Linux 服务器启用 IPv6 后，如果因为配置错误导致网络不通，往往会表现为无法 Ping 通外网 IPv6 地址、无法访问 IPv6 网站，甚至本地网络内的 IPv6 连接也异常。相比 IPv4，IPv6 的地址结构更复杂、邻居发现机制更精细、路由配置更严格，因此一旦配置环节出现偏差，就极易造成网络完全不可用。要解决这类问题，需要围绕地址分配、路由设置、DNS、网络服务、防火墙及内核参数等多个层面进行系统化排查，逐步锁定故障点并恢复正常连接。

　　在排查 IPv6 网络不通的问题时，首先要确认服务器是否已经正确获得 IPv6 地址。服务器可能通过 SLAAC 自动分配地址，也可能使用 DHCPv6 或手动静态配置。很多情况下，运维人员在设置静态地址时因为前缀长度、网关格式、缩写写法错误导致系统无法生成有效路由。可以通过命令查看当前地址：

ip -6 addr show

　　如果看到的地址以 fe80:: 开头，说明只有链路本地地址，没有获取到全局 IPv6 地址。如果地址前缀与运营商或内网分配的不一致，也会导致无法访问外网。此外，若使用 NetworkManager 或 cloud-init，可能存在自动生成的配置与手动配置冲突的情况，导致地址在重启后被覆盖，需要检查对应的配置文件。

　　当确认地址分配正常后，还需确认默认网关是否配置正确。IPv6 网关不能像 IPv4 一样写“默认路由 0.0.0.0/0”，网关必须是同网段的 IPv6 地址，且网关必须可达。如果网关配置错误，服务器无法向外转发数据包。可通过以下命令查看 IPv6 路由：

ip -6 route show

　　如果看不到 default via xxxx::1 dev eth0 的条目，说明默认路由缺失，需要根据实际网络结构重新配置。对使用 netplan 或 network-scripts 的系统，应检查 YAML 或 ifcfg 文件中是否正确设置了 gateway6 或 routes 参数。有时用户会把 IPv4 网关误写入 IPv6 配置，或将网关填写成压缩格式错误的 IPv6 地址，从而导致系统无法解析。

　　除了地址与路由，IPv6 邻居发现(NDP)机制错误也会导致网络不通。NDP 功能类似 IPv4 的 ARP，如果由于防火墙、交换机过滤或者内核参数关闭导致邻居表无法建立，即便地址和路由设置正确，也无法与邻居路由器进行通信。可以通过以下命令查看邻居状态：

ip -6 neigh

　　若状态为 FAILED、INCOMPLETE，说明服务器无法找到下一跳网关，此时应检查网络设备是否过滤 ICMPv6，或检查本机 firewall 是否阻断邻居发现报文。IPv6 中，ICMPv6 是必需协议，不能像 IPv4 那样随意屏蔽。特别是涉及 Router Advertisement、Neighbor Solicitation 等消息，一旦被拦截，IPv6 将完全失效。

　　此外，服务器防火墙配置错误也是导致 IPv6 不通的常见原因。很多系统默认配置了 IPv4 的防火墙，却忽略 IPv6 配置。例如 firewalld 中，IPv4 和 IPv6 规则是分开的。如果 IPv6 ICMP 被错误拦截，也会导致无法访问。排查时应查看：

firewall-cmd --list-all
ip6tables -L -n
nft list ruleset

　　尤其需要确认 IPv6 ICMP(type 133、134、135、136 等)未被阻断。如果使用云服务器，还应检查云平台安全组规则，是否放行了入站 / 出站的 IPv6 流量。在很多实例中，服务器本地配置完全正常，但云服务商安全组未放通 IPv6，从而造成访问失败。

　　除了防火墙，DNS 配置错误也是引发 IPv6 网络不可用的原因之一。许多服务器虽然 IPv6 地址和路由都正常，但由于 /etc/resolv.conf 未设置 IPv6 DNS，导致无法解析 AAAA 记录，最终表现为网站无法访问。验证 DNS 时可以执行：

dig AAAA google.com

　　如果 DNS 无响应，则说明 DNS 服务器不可用，可将 DNS 设置为公共 DNS。部分操作系统会遭遇 resolv.conf 自动被 DHCP 覆盖的问题，需要禁用自动生成或使用 systemd-resolved 的自定义配置。

　　在网络层排查中，验证链路连通性是关键步骤。例如，先 ping 网关，再 ping 公网 IPv6 地址，最终 ping 域名：

ping6 <网关地址>
ping6 240c::6666
ping6 ipv6.google.com

　　如果能够 ping 通公网 IP，却无法访问域名，则表示 DNS 问题;如果网关不通，则是局域网络或路由配置有误;若只能 ping 通网关但无法访问公网，可能是运营商或路由器没有开启 IPv6 转发。

　　除网络配置外，还需关注内核 IPv6 功能是否启用。部分系统在初始状态下关闭了 IPv6，需要检查：

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

　　如果返回 1，表示 IPv6 被禁用，可通过 sysctl 启用：

echo "net.ipv6.conf.all.disable_ipv6 = 0" >> /etc/sysctl.conf
sysctl -p

　　有时单独启用 all/ default 还不足以生效，也要确认网卡名单下各接口是否启用 IPv6。例如 net.ipv6.conf.eth0.disable_ipv6 必须为 0。若企业使用特定的网络安全策略，可能误修改了这些参数，导致 IPv6 完全无法使用。

　　在某些云服务器环境下，IPv6 配置依赖云平台提供的 RA 信息(Router Advertisement)。如果用户手动关闭了 RA 接收，那服务器无法自动获取前缀与路由。例如以下参数被设置为禁止接收 RA：

net.ipv6.conf.eth0.accept_ra = 0

　　这种情况下必须手动配置 IPv6 地址和网关，否则只能停留在本地链路级别。排查时应确保 RA 和 DHCPv6 模式与运营商或云平台的方案一致，否则 IPv6 配置将无法同步。

　　如果排查到网络服务未正确加载，也会导致 IPv6 网络异常。对于 NetworkManager 环境，可以通过以下检查状态：

nmcli device show eth0
systemctl status NetworkManager

　　而传统 CentOS 7 的 network-scripts 可以通过：

cat /etc/sysconfig/network-scripts/ifcfg-eth0

　　检查 IPv6 是否正确开启。常见问题包括缺少：

IPV6INIT=yes
IPV6_AUTOCONF=no

　　或前缀长度配置错误，例如误写成 GATEWAY6=xxxx::1/64，导致系统无法识别。网卡配置文件的错误往往是最常见也是最容易忽略的部分。

　　在处理完地址、路由、防火墙、DNS、内核与网络服务配置后，还需要检查是否存在上级路由器问题。例如企业网络的 IPv6 前缀可能发生调整，但服务器未更新配置;或运营商的 IPv6 路由没有传递到服务器所在的 VLAN;再如交换机 ACL 过滤了 ICMPv6。这类问题往往需要配合网络管理员排查，但从服务器端观察 tcpdump -i eth0 icmp6 可以帮助判断 RA、RS、NS 等报文是否正常流动。

　　最后，当所有配置均正确却仍然无法访问 IPv6 时，可以尝试重置网络栈，或暂时禁用系统自带的某些安全模块，如 SELinux 对 IPv6 并不常造成影响，但某些硬化方案可能阻断协议栈行为。重启网络服务或重启服务器也可能让错误状态清空，恢复正常通信。

　　总结：Linux 服务器因 IPv6 配置错误导致网络不通的原因非常多，从地址到路由再到 DNS 和防火墙，每一个环节出错都可能导致整体失效。因此排查时必须采用系统化思路，从底层链路到上层应用逐步验证，才能快速定位故障点。相比 IPv4，IPv6 对协议完整性依赖更强，因此任何过滤、阻断或缩写错误都可能造成无法访问。掌握上述排查方法，可以让管理员在面对 IPv6 网络异常时更有把握地恢复连接，确保服务器稳定运行。

　　常见问答

　　1. IPv6 地址能 ping 通，但域名访问失败，是什么原因?

　　一般是 DNS 未配置 IPv6 服务器，或解析不到 AAAA 记录。检查 /etc/resolv.conf 是否含 IPv6 DNS。

　　2. 已配置 IPv6，但服务器仍然使用 IPv4 出口?

　　这是因为缺少默认 IPv6 路由，或策略路由优先级更高，需检查 ip -6 route。

　　3. 云服务器 IPv6 不通，是否可能是安全组原因?

　　是的。许多云平台需要单独对 IPv6 放行，否则系统内部配置再正确也无法访问。

　　4. IPv6 为什么不能屏蔽 ICMP?

　　因为 ICMPv6 承担地址配置、邻居发现等关键功能，屏蔽会导致网络完全中断。

　　5. 静态 IPv6 地址是否可以随便填写?

　　不行，必须在运营商或内网划分的前缀范围内，否则路由器不会转发该地址流量。