DHCP scope
のIPv6
を構成していますが、すべてのクライアントが2つ以上のIPv6
アドレスをインターフェイスに割り当てています。
プレフィックスとしてfda8:6c3:ce53:a890:/64
を使用しています。スコープはWindowsServer 2008 R2を実行しているマシン上にありますが、Server2012でも展開することを検討しています。
私のクライアントは以下を取得しています:
IPv6アドレス。 。 。 。 。 。 。 。 。 。 。 :1024 :: 1492:9288:7357:7d30(推奨)
IPv6アドレス。 。 。 。 。 。 。 。 。 。 。 :fda8:6c3:ce53:a890 :: 1(推奨)
IPv6アドレス。 。 。 。 。 。 。 。 。 。 。 :fda8:6c3:ce53:a890:1492:9288:7357:7d30(Pr rred)
リンクローカルIPv6アドレス。 。 。 。 。 :fe80 :: 1492:9288:7357:7d30%10(推奨)
この例では、DHCP scope
はなく、マシンにはstatic IP
のfda8:6c3:ce53:a890::1
があります。これを念頭に置いて、1024
アドレスとfda8:6c3:ce53:a890:1492:9288:7357:7d30
アドレスはどこから来ていますか?
ネットワークが機能するためにIPv6アドレスを発行するようにDHCPv6を構成する必要はありません。むしろ、各マシンは、オプションでMACに基づいて(場合によってはランダムに)リンクローカルアドレス([FE80::]/16
内)を割り当てます。次に、ルーターアドバタイズメントをリッスンし、アドバタイズされたプレフィックスに基づいて、同じロジックを使用して1つ以上のアドレスを割り当てます。通常、ホストは、接続を開始するために使用する1つ以上のランダムなアドレスを自分自身に割り当て、プライバシーを保護します(たとえば、インターネット上のすべてのホストにMACを開示せず、一貫したネットワークアドレスを維持しません)。他のホストが接続を開始できるように、一貫性のあるものも維持します。プレフィックスを検出したホストは、DHCPv6にクエリを実行して、DNSサーバーなどを把握します。
これが追加のアドレスの出所です(ルーター検出を無効にすることでこれを確認できます)。 [1024::]/64
内のアドレスを自分自身に割り当てるには、ネットワーク上の一部のルーター(ルーターアドバタイズデーモンを実行している)がそのサブネットをブロードキャストする必要があります。ネットワークキャプチャはどちらかを教えてくれます。パケットはICMPv6NDPルーターアドバタイズメントとして表示されます。
余分なアドレスはプライバシーアドレスのように見えますが、実際にはあらゆる種類のビジネス環境で無効にする必要があります。 IPv6プライバシーアドレスを無効にしてみてください。
netsh interface ipv6 set privacy state=disabled store=active
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 set global randomizeidentifiers=disabled store=active
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
この構成変更には再起動が必要です。
残念ながら、この変更を行うために私が認識しているグループポリシーオブジェクトはありません。これは、Microsoft側の深刻な監視です。
1000 ::/4は割り当てられていません。 ND経由でそのアドレスを発見していると思います。 Wiresharkを起動し、キャプチャフィルタをicmp6
に設定して、ローカルホストがプレフィックスアドバタイズメントを送信しているかどうかを確認します。