Déploiement IPv6 : liste de vérification pour administrateur réseau
Une liste de vérification pratique pour déployer IPv6 en production. De la planification d'adressage à la surveillance, ne manquez pas ces étapes critiques.
Déployer IPv6 n'est pas juste activer un protocole. C'est planifier un schéma d'adressage qui évolue, configurer des politiques de sécurité qui correspondent à vos règles IPv4, et s'assurer que votre surveillance détecte les problèmes avant les utilisateurs.
Cette liste de vérification couvre ce que vous devez réellement faire, basée sur de vrais déploiements. Sautez des étapes à vos risques et périls.
TL;DR - Résumé rapide
Points clés :
- Planifiez votre schéma d'adressage avant le déploiement — utilisez /64 pour tous les réseaux d'hôtes
- Configurez les règles de pare-feu IPv6 pour correspondre aux politiques IPv4
- Ne bloquez jamais ICMPv6 — c'est essentiel pour le fonctionnement d'IPv6
- Surveillez les deux protocoles indépendamment avec des alertes séparées
- Testez dans un lab avant le déploiement en production
Aller à : Planification d'adressage | Sécurité | Surveillance | Tests
Avant de commencer#
Faire l'inventaire#
Listez chaque appareil, application et service qui nécessite de la connectivité réseau. Ne supposez pas que tout supporte IPv6 — testez-le. Cette imprimante héritée ou système SCADA pourrait être le bloqueur que vous n'attendiez pas.
Vérifiez le support de vos fournisseurs. Le support OS est presque universel maintenant, mais les logiciels propriétaires et systèmes embarqués peuvent être en retard. Sachez ce qui fonctionne et ce qui ne fonctionne pas avant de vous engager.
Obtenir votre allocation#
Demandez de l'espace IPv6 à votre FAI ou Registre Internet Régional. La plupart des FAI fournissent au moins un /48 aux clients professionnels, vous donnant 65 536 sous-réseaux /64. Si vous êtes multihébergé ou exploitez un datacenter, obtenez votre propre allocation Provider Independent (PI).
Ne vous contentez pas d'un /64 sauf si vous êtes un établissement à sous-réseau unique. Vous avez besoin de place pour grandir.
Concevoir votre schéma d'adressage#
Planifiez votre adressage avant d'assigner quoi que ce soit. Un /48 vous donne un champ de sous-réseau de 16 bits — utilisez-le sagement. Groupez les sous-réseaux par emplacement, fonction ou zone de sécurité.
Exemple de schéma :
2001:db8::/48 Votre allocation
2001:db8:0001::/64 Réseau bureau siège
2001:db8:0002::/64 VLAN serveurs siège
2001:db8:0100::/64 Bureau succursale 1
2001:db8:0200::/64 Bureau succursale 2
2001:db8:1000::/64 Serveurs web DMZRéservez des plages pour usage futur. Laissez des espaces. Vous ne regretterez pas d'avoir de l'espace supplémentaire.
Former votre équipe#
IPv6 semble différent. La notation hexadécimale, les règles d'abréviation d'adresse et la taille pure des adresses déstabilisent les gens. Organisez des sessions de formation. Assurez-vous que tout le monde comprend les bases avant le jour du déploiement.
Couvrez ICMPv6 — il n'est pas optionnel comme ICMP en IPv4. Le bloquer casse les choses. Ne le faites pas.
Planification d'adresse#
Utiliser des sous-réseaux /64 complets#
Allouez toujours /64 pour les réseaux utilisateurs finaux. SLAAC en a besoin, et essayer d'utiliser /127 ou /126 sur les LAN cause des maux de tête opérationnels. L'espace d'adressage est énorme — utilisez-le.
Pour les liens point-à-point, /127 est bien et recommandé (RFC 6164). Cela empêche les attaques ping-pong et économise une quantité négligeable d'espace dont vous n'avez pas besoin d'économiser.
Tout documenter#
Commencez la documentation le jour un. Enregistrez votre allocation, assignations de sous-réseaux et la logique derrière elles. Le futur vous — ou votre remplaçant — en aura besoin.
Utilisez des outils IPAM. Les tableurs fonctionnent pour les petits réseaux, mais les outils dédiés comme NetBox ou phpIPAM évoluent mieux et réduisent les erreurs.
Réserver de l'espace pour la croissance#
N'allouez pas les sous-réseaux séquentiellement sans planifier. Laissez de la place entre les groupes logiques. Si votre réseau bureau est 2001:db8:100::/64, ne mettez pas le prochain bureau à :101::/64. Utilisez :200::/64 et donnez-vous 256 sous-réseaux de marge.
Randomiser les adresses serveur#
Ne numérotez pas les serveurs séquentiellement (::1, ::2, ::3). Utilisez des adresses aléatoires ou sémantiquement significatives dans votre /64. L'adressage séquentiel facilite le scan et expose la taille de votre réseau.
Générez des adresses aléatoires ou utilisez EUI-64, mais désactivez les extensions de confidentialité sur les serveurs — vous voulez des adresses stables pour le DNS.
Bonnes pratiques DNS#
Ajouter enregistrements AAAA pour tout#
Chaque service avec connectivité IPv6 a besoin d'un enregistrement AAAA. Ne déployez pas à moitié en activant IPv6 mais en sautant le DNS. Les clients essaieront IPv6 d'abord et échoueront, causant des délais de connexion.
Pour les services dual-stack, publiez A et AAAA. Laissez Happy Eyeballs (RFC 6555) gérer le basculement.
Configurer le DNS inverse#
Installez les enregistrements PTR dans ip6.arpa. Le DNS inverse n'est pas juste pour les serveurs mail — il est utilisé pour la journalisation, les outils de sécurité et le dépannage. Les enregistrements PTR manquants semblent bâclés et peuvent déclencher les filtres anti-spam.
Déléguez votre zone inverse correctement. Si votre RIR ou FAI gère la délégation, soumettez les enregistrements. Si vous la contrôlez, automatisez les mises à jour.
Assurer des résolveurs dual-stack#
Vos résolveurs DNS doivent répondre aux requêtes sur IPv4 et IPv6. Configurez le transport IPv6 même si votre réseau n'est pas encore complètement dual-stack. Les clients préfèrent de plus en plus le transport IPv6 pour le DNS.
Testez avec dig ou nslookup depuis des clients IPv6-only. Ne supposez pas que ça fonctionne.
Tester avec des clients IPv6-only#
Lancez une VM ou conteneur de test avec IPv6 uniquement — pas d'adresse IPv4. Essayez d'accéder à vos services. Vous trouverez des lacunes que vous avez manquées : adresses IPv4 codées en dur, enregistrements AAAA cassés ou applications qui ne gèrent pas correctement dual-stack.
Considérations de routage#
Activer IPv6 sur tous les routeurs#
Activez le routage IPv6 globalement. Même si un segment n'utilise pas encore IPv6, l'avoir prêt évite une configuration précipitée plus tard.
Configurez les adresses link-local sur toutes les interfaces. Elles sont requises pour les protocoles de routage et n'ont pas besoin d'adressage global.
Choisir votre protocole de routage intérieur#
OSPFv3 et IS-IS supportent tous deux IPv6. Si vous exécutez OSPFv2 pour IPv4, OSPFv3 est le choix naturel. IS-IS gère les deux familles d'adresses dans une seule instance de protocole, ce qui simplifie les choses si vous repartez de zéro.
N'exécutez pas RIPng. Il est obsolète et limité.
Configurer BGP pour la connectivité externe#
Si vous êtes multihébergé, exécutez BGP pour IPv6 comme pour IPv4. Utilisez MP-BGP (Multiprotocol BGP) pour porter les deux familles d'adresses sur une session, ou exécutez des sessions séparées — les deux fonctionnent.
Annoncez votre préfixe depuis tous les upstreams. Configurez des filtres de route pour empêcher les fuites.
Filtrer les préfixes bogon#
Bloquez les préfixes réservés et bogon à votre périphérie. La liste bogon est plus petite qu'IPv4 mais toujours nécessaire. Filtrez :
- ::/8 (sauf ::/128 et ::1/128)
- 0100::/64 (préfixe discard)
- 2001:db8::/32 (documentation)
- fc00::/7 (ULA — bloquer au bord internet)
- fe80::/10 (link-local)
- ff00::/8 (multicast, dépend du contexte)
Team Cymru publie des listes bogon mises à jour. Utilisez-les.
Bonnes pratiques de sécurité#
Faire correspondre les règles de pare-feu à la politique IPv4#
Votre politique de pare-feu IPv6 devrait refléter IPv4. Si vous bloquez le trafic entrant sauf services spécifiques en IPv4, faites de même pour IPv6. Ne laissez pas IPv6 ouvert parce que c'est « nouveau ».
Auditez soigneusement. Beaucoup de pare-feu mettent par défaut tout autoriser pour IPv6 quand activé pour la première fois.
Autoriser ICMPv6 essentiel#
ICMPv6 n'est pas optionnel. Vous devez autoriser :
- Type 1 (Destination inaccessible)
- Type 2 (Paquet trop grand) — casse PMTUD si bloqué
- Type 3 (Temps dépassé)
- Type 4 (Problème de paramètre)
- Type 128/129 (Requête/réponse écho) — optionnel mais utile
- Type 133-137 (Découverte voisins) — sur segments locaux uniquement
Bloquer ICMPv6 casse les choses. Ne le faites pas.
Activer RA Guard sur les commutateurs#
Les annonces de routeur malveillantes sont un vecteur d'attaque facile. Activez RA Guard sur les commutateurs d'accès pour bloquer les RA des ports non fiables. Autorisez uniquement les RA depuis vos ports routeur.
La plupart des commutateurs d'entreprise supportent ceci. Configurez-le pendant le déploiement, pas après un incident.
Surveiller les RA malveillants#
Même avec RA Guard, surveillez les RA inattendus. Des outils comme NDPmon ou RAmond détectent les annonces malveillantes. Journalisez-les et enquêtez.
Les RA malveillants peuvent rediriger le trafic, causer des pannes ou activer des attaques homme du milieu.
Surveillance et journalisation#
Mettre à jour les outils de surveillance pour IPv6#
SNMP, NetFlow, syslog — tous ont besoin du support IPv6. Mettez à jour vos collecteurs pour capturer le trafic IPv6. Configurez vos appareils réseau pour envoyer les journaux via transport IPv6.
Testez que les graphiques, alertes et tableaux de bord affichent les métriques IPv6. Beaucoup d'outils le supportent mais ne l'activent pas par défaut.
Journaliser les adresses source IPv6#
Assurez-vous que vos serveurs web, journaux d'application et outils de sécurité capturent les adresses IPv6 complètes. Les adresses tronquées ou manquantes handicapent la forensique.
Vérifiez les formats de journal. Certaines applications journalisent les adresses IPv6 incorrectement ou pas du tout.
Suivre le trafic IPv6 séparément#
Surveillez le volume de trafic IPv6 et le pourcentage. Suivez l'adoption au fil du temps. Connaître votre ratio de trafic IPv6 aide à planifier la capacité et identifier les problèmes.
Définissez des alertes pour les baisses soudaines — cela signifie généralement que quelque chose a cassé.
Alerter sur les problèmes spécifiques IPv6#
Créez des alertes pour :
- Échecs d'adjacence de protocole de routage
- Passerelles IPv6 inaccessibles
- Taux d'erreur ICMPv6 élevés
- Abandons ou blackholing de trafic IPv6
N'attendez pas que les utilisateurs signalent les problèmes.
Liste de vérification de déploiement#
Utilisez cette liste pour suivre votre progression de déploiement :
- Inventaire réseau complet (appareils, apps, services)
- Vérifier support IPv6 fournisseur pour tous systèmes critiques
- Obtenir allocation IPv6 du FAI ou RIR
- Concevoir et documenter schéma d'adressage
- Former équipe sur bases IPv6 et dépannage
- Installer outil IPAM pour gestion d'adresses
- Configurer IPv6 sur routeurs et commutateurs cœur
- Activer OSPFv3/IS-IS pour routage intérieur
- Configurer BGP pour connectivité externe (si applicable)
- Implémenter filtres de préfixe bogon au bord
- Créer enregistrements AAAA pour tous services
- Configurer DNS inverse (ip6.arpa)
- Activer transport IPv6 sur résolveurs DNS
- Tester résolution depuis clients IPv6-only
- Déployer règles pare-feu correspondant politique IPv4
- Autoriser types ICMPv6 essentiels
- Activer RA Guard sur commutateurs d'accès
- Déployer surveillance RA malveillants
- Mettre à jour outils surveillance pour support IPv6
- Configurer journalisation IPv6 sur tous systèmes
- Créer tableaux de bord trafic IPv6
- Installer alertes spécifiques IPv6
- Tester connectivité depuis clients test IPv6-only
- Documenter déploiement et leçons apprises
Déployez méthodiquement. Testez minutieusement. Documentez tout. IPv6 n'est pas difficile — il est juste différent.
Articles connexes#
- Bonnes pratiques de sécurité IPv6 - Sécurisez votre réseau IPv6 contre les menaces
- Stratégies de migration IPv6 - Planifiez et exécutez votre déploiement IPv6
Planifiez votre réseau
Utilisez notre Calculateur de sous-réseaux pour concevoir votre schéma d'adressage IPv6.