ping6.net
Migration

Réseau Dual-Stack : faire fonctionner IPv4 et IPv6 ensemble

Apprenez à déployer et gérer des réseaux dual-stack où IPv4 et IPv6 coexistent. Couvre la configuration, le dépannage et les stratégies de transition.

ping6.net14 décembre 202421 min read
IPv6dual-stackIPv4migrationréseautagetransition

Qu'est-ce que le réseau Dual-Stack#

Dual-stack signifie exécuter IPv4 et IPv6 simultanément sur la même infrastructure réseau. Chaque périphérique obtient une adresse IPv4 et une adresse IPv6. Les applications sélectionnent automatiquement le protocole à utiliser en fonction de la disponibilité et de la préférence.

C'est l'approche de transition recommandée pour la plupart des organisations. Vous n'avez pas besoin d'un week-end de migration ou d'une bascule de service. IPv4 continue de fonctionner pendant que vous activez IPv6 progressivement. Les clients existants ne voient aucune interruption. Les clients compatibles IPv6 obtiennent une connectivité native. Vous migrez à votre propre rythme.

L'adoption réelle reflète cela. Selon les statistiques de Google, plus de 40 % des utilisateurs accèdent à leurs services via IPv6. La plupart des grands réseaux — opérateurs mobiles, fournisseurs de cloud, réseaux de diffusion de contenu — exécutent dual-stack aujourd'hui. Ce n'est plus expérimental. C'est la norme de production.

TL;DR - Résumé rapide

Points clés :

  • Dual-stack exécute IPv4 et IPv6 simultanément — aucune bascule de migration requise
  • Les applications préfèrent automatiquement IPv6 (algorithme Happy Eyeballs) avec basculement IPv4 rapide
  • Critique : appliquer des politiques de sécurité identiques aux deux protocoles (règles de pare-feu, ACL)
  • DNS doit publier à la fois les enregistrements A et AAAA pour les services dual-stack
  • Surveiller les deux protocoles indépendamment — les échecs IPv6 peuvent se cacher derrière le basculement IPv4

Aller à : Exemples de configuration | Sélection d'adresse | Sécurité | Dépannage

Comment fonctionne Dual-Stack#

Sur un réseau dual-stack, chaque interface porte deux piles réseau. Un serveur peut avoir 192.0.2.10 pour IPv4 et 2001:db8::10 pour IPv6. Les deux adresses fonctionnent indépendamment. Le trafic peut circuler sur l'un ou l'autre protocole selon ce que le client et le serveur négocient.

┌──────────────────────────────────────┐
│   Application (curl, navigateur)     │
│      Utilise DNS pour trouver        │
│           les adresses               │
├──────────────────────────────────────┤
│        TCP/UDP (Agnostique)          │
├───────────────────┬──────────────────┤
│   Pile IPv4       │   Pile IPv6      │
│   192.0.2.10      │   2001:db8::10   │
│   Route via gw1   │   Route via gw2  │
└───────────────────┴──────────────────┘
         │                   │
    Réseau IPv4         Réseau IPv6

La couche réseau maintient des tables de routage séparées. Les paquets IPv4 suivent les routes IPv4. Les paquets IPv6 suivent les routes IPv6. Ils n'interfèrent pas les uns avec les autres.

Comportement de l'application : Happy Eyeballs#

Les applications ne choisissent pas manuellement entre les protocoles. Le système d'exploitation gère la sélection de protocole en utilisant un algorithme appelé « Happy Eyeballs » (RFC 8305). Comprendre cela aide à déboguer les problèmes de connexion.

Le processus :

  1. L'application demande une connexion à example.com
  2. DNS retourne à la fois les enregistrements A (IPv4) et AAAA (IPv6)
  3. L'OS tente d'abord la connexion IPv6
  4. Après un délai de 50-250 ms (varie selon l'implémentation), l'OS démarre la connexion IPv4 en parallèle
  5. La connexion qui se termine en premier gagne
  6. Le résultat est mis en cache pour les connexions suivantes

Cela garantit que les utilisateurs obtiennent la connexion disponible la plus rapide sans attendre les timeouts. IPv6 obtient la préférence, mais un IPv6 cassé ne causera pas de délais visibles par l'utilisateur au-delà d'une fraction de seconde.

Testez ce comportement en utilisant notre outil Ping contre des destinations dual-stack. Comparez les temps de réponse IPv4 et IPv6.

DNS retourne les deux types d'enregistrements#

En dual-stack, les serveurs DNS publient à la fois les enregistrements A et AAAA pour le même nom d'hôte :

$ dig example.com A +short
192.0.2.10
 
$ dig example.com AAAA +short
2001:db8::10

Les clients interrogent pour les deux types (ou utilisent la synthèse DNS64 dans les réseaux IPv6 uniquement). Le résolveur retourne les enregistrements qui existent. Si seul A existe, le client utilise IPv4. Si les deux existent, Happy Eyeballs décide.

Exemples de configuration#

La configuration dual-stack est simple sur les systèmes modernes. La plupart prennent en charge la configuration automatique via SLAAC (Stateless Address Autoconfiguration) ou DHCPv6.

Linux : Netplan (Ubuntu)#

Ubuntu moderne utilise Netplan pour la configuration réseau. Éditez /etc/netplan/01-netcfg.yaml :

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: true
      dhcp6: true
      accept-ra: true

Les paramètres clés :

  • dhcp4: true – Obtenir IPv4 via DHCP
  • dhcp6: true – Obtenir IPv6 via DHCPv6
  • accept-ra: true – Accepter les Router Advertisements pour SLAAC

Appliquer la configuration :

sudo netplan apply

Vérifier les deux protocoles :

ip addr show eth0
# Cherchez à la fois « inet » (IPv4) et « inet6 » (IPv6)

Linux : NetworkManager (Fedora, RHEL, CentOS)#

En utilisant l'interface en ligne de commande de NetworkManager :

# Activer les deux protocoles sur votre connexion
nmcli connection modify "Wired connection 1" ipv4.method auto
nmcli connection modify "Wired connection 1" ipv6.method auto
 
# Appliquer les modifications
nmcli connection up "Wired connection 1"
 
# Vérifier la configuration
nmcli device show eth0

Pour une configuration dual-stack statique :

# Configurer IPv4 et IPv6 statiques
nmcli connection modify "Wired connection 1" \
  ipv4.method manual \
  ipv4.addresses 192.0.2.10/24 \
  ipv4.gateway 192.0.2.1 \
  ipv6.method manual \
  ipv6.addresses 2001:db8::10/64 \
  ipv6.gateway 2001:db8::1
 
nmcli connection up "Wired connection 1"

Windows 10/11#

Windows active dual-stack par défaut. Pour vérifier ou reconfigurer :

Méthode GUI :

  1. Appuyez sur Win + R, tapez ncpa.cpl, appuyez sur Entrée
  2. Clic droit sur l'adaptateur réseau → Propriétés
  3. Vérifiez que les deux protocoles sont cochés :
    • Protocole Internet version 4 (TCP/IPv4)
    • Protocole Internet version 6 (TCP/IPv6)
  4. Configurez les propriétés de chaque protocole selon les besoins

Méthode PowerShell :

# Vérifier la configuration actuelle
Get-NetIPAddress -InterfaceAlias "Ethernet"
 
# Activer la configuration automatique pour les deux protocoles
Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Enabled
Set-NetIPInterface -InterfaceAlias "Ethernet" -AddressFamily IPv6 -Dhcp Enabled
 
# Ou configurer des adresses statiques
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 192.0.2.10 -PrefixLength 24 -DefaultGateway 192.0.2.1
 
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 2001:db8::10 -PrefixLength 64 -DefaultGateway 2001:db8::1
 
# Vérifier
Get-NetIPAddress -InterfaceAlias "Ethernet"
Get-NetRoute -InterfaceAlias "Ethernet"

Routeur Linux avec radvd#

Pour configurer un système Linux comme routeur dual-stack, activez le transfert et exécutez le démon Router Advertisement.

Activer le transfert IP :

# Temporaire
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1
 
# Permanent
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Installer et configurer radvd :

sudo apt install radvd  # Ubuntu/Debian
# ou
sudo dnf install radvd  # Fedora/RHEL

Éditez /etc/radvd.conf :

interface eth0
{
    AdvSendAdvert on;
    MinRtrAdvInterval 3;
    MaxRtrAdvInterval 10;
 
    prefix 2001:db8::/64
    {
        AdvOnLink on;
        AdvAutonomous on;
        AdvRouterAddr on;
    };
 
    RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
    {
    };
};

Démarrer le service :

sudo systemctl enable radvd
sudo systemctl start radvd

Les clients sur le réseau eth0 recevront maintenant les Router Advertisements et configureront automatiquement les adresses IPv6 via SLAAC.

Routeur Cisco IOS#

Configurer dual-stack sur un routeur Cisco :

! Activer le routage IPv6
ipv6 unicast-routing
 
! Configurer l'interface WAN (dual-stack)
interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ipv6 address autoconfig
 ipv6 enable
 no shutdown
 
! Configurer l'interface LAN (dual-stack)
interface GigabitEthernet0/1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ipv6 address 2001:db8:1::1/64
 ipv6 enable
 ipv6 nd prefix 2001:db8:1::/64
 ipv6 nd ra interval 10
 no shutdown
 
! Configurer les routes par défaut
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ipv6 route ::/0 GigabitEthernet0/0
 
! Vérifier la configuration
show ip interface brief
show ipv6 interface brief

SLAAC vs DHCPv6

Les Router Advertisements activent SLAAC, qui auto-configure les adresses clients sans serveur DHCP. Pour plus de contrôle (serveurs DNS, NTP, noms de domaine), utilisez DHCPv6 avec SLAAC. La plupart des réseaux exécutent SLAAC pour la simplicité.

Règles de sélection d'adresse#

Quand un client dual-stack se connecte à un serveur dual-stack, comment choisit-il quel protocole utiliser ? RFC 6724 définit l'algorithme de sélection d'adresse source et destination.

Ordre de préférence par défaut#

L'algorithme évalue les adresses en fonction de ces règles (simplifiées) :

  1. Préférer même portée – Link-local vers link-local, global vers global
  2. Préférer famille d'adresses correspondante – Si la source est IPv6, préférer la destination IPv6
  3. Préférer précédence plus élevée – IPv6 a une précédence par défaut plus élevée qu'IPv4
  4. Préférer transport natif – Éviter le tunneling si possible
  5. Préférer portée plus petite – Préférer les routes plus spécifiques
  6. Utiliser préfixe correspondant le plus long – Les routes plus spécifiques gagnent

Par défaut, IPv6 obtient la préférence sur IPv4. C'est intentionnel — cela encourage l'adoption d'IPv6 et fournit de meilleures performances (pas de surcharge NAT).

Pourquoi IPv6 gagne généralement#

Étant donné un client dual-stack et un serveur dual-stack :

Client a :   192.0.2.100 et 2001:db8::100
Serveur a :  192.0.2.10 et 2001:db8::10
DNS retourne : A 192.0.2.10, AAAA 2001:db8::10

L'algorithme de sélection :

  1. Les deux adresses ont une portée globale → égalité
  2. Le client a à la fois des adresses source IPv4 et IPv6 → égalité
  3. Précédence IPv6 (::ffff:0:0/96 = 35, ::/0 = 40) > Précédence IPv4 (::ffff:0:0/96 = 35) → IPv6 gagne

Résultat : La connexion utilise IPv6 sauf si la connectivité IPv6 est cassée.

Configuration de la table de stratégie#

Vous pouvez modifier le comportement par défaut en éditant la table de stratégie. C'est rarement nécessaire, mais utile pour des exigences spécifiques.

Linux (Glibc) :

Éditez /etc/gai.conf (stratégie de sélection d'adresse) :

# Préférer IPv4 sur IPv6 (non recommandé)
precedence ::ffff:0:0/96  100
precedence ::/0            50

Windows :

# Afficher la table de stratégie actuelle
Get-NetIPv6Protocol | Format-List
 
# Préférer IPv4 (non recommandé)
Set-NetIPv6Protocol -PreferredProtocol IPv4
 
# Réinitialiser par défaut (préférer IPv6)
Set-NetIPv6Protocol -PreferredProtocol IPv6

Ne forcez pas la préférence IPv4

Remplacer le défaut pour préférer IPv4 contrecarre le but du dual-stack. Réparez la connectivité IPv6 cassée au lieu de la masquer avec des changements de stratégie. Les utilisateurs sur des réseaux IPv6 uniquement (opérateurs mobiles) auront des performances dégradées ou des échecs.

Quand IPv4 est préféré#

IPv4 est sélectionné dans ces scénarios :

  1. Pas de connectivité IPv6 – Si le routage IPv6 est cassé, Happy Eyeballs bascule vers IPv4
  2. 6to4 ou Teredo – IPv6 tunnelé a une précédence inférieure à IPv4 natif
  3. Choix explicite de l'application – L'application force IPv4 (mauvaise pratique mais ça arrive)
  4. Table de stratégie modifiée – L'administrateur a changé manuellement l'ordre de préférence

La plupart des problèmes étiquetés « IPv4 préféré » sont en réalité une connectivité IPv6 cassée déclenchant le basculement.

Considérations DNS#

La configuration DNS dual-stack est critique. Un DNS mal configuré cause des délais de connexion, des échecs ou une sélection de protocole inattendue.

Publier les deux types d'enregistrements#

Pour chaque service dual-stack, publiez à la fois les enregistrements A et AAAA :

example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10

Ne publiez pas AAAA si IPv6 ne fonctionne pas. Les clients essaieront IPv6 en premier, échoueront, puis basculeront vers IPv4 après un délai. Cela crée une mauvaise expérience utilisateur.

Ordre de résolution#

Les résolveurs DNS modernes interrogent A et AAAA simultanément ou avec un délai minimal. Le résolveur retourne les deux types, et l'OS du client effectue la sélection d'adresse.

Certains résolveurs plus anciens ou mal configurés interrogent séquentiellement (A d'abord, puis AAAA). Cela ajoute de la latence mais ne casse pas la fonctionnalité.

Que se passe-t-il quand un protocole échoue#

Si IPv6 est accessible mais le service ne répond pas sur IPv6 :

  1. Le client essaie la connexion IPv6
  2. La connexion timeout ou est refusée
  3. Happy Eyeballs essaie IPv4 en parallèle ou après un court délai
  4. La connexion IPv4 réussit

Délai total : généralement 50-250 ms plus le timeout de connexion (1-3 secondes dans le pire cas). Perceptible mais pas catastrophique.

La meilleure solution : réparer la connectivité IPv6 ou supprimer les enregistrements AAAA jusqu'à ce qu'IPv6 fonctionne.

Alignement du TTL#

Définissez le même TTL pour les enregistrements A et AAAA. Des TTL non correspondants causent une mise en cache incohérente et un comportement client étrange.

# Bon
example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10
 
# Mauvais – TTL non correspondants
example.com.    300    IN    A        192.0.2.10
example.com.    3600   IN    AAAA     2001:db8::10

Si vous devez changer les adresses IP, baissez d'abord le TTL sur les deux enregistrements. Attendez l'expiration de l'ancien TTL, puis changez les IP et restaurez le TTL normal.

Problèmes courants et solutions#

ProblèmeCauseSolution
Établissement de connexion lentTimeout IPv6 puis basculement IPv4Réparer la connectivité IPv6 ou supprimer les enregistrements AAAA
Échecs de connexion intermittentsUn protocole cassé, Happy Eyeballs en courseTester les deux protocoles indépendamment avec curl -4 et curl -6
L'application utilise uniquement IPv4IPv4 codé en dur, ancienne bibliothèque, ou lié à 0.0.0.0Vérifier les paramètres de l'application, mettre à jour le code pour lier ::
Pas de route par défaut IPv6Le routeur n'envoie pas de RA ou DHCPv6 ne fournit pas de routeVérifier la configuration du routeur, vérifier ip -6 route show
Windows préfère IPv4Teredo ou 6to4 actif (tunneling)Désactiver les interfaces tunnel : netsh interface teredo set state disabled
Le pare-feu bloque IPv6Règles IPv6 non configurées ou trop restrictivesAppliquer la même politique de sécurité aux deux protocoles
Le changement d'adresse de confidentialité casse les connexionsRotation des adresses temporaires RFC 4941Utiliser des adresses stables pour les serveurs, temporaires pour les clients
Path MTU Discovery échoueICMPv6 « Packet Too Big » bloquéAutoriser ICMPv6 type 2 dans les règles de pare-feu

Dépannage détaillé : connexions lentes#

La plupart des plaintes dual-stack concernent des connexions « lentes ». Cela signifie généralement un IPv6 cassé déclenchant des délais de basculement.

Diagnostiquer :

# Tester IPv4 uniquement
curl -4 -w "Temps : %{time_total}s\n" -o /dev/null -s https://example.com
 
# Tester IPv6 uniquement
curl -6 -w "Temps : %{time_total}s\n" -o /dev/null -s https://example.com
 
# Tester par défaut (dual-stack)
curl -w "Temps : %{time_total}s\n" -o /dev/null -s https://example.com

Si -6 échoue ou timeout, mais -4 réussit, et le défaut montre des délais, vous avez un IPv6 cassé.

Options de correction :

  1. Réparer IPv6 – Solution préférée. Déboguer le routage, les règles de pare-feu ou la connectivité ISP.
  2. Supprimer les enregistrements AAAA – Solution temporaire. Le service devient IPv4 uniquement jusqu'à ce que vous répariez IPv6.
  3. Ne pas désactiver IPv6 sur les serveurs – Cela casse les choses et masque le vrai problème.

Surveillance des réseaux Dual-Stack#

Vous ne pouvez pas gérer ce que vous ne mesurez pas. Les réseaux dual-stack nécessitent de surveiller les deux protocoles indépendamment.

Tester les deux protocoles#

Testez la connectivité séparément pour identifier quel protocole échoue :

# Ping sur IPv4
ping -4 google.com
 
# Ping sur IPv6
ping -6 google.com
 
# Traceroute sur IPv4
traceroute -4 google.com
 
# Traceroute sur IPv6
traceroute -6 google.com
 
# Curl utilisant un protocole spécifique
curl -4 https://example.com
curl -6 https://example.com

Intégrez ces tests dans les scripts de surveillance. Alertez quand un protocole échoue même si l'autre fonctionne.

Métriques à suivre#

Surveillez ces métriques spécifiques au dual-stack :

  1. Distribution de protocole – Pourcentage de trafic utilisant IPv4 vs IPv6
  2. Taux de réussite de connexion – Par protocole, suivre les connexions échouées
  3. Temps de réponse – Comparer la latence IPv4 et IPv6
  4. Préfixes BGP – S'assurer que les routes IPv4 et IPv6 sont annoncées
  5. Ratio de requêtes DNS – Suivre les taux de requêtes A vs AAAA
  6. Taux d'erreurs ICMPv6 – Les pics indiquent des problèmes de routage ou MTU

Suivre ces métriques au fil du temps montre la progression de l'adoption et met en évidence les problèmes avant qu'ils n'affectent les utilisateurs.

Alertes sur les échecs de protocole#

Créez des alertes séparées pour chaque protocole :

  • Passerelle par défaut IPv4 inaccessible
  • Passerelle par défaut IPv6 inaccessible
  • Enregistrement AAAA publié mais service IPv6 inaccessible
  • Pic de timeouts de connexion IPv6
  • Routage asymétrique (trafic envoyé via IPv6, retourné via IPv4)

Ne comptez pas sur les alertes génériques « service en panne ». Vous avez besoin d'une visibilité spécifique au protocole.

Outils de test#

Utilisez ces outils pour vérifier le fonctionnement dual-stack :

  • Outils ping6.net – Testez la connectivité IPv4 et IPv6 de différentes perspectives
  • curl avec les flags -4/-6 – Forcez la sélection de protocole pour les tests HTTP(S)
  • dig +short A/AAAA – Vérifiez que DNS retourne les deux types d'enregistrements
  • tcpdump/wireshark – Capturez et analysez le trafic spécifique au protocole
  • mtr -4 / mtr -6 – Traceroute continu montrant les différences de chemin

Nos outil Ping et outil Traceroute prennent en charge le forçage d'IPv4 ou IPv6, rendant les tests dual-stack simples.

Considérations de sécurité#

Dual-stack élargit votre surface d'attaque. Les deux protocoles nécessitent des politiques de sécurité équivalentes.

Règles de pare-feu pour les deux protocoles#

L'erreur de sécurité dual-stack la plus courante : oublier de configurer les règles de pare-feu IPv6. Les administrateurs passent des années à construire des ACL IPv4, puis activent IPv6 sans filtrage. Les attaquants adorent ça.

Appliquez la même politique de sécurité aux deux protocoles :

Si votre politique IPv4 est :

REFUSER tout entrant sauf :
  - TCP 22 (SSH) depuis le réseau de gestion
  - TCP 443 (HTTPS) depuis n'importe où
  - ICMP echo-request (ping)

Votre politique IPv6 doit être :

REFUSER tout entrant sauf :
  - TCP 22 (SSH) depuis le réseau de gestion
  - TCP 443 (HTTPS) depuis n'importe où
  - ICMPv6 types 1,2,3,4,128,129 (types essentiels)
  - ICMPv6 types 133-137 (Neighbor Discovery, local uniquement)

Les outils comme ip6tables, nftables ou les pare-feux commerciaux prennent en charge dual-stack. Configurez les deux familles d'adresses.

Erreur courante : sécuriser IPv4 mais oublier IPv6#

Les organisations activent IPv6 pour la conformité ou les tests, puis oublient qu'il est actif. Les attaquants scannent les plages IPv6 à la recherche d'hôtes non filtrés.

Exemple de scénario :

  1. L'administrateur configure un pare-feu IPv4 restrictif, seul HTTPS exposé
  2. IPv6 est activé sur le routeur pour la « préparation future »
  3. Le serveur obtient une adresse IPv6 via SLAAC
  4. Aucune règle de pare-feu IPv6 configurée
  5. L'attaquant scanne 2001:db8::/64, trouve SSH exposé, bases de données, services internes

Prévention :

  • Auditer les règles de pare-feu IPv6 comme IPv4
  • Refus par défaut sur les deux protocoles
  • Tester avec des outils de scan IPv6 uniquement
  • Surveiller les connexions IPv6 inattendues

Faille de sécurité critique

Activer IPv6 sans configurer les pare-feux équivaut à mettre des serveurs directement sur Internet sans filtrage. Configurez toujours les règles de sécurité IPv6 avant de publier les enregistrements AAAA.

Extensions de confidentialité pour les clients#

SLAAC génère des adresses utilisant l'adresse MAC de l'interface (format EUI-64). Cela crée un identifiant stable et traçable sur tous les réseaux — un problème de confidentialité pour les clients mobiles.

Les extensions de confidentialité (RFC 4941) génèrent des adresses temporaires aléatoires qui tournent périodiquement. Les clients utilisent des adresses temporaires pour les connexions sortantes tout en maintenant une adresse stable pour les connexions entrantes.

Activer les extensions de confidentialité :

Linux :

# Vérifier le statut (2 = préférer les adresses temporaires)
sysctl net.ipv6.conf.all.use_tempaddr
 
# Activer
sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
 
# Rendre permanent
echo "net.ipv6.conf.all.use_tempaddr = 2" | sudo tee -a /etc/sysctl.conf

Windows :

Les extensions de confidentialité sont activées par défaut sur Windows 7 et ultérieur. Vérifier :

netsh interface ipv6 show privacy

macOS :

Activé par défaut. Aucune configuration nécessaire.

Important : N'activez pas les extensions de confidentialité sur les serveurs. Les adresses temporaires cassent DNS, la surveillance et les règles de pare-feu. Utilisez-les uniquement sur les périphériques clients.

Quand envisager IPv6 uniquement#

Dual-stack est une stratégie de transition, pas l'objectif final. Finalement, les réseaux passent à IPv6 uniquement, simplifiant les opérations et éliminant la pénurie d'adresses IPv4.

Les opérateurs mobiles utilisent déjà IPv6 uniquement#

Les principaux opérateurs mobiles (T-Mobile USA, Reliance Jio, EE UK) exécutent des réseaux cœur IPv6 uniquement. Ils utilisent 464XLAT (NAT64 + CLAT) pour fournir une connectivité IPv4 en cas de besoin.

Les utilisateurs ne le remarquent pas. Leurs téléphones ont des adresses IPv6, et les applications héritées IPv4 uniquement fonctionnent de manière transparente grâce à la traduction.

NAT64/DNS64 pour l'accès IPv4#

Les réseaux IPv6 uniquement accèdent aux services IPv4 en utilisant NAT64 et DNS64 :

  1. Le client interroge DNS pour un service IPv4 uniquement
  2. DNS64 synthétise un enregistrement AAAA utilisant le préfixe NAT64 : 64:ff9b::192.0.2.10
  3. Le client envoie du trafic IPv6 à l'adresse synthétisée
  4. La passerelle NAT64 traduit en IPv4, transfère au service
  5. Les réponses sont traduites en IPv6

Cela permet aux clients IPv6 uniquement d'atteindre l'Internet IPv4 restant sans exécuter dual-stack.

Quand déployer IPv6 uniquement :

  • Réseaux mobiles (déjà standard)
  • Nouvelles constructions de centres de données (éviter complètement IPv4)
  • Déploiements greenfield sans exigences héritées
  • Organisations avec contrôle complet des clients et applications

Quand garder dual-stack :

  • Réseaux d'entreprise existants (les dépendances IPv4 prennent des années à éliminer)
  • Réseaux avec matériel/logiciel hérité
  • Environnements où vous ne contrôlez pas tous les clients
  • Services orientés Internet (dual-stack maximise l'accessibilité)

Avantages de simplification#

Exécuter un protocole au lieu de deux réduit :

  • Taille de la table de routage (une table au lieu de deux)
  • Complexité du pare-feu (une politique au lieu de deux)
  • Surcharge de gestion d'adresses IP
  • Complexité de surveillance et d'alerte

Mais ces avantages ne se matérialisent qu'après avoir éliminé complètement IPv4. Dual-stack est plus complexe qu'IPv4 uniquement ou IPv6 uniquement, mais c'est le seul chemin de migration pratique pour la plupart des réseaux.

Articles connexes#

Testez votre réseau Dual-Stack

Utilisez notre outil Ping avec les flags -4 et -6 pour tester les deux protocoles indépendamment, et notre outil Traceroute pour vérifier les chemins de routage.

Questions fréquentes#

Le dual-stack double-t-il mon utilisation de bande passante ?

Non. Le trafic utilise soit IPv4 soit IPv6 pour chaque connexion, pas les deux. Dual-stack signifie que les deux protocoles sont disponibles, mais les connexions individuelles en choisissent un et s'y tiennent.

Certains protocoles (comme BGP) peuvent échanger des informations de routage sur les deux familles d'adresses, mais c'est une surcharge négligeable.

Pourquoi mon réseau dual-stack est-il plus lent qu'IPv4 uniquement ?

Il ne devrait pas l'être. Des performances plus lentes indiquent généralement un IPv6 cassé ou mal configuré déclenchant des timeouts de connexion avant de basculer vers IPv4. Testez chaque protocole indépendamment avec curl -4 et curl -6 pour identifier lequel échoue.

Si IPv6 est plus lent mais fonctionne, vérifiez les inefficacités de routage ou les problèmes de peering ISP. Les chemins IPv6 ne sont pas toujours aussi bien optimisés que les chemins IPv4 (pour l'instant).

Puis-je exécuter dual-stack avec NAT ?

Oui. IPv4 peut utiliser NAT tandis qu'IPv6 utilise des adresses globales sans NAT. C'est courant dans les réseaux d'entreprise et domestiques. Votre routeur traduit les adresses IPv4 privées (192.168.x.x, 10.x.x.x) tout en passant IPv6 inchangé.

IPv6 n'a pas besoin de NAT. Utilisez des pare-feux au lieu de compter sur NAT pour la sécurité.

Dois-je désactiver IPv6 si je ne l'utilise pas ?

Non. Microsoft, Apple et les distributions Linux recommandent tous de laisser IPv6 activé même si vous ne l'utilisez pas activement. Désactiver IPv6 peut casser des fonctionnalités comme DirectAccess, HomeGroup, Windows Update et causer des délais de résolution DNS.

Si vous n'en avez vraiment pas besoin, c'est inoffensif quand il est activé. Si vous pourriez en avoir besoin plus tard, vous vous épargnerez un effort de reconfiguration en le laissant activé.

Comment savoir si mon trafic utilise IPv4 ou IPv6 ?

Vérifiez les connexions actives avec :

# Linux/macOS
netstat -tuln | grep -E '(tcp|udp)'
 
# Windows PowerShell
Get-NetTCPConnection | Select-Object LocalAddress,RemoteAddress
 
# Ou utilisez tcpdump pour voir les paquets réels
sudo tcpdump -n -i eth0 'ip6 or ip'

Les adresses IPv6 sont plus longues et contiennent des deux-points. Les adresses IPv4 sont en décimal pointé. La plupart des outils de surveillance étiquettent le trafic par protocole.

Visitez ping6.net pour voir quel protocole vous utilisez pour atteindre notre site.