Migration IPv6 : Dual-Stack, tunneling et NAT64
Planifiez votre migration IPv6 avec la bonne stratégie. Comparez les approches dual-stack, tunneling et traduction pour votre réseau.
Pourquoi migrer maintenant#
L'épuisement des adresses IPv4 est réel. Tous les registres Internet régionaux ont épuisé leurs réserves. Les organisations paient des prix premium pour de petits blocs IPv4 tandis que l'espace d'adressage IPv6 reste gratuit. Au-delà de l'adressage, IPv6 élimine la complexité du NAT, simplifie le routage et devient de plus en plus une exigence compétitive à mesure que les principales plateformes priorisent le trafic IPv6.
Le cas d'affaires est simple : vos utilisateurs sont déjà sur des réseaux IPv6 (opérateurs mobiles, fournisseurs cloud, FAI modernes), mais vous n'êtes peut-être pas prêt à les servir efficacement. Apple exige le support IPv6 pour les apps iOS. Google classe légèrement mieux les sites activés IPv6. Le trafic IPv6 croît de 25-30% annuellement.
TL;DR - Résumé rapide
Points clés :
- Dual-stack (exécuter à la fois IPv4 et IPv6) est l'approche recommandée pour la plupart des réseaux
- Tunneling (6in4, 6rd) est temporaire — à utiliser uniquement quand IPv6 natif n'est pas disponible
- Traduction (NAT64/DNS64) permet aux clients IPv6 uniquement d'atteindre les services IPv4 uniquement
- Commencez par dual-stack sur des services à faible risque, élargissez progressivement à la production
- N'utilisez jamais 6to4 ou Teredo obsolètes — les alternatives modernes sont meilleures
Aller à : Déploiement dual-stack | Tunneling | Traduction | Cadre de décision
Trois approches de migration#
La migration IPv6 n'est pas universelle. Vous avez trois stratégies fondamentales :
| Approche | Comment ça fonctionne | Idéal pour |
|---|---|---|
| Dual-Stack | Exécuter IPv4 et IPv6 simultanément | Réseaux de production avec support IPv6 FAI |
| Tunneling | Encapsuler IPv6 dans des paquets IPv4 | Réseaux sans connectivité IPv6 native |
| Traduction | Convertir les paquets entre IPv4 et IPv6 | Connecter IPv6-only à des systèmes IPv4-only |
La plupart des réseaux de production utilisent dual-stack. Le tunneling sert de pont temporaire. La traduction gère les cas limites où les protocoles doivent interopérer.
Déploiement dual-stack#
Dual-stack signifie que chaque appareil réseau parle les deux protocoles. Un serveur a une adresse IPv4 (192.0.2.10) et une adresse IPv6 (2001:db8::10). Les applications choisissent quel protocole utiliser selon la destination et la préférence.
┌─────────────────────────────────┐
│ Couche application │
├─────────────────────────────────┤
│ TCP/UDP (agnostique protocole) │
├──────────────┬──────────────────┤
│ Pile IPv4 │ Pile IPv6 │
│ 192.0.2.10 │ 2001:db8::10 │
└──────────────┴──────────────────┘
│ │
Réseau IPv4 Réseau IPv6Avantages#
Dual-stack ne crée aucun problème de compatibilité. Les clients IPv4-only continuent de fonctionner normalement. Les clients IPv6 obtiennent une connectivité native. Vous migrez à votre propre rythme sans interruption de service ou coordination avec des parties externes.
L'architecture réseau se simplifie avec le temps. À mesure que l'adoption IPv6 croît, vous pouvez déprécier les services IPv4 progressivement. Pas de jour J. Pas de week-end de migration. Juste un progrès régulier.
Étapes d'implémentation#
1. Vérifier le support matériel
Vérifiez que les routeurs, commutateurs et pare-feu supportent IPv6. La plupart des équipements d'entreprise de la dernière décennie le font, mais vérifiez les versions firmware. Certains appareils plus anciens nécessitent des mises à jour.
2. Concevoir votre schéma d'adressage
Demandez un préfixe /48 ou plus large à votre FAI (ou RIR pour les grandes organisations). Planifiez votre structure de sous-réseaux. Contrairement au découpage rigide d'IPv4, utilisez /64 pour tous les LAN — la taille de sous-réseau standard qui active SLAAC.
Exemple d'allocation pour un /48 :
2001:db8:0100::/48 - Reçu du FAI
2001:db8:0100:0001::/64 - Serveurs datacenter
2001:db8:0100:0002::/64 - LAN bureau
2001:db8:0100:0003::/64 - Réseau invité
2001:db8:0100:0010::/64 - DMZ3. Configurer l'infrastructure réseau
Activer le routage IPv6 sur les routeurs de bordure. Configurer les annonces de routeur (SLAAC) ou DHCPv6 pour l'attribution d'adresse. Mettre à jour les règles de pare-feu — c'est critique et souvent oublié.
4. Déployer sur les serveurs
Commencer avec des services à faible risque. Ajouter des enregistrements DNS AAAA. Tester minutieusement avant de passer aux services de production. Surveiller les modèles de trafic IPv4 et IPv6.
5. Activer la connectivité client
Les systèmes d'exploitation modernes gèrent dual-stack automatiquement. SLAAC configure les adresses sans DHCP. Les clients reçoivent à la fois des adresses IPv4 (via DHCP) et IPv6 (via SLAAC) et choisissent de manière appropriée.
Faille de sécurité
L'échec dual-stack le plus courant : oublier de configurer les règles de pare-feu IPv6. Les attaquants scannent les hôtes IPv6-activés sans filtrage. Appliquez les mêmes politiques de sécurité aux deux protocoles.
Happy Eyeballs : sélection de protocole#
RFC 8305 définit « Happy Eyeballs », l'algorithme que les systèmes modernes utilisent pour choisir entre IPv4 et IPv6. Comprendre ceci aide à déboguer les problèmes de connectivité.
Le processus :
- La recherche DNS retourne des enregistrements A (IPv4) et AAAA (IPv6)
- Le système tente la connexion IPv6 en premier
- Après 50-250ms (spécifique à l'implémentation), démarre la tentative IPv4 en parallèle
- La première connexion réussie gagne
- Le résultat est mis en cache pour les connexions suivantes au même hôte
Cela garantit que les utilisateurs obtiennent la meilleure connectivité disponible sans délai notable. IPv6 obtient la préférence, mais IPv4 reste un secours.
Vous pouvez tester ce comportement avec notre outil ping IPv6. Comparez les temps de réponse pour les destinations dual-stack.
Mécanismes de tunneling#
Le tunneling enveloppe les paquets IPv6 dans IPv4, permettant la connectivité IPv6 à travers l'infrastructure IPv4-only. Considérez-le comme une solution de contournement temporaire, pas une solution permanente.
Original : [En-tête IPv6 | Données]
Tunnelisé : [En-tête IPv4 | En-tête IPv6 | Données]6in4 : tunnels manuels#
La méthode de tunneling la plus simple. Configurez deux points de terminaison manuellement, et les paquets IPv6 circulent à travers les réseaux IPv4 comme protocole 41 (pas UDP ou TCP — protocole IP brut 41).
Exemple de configuration Linux :
# Créer interface tunnel
ip tunnel add he-ipv6 mode sit remote 209.51.161.14 local 203.0.113.50 ttl 255
# Assigner adresse IPv6 (du tunnel broker)
ip addr add 2001:470:1f0a:1ab::2/64 dev he-ipv6
# Activer le lien
ip link set he-ipv6 up
# Ajouter route IPv6 par défaut
ip route add ::/0 dev he-ipv6
# Vérifier
ping6 google.comPoints clés :
- Le protocole 41 doit passer à travers les pare-feu/NAT (souvent bloqué)
- Les points de terminaison du tunnel nécessitent des adresses IPv4 statiques
- Hurricane Electric et d'autres tunnel brokers fournissent des points de terminaison gratuits
- Ajoute ~10-30ms de latence selon l'emplacement du tunnel broker
6rd : déploiement rapide FAI#
6rd permet aux FAI de fournir IPv6 aux clients sur l'infrastructure IPv4 existante. Le FAI exécute des serveurs relais, et les routeurs clients tunnelent automatiquement le trafic IPv6.
Contrairement à 6to4, 6rd utilise des préfixes spécifiques au FAI et des relais contrôlés par le FAI, le rendant plus fiable et sécurisé. Vous ne configurerez pas ceci manuellement — c'est provisionné automatiquement si votre FAI le supporte.
DS-Lite : IPv4 sur IPv6#
DS-Lite inverse le scénario typique : il fournit la connectivité IPv4 sur un réseau IPv6-only. Utilisé par les FAI transitionnant vers une infrastructure IPv6-only tout en maintenant le service IPv4.
Client ----[IPv4-dans-IPv6]----> AFTR FAI ----[IPv4]----> InternetL'équipement client (élément B4) tunnelise IPv4 dans IPv6 vers l'AFTR du FAI (Address Family Transition Router), qui effectue NAT44 avant de transférer vers Internet IPv4.
Les utilisateurs finaux ne configurent généralement pas DS-Lite — c'est géré par le FAI.
Déprécié : 6to4 et Teredo
N'utilisez pas 6to4 (2002::/16) ou Teredo pour les nouveaux déploiements. Les deux sont officiellement dépréciés en raison de problèmes de fiabilité et de sécurité.
6to4 s'appuyait sur des relais anycast avec une mauvaise disponibilité. Teredo introduisait des préoccupations de sécurité avec la traversée NAT. Les tunnel brokers modernes ou le dual-stack natif sont de meilleures solutions.
Technologies de traduction#
La traduction convertit les paquets entre IPv6 et IPv4 au niveau de la couche réseau. Cela permet la communication quand un côté est IPv6-only et l'autre est IPv4-only.
NAT64 avec DNS64#
NAT64 traduit les paquets IPv6 en IPv4 et vice versa. Combiné avec DNS64, il fournit un accès transparent aux services IPv4-only depuis les réseaux IPv6-only.
Comment ça fonctionne :
- Le client IPv6-only interroge DNS pour
ipv4only.example.com - Le serveur DNS64 voit seulement l'enregistrement A (IPv4), pas d'enregistrement AAAA (IPv6)
- DNS64 synthétise un enregistrement AAAA utilisant le préfixe NAT64 :
64:ff9b::198.51.100.5 - Le client envoie un paquet à l'adresse IPv6 synthétisée
- La passerelle NAT64 traduit en IPv4 et transfère
- Le trafic de retour est traduit vers IPv6
┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ Client IPv6 │ │ Passerelle│ │ Serveur IPv4│
│ │─────────│ NAT64 │─────────│ │
│2001:db8::1 │ IPv6 │ + DNS64 │ IPv4 │198.51.100.5 │
└─────────────┘ └─────────────┘ └─────────────┘Préfixe NAT64 bien connu : 64:ff9b::/96 (RFC 6052)
NAT64 nécessite une traduction avec état — la passerelle maintient l'état de session comme le NAT44 traditionnel. Cela introduit les mêmes préoccupations d'échelle que le NAT IPv4.
464XLAT : activer les apps IPv4#
464XLAT étend NAT64 en ajoutant une traduction côté client (CLAT), permettant aux applications IPv4-only de fonctionner sur les réseaux IPv6-only.
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ App IPv4 │ │ │ │ Serveur IPv4 │
│ │ │ Réseau │ │ │
│ 192.0.0.1 │ │ IPv6-only │ │ 198.51.100.5 │
└──────┬───────┘ └──────────────┘ └──────────────┘
│ │
CLAT (appareil) PLAT (FAI)
NAT46 NAT64Les réseaux mobiles utilisent extensivement 464XLAT. Votre téléphone exécute une pile IPv6-only, mais les apps IPv4-only héritées fonctionnent toujours de manière transparente. Android et iOS supportent tous deux CLAT nativement.
Choisir votre stratégie#
Cadre de décision basé sur les caractéristiques réseau :
Avez-vous IPv6 natif du FAI ?
│
├─ OUI ──> Déployer dual-stack (recommandé)
│ 1. Activer IPv6 sur routeur de bordure
│ 2. Configurer SLAAC/DHCPv6
│ 3. Mettre à jour règles pare-feu
│ 4. Ajouter enregistrements AAAA au DNS
│
└─ NON ──> Besoin d'IPv6 immédiatement ?
│
├─ OUI ──> Utiliser tunnel broker
│ (Hurricane Electric, etc.)
│
└─ NON ──> Demander IPv6 au FAI
ou planifier calendrier migrationMatrice de sélection de stratégie#
| Votre situation | Approche recommandée | Effort d'implémentation |
|---|---|---|
| Entreprise avec FAI IPv6 | Dual-stack | Moyen (configuration unique) |
| Maison/petit bureau avec FAI IPv6 | Dual-stack | Faible (activer sur routeur) |
| FAI fournit IPv4 uniquement | Tunnel broker (temporaire) | Faible (mais latence ajoutée) |
| Réseau IPv6-only accédant IPv4 | NAT64/DNS64 | Moyen (déploiement passerelle) |
| Opérateur mobile | 464XLAT (automatique) | N/A (géré par opérateur) |
| Besoin d'accéder à votre service IPv4-only depuis IPv6 | Dual-stack de votre service | Moyen |
Pièges courants#
1. Configuration pare-feu incomplète#
Le trafic IPv6 contourne souvent les règles de pare-feu IPv4. Les équipes de sécurité configurent des politiques IPv4 étendues mais oublient complètement IPv6. Résultat : connectivité IPv6 non filtrée.
Solution : Appliquer des politiques de sécurité équivalentes aux deux protocoles. Si vous bloquez le port 23 (telnet) sur IPv4, bloquez-le sur IPv6. Utilisez l'inspection avec état pour les deux.
2. Mauvaises configurations DNS#
Publier des enregistrements AAAA sans connectivité IPv6 fonctionnelle casse l'accès pour les clients IPv6-activés. Happy Eyeballs aide, mais cause des délais et un repli vers IPv4.
Solution : Publiez uniquement les enregistrements AAAA après avoir vérifié que la connectivité IPv6 fonctionne. Surveillez les modèles de requêtes A et AAAA. Configurez le DNS inverse (enregistrements PTR) pour les adresses IPv6.
3. Problèmes de compatibilité d'application#
Les applications qui codent en dur des suppositions IPv4 échouent avec IPv6 :
- Stockage d'adresses IP dans des entiers 32 bits
- Motifs regex correspondant uniquement au format IPv4
- Ne pas mettre entre crochets les adresses IPv6 dans les URLs :
http://[2001:db8::1]:8080/ - Liaison à
0.0.0.0au lieu de::(joker IPv6)
Solution : Testez les applications minutieusement avec connectivité IPv6-only. Utilisez des environnements de test dual-stack. Examinez le code pour les suppositions IPv4.
4. Angles morts de surveillance#
La surveillance réseau suit souvent les métriques IPv4 mais ignore IPv6. Vous ne remarquerez pas si la connectivité IPv6 se dégrade ou échoue complètement.
Solution :
- Surveiller le trafic IPv6 et IPv4 séparément
- Configurer des vérifications de santé spécifiques IPv6
- Suivre la distribution des préférences de protocole (quel pourcentage de trafic utilise IPv6)
- Alerter sur les problèmes de disponibilité IPv6
Commencer simplement#
Commencez avec dual-stack sur des systèmes non critiques. Un serveur de test, un environnement de développement ou un outil interne. Vérifiez que la connectivité IPv6 fonctionne. Ajoutez des enregistrements AAAA. Surveillez le trafic.
Une fois à l'aise, étendez aux services de production. La plupart des infrastructures modernes supportent IPv6 avec une configuration minimale. La migration technique est simple — le changement organisationnel et les tests approfondis prennent plus de temps.
Le tunneling sert de pont temporaire si vous ne pouvez pas obtenir IPv6 natif immédiatement. Mais poussez votre FAI pour le support natif. La traduction gère les cas limites mais ne devrait pas être votre stratégie primaire.
L'adoption IPv6 continue d'accélérer. Commencer maintenant, même de manière incrémentale, positionne votre réseau pour l'avenir pendant que vos concurrents se précipitent pour rattraper plus tard.
Articles connexes#
- Comment activer IPv6 - Étapes pratiques pour activer IPv6 sur vos systèmes
- IPv6 dans les environnements cloud - Déployer IPv6 sur AWS, GCP et Azure
Testez votre migration
Utilisez notre Outil Ping et Traceroute pour vérifier la connectivité IPv6 pendant la migration.
Questions fréquentes#
Combien de temps prend la migration IPv6 ?
Le calendrier varie selon la complexité de votre infrastructure. Un déploiement dual-stack simple peut être fait en quelques jours. Les grandes entreprises avec des systèmes hérités peuvent nécessiter des mois ou des années pour une migration complète. Commencez avec dual-stack sur les nouveaux systèmes et étendez progressivement.
Devons-nous migrer tout d'un coup ?
Non. Le dual-stack vous permet d'exécuter IPv4 et IPv6 simultanément. Migrez de manière incrémentale, en commençant par les services périphériques et en progressant vers l'intérieur. Certains systèmes IPv4 uniquement peuvent rester sur IPv4 indéfiniment s'ils n'ont pas besoin d'accès Internet public.
Quelle est l'erreur de migration la plus courante ?
Supposer qu'IPv6 « fonctionne juste » sans tests. De nombreuses organisations activent IPv6, voient qu'il est actif et supposent le succès. Puis les utilisateurs signalent des applications cassées ou des performances dégradées. Testez toujours minutieusement avec une connectivité IPv6 uniquement avant de déclarer le succès.
Devrions-nous utiliser le tunneling ou attendre IPv6 natif ?
IPv6 natif est toujours meilleur si disponible. Les tunnels ajoutent de la latence et de la complexité. Cependant, si votre FAI n'a pas de calendrier IPv6, le tunneling vous permet de commencer à apprendre et tester maintenant. Utilisez-le comme un tremplin, pas une solution permanente.