IPv6 : déploiement en entreprise

IPv6 est indispensable en 2026 : IANA a épuisé IPv4 en 2011, Google voit 45% de trafic IPv6, la France impose IPv6 pour nouvelles offres FAI depuis 2024. Ce guide couvre déploiement IPv6 entreprise : addressing plan, DHCPv6, SLAAC, sécurité, dual-stack vs translation, IPv6-only. 2026.

Adressage IPv6

• 128 bits vs 32 bits IPv4 = 2^128 adresses
• Notation : 8 groupes de 4 hex séparés par :
• Abréviation :: pour zéros consécutifs (une seule fois)
• Prefix : /64 est la taille standard subnet (autre : ne cassez jamais cette règle)
• Préfixe global : /48 fourni par ISP à entreprise
• /56 ou /60 sur particuliers

Types d'adresses

• Global Unicast (2000::/3) : routable Internet
• Link-Local (fe80::/10) : auto-généré, local segment only
• Unique Local ULA (fc00::/7) : équivalent RFC 1918 IPv4 privé
• Multicast (ff00::/8) : pas de broadcast en IPv6
• Anycast : partagée par plusieurs hosts, routée vers le plus proche

Addressing plan entreprise

L'ISP donne /48 (65536 subnets /64). Plan type :

• 2001:db8:100::/48 = entreprise
• 2001:db8:100:0000::/64 = VLAN 0 (management)
• 2001:db8:100:000a::/64 = VLAN 10 (data), 0x0a = 10
• 2001:db8:100:0014::/64 = VLAN 20 (voice)
• Convention : VLAN ID en hex = 4ème groupe
• Facile à mémoriser et automatiser

SLAAC (StateLess Address AutoConfig)

• Host auto-configure son IPv6 basé sur RA (Router Advertisement)
• Pas besoin de DHCP pour plan simple
• Privacy Extensions (RFC 4941) : génère adresses temporaires pour sortie Internet (anti-tracking)
• DNS : via RA DNSSL + RDNSS (RFC 8106) ou DHCPv6 stateless

DHCPv6

• DHCPv6 stateful : assigne adresse + options (DNS, NTP)
• DHCPv6 stateless : RA assigne adresse, DHCPv6 donne juste DNS/NTP
• DHCPv6 prefix delegation : ISP délègue /48 ou /56 à CPE routeur
• Logging complet (équivalent DHCPv4 pour compliance)

Transition v4 → v6

Dual-stack (recommandé)

• Hosts et routeurs supportent v4 ET v6 simultanément
• Simple, progressive migration
• Période de coexistence 5-10 ans

NAT64 + DNS64

• Clients IPv6-only accèdent aux serveurs IPv4
• NAT64 : traducteur IPv6 → IPv4
• DNS64 : synthétise AAAA à partir de A records
• Usage : réseaux mobiles iOS (Apple impose IPv6-only depuis 2016)

464XLAT

• Customer-side translator (CLAT)
• Adresse IPv4 translatée en IPv6 puis retraitée en v4 chez l'ISP
• Transparent apps v4

Sécurité IPv6

• RA Guard : bloque RA rogues (équivalent DHCPv6 Guard)
• DHCPv6 Guard
• ND inspection : DAD (Duplicate Address Detection) et NS/NA anti-spoofing
• IPv6 Source Guard
• Filter RH0 (Routing Header Type 0) = deprecated + dangereux
• Pas de broadcast = moins d'amplification DoS

Impact firewall

• FortiGate : IPv6 natif sur toutes les versions
• Palo Alto : IPv6 natif
• Cisco ASA/FTD : IPv6 natif
• Règles policy dédoublées v4 et v6 (doubler l'effort maintenance)
• Certains fabricants supportent mal IPv6 sur scanning/DLP (vérifier)

DNS IPv6

• AAAA records (vs A pour v4)
• Reverse : ip6.arpa (ex : 2001:db8::1 → 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa)
• DNS servers IPv6 : Google 2001:4860:4860::8888, Cloudflare 2606:4700:4700::1111
• Configuration DHCPv6 option 23 : DNS-Servers IPv6

Configuration Cisco IOS basique

• ipv6 unicast-routing
• ipv6 cef
• interface Vlan 10
• ipv6 address 2001:db8:100:a::1/64
• ipv6 nd prefix 2001:db8:100:a::/64 preferred-lifetime 86400 valid-lifetime 172800
• ipv6 nd managed-config-flag : DHCPv6 managed
• ipv6 nd other-config-flag : DHCPv6 other info

Routing IPv6

• OSPFv3 : OSPF pour IPv6 (ou IPv4+IPv6 avec multi-AF)
• IS-IS : natif IPv6 (single-topology ou multi-topology)
• BGP : address-family ipv6 unicast
• Static : ipv6 route 2001:db8:200::/48 2001:db8:1::2

Commander chez OPTINOC

Déploiement IPv6 entreprise : addressing plan, dual-stack, DHCPv6, migration, sécurité. Catalyst/FortiGate/Palo Alto configurés dual-stack. Devis sous 48h.