wx2540h-li ipv6设置问题

到网关通吗  

一、先梳理你当前大概率缺失的核心配置（90% 不通外网根源）
WX2540H-LI 是无线 AC，只给 VLAN2 配 IPv6 地址远远不够，必须补齐全局 IPv6 转发、出口三层口 IPv6、IPv6 默认路由、RA/ND 下发、安全域 IPv6 策略、无线 VLAN 放行 IPv6 六大模块；你提到端口 2 未配置，大概率是上联出口三层口没有 IPv6 相关配置，流量无法转发到外网。
二、分层排查顺序（从底层到外网，逐条核对）
1. 全局未开启 IPv6 单播路由（最常见低级错误）
AC 默认不转发 IPv6 报文，必须全局开启，否则哪怕 VLAN 配了地址也无法跨三层转发
bash
运行
system-view
# 全局开启IPv6转发，必敲！
ipv6
ipv6 unicast-routing
# 开启ICMPv6差错报文，ND邻居发现依赖此功能
ipv6 unreachables enable
校验命令：display ipv6 forwarding，显示Forwarding is enabled才算正常。
2. VLAN2 三层接口完整 IPv6 配置（你大概率漏了 ipv6 enable、RA）
仅配置 ipv6 地址不够，接口必须开启 IPv6 功能、下发 RA 路由宣告（无线终端才能获取网关）
bash
运行
vlan 2
port access GigabitEthernet 1/0/X # 接入AP的端口，根据实际修改
quit
interface Vlan-interface 2
ipv6 enable # 接口开启IPv6协议，不可省略
# 配置全局IPv6地址（不能只用fe80::链路本地地址，无法上外网）
ipv6 address 2409:xxxx:xxxx:2::1 64
# 开启RA路由通告，无线手机/电脑自动获取网关、前缀
undo ipv6 nd ra suppress
# 允许无状态自动分配SLAAC地址
ipv6 nd ra managed-flag disable
ipv6 nd ra other-flag enable
# 开启本地ND代理，跨VLAN互通必备
local-proxy-nd enable
校验：display ipv6 interface Vlan-interface 2，确认有Global 单播地址，RA suppress 为关闭状态。
3. 上联出口三层口（你说的端口 2）必须补全 IPv6 配置（核心卡点）
你明确说端口 2 没有配置，端口 2 是 AC 连接防火墙 / 核心路由的出口三层口，没有 IPv6 配置则外网通路完全断开。
假设出口三层口为 GigabitEthernet 1/0/2，示例配置：
bash
运行
interface GigabitEthernet 1/0/2
port link-mode route # 三层模式
ipv6 enable
# 填写上联网关同网段IPv6地址
ipv6 address 2409:xxxx:xxxx:gate::2 64
# 配置IPv6默认路由，所有内网IPv6流量转发到出口网关
ipv6 route-static :: 0 2409:xxxx:xxxx:gate::1
校验路由：display ipv6 routing-table，必须存在默认路由 ::/0，下一跳为上联防火墙 IPv6 地址。
4. 安全域放行 IPv6 流量（防火墙拦截会导致能获取地址但无法上网）
WX2540H-LI 带安全域，默认阻断跨域 IPv6 报文，分两种场景：
场景 A：AC 自身做安全域（trust 内网 VLAN2 /untrust 上联出口口）
bash
运行
# 将VLAN2加入trust域，出口G1/0/2加入untrust域
firewall zone trust
add interface Vlan-interface 2
quit
firewall zone untrust
add interface GigabitEthernet 1/0/2
quit
# 域间策略放行IPv6所有流量（ICMPv6、TCP/UDP）
security-zone interzone trust untrust
rule permit protocol ipv6
# 放行ICMPv6（RA、NS、NA报文）
rule permit protocol icmpv6
场景 B：前端有独立 F1000 防火墙
需在防火墙 untrust/trust 域放行 IPv6 流量，同时防火墙配置 IPv6 默认路由、NAT64（内网 IPv6 访问 IPv4 公网必须 NAT64，纯 IPv6 公网无需 NAT）。
5. 无线服务模板放行 IPv6，AP 透传 ND/RA 报文
只配三层 VLAN 没用，无线必须允许 IPv6 组播 RA 报文下发终端：
bash
运行
wlan service-template wifi-ipv6
ssid IPv6-WIFI
vlan 2
# 放行IPv6组播、MLD、ICMPv6
undo multicast suppression nd
undo multicast suppression mld
service-template enable
绑定 AP 射频后，手机才能正常获取全局 IPv6 地址，而非仅 fe80 链路本地地址。
6. 运营商 / 上联防火墙 IPv6 配套检查
运营商宽带已开通 IPv6，光猫桥接模式透传 PD 前缀；
前端防火墙 / 核心交换机开启 IPv6 转发，存在公网 IPv6 路由；
若内网是私网 ULA 地址（fd 开头），必须在出口防火墙配置NAT64才能访问 IPv4 互联网；公网 2409/2408 开头全局地址无需 NAT。
三、分段连通性测试命令（快速定位故障段）
测试 AC 自身能否 ping 通外网 IPv6 网关
ping6 2409:xxxx:xxxx:gate::1
不通：出口三层口、默认路由、安全域策略问题
通：AC 到外网通路正常，故障在内网 VLAN / 无线侧
测试无线终端能否 ping 通 AC VLAN2 网关
ping6 2409:xxxx:xxxx:2::1
不通：VLAN 接口 RA 抑制、无线组播拦截、ND 代理关闭
查看 IPv6 路由表，确认默认路由存在
display ipv6 fib
查看 ND 邻居表，确认终端 / 上联设备 ND 可达
display ipv6 neighbors
四、最常见故障总结（对应你的场景）
全局没敲 ipv6/ipv6 unicast-routing：三层完全不转发 IPv6，终端有地址但无法跨网段；
上联端口 2 三层口无 IPv6 地址 + 无默认路由（你当前核心问题）：内网流量无出口，直接断外网；
VLAN 接口开启 ipv6 nd ra suppress：手机收不到 RA，只生成 fe80 链路地址，无网关；
安全域未放行 ipv6/icmpv6 策略：三层可达但域间报文被防火墙丢弃；
无线服务模板开启 ND 组播抑制：RA 报文被 AP 拦截，终端无法获取 IPv6 网关；
只用 fe80:: 链路本地地址配置 VLAN 接口：链路本地地址只能同网段互通，不能访问外网。
五、极简完整可复制配置模板（替换网段即可直接粘贴）
bash
运行
system-view
# 全局开启IPv6转发
ipv6
ipv6 unicast-routing
ipv6 unreachables enable

# 内网VLAN2三层IPv6
vlan 2
port access GigabitEthernet 1/0/10
quit
interface Vlan-interface 2
ipv6 enable
ipv6 address 2409:8888:1111:2::1 64
undo ipv6 nd ra suppress
ipv6 nd ra other-flag enable
local-proxy-nd enable

# 出口端口2三层IPv6配置（你缺失的部分）
interface GigabitEthernet 1/0/2
port link-mode route
ipv6 enable
ipv6 address 2409:8888:1111:gate::2 64

# IPv6默认路由指向上联防火墙
ipv6 route-static :: 0 2409:8888:1111:gate::1

# 安全域放行IPv6流量
firewall zone trust
add interface Vlan-interface 2
firewall zone untrust
add interface GigabitEthernet 1/0/2
security-zone interzone trust untrust
rule permit protocol ipv6
rule permit protocol icmpv6

# 无线模板放行IPv6 RA报文
wlan service-template IPV6-WIFI
ssid Office-IPv6
vlan 2
undo multicast suppression nd
undo multicast suppression mld
service-template enable

得做nat64