Pour aborder les passerelles VXLAN, il est essentiel de comprendre le concept de VXLAN. Rappelons que les VLAN traditionnels (réseaux locaux virtuels) utilisent des identifiants VLAN de 12 bits pour segmenter les réseaux, prenant en charge jusqu'à 4 096 réseaux logiques. Si cette solution convient aux petits réseaux, elle s'avère insuffisante dans les centres de données modernes, avec leurs milliers de machines virtuelles, conteneurs et environnements mutualisés. C'est là qu'est né VXLAN, défini par l'IETF (Internet Engineering Task Force) dans la RFC 7348. Son objectif est d'étendre le domaine de diffusion de la couche 2 (Ethernet) aux réseaux de couche 3 (IP) via des tunnels UDP.
En résumé, VXLAN encapsule les trames Ethernet dans des paquets UDP et y ajoute un identifiant de réseau VXLAN (VNI) de 24 bits, prenant théoriquement en charge 16 millions de réseaux virtuels. C'est comme attribuer à chaque réseau virtuel une « carte d'identité », leur permettant de circuler librement sur le réseau physique sans interférence. Le composant principal de VXLAN est le point de terminaison de tunnel VXLAN (VTEP), responsable de l'encapsulation et de la désencapsulation des paquets. Le VTEP peut être logiciel (comme Open vSwitch) ou matériel (comme la puce ASIC du commutateur).
Pourquoi VXLAN est-il si populaire ? Parce qu’il répond parfaitement aux besoins du cloud computing et des réseaux SDN (Software-Defined Networking). Dans les clouds publics comme AWS et Azure, VXLAN permet une extension transparente des réseaux virtuels des clients. Dans les datacenters privés, il prend en charge les architectures de réseau superposées telles que VMware NSX ou Cisco ACI. Imaginez un datacenter avec des milliers de serveurs, chacun exécutant des dizaines de machines virtuelles (VM). VXLAN permet à ces VM de se percevoir comme faisant partie du même réseau de couche 2, garantissant ainsi une transmission fluide des diffusions ARP et des requêtes DHCP.
Cependant, VXLAN n'est pas une solution miracle. L'exploitation d'un réseau de couche 3 nécessite une conversion de couche 2 vers couche 3, d'où l'intervention de la passerelle. La passerelle VXLAN connecte le réseau virtuel VXLAN aux réseaux externes (tels que les VLAN traditionnels ou les réseaux de routage IP), garantissant ainsi la circulation des données entre le monde virtuel et le monde réel. Le mécanisme de transfert est le cœur même de la passerelle ; il détermine le traitement, le routage et la distribution des paquets.
Le processus de transfert VXLAN s'apparente à un ballet délicat, chaque étape, de la source à la destination, étant étroitement liée. Analysons-le étape par étape.
Tout d'abord, un paquet est envoyé depuis l'hôte source (par exemple, une machine virtuelle). Il s'agit d'une trame Ethernet standard contenant l'adresse MAC source, l'adresse MAC de destination, l'étiquette VLAN (le cas échéant) et la charge utile. À la réception de cette trame, le VTEP source vérifie l'adresse MAC de destination. Si cette adresse figure dans sa table MAC (obtenue par apprentissage ou diffusion), il sait vers quel VTEP distant acheminer le paquet.
Le processus d'encapsulation est crucial : le VTEP ajoute un en-tête VXLAN (comprenant le VNI, les indicateurs, etc.), puis un en-tête UDP externe (avec un port source basé sur le hachage de la trame interne et un port de destination fixe de 4789), un en-tête IP (avec l'adresse IP source du VTEP local et l'adresse IP de destination du VTEP distant), et enfin un en-tête Ethernet externe. Le paquet complet apparaît alors comme un paquet UDP/IP, ressemble à du trafic normal et peut être acheminé sur le réseau de couche 3.
Sur le réseau physique, le paquet est acheminé par un routeur ou un commutateur jusqu'au VTEP de destination. Ce dernier supprime l'en-tête externe, vérifie l'en-tête VXLAN pour s'assurer de la correspondance du VNI, puis transmet la trame Ethernet interne à l'hôte de destination. Si le paquet correspond à du trafic unicast, broadcast ou multicast inconnu (BUM), le VTEP le réplique auprès de tous les VTEP concernés par inondation, en s'appuyant sur les groupes multicast ou la réplication d'en-tête unicast (HER).
Le principe de base du routage repose sur la séparation du plan de contrôle et du plan de données. Le plan de contrôle utilise Ethernet VPN (EVPN) ou le mécanisme Flood and Learn pour apprendre les correspondances MAC et IP. EVPN est basé sur le protocole BGP et permet aux VTEP d'échanger des informations de routage, telles que MAC-VRF (Virtual Routing and Forwarding) et IP-VRF. Le plan de données assure le routage proprement dit, en utilisant des tunnels VXLAN pour une transmission efficace.
Cependant, en pratique, l'efficacité du routage influe directement sur les performances. Le flooding traditionnel peut facilement provoquer des tempêtes de diffusion, notamment sur les grands réseaux. D'où la nécessité d'optimiser les passerelles : celles-ci ne se contentent pas de connecter les réseaux internes et externes, mais font également office d'agents ARP proxy, gèrent les fuites de routes et garantissent les chemins de routage les plus courts.
Passerelle VXLAN centralisée
Une passerelle VXLAN centralisée, également appelée passerelle centralisée ou passerelle L3, est généralement déployée en périphérie ou au cœur d'un centre de données. Elle fait office de point de convergence central par lequel transite tout le trafic inter-VNI ou inter-sous-réseaux.
En principe, une passerelle centralisée fait office de passerelle par défaut, assurant le routage de couche 3 pour tous les réseaux VXLAN. Prenons l'exemple de deux VNI : VNI 10000 (sous-réseau 10.1.1.0/24) et VNI 20000 (sous-réseau 10.2.1.0/24). Si la VM A du VNI 10000 souhaite accéder à la VM B du VNI 20000, le paquet atteint d'abord le VTEP local. Ce dernier détecte que l'adresse IP de destination n'appartient pas au sous-réseau local et le transmet à la passerelle centralisée. Celle-ci désencapsule le paquet, détermine son itinéraire, puis le réencapsule dans un tunnel vers le VNI de destination.
Les avantages sont évidents :
○ Gestion simpleToutes les configurations de routage sont centralisées sur un ou deux équipements, ce qui permet aux opérateurs de n'avoir à gérer que quelques passerelles pour couvrir l'ensemble du réseau. Cette approche convient aux petits et moyens centres de données ou aux environnements déployant VXLAN pour la première fois.
○optimisation des ressourcesLes passerelles sont généralement des équipements hautes performances (comme le Cisco Nexus 9000 ou l'Arista 7050) capables de gérer des volumes de trafic importants. Le plan de contrôle est centralisé, ce qui facilite l'intégration avec des contrôleurs SDN tels que NSX Manager.
○Contrôle de sécurité renforcéLe trafic doit transiter par la passerelle, ce qui facilite la mise en œuvre des listes de contrôle d'accès (ACL), des pare-feu et de la traduction d'adresses réseau (NAT). Imaginez un scénario multi-locataires où une passerelle centralisée peut facilement isoler le trafic de chaque locataire.
Mais on ne peut ignorer ces lacunes :
○ Point de défaillance uniqueEn cas de défaillance de la passerelle, les communications de couche 3 sur l'ensemble du réseau sont interrompues. Bien que le protocole VRRP (Virtual Router Redundancy Protocol) puisse être utilisé pour assurer la redondance, il comporte néanmoins des risques.
○goulot d'étranglement des performancesTout le trafic est-ouest (communications entre serveurs) doit contourner la passerelle, ce qui engendre un chemin sous-optimal. Par exemple, dans un cluster de 1 000 nœuds, si la bande passante de la passerelle est de 100 Gbit/s, une congestion est probable aux heures de pointe.
○Faible évolutivitéÀ mesure que la taille du réseau augmente, la charge de la passerelle croît de façon exponentielle. Dans un cas concret, j'ai observé un centre de données financier utilisant une passerelle centralisée. Au départ, tout fonctionnait correctement, mais après le doublement du nombre de machines virtuelles, la latence est passée de microsecondes à millisecondes.
Scénario d'application : Convient aux environnements exigeant une grande simplicité de gestion, tels que les clouds privés d'entreprise ou les réseaux de test. L'architecture ACI de Cisco utilise souvent un modèle centralisé, associé à une topologie leaf-spine, pour garantir un fonctionnement efficace des passerelles centrales.
Passerelle VXLAN distribuée
Une passerelle VXLAN distribuée, également appelée passerelle distribuée ou passerelle anycast, décharge les fonctions de passerelle sur chaque commutateur de feuille ou VTEP d'hyperviseur. Chaque VTEP agit comme une passerelle locale, gérant le transfert de couche 3 pour le sous-réseau local.
Le principe est plus flexible : chaque VTEP est configuré avec la même adresse IP virtuelle (VIP) que la passerelle par défaut, grâce au mécanisme Anycast. Les paquets inter-sous-réseaux envoyés par les machines virtuelles sont acheminés directement sur le VTEP local, sans passer par un point central. EVPN est particulièrement utile ici : via BGP EVPN, le VTEP apprend les routes des hôtes distants et utilise la liaison MAC/IP pour éviter les inondations ARP.
Par exemple, la machine virtuelle A (10.1.1.10) souhaite accéder à la machine virtuelle B (10.2.1.10). La passerelle par défaut de la machine virtuelle A est l'adresse IP virtuelle (VIP) du VTEP local (10.1.1.1). Le VTEP local achemine le trafic vers le sous-réseau de destination, encapsule le paquet VXLAN et l'envoie directement au VTEP de la machine virtuelle B. Ce processus minimise la longueur du chemin et la latence.
Avantages exceptionnels :
○ Haute évolutivitéLa distribution des fonctionnalités de passerelle à chaque nœud augmente la taille du réseau, ce qui est avantageux pour les grands réseaux. Les principaux fournisseurs de cloud, comme Google Cloud, utilisent un mécanisme similaire pour prendre en charge des millions de machines virtuelles.
○Performances supérieuresLe trafic est-ouest est traité localement afin d'éviter les goulots d'étranglement. Les données de test montrent que le débit peut augmenter de 30 à 50 % en mode distribué.
○Dépannage rapideUne seule défaillance VTEP n'affecte que l'hôte local, laissant les autres nœuds intacts. Grâce à la convergence rapide d'EVPN, le temps de récupération se compte en secondes.
○Bonne utilisation des ressourcesUtiliser la puce ASIC du commutateur Leaf existant pour l'accélération matérielle, avec des débits de transfert atteignant le niveau Tbps.
Quels sont les inconvénients ?
○ Configuration complexeChaque VTEP nécessite la configuration du routage, de l'EVPN et d'autres fonctionnalités, ce qui rend le déploiement initial long. L'équipe d'exploitation doit maîtriser les protocoles BGP et SDN.
○exigences matérielles élevéesPasserelle distribuée : tous les commutateurs ne prennent pas en charge les passerelles distribuées ; des puces Broadcom Trident ou Tomahawk sont nécessaires. Les implémentations logicielles (telles que OVS sur KVM) sont moins performantes que les solutions matérielles.
○Défis liés à la cohérenceLe terme « distribué » signifie que la synchronisation d'état repose sur EVPN. Si la session BGP fluctue, cela peut provoquer une interruption de routage.
Scénario d'application : Idéal pour les centres de données hyperscale ou les clouds publics. Le routeur distribué de VMware NSX-T en est un exemple typique. Associé à Kubernetes, il prend en charge de manière transparente la mise en réseau des conteneurs.
Passerelle VxLAN centralisée vs. Passerelle VxLAN distribuée
Passons maintenant au point culminant : lequel est le meilleur ? La réponse est « cela dépend », mais nous devons analyser en profondeur les données et les études de cas pour vous en convaincre.
Du point de vue des performances, les systèmes distribués sont nettement supérieurs. Lors d'un test de performance typique en centre de données (réalisé avec l'équipement de test Spirent), la latence moyenne d'une passerelle centralisée était de 150 µs, contre seulement 50 µs pour un système distribué. En termes de débit, les systèmes distribués peuvent facilement atteindre le débit maximal grâce au routage Spine-Leaf Equal Cost Multi-Path (ECMP).
La scalabilité est un autre enjeu crucial. Les réseaux centralisés conviennent aux réseaux de 100 à 500 nœuds ; au-delà, les réseaux distribués prennent l'ascendant. Prenons l'exemple d'Alibaba Cloud. Son VPC (Virtual Private Cloud) utilise des passerelles VXLAN distribuées pour prendre en charge des millions d'utilisateurs dans le monde entier, avec une latence inférieure à 1 ms par région. Une approche centralisée aurait échoué depuis longtemps.
Qu’en est-il du coût ? Une solution centralisée offre un investissement initial moindre, ne nécessitant que quelques passerelles haut de gamme. Une solution distribuée exige que tous les nœuds terminaux prennent en charge le déchargement VXLAN, ce qui engendre des coûts de mise à niveau matérielle plus élevés. Toutefois, à long terme, une solution distribuée offre des coûts d’exploitation et de maintenance inférieurs, grâce à l’automatisation par lots permise par des outils comme Ansible.
Sécurité et fiabilité : les systèmes centralisés offrent une protection centralisée, mais présentent un risque élevé de points d’attaque uniques. Les systèmes distribués sont plus résilients, mais nécessitent un plan de contrôle robuste pour prévenir les attaques DDoS.
Étude de cas concret : une entreprise de commerce électronique a utilisé un réseau VXLAN centralisé pour son site. Aux heures de pointe, l’utilisation du processeur de la passerelle atteignait 90 %, provoquant des plaintes d’utilisateurs concernant la latence. Le passage à un modèle distribué a résolu le problème, permettant à l’entreprise de doubler facilement sa capacité. À l’inverse, une petite banque a privilégié un modèle centralisé, car elle accordait la priorité aux audits de conformité et trouvait la gestion centralisée plus simple.
En général, si vous recherchez des performances et une évolutivité réseau extrêmes, une approche distribuée est la solution idéale. Si votre budget est limité et que votre équipe de gestion manque d'expérience, une approche centralisée est plus pratique. À l'avenir, avec l'essor de la 5G et du edge computing, les réseaux distribués gagneront en popularité, mais les réseaux centralisés resteront précieux dans certains cas spécifiques, comme l'interconnexion de succursales.
Courtiers de paquets réseau Mylinking™Prise en charge de la suppression d'en-têtes VxLAN, VLAN, GRE et MPLS
Prise en charge de la suppression de l'en-tête VxLAN, VLAN, GRE et MPLS dans le paquet de données d'origine et la sortie transmise.
Date de publication : 9 octobre 2025
