VXLAN ou VLAN : lequel choisir pour la segmentation du réseau ?

La segmentation du réseau joue un rôle important dans la gestion et la sécurisation des infrastructures informatiques modernes.

Les deux technologies les plus populaires pour une segmentation efficace du réseau sont le VXLAN et le VLAN.

Voyons maintenant quelles sont les caractéristiques de ces deux technologies et comment elles peuvent façonner l’architecture de votre réseau.

Qu’est-ce que le VLAN ?

VLAN est l’abréviation de Virtual Local Area Network (réseau local virtuel).

Il s’agit d’une technologie utilisée dans les réseaux informatiques pour diviser un réseau physique unique en plusieurs réseaux logiques.

Prenons un exemple pour comprendre facilement le concept.

Imaginez que vous travaillez dans un grand immeuble de bureaux comprenant plusieurs départements : Ingénierie, Marketing et Comptabilité.

Chaque service dispose de son propre ensemble d’ordinateurs, d’imprimantes et d’autres périphériques réseau.

Cependant, l’immeuble de bureaux ne possède qu’une seule infrastructure de réseau physique.

Sans VLAN, tous les appareils de l’immeuble feraient partie d’un seul domaine de diffusion. Cela signifie qu’ils recevraient tout le trafic du réseau. Cela pourrait entraîner des problèmes de sécurité et une gestion inefficace du trafic réseau.

Les VLAN sont mis en œuvre pour résoudre ces problèmes. Chaque VLAN agit comme un domaine de diffusion distinct, ce qui permet d’améliorer la gestion et les performances du réseau.

vlan-working — Image Source – fiberopticshare

Supposons que vous créiez trois VLAN correspondant aux différents départements.

VLAN 1 : Ingénierie
VLAN 2 : Marketing
VLAN 3 : Comptabilité

Lorsqu’un ordinateur ou tout autre périphérique est connecté au réseau, il peut être affecté à l’un de ces VLAN.

Par exemple – Tous les ordinateurs et périphériques du département Ingénierie sont affectés au VLAN 1.

Si un ordinateur du service d’ingénierie souhaite envoyer un message à un autre ordinateur du même VLAN, le message restera dans le VLAN 1 et ne sera pas diffusé aux appareils d’autres VLAN tels que le marketing ou la comptabilité.

Cette séparation garantit que les informations sensibles ne sont accessibles qu’aux appareils autorisés au sein du même VLAN.

Qu’est-ce que le VXLAN ?

VXLAN signifie Virtual Extensible LAN (réseau local extensible virtuel).

Il s’agit d’une technologie de virtualisation de réseau utilisée pour étendre les segments de réseau de la couche 2 (couche de liaison de données) sur un réseau IP. Elle a été introduite pour répondre aux limites des VLAN traditionnels dans les centres de données à grande échelle.

vxlan2 — Source de l’image – fiberopticshare

Il est couramment utilisé dans les centres de données et les environnements en nuage pour créer des superpositions de réseaux logiques qui peuvent couvrir plusieurs segments de réseaux physiques.

VXLAN encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 3, ce qui leur permet d’être transmises sur un réseau IP.

Comment fonctionne VXLAN ?

Imaginez que vous ayez un grand centre de données avec plusieurs serveurs physiques et des machines virtuelles (VM) fonctionnant sur ces serveurs.

Dans un réseau traditionnel basé sur un VLAN, chaque machine virtuelle est affectée à un VLAN spécifique. La communication entre les machines virtuelles de différents VLAN nécessiterait un routage au niveau de la couche 3.

Cette approche peut devenir complexe et présenter des problèmes d’évolutivité en raison du nombre limité d’ID de VLAN disponibles.

Examinons un scénario pour comprendre le fonctionnement de ce VXLAN.

Il y a deux hôtes physiques. Dans l’hôte 1, il y a VM1 et VM2, et dans l’hôte 2, il y a VM3 et VM4.

Supposons que les hôtes 1 et 2 font partie d’un réseau VXLAN et que VM1 souhaite communiquer avec VM3.

Configuration VXLAN

L’hôte 1 et l’hôte 2 sont configurés en tant que points d’extrémité de tunnel VXLAN (VTEP). Cela signifie qu’ils disposent des composants logiciels ou matériels nécessaires pour gérer l’encapsulation et la décapsulation VXLAN.

Identifiant de réseau VXLAN (VNI)

Un VNI unique est attribué au réseau virtuel. Disons que le VNI de ce réseau est 1001.

Encapsulation

VM1, qui réside sur l’hôte 1, souhaite communiquer avec VM3, qui se trouve sur l’hôte 2.

Lorsque VM1 envoie un paquet à VM3, il est encapsulé avec un en-tête VXLAN.

L’en-tête VXLAN comprend les adresses VTEP source et destination (adresses IP de l’hôte 1 et de l’hôte 2) et le VNI (1001).

Réseau IP sous-jacent

Le paquet encapsulé est transmis sur le réseau IP sous-jacent – il peut s’agir d’IPv4 ou d’IPv6. Le réseau IP sert d’infrastructure de transport pour les paquets VXLAN.

Décapsulation

À la réception du paquet, le VTEP de l’hôte 2 décapsule l’en-tête VXLAN, ce qui révèle la trame Ethernet de couche 2 d’origine.

Livraison à VM3

Après la décapsulation, le VTEP transmet la trame Ethernet de couche 2 au VM3 de l’hôte 2.

VM1 sur l’hôte 1 peut communiquer avec VM3 sur l’hôte 2 comme s’ils étaient connectés au même réseau Ethernet de couche 2, même s’ils sont situés sur des hôtes physiques différents.

VXLAN permet cette communication en encapsulant et en tunnelant le trafic de la couche 2 sur les réseaux de la couche 3, ce qui permet d’étendre la connectivité de la couche 2 au-delà des limites du réseau.

Avantages du VLAN

Contrôle de la diffusion

Le trafic de diffusion est contenu dans chaque VLAN, ce qui réduit la taille globale du domaine de diffusion et atténue l’impact du trafic susceptible de dégrader les performances du réseau.

Sécurité

Le VLAN permet d’isoler le réseau et d’améliorer la sécurité en séparant les différents groupes d’utilisateurs ou d’appareils dans des domaines de diffusion distincts. Cet isolement limite la portée des failles de sécurité potentielles ou des accès non autorisés, ce qui améliore la sécurité globale du réseau.

Qualité de service (QoS)

Les VLAN peuvent être utilisés pour mettre en œuvre des mécanismes de qualité de service qui permettent aux administrateurs de réseau de donner la priorité à certains types de trafic ou d’appliquer des politiques spécifiques.
Ils peuvent fixer la limite de l’application qui doit bénéficier d’une large bande passante.

Gestion simplifiée du réseau

Simplifie la gestion du réseau en divisant logiquement un grand réseau physique en réseaux virtuels plus petits. Cette segmentation permet d’organiser les appareils et de simplifier les tâches d’administration du réseau.

Avantages de VXLAN

Évolutivité

VXLAN répond aux limites des VLAN traditionnels en permettant de créer jusqu’à 16 millions de réseaux virtuels, alors que les VLAN sont limités à 4 096. Cette évolutivité est obtenue grâce à l’identificateur de réseau VXLAN (VNI) de 24 bits.

Segmentation du réseau

VXLAN permet une segmentation efficace du réseau en encapsulant les trames Ethernet de couche 2 dans des paquets UDP. Cela permet de créer des réseaux virtuels isolés qui peuvent s’étendre au-delà des frontières physiques, comme les centres de données ou les environnements en nuage.

Multi-tenance

Il prend en charge le modèle multi-tenant, qui permet à différentes organisations de partager la même infrastructure physique tout en conservant leurs propres réseaux virtuels isolés.

Extension de la couche 2 sur les réseaux de la couche 3

VXLAN facilite l’extension de la connectivité de la couche 2 sur les réseaux de la couche 3.

Ceci est important pour la construction de centres de données géographiquement distribués et permet la mobilité des machines virtuelles sur différents sites sans avoir recours à des technologies complexes d’extension de la couche 2 telles que Virtual Private LAN Service (VPLS).

Tableau de comparaison

Voici un tableau comparatif entre VXLAN et VLAN.

Fonctionnalités	VXLAN	VLAN
Encapsulation	Utilise UDP pour l’encapsulation et le transport des paquets	Pas d’encapsulation – repose sur le marquage 802.1Q
Évolutivité	Prend en charge jusqu’à 16 millions de réseaux virtuels	Limité à 4 096 VLAN
Isolation des réseaux	Permet d’isoler les réseaux de la couche 2 à travers les frontières de la couche 3	Isolation au sein d’un réseau de couche 2
Gestion du trafic de diffusion	Utilise la réplication basée sur le multicast ou l’unicast pour optimiser le trafic de diffusion	Le trafic de diffusion est propagé à tous les ports du VLAN
Couverture de plusieurs sites	Permet d’étendre les réseaux de couche 2 à des sites géographiquement dispersés	Limité à un seul domaine de diffusion
Gestion	Nécessite une passerelle VXLAN pour interconnecter les réseaux virtuels et physiques	Peut être géré par des commutateurs compatibles avec le VLAN

La mise en œuvre correcte de VXLAN nécessite des dispositifs compatibles VXLAN qui prennent en charge les protocoles et les techniques d’encapsulation nécessaires.

Les réseaux VXLAN peuvent être créés et gérés à l’aide de ces dispositifs.

D’autre part, les VLAN sont plus largement utilisés et plus simples à mettre en œuvre dans les infrastructures de réseau actuelles, car la majorité des équipements de réseau les prennent en charge sans nécessiter de matériel supplémentaire ou de support spécialisé.

Cas d’utilisation des VLAN

Virtualisation des serveurs

Les VLAN permettent une gestion efficace du réseau en fournissant une isolation entre les machines virtuelles résidant sur le même serveur physique dans les environnements virtualisés.

Centres de données

Utilisés dans les fermes de serveurs et les centres de données pour gérer un grand nombre de serveurs. Ils permettent aux administrateurs de regrouper les serveurs en fonction de leur rôle ou de leur application.

Réseaux invités

Ils créent des réseaux séparés pour les visiteurs dans des environnements tels que les hôtels ou les bureaux d’entreprise, qui peuvent fournir un accès à l’internet aux visiteurs tout en les isolant du réseau interne de l’organisation.

Réseaux privés virtuels

Les VLAN sont utilisés conjointement avec les VPN pour créer des connexions sécurisées entre des sites géographiquement dispersés. Les organisations peuvent étendre leur réseau privé à plusieurs sites tout en maintenant une séparation logique.

Tests et développement

Fournissez un environnement isolé à des fins de test et de développement. Les développeurs peuvent créer des VLAN dédiés au test de nouvelles applications ou de nouveaux services sans affecter le réseau de production.

Cas d’utilisation de VXLAN

Interconnexion de centres de données

VXLAN est utilisé pour interconnecter plusieurs centres de données sur un réseau étendu. Il étend la connectivité de couche 2 entre les centres de données, ce qui permet de migrer les machines virtuelles et les charges de travail entre les sites tout en conservant leur configuration réseau.

Infrastructure en nuage

Elle est couramment utilisée dans les environnements en nuage afin de fournir une virtualisation du réseau pour les services et les applications en nuage. Il permet une distribution efficace de la charge de travail dans l’infrastructure en nuage.

Réseaux superposés

VXLAN sert de base aux réseaux superposés qui permettent aux ingénieurs réseau d’allouer dynamiquement les ressources et de s’adapter à l’évolution de la charge de travail.

Reprise après sinistre

Utilisé dans les scénarios de reprise après sinistre pour fournir une connectivité réseau et un basculement (mode opérationnel de secours) entre les centres de données primaires et secondaires.

Site de l’auteur Note✍️

Le choix entre VXLAN et VLAN dépend des besoins spécifiques de votre infrastructure réseau. Les deux technologies présentent des avantages et des considérations qu’il convient de prendre en compte.

Si vous avez besoin d’une solution évolutive capable de gérer un grand nombre de machines virtuelles ou de segments de réseau, VXLAN est le choix recommandé. Il offre un espace d’adressage plus large et permet une mobilité plus aisée de la charge de travail.

Si votre réseau est plus petit et que vos exigences sont plus simples, le VLAN peut être la meilleure option. Les VLAN sont bien établis et largement pris en charge par la plupart des équipements de réseau. Ils sont faciles à configurer et à gérer.

J’espère que cet article vous a aidé à comprendre la différence entre VXLAN et VLAN. Vous pourriez également être intéressé par le contrôle d’accès au réseau et la manière de le mettre en œuvre.

Ashlin Jenifa
Contributeur
- LinkedIn
Bonjour, je m’appelle Ashlin et je suis rédactrice technique senior. Je travaille dans ce secteur depuis un certain temps et je suis spécialisée dans la rédaction de documents sur toutes sortes de sujets technologiques intéressants, tels que Linux, les réseaux, la sécurité, les outils de développement, l’analyse de données et l’informatique en nuage (cloud computing). J’ai eu le plaisir de travailler avec diverses entreprises tout au long de ma carrière, en les aidant à créer une documentation technique à la fois informative et attrayante. Lorsque je ne suis pas occupé à écrire, j’aime sortir dans la nature et faire de la randonnée. Je suis également un chef en herbe et j’adore expérimenter de nouvelles recettes dans la cuisine 😂. Mais avant tout, j’aime passer du temps avec ma famille.