La segmentation du réseau est un pilier fondamental pour l’administration et la protection des infrastructures informatiques contemporaines.
Deux technologies émergent comme des solutions clés pour une segmentation efficace : VXLAN et VLAN.
Examinons ensemble les particularités de VXLAN et VLAN, et comment elles peuvent structurer votre architecture réseau.
Qu’est-ce qu’un VLAN ?
Source de l’image : Wikipédia
VLAN, acronyme de Virtual Local Area Network, désigne un réseau local virtuel.
Il s’agit d’une technique employée dans les réseaux informatiques pour fragmenter un réseau physique unique en plusieurs réseaux logiques distincts.
Prenons un exemple pour clarifier ce concept.
Imaginez que vous travaillez dans un grand complexe de bureaux abritant divers services : ingénierie, marketing et comptabilité.
Chaque service dispose de son propre ensemble d’ordinateurs, d’imprimantes et d’autres équipements réseau.
Cependant, l’ensemble du complexe de bureaux repose sur une seule et unique infrastructure de réseau physique.
Sans l’utilisation de VLAN, tous les appareils du complexe feraient partie d’un unique domaine de diffusion, ce qui signifie qu’ils recevraient l’intégralité du trafic réseau. Cela pourrait engendrer des problèmes de sécurité et une gestion inefficace du trafic.
Les VLAN sont mis en œuvre pour pallier ces difficultés. Chaque VLAN fonctionne comme un domaine de diffusion séparé, permettant une gestion améliorée et une performance accrue du réseau.
Source de l’image – partage de fibre optique
Supposons que vous créez trois VLAN correspondant aux différents services :
VLAN 1 : ingénierie
VLAN 2 : marketing
VLAN 3 : comptabilité
Lorsqu’un ordinateur ou tout autre périphérique est connecté au réseau, il est affecté à l’un de ces VLAN.
Par exemple, tous les ordinateurs et équipements du service d’ingénierie sont affectés au VLAN 1.
Si un ordinateur du service d’ingénierie souhaite envoyer un message à un autre ordinateur au sein du même VLAN, ce message restera confiné au VLAN 1 et ne sera pas transmis aux appareils des autres VLAN, tels que ceux du marketing ou de la comptabilité.
Cette segmentation assure que les informations sensibles ne soient accessibles qu’aux équipements autorisés au sein du même VLAN.
Qu’est-ce que le VXLAN ?
VXLAN signifie Virtual Extensible LAN.
C’est une technologie de virtualisation de réseau employée pour étendre les segments de réseau de couche 2 (couche de liaison de données) via un réseau IP. Elle a été introduite pour répondre aux limites des VLAN traditionnels dans les environnements de centres de données à grande échelle.
Source de l’image – partage de fibre optique
Elle est fréquemment utilisée dans les centres de données et les environnements cloud pour instaurer des superpositions de réseau logiques pouvant traverser plusieurs segments de réseau physique.
VXLAN encapsule des trames Ethernet de couche 2 dans des paquets UDP de couche 3, leur permettant ainsi d’être transmis sur un réseau IP.
Comment fonctionne VXLAN ?
Imaginez un grand centre de données avec plusieurs serveurs physiques et des machines virtuelles (VM) fonctionnant sur ces serveurs.
Dans un réseau VLAN traditionnel, chaque machine virtuelle serait affectée à un VLAN spécifique. La communication entre les machines virtuelles de différents VLAN nécessiterait un routage au niveau de la couche 3.
Cette approche peut devenir complexe et souffrir de problèmes d’évolutivité en raison du nombre limité d’identifiants de VLAN disponibles.
Source de l’image – juniper.net
Considérons un scénario pour comprendre le fonctionnement de VXLAN.
Il y a deux hôtes physiques. Sur l’hôte 1, se trouvent VM1 et VM2, et sur l’hôte 2, VM3 et VM4.
Supposons que l’hôte 1 et l’hôte 2 fassent partie d’un réseau compatible VXLAN, et que VM1 souhaite communiquer avec VM3.
Configuration VXLAN
L’hôte 1 et l’hôte 2 sont configurés comme des points d’extrémité de tunnel VXLAN (VTEP). Cela signifie qu’ils disposent des composants logiciels ou matériels nécessaires pour gérer l’encapsulation et la désencapsulation VXLAN.
Identifiant de réseau VXLAN (VNI)
Un VNI unique est attribué au réseau virtuel. Supposons que le VNI pour ce réseau soit 1001.
Encapsulation
VM1, résidant sur l’hôte 1, veut communiquer avec VM3, qui se trouve sur l’hôte 2.
Lorsque VM1 envoie un paquet à VM3, celui-ci est encapsulé avec un en-tête VXLAN.
L’en-tête VXLAN comprend les adresses VTEP source et de destination (adresses IP de l’hôte 1 et de l’hôte 2) et le VNI (1001).
Réseau IP sous-jacent
Le paquet encapsulé est transmis sur le réseau IP sous-jacent, qui peut être IPv4 ou IPv6. Le réseau IP sert d’infrastructure de transport pour les paquets VXLAN.
Désencapsulation
Lors de la réception du paquet, le VTEP de l’hôte 2 retire l’en-tête VXLAN, révélant ainsi la trame Ethernet de couche 2 d’origine.
Livraison à VM3
Après désencapsulation, le VTEP fournit la trame Ethernet de couche 2 à VM3 sur l’hôte 2.
VM1 sur l’hôte 1 peut communiquer avec VM3 sur l’hôte 2 comme si elles étaient connectées au même réseau Ethernet de couche 2, même si elles se trouvent sur des hôtes physiques différents.
VXLAN permet cette communication en encapsulant et en tunnelisant le trafic de couche 2 sur des réseaux de couche 3, permettant ainsi l’extension de la connectivité de couche 2 au-delà des limites du réseau.
Avantages du VLAN
Contrôle de diffusion
Le trafic de diffusion est confiné à l’intérieur de chaque VLAN, réduisant la taille globale du domaine de diffusion et limitant l’impact du trafic pouvant dégrader les performances du réseau.
Sécurité
Il permet l’isolement du réseau et renforce la sécurité en séparant différents groupes d’utilisateurs ou d’appareils dans des domaines de diffusion distincts. Cet isolement limite la portée des failles de sécurité potentielles ou des accès non autorisés, améliorant ainsi la sécurité globale du réseau.
Qualité de service (QoS)
Les VLAN peuvent être utilisés pour implémenter des mécanismes de qualité de service, permettant aux administrateurs réseau de prioriser certains types de trafic ou d’appliquer des politiques spécifiques. Ils peuvent définir une limite de bande passante élevée pour une application particulière.
Gestion de réseau simplifiée
Simplifie la gestion du réseau en divisant logiquement un grand réseau physique en réseaux virtuels plus petits. Cette segmentation aide à organiser les appareils et simplifie les tâches d’administration du réseau.
Avantages du VXLAN
Évolutivité
VXLAN surmonte les limites des VLAN traditionnels en permettant la création de jusqu’à 16 millions de réseaux virtuels, par rapport aux 4 096 VLAN limités. Cette évolutivité est rendue possible grâce à l’identifiant de réseau VXLAN (VNI) de 24 bits.
Segmentation du réseau
Il permet une segmentation efficace du réseau en encapsulant des trames Ethernet de couche 2 dans des paquets UDP. Cela permet la création de réseaux virtuels isolés qui peuvent s’étendre au-delà des frontières physiques, telles que les centres de données ou les environnements cloud.
Multi-locataires
Il prend en charge le modèle multi-tenant, permettant à différentes organisations de partager la même infrastructure physique tout en maintenant leurs propres réseaux virtuels isolés.
Extension de la couche 2 sur des réseaux de couche 3
VXLAN facilite l’extension de la connectivité de couche 2 sur les réseaux de couche 3.
Ceci est essentiel pour la construction de centres de données géographiquement distribués et permet la mobilité des machines virtuelles entre différents sites sans avoir besoin de technologies d’extension de couche 2 complexes, telles que le service de réseau local privé virtuel (VPLS).
Tableau de comparaison
Voici un tableau comparatif entre VXLAN et VLAN.
| Caractéristiques | VXLAN | VLAN |
| Encapsulation | Utilise UDP pour l’encapsulation et le transport des paquets | Pas d’encapsulation – repose sur le marquage 802.1Q |
| Évolutivité | Prend en charge jusqu’à 16 millions de réseaux virtuels | Limité à 4 096 VLAN |
| Isolation du réseau | Permet d’isoler les réseaux de couche 2 au-delà des limites de la couche 3 | Fournit une isolation au sein d’un réseau de couche 2 |
| Gestion du trafic de diffusion | Utilise la réplication basée sur la multidiffusion ou la monodiffusion pour optimiser le trafic de diffusion | Le trafic de diffusion est propagé à tous les ports du VLAN |
| Extension sur plusieurs sites | Permet l’extension des réseaux de couche 2 sur des emplacements géographiquement dispersés | Limité à un seul domaine de diffusion |
| Gestion | Nécessite une passerelle VXLAN pour interconnecter les réseaux virtuels et physiques | Peut être géré via des commutateurs compatibles VLAN |
Une mise en œuvre correcte de VXLAN requiert des périphériques compatibles VXLAN qui prennent en charge les protocoles et techniques d’encapsulation nécessaires.
Les réseaux VXLAN peuvent être créés et administrés à l’aide de ces appareils.
D’autre part, les VLAN sont plus largement utilisés et simples à mettre en œuvre dans les infrastructures réseau actuelles car la majorité des périphériques réseau les prennent en charge sans nécessiter de matériel supplémentaire ou de support spécialisé.
Cas d’utilisation du VLAN
Virtualisation de serveur
Les VLAN permettent une gestion efficace du réseau en assurant une isolation entre les machines virtuelles résidant sur le même serveur physique dans des environnements virtualisés.
Centres de données
Utilisé dans les fermes de serveurs et les centres de données pour administrer un grand nombre de serveurs. Il permet aux administrateurs de regrouper les serveurs en fonction de leur rôle ou de leur application.
Réseaux invités
Ils créent des réseaux d’invités séparés dans des environnements tels que des hôtels ou des bureaux d’entreprise, qui peuvent offrir un accès Internet aux visiteurs tout en les gardant isolés du réseau interne de l’organisation.
Réseaux privés virtuels
Les VLAN sont associés aux VPN pour établir des connexions sécurisées entre des sites géographiquement dispersés. Les organisations peuvent étendre leur réseau privé sur plusieurs sites tout en maintenant une séparation logique.
Test et développement
Fournissent un environnement isolé à des fins de test et de développement. Les développeurs peuvent créer des VLAN dédiés au test de nouvelles applications ou de nouveaux services sans affecter le réseau de production.
Cas d’utilisation de VXLAN
Interconnexion de centres de données
VXLAN est employé pour interconnecter plusieurs centres de données via un WAN. Il étend la connectivité de couche 2 entre les centres de données, permettant aux machines virtuelles et aux charges de travail d’être migrées entre les sites tout en conservant leur configuration réseau.
Infrastructure infonuagique
Il est couramment utilisé dans les environnements cloud pour fournir une virtualisation de réseau pour les services et applications basés sur le cloud. Il permet une répartition efficace de la charge de travail sur l’infrastructure cloud.
Réseaux superposés
VXLAN sert de fondation pour les réseaux superposés, permettant aux ingénieurs réseau d’allouer dynamiquement des ressources et de s’adapter à l’évolution des demandes de charge de travail.
Reprise après sinistre
Employé dans les scénarios de reprise après sinistre pour assurer une connectivité réseau et un basculement (mode opérationnel de sauvegarde) entre les centres de données principaux et secondaires.
Note de l’auteur✍️
Le choix entre VXLAN et VLAN dépend des exigences spécifiques de votre infrastructure réseau. Chaque technologie a ses avantages et ses considérations qui doivent être prises en compte.
Si vous avez besoin d’une solution évolutive capable de gérer un grand nombre de machines virtuelles ou de segments de réseau, VXLAN est le choix recommandé. Il offre un plus grand espace d’adressage et facilite la mobilité de la charge de travail.
Si votre réseau a une échelle plus modeste et des besoins plus simples, le VLAN peut être la meilleure option. Les VLAN sont bien établis et largement pris en charge par la plupart des équipements réseau. Ils sont simples à configurer et à administrer.
J’espère que cet article vous a éclairé sur la différence entre VXLAN et VLAN. Vous pourriez également être intéressé à en savoir plus sur le contrôle d’accès au réseau et comment l’implémenter.