Dans l'architecture réseau moderne, le VLAN (Virtual Local Area Network) et le VXLAN (Virtual Extended Local Area Network) sont les deux technologies de virtualisation réseau les plus courantes. Elles peuvent sembler similaires, mais présentent en réalité plusieurs différences fondamentales.
VLAN (réseau local virtuel)
VLAN est l'abréviation de Virtual Local Area Network (réseau local virtuel). Il s'agit d'une technique qui divise les périphériques physiques d'un réseau local en plusieurs sous-réseaux selon des relations logiques. Le VLAN est configuré sur les commutateurs réseau pour diviser les périphériques réseau en différents groupes logiques. Même si ces périphériques sont physiquement situés à des endroits différents, le VLAN leur permet d'appartenir logiquement au même réseau, ce qui permet une gestion et une isolation flexibles.
Le cœur de la technologie VLAN réside dans la division des ports de commutation. Les commutateurs gèrent le trafic en fonction de l'identifiant VLAN (VLAN ID). Les identifiants VLAN vont de 1 à 4 095 et sont généralement composés de 12 chiffres binaires (c'est-à-dire de 0 à 4 095), ce qui signifie qu'un commutateur peut prendre en charge jusqu'à 4 096 VLAN.
Flux de travail
○ Identification VLAN : Lorsqu'un paquet entre dans un commutateur, celui-ci décide vers quel VLAN il doit être transféré en fonction des informations d'identification VLAN qu'il contient. Généralement, le protocole IEEE 802.1Q est utilisé pour étiqueter la trame de données selon le VLAN.
Domaine de diffusion VLAN : chaque VLAN est un domaine de diffusion indépendant. Même si plusieurs VLAN se trouvent sur le même commutateur physique, leurs diffusions sont isolées les unes des autres, ce qui réduit le trafic de diffusion inutile.
○ Transfert de données : le commutateur transfère le paquet de données au port correspondant en fonction des différentes balises VLAN. Si les périphériques entre différents VLAN doivent communiquer, ils doivent être transférés via des périphériques de couche 3, tels que des routeurs.
Imaginez une entreprise composée de plusieurs services, chacun utilisant un VLAN différent. Grâce au commutateur, vous pouvez répartir tous les appareils du service financier sur le VLAN 10, ceux du service commercial sur le VLAN 20 et ceux du service technique sur le VLAN 30. De cette manière, le réseau entre les services est totalement isolé.
Avantages
○ Sécurité améliorée : le VLAN peut empêcher efficacement l'accès non autorisé entre différents VLAN en divisant différents services en différents réseaux.
Gestion du trafic réseau : l'allocation de VLAN permet d'éviter les tempêtes de diffusion et d'améliorer l'efficacité du réseau. Les paquets de diffusion se propagent uniquement au sein du VLAN, réduisant ainsi la consommation de bande passante.
○ Flexibilité du réseau : un VLAN permet de diviser le réseau de manière flexible en fonction des besoins de l'entreprise. Par exemple, les appareils du service financier peuvent être affectés au même VLAN, même s'ils sont situés à des étages différents.
Limites
○ Évolutivité limitée : comme les VLans s'appuient sur des commutateurs traditionnels et prennent en charge jusqu'à 4 096 VLans, cela peut devenir un goulot d'étranglement pour les grands réseaux ou les environnements virtualisés à grande échelle.
○ Problème de connexion inter-domaines : le VLAN est un réseau local, la communication inter-VLAN doit être effectuée via le commutateur ou le routeur à trois couches, ce qui peut augmenter la complexité du réseau.
Scénario d'application
○ Isolation et sécurité dans les réseaux d'entreprise : Les VLAN sont largement utilisés dans les réseaux d'entreprise, notamment dans les grandes organisations ou les environnements interservices. La sécurité et le contrôle d'accès du réseau peuvent être assurés en divisant les différents services ou systèmes d'entreprise par des VLAN. Par exemple, le service financier sera souvent connecté à un VLAN différent de celui du service R&D afin d'éviter tout accès non autorisé.
○ Réduction de la saturation du réseau : le VLAN permet de limiter le trafic de diffusion. Normalement, les paquets de diffusion sont répartis sur l'ensemble du réseau, mais dans un environnement VLAN, le trafic de diffusion est uniquement réparti au sein du VLAN, ce qui réduit efficacement la charge réseau causée par la saturation du réseau.
○ Réseau local de petite ou moyenne taille : pour certaines petites et moyennes entreprises, le VLAN offre un moyen simple et efficace de créer un réseau logiquement isolé, rendant la gestion du réseau plus flexible.
VXLAN (réseau local étendu virtuel)
VXLAN (Virtual Extensible LAN) est une nouvelle technologie proposée pour pallier les limitations des VLAN traditionnels dans les centres de données à grande échelle et les environnements de virtualisation. Elle utilise la technologie d'encapsulation pour transférer les paquets de données de couche 2 (L2) via le réseau de couche 3 (L3) existant, s'affranchissant ainsi des limitations d'évolutivité des VLAN.
Grâce à la technologie de tunneling et au mécanisme d'encapsulation, VXLAN « encapsule » les paquets de données de couche 2 d'origine dans des paquets de données IP de couche 3, afin que ces paquets puissent être transmis sur le réseau IP existant. Le cœur de VXLAN réside dans son mécanisme d'encapsulation et de désencapsulation : la trame de données L2 traditionnelle est encapsulée par le protocole UDP et transmise via le réseau IP.
Flux de travail
○ Encapsulation d'en-tête VXLAN : lors de la mise en œuvre de VXLAN, chaque paquet de couche 2 est encapsulé sous forme de paquet UDP. L'encapsulation VXLAN comprend : l'identifiant réseau VXLAN (VNI), l'en-tête UDP, l'en-tête IP et d'autres informations.
○ Terminal de tunnel (VTEP) : VXLAN utilise la technologie de tunneling et les paquets sont encapsulés et désencapsulés via une paire de périphériques VTEP. VTEP (VXLAN Tunnel Endpoint) est le pont reliant VLAN et VXLAN. Le VTEP encapsule les paquets L2 reçus en paquets VXLAN et les envoie au VTEP de destination, qui désencapsule à son tour les paquets encapsulés dans les paquets L2 d'origine.
○ Processus d'encapsulation VXLAN : après avoir attaché l'en-tête VXLAN au paquet de données d'origine, celui-ci est transmis au VTEP de destination via le réseau IP. Le VTEP de destination désencapsule le paquet et le transmet au récepteur approprié en fonction des informations VNI.
Avantages
○ Évolutif : VXLAN prend en charge jusqu'à 16 millions de réseaux virtuels (VNI), bien plus que les 4 096 identifiants du VLAN, ce qui le rend idéal pour les centres de données à grande échelle et les environnements cloud.
○ Prise en charge inter-centres de données : VXLAN peut étendre le réseau virtuel entre plusieurs centres de données dans différents emplacements géographiques, brisant ainsi les limites du VLAN traditionnel, et convient aux environnements modernes de cloud computing et de virtualisation.
○ Simplifiez le réseau du centre de données : grâce à VXLAN, les périphériques matériels de différents fabricants peuvent être interopérables, prendre en charge les environnements multi-locataires et simplifier la conception du réseau des centres de données à grande échelle.
Limites
○ Complexité élevée : la configuration de VXLAN est relativement complexe, impliquant l'encapsulation de tunnel, la configuration VTEP, etc., ce qui nécessite un support de pile technique supplémentaire et augmente la complexité de l'exploitation et de la maintenance.
○ Latence du réseau : en raison du traitement supplémentaire requis par le processus d'encapsulation et de désencapsulation, VXLAN peut introduire une certaine latence du réseau, bien que cette latence soit généralement faible, mais doit toujours être notée dans les environnements exigeants en performances élevées.
Scénario d'application VXLAN
Virtualisation du réseau des centres de données : VXLAN est largement utilisé dans les centres de données à grande échelle. Les serveurs des centres de données utilisent généralement la technologie de virtualisation. VXLAN permet de créer un réseau virtuel entre différents serveurs physiques, évitant ainsi les limitations d'évolutivité des VLAN.
Environnement cloud multi-locataire : Dans un cloud public ou privé, VXLAN peut fournir un réseau virtuel indépendant pour chaque locataire et identifier le réseau virtuel de chaque locataire par VNI. Cette fonctionnalité de VXLAN est particulièrement adaptée au cloud computing moderne et aux environnements multi-locataires.
○ Mise à l'échelle du réseau sur plusieurs centres de données : VXLAN est particulièrement adapté aux scénarios où des réseaux virtuels doivent être déployés sur plusieurs centres de données ou zones géographiques. L'encapsulation de VXLAN via les réseaux IP permet une extension facile de plusieurs centres de données et zones géographiques pour une expansion du réseau virtuel à l'échelle mondiale.
VLAN contre VxLAN
VLAN et VXLAN sont deux technologies de virtualisation de réseau, mais elles conviennent à différents scénarios d'application. Le VLAN est adapté aux environnements réseau de petite et moyenne taille et offre une isolation et une sécurité réseau de base. Ses atouts résident dans sa simplicité, sa facilité de configuration et sa large prise en charge.
VXLAN est une technologie conçue pour répondre aux besoins d'expansion réseau à grande échelle des centres de données et environnements cloud modernes. Sa force réside dans sa capacité à prendre en charge des millions de réseaux virtuels, ce qui la rend idéale pour le déploiement de réseaux virtualisés dans les centres de données. Elle s'affranchit des limites d'évolutivité des VLAN et convient aux conceptions de réseaux plus complexes.
Bien que le nom VXLAN semble être une extension du protocole VLAN, en réalité, VXLAN se distingue considérablement du VLAN par sa capacité à créer des tunnels virtuels. Les principales différences entre eux sont les suivantes :
Fonctionnalité | VLAN | VXLAN |
|---|---|---|
| Standard | IEEE 802.1Q | RFC 7348 (IETF) |
| Couche | Couche 2 (liaison de données) | Couche 2 sur couche 3 (L2oL3) |
| Encapsulation | En-tête Ethernet 802.1Q | MAC-in-UDP (encapsulé dans IP) |
| Taille de l'ID | 12 bits (0 à 4 095 VLAN) | 24 bits (16,7 millions de VNI) |
| Évolutivité | Limité (4094 VLAN utilisables) | Hautement évolutif (prend en charge les clouds multi-locataires) |
| Gestion de la diffusion | Inondation traditionnelle (au sein du VLAN) | Utilise la multidiffusion IP ou la réplication de tête de réseau |
| Aérien | Faible (balise VLAN de 4 octets) | Élevé (~50 octets : en-têtes UDP + IP + VXLAN) |
| Isolation du trafic | Oui (par VLAN) | Oui (selon VNI) |
| Tunneling | Pas de tunnel (L2 plat) | Utilise les VTEP (points de terminaison de tunnel VXLAN) |
| Cas d'utilisation | Réseaux locaux de petite et moyenne taille, réseaux d'entreprise | Centres de données cloud, SDN, VMware NSX, Cisco ACI |
| Dépendance Spanning Tree (STP) | Oui (pour éviter les boucles) | Non (utilise le routage de couche 3, évite les problèmes STP) |
| Support matériel | Pris en charge sur tous les commutateurs | Nécessite des commutateurs/cartes réseau compatibles VXLAN (ou des VTEP logiciels) |
| Soutien à la mobilité | Limité (dans le même domaine L2) | Mieux (les machines virtuelles peuvent se déplacer entre les sous-réseaux) |
Que peut faire Mylinking™ Network Packet Broker pour la technologie réseau virtuelle ?
VLAN balisé, VLAN non balisé, VLAN remplacé :
Prise en charge de la correspondance de n'importe quel champ clé dans les 128 premiers octets d'un paquet. L'utilisateur peut personnaliser la valeur de décalage, la longueur et le contenu du champ clé, et déterminer la politique de sortie du trafic selon sa configuration.
Décapage de l'encapsulation du tunnel :
Prise en charge de l'en-tête VxLAN, VLAN, GRE, GTP, MPLS, IPIP supprimé dans le paquet de données d'origine et transmis en sortie.
Identification du protocole de tunneling
Prise en charge de l'identification automatique de divers protocoles de tunneling tels que GTP / GRE / PPTP / L2TP / PPPOE/IPIP. Selon la configuration utilisateur, la stratégie de sortie du trafic peut être implémentée en fonction de la couche interne ou externe du tunnel.
Vous pouvez consulter ici pour plus de détails sur les sujets connexesCourtier de paquets réseau.
Date de publication : 25 juin 2025
