上类似“NAS 必须要桥接网络”一类的言论已经过时，NAS 的使用接入方式没有太大关系。只要你能拨号，就一定能够拿到 IPv6 地址。

我认为主要跟运营商策略以及入网时间有关。10 年前我还是个初中生，不懂网络这一块，因此当初是什么情况我已无从得知。但在我印象中，大概 19 年左右？电信进行了一次上门的维护服务，更换了一些设备，我不知道这次维护与推广 IPv6 有无关系，仅供参考。

并且我家属于电信老用户了，平时也没有任何违规行为，可能运营商那边比较放心。

而移动这边，我才入网一年不到，加之移动本就扣扣嗖嗖的性格，能给个 /60 已经是万幸了。

桥接还是光猫拨号都可以拿到 IPv6 地址，但我们上网一般是接路由器的，因此需要使用支持 IPv6 的路由器，并且手动开启 IPv6，一般选择 NATIVE / 自动模式即可。

现在购买的路由器对于 IPv6 支持都很完善，已经不需要复杂的额外操作了，最多开关一下防火墙。

OpenWRT 的话会复杂一点，需要在 LAN 口配置地址分配方式，有 DHCPv6 和 SLAAC 两种，我只启用了 SLAAC。

有的品牌路由器为了省事，仅启用了 DHCPv6 方式，灵活性会差一点（说的就是小米）。

部分朋友认为，IPv6 都是公网 IP，那么安全风险一定很大，毕竟谁都可以直接访问到你。

那我问你：我告诉你我家地址，你就能进门偷东西吗？首先你要进小区门，过保安这一关，然后找到我家大门，破解门上的指纹锁，开门之后还要防住我家狗的攻击。

除非我带狗出门且忘记关门，小区保安上厕所被你偷溜进去，你才有一定机会进去偷东西。

内网 IPv4 就一定安全？

那我问你：我告诉你小区的名字，你是不是可以通过保安问出我家地址？（原理类似全锥型 NAT）

所以安全是自己给自己的，不能仅仅去寄托在有无公网 IP 上面，把路由器的防火墙设置好才是关键。

还有一点就是 IPv6 地址池庞大，单是扫前缀就已经是不可能的任务，更别说 SLAAC 和动态地址机制，你扫了半个月连地址零头都没扫完，结果人家搬家了，一周搬一次……没有黑客会这么无聊的。

但如果你搭建了 http 服务并暴露在公网，那别人确实可以通过域名来获取你的 IP，这个就不能与暴力扫描一概而论了哈。

但不管怎么说，还是不建议在公网上面裸奔，该有的防火墙配置还是要做，最重要的就是路由器上的防火墙，下级设备倒是可以松懈一点（bushi）。

这个锅运营商和路由器商都要背。我自己也遇到过这种情况，原因是 IPv6 前缀会定期下发更改，如果下级设备的 IP 地址没有跟着变动的话，可能出现无法路由的情况，造成断网。

用我家移动宽带为例，移动比电信前缀下发更加频繁。之前我把 NAS 接在 BE3600 上，BE3600 接光猫，有时候确实会断网，要等待随机时间（5min-1day 不等）才能连上，挺烦人的。

后面我直接把 NAS 插光猫上，啥事也没有了。因此我判断路由器要背一定的锅。不过没有做严格的测试，仅供参考。

如果硬要说一点影响也没有，估计会被喷，但影响确实不算大。

光猫性能的改进。现在的光猫性能已经不像过去那样差的可怕，反而性能还可以。去年办的移动光猫内网跑千兆是没有问题的，这也是我选择直接把 NAS 插光猫上的原因。不在家的时候可以把路由器拔了省电，还不影响 NAS 访问。
光猫防火墙人性化。我这款光猫的防火墙可以直接使用 user 用户更改，密码直接写在光猫背后。有需求的人都可以轻易得到满足。
性能上限不足。光猫跑千兆可能没问题，但要上 2.5G 甚至万兆的话，还是需要接路由器上的。路由器直接设为 v4——DHCP，v6——DHCPv6，其他全自动即可。关掉光猫防火墙之后就基本等于“不用拨号的桥接”了。但一定要在路由器上做好防火墙，使用软路由最好。