Pour aborder les passerelles VXLAN, il faut d'abord aborder le VXLAN lui-même. Rappelons que les VLAN (Virtual Local Area Networks) traditionnels utilisent des identifiants de VLAN 12 bits pour diviser les réseaux, prenant en charge jusqu'à 4 096 réseaux logiques. Cela fonctionne bien pour les petits réseaux, mais dans les centres de données modernes, avec leurs milliers de machines virtuelles, de conteneurs et d'environnements mutualisés, les VLAN sont insuffisants. C'est ainsi que le VXLAN est né, défini par l'Internet Engineering Task Force (IETF) dans la RFC 7348. Son objectif est d'étendre le domaine de diffusion de couche 2 (Ethernet) aux réseaux de couche 3 (IP) grâce à des tunnels UDP.
En termes simples, VXLAN encapsule les trames Ethernet dans des paquets UDP et ajoute un identifiant réseau VXLAN (VNI) 24 bits, prenant théoriquement en charge 16 millions de réseaux virtuels. Cela revient à attribuer à chaque réseau virtuel une « carte d'identité », leur permettant de se déplacer librement sur le réseau physique sans interférence. Le composant principal de VXLAN est le point d'extrémité du tunnel VXLAN (VTEP), responsable de l'encapsulation et de la désencapsulation des paquets. Le VTEP peut être logiciel (comme Open vSwitch) ou matériel (comme la puce ASIC du commutateur).
Pourquoi VXLAN est-il si populaire ? Parce qu'il répond parfaitement aux besoins du cloud computing et du SDN (Software-Defined Networking). Dans les clouds publics comme AWS et Azure, VXLAN permet une extension transparente des réseaux virtuels des locataires. Dans les centres de données privés, il prend en charge les architectures réseau superposées comme VMware NSX ou Cisco ACI. Imaginez un centre de données avec des milliers de serveurs, chacun exécutant des dizaines de machines virtuelles (VM). VXLAN permet à ces machines virtuelles de se percevoir comme faisant partie du même réseau de couche 2, assurant ainsi une transmission fluide des diffusions ARP et des requêtes DHCP.
Cependant, VXLAN n'est pas la solution miracle. L'exploitation d'un réseau L3 nécessite une conversion L2 vers L3, d'où l'intervention de la passerelle. La passerelle VXLAN connecte le réseau virtuel VXLAN aux réseaux externes (tels que les VLAN traditionnels ou les réseaux de routage IP), assurant ainsi la circulation des données du monde virtuel vers le monde réel. Le mécanisme de transfert est le cœur de la passerelle, déterminant le traitement, le routage et la distribution des paquets.
Le processus de transfert VXLAN est un ballet délicat, chaque étape étant étroitement liée, de la source à la destination. Détaillons-le étape par étape.
Tout d'abord, un paquet est envoyé depuis l'hôte source (par exemple, une machine virtuelle). Il s'agit d'une trame Ethernet standard contenant l'adresse MAC source, l'adresse MAC de destination, l'étiquette VLAN (le cas échéant) et la charge utile. À la réception de cette trame, le VTEP source vérifie l'adresse MAC de destination. Si l'adresse MAC de destination figure dans sa table MAC (obtenue par apprentissage ou par saturation), il sait à quel VTEP distant transférer le paquet.
Le processus d'encapsulation est crucial : le VTEP ajoute un en-tête VXLAN (comprenant le VNI, les indicateurs, etc.), puis un en-tête UDP externe (avec un port source basé sur le hachage de la trame interne et un port de destination fixe de 4789), un en-tête IP (avec l'adresse IP source du VTEP local et l'adresse IP de destination du VTEP distant), et enfin un en-tête Ethernet externe. Le paquet entier apparaît alors comme un paquet UDP/IP, comme du trafic normal, et peut être routé sur le réseau L3.
Sur le réseau physique, le paquet est transmis par un routeur ou un commutateur jusqu'à ce qu'il atteigne le VTEP de destination. Ce dernier supprime l'en-tête externe, vérifie l'en-tête VXLAN pour s'assurer de la correspondance du VNI, puis transmet la trame Ethernet interne à l'hôte de destination. Si le paquet est un trafic BUM (unicast, broadcast ou multicast) inconnu, le VTEP le réplique sur tous les VTEP concernés par inondation, en s'appuyant sur des groupes multicast ou la réplication d'en-tête unicast (HER).
Le principe de transfert repose sur la séparation du plan de contrôle et du plan de données. Le plan de contrôle utilise le VPN Ethernet (EVPN) ou le mécanisme Flood and Learn pour apprendre les correspondances MAC et IP. EVPN repose sur le protocole BGP et permet aux VTEP d'échanger des informations de routage, telles que MAC-VRF (routage et transfert virtuels) et IP-VRF. Le plan de données est responsable du transfert proprement dit, utilisant des tunnels VXLAN pour une transmission efficace.
Cependant, dans les déploiements réels, l'efficacité du transfert a un impact direct sur les performances. Les inondations classiques peuvent facilement provoquer des tempêtes de diffusion, en particulier sur les grands réseaux. D'où la nécessité d'optimiser les passerelles : celles-ci connectent non seulement les réseaux internes et externes, mais agissent également comme agents proxy ARP, gèrent les fuites de route et garantissent les chemins de transfert les plus courts.
Passerelle VXLAN centralisée
Une passerelle VXLAN centralisée, également appelée passerelle centralisée ou passerelle L3, est généralement déployée en périphérie ou en cœur de réseau d'un centre de données. Elle fait office de hub central par lequel transite tout le trafic inter-VNI ou inter-sous-réseaux.
En principe, une passerelle centralisée agit comme passerelle par défaut et fournit des services de routage de couche 3 pour tous les réseaux VXLAN. Prenons deux VNI : VNI 10000 (sous-réseau 10.1.1.0/24) et VNI 20000 (sous-réseau 10.2.1.0/24). Si la VM A du VNI 10000 souhaite accéder à la VM B du VNI 20000, le paquet atteint d'abord le VTEP local. Ce dernier détecte que l'adresse IP de destination ne se trouve pas sur le sous-réseau local et la transmet à la passerelle centralisée. La passerelle désencapsule le paquet, prend une décision de routage, puis le réencapsule dans un tunnel vers le VNI de destination.
Les avantages sont évidents :
○ Gestion simpleToutes les configurations de routage sont centralisées sur un ou deux équipements, ce qui permet aux opérateurs de ne gérer que quelques passerelles pour couvrir l'ensemble du réseau. Cette approche est adaptée aux centres de données de petite et moyenne taille ou aux environnements déployant VXLAN pour la première fois.
○Efficacité des ressourcesLes passerelles sont généralement des équipements hautes performances (comme le Cisco Nexus 9000 ou l'Arista 7050) capables de gérer des volumes de trafic importants. Le plan de contrôle est centralisé, ce qui facilite l'intégration avec les contrôleurs SDN tels que NSX Manager.
○Contrôle de sécurité renforcéLe trafic doit transiter par la passerelle, ce qui facilite la mise en œuvre des listes de contrôle d'accès (ACL), des pare-feu et de la traduction d'adresses réseau (NAT). Imaginez un scénario multi-locataire où une passerelle centralisée peut facilement isoler le trafic des locataires.
Mais les lacunes ne peuvent être ignorées :
○ Point de défaillance uniqueEn cas de défaillance de la passerelle, la communication L3 sur l'ensemble du réseau est paralysée. Bien que le protocole VRRP (Virtual Router Redundancy Protocol) puisse être utilisé pour la redondance, il comporte néanmoins des risques.
○Goulot d'étranglement des performancesTout le trafic est-ouest (communication entre serveurs) doit contourner la passerelle, ce qui crée un chemin sous-optimal. Par exemple, dans un cluster de 1 000 nœuds, si la bande passante de la passerelle est de 100 Gbit/s, une congestion est susceptible de se produire aux heures de pointe.
○Faible évolutivitéÀ mesure que l'échelle du réseau augmente, la charge de la passerelle augmente de façon exponentielle. Dans un exemple concret, j'ai vu un centre de données financier utiliser une passerelle centralisée. Initialement, tout fonctionnait parfaitement, mais après que le nombre de machines virtuelles a doublé, la latence a explosé, passant de quelques microsecondes à quelques millisecondes.
Scénario d'application : Convient aux environnements exigeant une gestion simplifiée, tels que les clouds privés d'entreprise ou les réseaux de test. L'architecture ACI de Cisco utilise souvent un modèle centralisé, associé à une topologie feuille-spine, pour garantir le bon fonctionnement des passerelles principales.
Passerelle VXLAN distribuée
Une passerelle VXLAN distribuée, également appelée passerelle distribuée ou passerelle anycast, décharge les fonctionnalités de passerelle sur chaque commutateur feuille ou hyperviseur VTEP. Chaque VTEP agit comme une passerelle locale, gérant le transfert L3 pour le sous-réseau local.
Le principe est plus flexible : chaque VTEP est configuré avec la même adresse IP virtuelle (VIP) que la passerelle par défaut, grâce au mécanisme Anycast. Les paquets inter-sous-réseaux envoyés par les machines virtuelles sont routés directement sur le VTEP local, sans passer par un point central. L'EVPN est particulièrement utile ici : grâce à BGP EVPN, le VTEP apprend les routes des hôtes distants et utilise la liaison MAC/IP pour éviter les inondations ARP.
Par exemple, la VM A (10.1.1.10) souhaite accéder à la VM B (10.2.1.10). La passerelle par défaut de la VM A est l'adresse IP virtuelle du VTEP local (10.1.1.1). Le VTEP local achemine le trafic vers le sous-réseau de destination, encapsule le paquet VXLAN et l'envoie directement au VTEP de la VM B. Ce processus minimise le chemin et la latence.
Avantages exceptionnels :
○ Haute évolutivitéLa distribution des fonctionnalités de passerelle à chaque nœud augmente la taille du réseau, ce qui est avantageux pour les réseaux de grande taille. Les grands fournisseurs de cloud comme Google Cloud utilisent un mécanisme similaire pour prendre en charge des millions de machines virtuelles.
○Performances supérieuresLe trafic est-ouest est traité localement pour éviter les goulots d'étranglement. Les données de test montrent que le débit peut augmenter de 30 à 50 % en mode distribué.
○Récupération rapide des pannesUne seule panne VTEP affecte uniquement l'hôte local, laissant les autres nœuds intacts. Grâce à la convergence rapide d'EVPN, le temps de récupération est de quelques secondes.
○Bonne utilisation des ressourcesUtilisez la puce ASIC du commutateur Leaf existante pour l'accélération matérielle, avec des débits de transfert atteignant le niveau Tbps.
Quels sont les inconvénients ?
○ Configuration complexeChaque VTEP nécessite la configuration du routage, de l'EVPN et d'autres fonctionnalités, ce qui rend le déploiement initial chronophage. L'équipe d'exploitation doit maîtriser BGP et SDN.
○Exigences matérielles élevéesPasserelle distribuée : tous les commutateurs ne prennent pas en charge les passerelles distribuées ; des puces Broadcom Trident ou Tomahawk sont requises. Les implémentations logicielles (comme OVS sur KVM) sont moins performantes que les implémentations matérielles.
○Défis de cohérenceDistribué signifie que la synchronisation d'état repose sur EVPN. Toute fluctuation de la session BGP peut entraîner un trou noir de routage.
Scénario d'application : Idéal pour les centres de données hyperscale ou les clouds publics. Le routeur distribué de VMware NSX-T en est un exemple typique. Associé à Kubernetes, il prend en charge de manière transparente la mise en réseau de conteneurs.
Passerelle VxLAN centralisée vs. passerelle VxLAN distribuée
Passons maintenant au point crucial : lequel est le meilleur ? La réponse est « ça dépend », mais nous devons analyser en profondeur les données et les études de cas pour vous convaincre.
Du point de vue des performances, les systèmes distribués sont nettement plus performants. Lors d'un benchmark de centre de données classique (basé sur les équipements de test Spirent), la latence moyenne d'une passerelle centralisée était de 150 μs, contre seulement 50 μs pour un système distribué. En termes de débit, les systèmes distribués peuvent facilement assurer un transfert à débit linéaire grâce à leur routage ECMP (Spine-Leaf Equal Cost Multi-Path).
L'évolutivité est un autre enjeu. Les réseaux centralisés conviennent aux réseaux de 100 à 500 nœuds ; au-delà, les réseaux distribués prennent le dessus. Prenons l'exemple d'Alibaba Cloud. Son VPC (Virtual Private Cloud) utilise des passerelles VXLAN distribuées pour prendre en charge des millions d'utilisateurs dans le monde, avec une latence régionale inférieure à 1 ms. Une approche centralisée aurait échoué depuis longtemps.
Qu'en est-il des coûts ? Une solution centralisée offre un investissement initial moindre et ne nécessite que quelques passerelles haut de gamme. Une solution distribuée nécessite que tous les nœuds terminaux prennent en charge le déchargement VXLAN, ce qui entraîne des coûts de mise à niveau matérielle plus élevés. Cependant, à long terme, une solution distribuée offre des coûts d'exploitation et de maintenance plus faibles, car des outils d'automatisation comme Ansible permettent la configuration par lots.
Sécurité et fiabilité : Les systèmes centralisés facilitent la protection centralisée, mais présentent un risque élevé d'attaques ponctuelles. Les systèmes distribués sont plus résilients, mais nécessitent un plan de contrôle robuste pour prévenir les attaques DDoS.
Étude de cas concrète : une entreprise de e-commerce a utilisé un VXLAN centralisé pour développer son site. Aux heures de pointe, l'utilisation du processeur de la passerelle a atteint 90 %, ce qui a suscité des plaintes des utilisateurs concernant la latence. Le passage à un modèle distribué a résolu le problème et a permis à l'entreprise de doubler facilement sa taille. À l'inverse, une petite banque a insisté sur un modèle centralisé, car elle privilégiait les audits de conformité et trouvait la gestion centralisée plus simple.
En général, si vous recherchez des performances réseau et une évolutivité extrêmes, une approche distribuée est la solution idéale. Si votre budget est limité et que votre équipe de direction manque d'expérience, une approche centralisée est plus pratique. À l'avenir, avec l'essor de la 5G et de l'edge computing, les réseaux distribués gagneront en popularité, mais les réseaux centralisés resteront précieux dans des scénarios spécifiques, comme l'interconnexion des succursales.
Courtiers de paquets réseau Mylinking™prise en charge du dénudage d'en-tête VxLAN, VLAN, GRE et MPLS
Prise en charge de l'en-tête VxLAN, VLAN, GRE, MPLS supprimé dans le paquet de données d'origine et sortie transmise.
Date de publication : 09/10/2025
