Séance 2 : IPv6 et plan d'adressage VLSM

B2 / M2.1 3h30 C2.1.1 BTS SIO SISR

Formation	BTS SIO option SISR — IRIS Mediaschool
Module	M2.1 — Infrastructure réseau
Compétence	B2.1
Durée	3h30
Prérequis	Avoir complété la Séance 1 (OSI et IPv4)

Introduction (10 min)

Lors de la transition vers IPv6, des opérateurs comme Orange France ont dû migrer des millions d'abonnés en dual-stack en 2020, illustrant les enjeux opérationnels d'un déploiement massif (compatibilité équipements, plan d'adressage, monitoring et sécurité). Pour une PME comme InnovatTech, la transition en dual-stack implique des choix pragmatiques : utiliser des ULA pour l'adressage interne, prévoir des préfixes /64 par VLAN et maîtriser NDP qui remplace ARP. Cette séance vous permettra de concevoir et de mettre en œuvre un plan dual-stack adapté à 4 VLANs typiques (Admin / Users / DMZ / Guests).

🎯 Objectifs de la séance

Lire et écrire correctement une adresse IPv6, comprendre la compression et la signification d'un préfixe (/64, /128, /48).
Identifier les types d'adresses IPv6 (link-local, ULA, GUA) et expliquer le rôle de NDP (RFC 8200).
Concevoir un plan d'adressage dual-stack VLSM pour InnovatTech et le déployer sur un Cisco ISR 4321, puis valider avec show ipv6 interface brief et tests IPv6.

1. Principes d'IPv6 (60 min)

IPv6 utilise des adresses de 128 bits écrites en huit groupes hexadécimaux séparés par des deux-points. Pour alléger l'écriture on comprime les suites de zéros à l'aide de :: (une seule fois par adresse).

💡 Exemple de compression

2001:0db8:85a3:0000:0000:8a2e:0370:7334
→ 2001:db8:85a3::8a2e:370:7334

Les longueurs de préfixe expriment la partie réseau : par convention on utilise /64 pour la plupart des liens LAN (64 bits réseau, 64 bits identifiant d'interface). Un hôte unique utilise un /128 (loopback). À l'échelle d'un site il est courant de recevoir un /48 ou un /56 et d'en dériver des /64 pour chaque sous-réseau.

Types d'adresses IPv6

Type	Préfixe	Portée / Usage
Link-local	`fe80::/10`	Valide uniquement sur le lien local, non routable. Indispensable pour NDP. Assignée automatiquement.
ULA (Unique Local Address)	`fc00::/7` (`fd00::/8` en pratique)	Adressage interne non routable sur Internet. Equivalent des plages RFC1918 en IPv4.
GUA (Global Unicast Address)	`2000::/3`	Préfixes publics pour communiquer sur Internet.

NDP — Neighbor Discovery Protocol (RFC 8200)

NDP remplace ARP en IPv6. Il regroupe plusieurs mécanismes essentiels :

Neighbor Solicitation / Advertisement : découverte des voisins et résolution adresse IPv6 → adresse MAC.
SLAAC (Stateless Address AutoConfiguration) : auto-configuration d'adresses sans état.
DAD (Duplicate Address Detection) : détection d'adresses dupliquées avant utilisation.
Router Advertisement (RA) : les routeurs transmettent les préfixes et options disponibles aux hôtes.

Commandes de vérification — Cisco IOS 16.x

Router# ipv6 unicast-routing
Router# interface GigabitEthernet0/0
Router(config-if)# ipv6 address fd00:1234:5678:000a::1/64
Router(config-if)# no shutdown
Router(config-if)# exit
Router# show ipv6 interface brief
GigabitEthernet0/0  fd00:1234:5678:000a::1/64  [up]
                    FE80::A8BB:CCFF:FE00:1  link-local
GigabitEthernet0/1  fd00:1234:5678:0014::1/64  [up]
GigabitEthernet0/2  fd00:1234:5678:001e::1/64  [up]

💡 Lecture du résultat

show ipv6 interface brief affiche les adresses ULA/GUA affectées et les adresses link-local. Le lien-local commence toujours par fe80:: ; il est utilisé pour NDP.

Commandes Linux (Debian 12)

$ ip -6 addr show dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP>
    inet6 fd00:1234:5678:000a::10/64 scope global
    inet6 fe80::1c2d:abcd:1234/64 scope link

$ ip -6 route
fd00:1234:5678:000a::/64 dev eth0 proto kernel metric 256
::/0 via fd00:1234:5678::1 dev eth0  proto static

$ ip -6 neigh
fe80::aabb:ccff:fe00:1 dev eth0 lladdr aa:bb:cc:dd:ee:ff REACHABLE

Windows : ipconfig /all affiche les adresses IPv6 configurées ; Get-NetIPAddress (PowerShell) est utile sur Windows Server 2022.

Tests ICMPv6

$ ping6 -c 4 fd00:1234:5678:000a::1
PING fd00:1234:5678:000a::1(fd00:1234:5678:000a::1) 56 data bytes
64 bytes from fd00:1234:5678:000a::1: icmp_seq=1 ttl=64 time=1.23 ms
--- fd00:1234:5678:000a::1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss

2. Plan d'adressage dual-stack VLSM pour InnovatTech (40 min)

Pour la PME InnovatTech, nous conservons les réseaux IPv4 existants et ajoutons des ULA IPv6 pour l'infrastructure interne. Base ULA : fd00:1234:5678::/48. Un /64 est alloué par VLAN, avec l'identifiant de VLAN encodé dans le quatrième hextet (notation hexadécimale sur 4 chiffres).

VLAN	Nom	Réseau IPv4	Passerelle IPv4	Réseau IPv6	Passerelle IPv6
10	Administration	`192.168.10.0/24`	`192.168.10.1`	`fd00:1234:5678:000a::/64`	`fd00:1234:5678:000a::1`
20	Utilisateurs	`192.168.20.0/24`	`192.168.20.1`	`fd00:1234:5678:0014::/64`	`fd00:1234:5678:0014::1`
30	DMZ	`192.168.30.0/24`	`192.168.30.1`	`fd00:1234:5678:001e::/64`	`fd00:1234:5678:001e::1`
40	Invités	`192.168.40.0/24`	`192.168.40.1`	`fd00:1234:5678:0028::/64`	`fd00:1234:5678:0028::1`

💡 Note pédagogique

Nous utilisons ULA (fd00::/8) pour l'adressage interne afin d'éviter des contraintes d'attribution GUA, simplifier la mise en place et garantir l'isolation. En production, si un bloc GUA est disponible, on l'utilisera pour la partie exposée à Internet.

Schéma ASCII du réseau dual-stack (simplifié)

                      Internet (GUA)
                          │
                       [FAI]
                          │
                  Cisco ISR 4321 (WAN + LAN)
                 /    |       |        \
Gi0/0(VLAN10) Gi0/1(VLAN20) Gi0/2(VLAN30) -- Switch APs (VLAN40 Guests)
192.168.10.1/24 192.168.20.1/24 192.168.30.1/24
fd00:...:000a::1  fd00:...:0014::1  fd00:...:001e::1

Configuration Cisco ISR 4321 (extraits)

Router# configure terminal
Router(config)# ipv6 unicast-routing
Router(config)# interface GigabitEthernet0/0
Router(config-if)# description VLAN10 - Admin
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# ipv6 address fd00:1234:5678:000a::1/64
Router(config-if)# no shutdown
Router(config-if)# exit

Router(config)# interface GigabitEthernet0/1
Router(config-if)# description VLAN20 - Utilisateurs
Router(config-if)# ip address 192.168.20.1 255.255.255.0
Router(config-if)# ipv6 address fd00:1234:5678:0014::1/64
Router(config-if)# no shutdown

Validation

Router# show ipv6 interface brief
GigabitEthernet0/0  fd00:1234:5678:000a::1/64  [up]
                    fe80::a8bb:ccff:fe00:1  link-local
GigabitEthernet0/1  fd00:1234:5678:0014::1/64  [up]

Travaux Pratiques (70 min)

Contexte

InnovatTech veut compléter son plan d'adressage en dual-stack et tester IPv6 en ULA sur ses VLANs Admin, Users, DMZ et Guests. Vous travaillerez sur une maquette dans Packet Tracer / GNS3 ou sur le matériel Cisco disponible.

Objectif

Produire un plan d'adressage dual-stack VLSM pour InnovatTech, configurer IPv6 ULA sur le routeur Cisco ISR 4321, activer ipv6 unicast-routing et valider la connectivité IPv6 entre VLANs (via router) et la résolution NDP.

Prérequis techniques

Accès à Cisco ISR 4321 (IOS 16.x) avec privilèges de configuration.
Packet Tracer ou GNS3 si matériel non disponible.
Postes clients configurables en IPv6 (Linux / Windows).

Étapes

Étape 1 — Écrire le plan d'adressage dual-stack

Complétez le tableau fourni en section 2. Assurez-vous d'utiliser le préfixe ULA fd00:1234:5678::/48 et d'allouer un /64 par VLAN.

Étape 2 — Activer le routage IPv6 et configurer les interfaces

Router# configure terminal
Router(config)# ipv6 unicast-routing
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 address fd00:1234:5678:000a::1/64
Router(config-if)# no shutdown
Router(config-if)# exit

Étape 3 — Configurer un poste client Linux

Attribuer une adresse IPv6 ULA statique ou activer SLAAC pour tester les Router Advertisements :

$ sudo ip -6 addr add fd00:1234:5678:000a::10/64 dev eth0
$ sudo ip -6 route add default via fd00:1234:5678:000a::1

Étape 4 — Vérifier NDP et résolution d'adresse

$ ip -6 neigh
fe80::aabb:ccff:fe00:1 dev eth0 lladdr aa:bb:cc:dd:ee:ff REACHABLE

Étape 5 — Tester la connectivité IPv6 inter-VLAN

$ ping6 -c 4 fd00:1234:5678:0014::10
PING fd00:1234:5678:0014::10 (fd00:1234:5678:0014::10)
4 packets transmitted, 4 received, 0% packet loss

Livrable attendu

Un fichier texte/Markdown contenant :

Le tableau d'adressage IPv4 / IPv6 complet.
Les extraits de configuration du routeur (interfaces IPv6).
Capture de show ipv6 interface brief.
Capture de ip -6 addr sur un poste client.
Capture d'un ping6 réussi entre deux VLANs différents.

Critères de réussite

☐ show ipv6 interface brief affiche les adresses ULA pour chaque interface configurée.
☐ Un poste d'un VLAN peut joindre une adresse IPv6 d'un autre VLAN via le routeur (ping6 réussi).
☐ ip -6 neigh montre des entrées NDP résolues (état REACHABLE ou STALE selon le timing).

Synthèse (10 min)

IPv6 modifie plusieurs paradigmes : notation hexadécimale, préfixes /64 par défaut pour les LAN et la disparition d'ARP au profit de NDP, central dans la gestion des adresses et des Router Advertisements. Pour une PME, commencer par ULA en dual-stack permet de tester et d'opérer sans dépendre d'un préfixe GUA tout en conservant la compatibilité IPv4.

💬 Question de réflexion

En une phrase, expliquez pourquoi on utilise par convention un /64 par segment local en IPv6.

Cours suivant : C2.1.2 — Switching — VLANs, trunks 802.1Q, STP

🎮 Quiz — Testez vos connaissances

Q1 (QCM) — Quelle affirmation sur les adresses ULA est correcte ?
- A) Les adresses ULA commencent par fe80::/10 et sont utilisées uniquement sur le lien local.
- B) Les adresses ULA utilisent le préfixe fd00::/8 pour l'adressage interne non routable sur Internet.
- C) Les adresses ULA sont des adresses publiques allouées par l'IANA.
- D) Les adresses ULA remplacent les adresses link-local pour NDP.
Q2 (QCM) — Parmi les fonctions suivantes, lesquelles sont assurées par NDP (Neighbor Discovery Protocol) ?
- A) Résolution de noms de domaine et distribution d'adresses IP par un serveur centralisé.
- B) Découverte des voisins, résolution adresse IPv6 → MAC, SLAAC et détection d'adresses dupliquées (DAD).
- C) Chiffrement des trames Ethernet et gestion des VLANs.
- D) Routage inter-domaine et échange de tables de routage BGP.
Q3 (QCM) — Dans le plan d'adressage dual-stack d'InnovatTech, quel préfixe IPv6 est attribué au VLAN 20 (Utilisateurs) ?
- A) fd00:1234:5678:000a::/64
- B) fd00:1234:5678:001e::/64
- C) fd00:1234:5678:0014::/64
- D) fd00:1234:5678:0028::/64
Q4 (Vrai / Faux) — Les adresses link-local (fe80::/10) sont routables sur Internet et peuvent être utilisées pour joindre un serveur distant.
Q5 (Libre) — La commande ipv6 unicast-routing est obligatoire sur un routeur Cisco avant de configurer des adresses IPv6 sur les interfaces. Expliquez ce qu'elle active et ce qui se passe si on l'omet.

🔑 Corrections

B — Les ULA utilisent fd00::/8 (sous-ensemble de fc00::/7) pour l'adressage interne privé, équivalent IPv6 des plages RFC1918. Elles ne sont pas routables sur Internet.
B — NDP regroupe : Neighbor Solicitation/Advertisement (résolution adresse → MAC, remplace ARP), SLAAC (auto-configuration sans état), DAD (détection de doublons) et Router Advertisement (distribution de préfixes).
C — VLAN 20 = 20 en décimal = 0x14 en hexadécimal → préfixe fd00:1234:5678:0014::/64, passerelle ::1.
Faux — Les adresses link-local (fe80::/10) ont une portée limitée au lien local (un seul segment réseau). Elles ne sont jamais routées ; elles sont utilisées exclusivement pour NDP et les protocoles de voisinage.
Réponse attendue : ipv6 unicast-routing active le plan de forwarding IPv6 sur IOS : le routeur accepte et transfère les paquets IPv6 entre interfaces. Sans cette commande, les adresses IPv6 peuvent être configurées sur les interfaces mais le routeur n'achemine pas le trafic IPv6 — les hôtes ne peuvent pas communiquer au-delà de leur propre segment.

← C2.1.1 Séance 1 — OSI et IPv4 C2.1.2 Séance 1 — VLANs et trunks 802.1Q →