Qu'est-ce que le VXLAN ?
Qu'est-ce que le VXLAN ?
Le Virtual eXtensible Local-Area Network, ou VXLAN, est une norme technologique de virtualisation des réseaux IETF (Internet Engineering Task Force). Elle permet de partager un même réseau physique entre plusieurs organisations différentes, ou « locataires », sans qu'aucun ne soit en mesure de voir le trafic réseau des autres.
Les VXLAN sont donc semblables à des appartements individuels dans un immeuble : chacun est un logement privé et séparé, au sein d'une structure commune. Tout comme chaque VXLAN est un segment de réseau privé et indépendant au sein d'un réseau physique partagé.
D'un point de vue technique, un VXLAN permet de segmenter un réseau physique en un maximum de 16 millions de réseaux virtuels ou logiques. Il fonctionne en encapsulant des trames Ethernet de niveau 2 dans un paquet UDP (User Datagram Protocol) de niveau 4 aux côtés d'un en-tête VXLAN. Une fois combiné avec un réseau privé virtuel Ethernet (EVPN), qui transporte le trafic Ethernet sur des réseaux virtualisés à l'aide de protocoles WAN, un VXLAN permet d'étendre les réseaux de niveau 2 sur un réseau IP ou MPLS de niveau 3.
Avantages clés
Comme les VXLAN sont encapsulés dans un paquet UDP, ils peuvent s'exécuter sur tout réseau capable de transmettre des paquets UDP. La disposition physique et la distance géographique entre les nœuds du réseau sous-jacent n'ont pas d'importance, tant que les datagrammes UDP sont transférés du point de terminaison de tunnel VXLAN (VTEP) d'encapsulation au VTEP de décapsulation.
En combinant VXLAN et EVPN, les opérateurs peuvent créer des réseaux virtuels à partir de ports réseau physiques sur tous les commutateurs réseau physiques qui prennent en charge la norme et qui font partie du même réseau de niveau 3. Vous pouvez, par exemple, prendre un port du commutateur A, deux ports du commutateur B et un autre port du commutateur C pour créer un réseau virtuel qui paraît comme un réseau physique unique aux yeux de tous les équipements connectés. Les équipements qui font partie de ce réseau virtuel sont incapables de voir le trafic des autres VXLAN ou de la fabric réseau sous-jacente.
Problèmes résolus par le VXLAN
Tout comme l'adoption rapide de la virtualisation des serveurs s'est accompagnée d'un gain conséquent d'agilité et de flexibilité ; les réseaux virtuels découplés de l'infrastructure physique sont plus faciles, plus rapides et plus abordables à exploiter. En permettant à plusieurs locataires de partager un même réseau physique de manière sécurisée, par exemple, les opérateurs réseau peuvent rapidement mettre leur infrastructure à l'échelle et répondre à la demande croissante de manière rentable. Les principales raisons de segmenter des réseaux sont la confidentialité et la sécurité : pour empêcher un locataire de voir ou d'accéder au trafic appartenant à un autre locataire.
Les opérateurs segmentent leurs réseaux en segments logiques qui rappellent ceux des LAN virtuels (VLAN) traditionnels. Toutefois, les VXLAN surmontent le manque d'évolutivité des VLAN comme indiqué ci-dessous.
- Vous pouvez théoriquement créer jusqu'à 16 millions de VXLAN par domaine administratif, contre 4 094 VLAN traditionnels au maximum. Les VXLAN peuvent segmenter les réseaux à des échelles massives, ce qui permet aux fournisseurs de cloud et de services de prendre en charge un très grand nombre de locataires,
- d'autant que les segments VXLAN peuvent s'étendre entre les datacenters. La segmentation VLAN traditionnelle crée des domaines de diffusion, mais dès qu'un paquet comprenant des balises VLAN arrive à un routeur, toutes ces informations liées au VLAN sont supprimées. Cela signifie que les VLAN ne vont pas plus loin que les limites de votre réseau de niveau 2 sous-jacent. Cela présente un problème dans certains cas d'usage, comme la migration de machines virtuelles (VM) qui préfère généralement ne pas franchir les limites de la couche 3. En revanche, la segmentation VXLAN encapsule le paquet d'origine dans un paquet UDP. Ainsi, un segment VXLAN peut s'étendre aussi loin que la couche physique 3 du réseau routé, sous réserve que tous les commutateurs et routeurs en chemin prennent en charge le VXLAN. Les applications qui s'exécutent sur le réseau virtuel superposé, elles, n'ont à franchir aucune limite de niveau 3. Les serveurs reliés au réseau pensent faire partie du même réseau de niveau 2, même si les paquets UDP sous-jacents peuvent avoir transité par un ou plusieurs routeurs.
- En utilisant de nombreux segments de niveau 2 superposés à un réseau de niveau 3, les administrateurs réseau peuvent minimiser la taille des réseaux de niveau 2 tout en permettant à des serveurs, même distants, de faire partie du même VXLAN. Avec de petits réseaux de niveau 2, les commutateurs n'ont pas de problème de débordement de la table MAC.
Principales applications du VXLAN
Les cas d'usage du VXLAN pour les fournisseurs de services et les fournisseurs de cloud sont simples : ces opérateurs ont un grand nombre de locataires, ou clients, et il existe de nombreuses raisons juridiques, éthiques et liées à la confidentialité qui expliquent pourquoi les fournisseurs doivent séparer le trafic réseau des clients l'un de l'autre.
Dans les environnements d'entreprise, un locataire peut être un groupe d'utilisateurs, un service ou un autre ensemble d'utilisateurs ou d'équipements segmentés sur le réseau créés pour des raisons de sécurité interne. Par exemple, les équipements IoT (Internet des objets) tels que les capteurs environnementaux des datacenters, sont sujets aux compromissions. Il est donc judicieux, pour des raisons de sécurité, d'isoler le trafic réseau IoT du trafic réseau des applications de production.
Comment fonctionne le VXLAN
Le protocole de tunnelisation VXLAN encapsule les trames Ethernet de niveau 2 dans des paquets UDP de niveau 4, ce qui permet de créer des sous-réseaux virtualisés de niveau 2 qui s'étendent sur des réseaux physiques de niveau 3. Chaque sous-réseau segmenté est identifié par un identifiant de réseau VXLAN (VNI) unique.
L'entité responsable de l'encapsulation et de la décapsulation des paquets s'appelle le point de terminaison de tunnel VXLAN (VTEP). Un VTEP peut être un équipement réseau indépendant, tel qu'un routeur ou un commutateur matériel, ou un commutateur virtuel déployé sur un serveur. Les VTEP encapsulent des trames Ethernet dans des paquets VXLAN, qui sont ensuite envoyés au VTEP de destination sur un réseau IP ou tout autre réseau de niveau 3. Ils sont alors décapsulés et transférés au serveur de destination.
Pour prendre en charge les équipements qui ne peuvent pas fonctionner comme des VTEP de manière autonome, tels que les serveurs bare metal, des VTEP matériels tels que certains commutateurs et routeurs Juniper peuvent encapsuler et décapsuler les paquets de données. De plus, les VTEP peuvent résider sur des hôtes hyperviseurs, comme des machines virtuelles basées sur un noyau (KVM), afin de prendre directement en charge les charges de travail virtualisées. Ce type de VTEP est connu sous le nom de VTEP logiciel.
Des VTEP matériels et logiciels sont visibles ci-dessus.
Sur le schéma ci-dessus, lorsque VTEP1 reçoit une trame Ethernet de la machine virtuelle 1 (VM1) adressée à la machine virtuelle 3 (VM3), il utilise le VNI et l'adresse MAC de destination pour rechercher dans sa table de transfert le VTEP qui doit recevoir le paquet. Le VTEP1 ajoute un en-tête VXLAN qui contient le VNI de la trame Ethernet, encapsule cette trame dans un paquet UDP de couche 3 et transmet le paquet à VTEP2 sur le réseau de couche 3. Le VTEP2 décapsule la trame Ethernet d'origine et la transmet à VM3. Les machines VM1 et VM3 n'ont aucune connaissance du tunnel VXLAN ni du réseau de couche 3 qui les relie.
Solutions VXLAN de Juniper Networks
Les routeurs MX Series, les commutateurs QFX Series et les commutateurs EX Series de Juniper Networks prennent en charge EVPN-VXLAN et peuvent jouer le rôle de passerelles VTEP afin d'encapsuler/décapsuler les paquets VXLAN. Ils peuvent également gérer le routage entre plusieurs VXLAN.
Questions fréquentes sur le VXLAN
À quoi sert VXLAN ?
Les VXLAN sont utilisés pour segmenter un réseau au-delà de ce que les VLAN classiques peuvent offrir. Les VLAN classiques n'offrent que 4 094 réseaux virtuels, tandis que les VXLAN en offrent jusqu'à 16 millions. La segmentation du réseau répond à deux objectifs principaux : permettre à plusieurs locataires de partager un même réseau physique sans voir le trafic des uns et des autres et permettre la réutilisation de l'espace d'adressage IP. Il est également possible de configurer des segments de réseau avec des politiques de qualité de service (QoS) et des accords de niveau de service (SLA) différenciés.
VXLAN est principalement utilisé dans les grands datacenters et les réseaux des fournisseurs de services et des opérateurs cloud, où la limite de 4 094 réseaux virtuels des VLAN classiques est trop restrictive. La compatibilité VXLAN des processeurs utilisés dans les commutateurs grandissant (et leurs coûts diminuant), VXLAN commence également à se démocratiser dans les réseaux de campus.
VXLAN est-il une norme ?
Oui, la norme VXLAN a été créée en 2014 par l'IETF et est spécifiée dans le protocole RFC 7348.
VXLAN est-il une norme de niveau 3 ?
VXLAN est parfois considéré comme un protocole de niveau 3, car il repose sur un réseau de transport IP (couche 3). Il est aussi parfois considéré comme une norme de niveau 4, car il encapsule des trames Ethernet en UDP, ce qui constitue une opération de couche 4.
Est-ce que les VXLAN remplacent les VLAN ?
Les VXLAN ne remplacent pas complètement les VLAN. Dans certains cas, comme dans les datacenters des grands fournisseurs de services, les deux normes peuvent être utilisées. Les VXLAN peuvent être utilisés pour segmenter le réseau mondial d'un fournisseur de services, ce qui permet d'isoler chaque client dans son propre VXLAN tout en lui permettant de créer des VLAN privés au sein de son VXLAN.
Quelle est la différence fondamentale entre les technologies VXLAN, VLAN et QinQ ?
VLAN, QinQ et VXLAN sont des normes utilisées pour segmenter logiquement les réseaux physiques en plusieurs réseaux virtuels. Chaque norme est plus évolutive que la précédente. Les réseaux sont généralement segmentés pour des raisons de sécurité et pour prendre en charge des exigences de QoS différenciées, qui font généralement partie des SLA.
Les VLAN ont été les premiers à être normalisés en 1998. Les QinQ se sont appuyés sur les VLAN pour étendre le nombre de réseaux logiques qui peuvent être créés. Les QinQ permettent également de prendre en charge des VLAN d'entreprise sur des services WAN publics. Les VXLAN offrent la plus grande flexibilité et extensibilité des trois technologies.
Sur le plan technique, les différences entre ces technologies résident dans la façon dont elles balisent et encapsulent les trames Ethernet avant de les transmettre sur les réseaux de communication.
Quelles sont les distinctions d'ordre technique entre les normes VXLAN, VLAN et QinQ ?
Pour bien comprendre ces différentes technologies de virtualisation, il est nécessaire d'avoir des notions de base sur le fonctionnement des réseaux Ethernet. Une trame Ethernet se compose d'un en-tête contenant des informations sur le transfert des données, telles que les adresses MAC et IP d'origine et de destination, et d'une charge utile comprenant les données à transmettre. Pour que ces trames soient transférées avec succès d'un emplacement à un autre, chaque composant réseau de la chaîne de communication, comme les cartes d'interface réseau, les commutateurs et les routeurs, doit comprendre les normes Ethernet et de virtualisation impliquées.
Les VLAN et les QinQ étendent tous deux la longueur de l'en-tête d'une trame Ethernet, ce qui nécessite que tous les équipements réseau (points de terminaison et tous les équipements intermédiaires) prennent en charge les normes en question. En revanche, les VXLAN n'étendent pas l'en-tête des trames Ethernet. En conséquence, seuls les équipements qui servent de VTEP doivent prendre en charge cette norme.
La norme VLAN, établie en 1998, étend les en-têtes des trames Ethernet de 4 octets, ce qui permet aux trames Ethernet d'être « étiquetées » comme appartenant à l'un des 4 094 réseaux virtuels maximum. La norme QinQ étend la norme VLAN pour autoriser la création de 4 094 VLAN « privés » sur chacun des 4 094 VLAN « publics », soit 16 millions de VLAN au total. Pour ce faire, elle étend également l'en-tête des trames Ethernet de 4 octets.
Comme la norme QinQ, la norme VXLAN, établie en 2014, prend en charge jusqu'à 16 millions de réseaux virtuels. Bien qu'elle n'étende pas l'en-tête des trames Ethernet, elle nécessite tout de même d'augmenter la taille maximale des paquets IP, ce qui fait passer les paquets IPv4 de 1 518 à 1 554 octets. Les paquets VXLAN encapsulent la trame Ethernet d'origine dans un paquet UDP. La charge utile du nouveau paquet UDP comprend à la fois l'en-tête VXLAN et l'intégralité de la trame Ethernet d'origine. Le protocole UDP, souvent utilisé pour le trafic sensible à la latence, est le protocole de communication de niveau 4 sans connexion issu de la suite des protocoles Internet de base. Il s'agit d'une alternative à moindre latence au protocole TCP orienté connexion.
Les VXLAN, VLAN et QinQ sont-ils généralement utilisés ensemble ?
Il est théoriquement possible d'utiliser en même temps des VLAN traditionnels, des VLAN QinQ et des VXLAN. Cela est dû à l'emplacement des identifiants réseau dans le paquet de données. Les VXLAN ne changent pas et n'étendent pas le format du paquet UDP dans lequel ils sont encapsulés. Ils ne changent pas et n'étendent pas non plus la trame Ethernet externe dans laquelle ce paquet UDP est transporté. En effet, les paquets VXLAN sont contenus dans la charge utile d'un paquet UDP (et non dans son en-tête). Ils comprennent un en-tête VXLAN et l'intégralité de la trame Ethernet d'origine à transmettre. Les VXLAN encapsulés dans des paquets UDP peuvent donc avoir des trames Ethernet externes qui comprennent également des identifiants VLAN et QinQ.
En d'autres termes, les réseaux virtuels peuvent être définis à trois endroits dans chaque paquet VXLAN : la trame Ethernet externe, l'en-tête VXLAN et la trame Ethernet interne, et chacun de ces ensembles de réseaux virtuels peut être complètement distinct des autres. Ainsi, dans un paquet : la trame Ethernet externe peut prendre en charge 16 millions de réseaux virtuels, l'en-tête VLXAN peut prendre en charge 16 millions de réseaux virtuels supplémentaires, et la trame Ethernet interne 16 millions de plus.
En pratique, pourtant, les réseaux d'entreprise combinent peu les VLAN et les VXLAN. Lorsque les technologies sont combinées, c'est généralement à l'initiative des fournisseurs de services réseau et cloud qui offrent à leurs clients professionnels la possibilité d'utiliser des VLAN dans leur propre VXLAN. Ce scénario utilise les VLAN sur la trame Ethernet interne, ainsi que les capacités de réseau virtuel de l'en-tête VXLAN, mais n'utilise pas les VLAN sur la trame Ethernet externe.
Les VXLAN sont-ils meilleurs que les VLAN ?
Les VXLAN et les VLAN, bien que similaires en surface, résolvent le même problème de manières différentes. Cela signifie qu'ils sont utilisés dans des situations différentes et qu'ils ne s'excluent pas mutuellement.
Aujourd'hui, presque tous les commutateurs vendus peuvent prendre en charge les VLAN, au moins à un niveau de base, et la plupart des commutateurs, y compris de nombreux commutateurs grand public, peuvent prendre en charge la norme QinQ. La prise en charge d'EVPN-VXLAN est généralement limitée aux commutateurs d'entreprise ou de classe opérateur, plus performants.
Les VXLAN sont considérés comme la technologie la plus efficace. En effet, dans un réseau VXLAN, seuls les commutateurs qui contiennent des VTEP portent une charge supplémentaire avec des tables de correspondance (LUT) pour les réseaux virtuels de leurs VTEP (et non pour l'ensemble du réseau). A contrario, dans les réseaux VLAN comme les réseaux QinQ, qui prennent en charge 16 millions de réseaux virtuels potentiels eux aussi, tous les commutateurs assument une charge supplémentaire.
Techniquement, pourquoi est-ce qu'un VXLAN est plus efficace qu'un VLAN QinQ ?
Les VLAN QinQ exigent que chaque équipement susceptible d'interagir avec un paquet QinQ prenne en charge l'en-tête Ethernet étendu. VXLAN exige que tous les équipements susceptibles d'interagir avec un paquet VXLAN prennent en charge la trame Ethernet allongée, mais seuls les équipements avec un VTEP ont besoin de savoir décapsuler et lire l'en-tête VXLAN.
Comme le VLAN classique et son extension QinQ ajoutent simplement une balise à l'en-tête des trames Ethernet, tous les commutateurs qui voient un paquet VLAN ou QinQ stockent des métadonnées concernant chaque paquet. Il en résulte une expansion rapide des LUT, car chaque commutateur doit savoir où se trouve chaque équipement sur l'ensemble du réseau.
Comme les VXLAN encapsulent la trame Ethernet d'origine, ils séparent le réseau en une sous-couche appelée « underlay » et une surcouche dite « overlay ». La sous-couche est le réseau physique qui transmet les paquets UDP dans lesquels résident l'en-tête VXLAN et la trame Ethernet d'origine. La majorité des commutateurs physiques qui transmettent ces paquets UDP n'ont pas besoin de stocker d'informations sur l'en-tête VXLAN ou sur la trame Ethernet d'origine : il leur suffit de savoir où livrer le paquet UDP.
Lorsque le paquet UDP arrive à un commutateur qui possède un VTEP correspondant, le paquet UDP est décapsulé, et le commutateur qui possède le VTEP lit alors l'en-tête VXLAN et les informations d'en-tête de la trame Ethernet encapsulée, puis ajoute ces données à sa LUT. En conséquence, au sein d'un réseau VXLAN, seuls les commutateurs qui contiennent des VTEP portent une charge supplémentaire avec des LUT pour les réseaux virtuels de leurs VTEP (et non pour l'ensemble du réseau). A contrario, dans les réseaux VLAN, tous les commutateurs doivent assumer cette charge supplémentaire pour tout le réseau.
Un réseau VXLAN de grande taille est donc bien plus économe en ressources LUT qu'un réseau VLAN/QinQ. En revanche, les réseaux VXLAN nécessitent des commutateurs qui prennent en charge les VTEP, limités actuellement aux commutateurs haut de gamme.
Quelle est la différence entre les protocoles VXLAN et EVPN ?
Tous les types de LAN virtuels permettent de segmenter les réseaux physiques en plusieurs réseaux privés et virtuels. Ethernet VPN (EPVN) et VXLAN sont fréquemment utilisés conjointement, mais ils sont techniquement indépendants et ont des objectifs différents.
Les VXLAN élargissent l'espace d'adressage de niveau 2, passant de 4 000 à 16 millions d'adresses environ pour étendre les réseaux Ethernet sur des réseaux IP plus larges, découpant le réseau physique afin que plusieurs locataires puissent partager les ressources sans voir le trafic de chacun. EVPN permet de créer des réseaux virtuels qui comprennent des ports de commutation et d'autres ressources provenant d'équipements et de domaines réseau variés. De manière simplifiée, EVPN permet à des ordinateurs qui ne sont pas reliés au même réseau physique et qui peuvent être distants les uns des autres de se comporter comme s'ils étaient branchés au même commutateur physique : tous les nœuds faisant partie de cet EVPN reçoivent les données diffusées comme s'ils étaient reliés à un réseau local de niveau 2 traditionnel.
Pourquoi utiliser VXLAN et EVPN conjointement ?
Lorsque vous combinez ces technologies pour former un réseau EVPN-VXLAN, vous bénéficiez d'une flexibilité de configuration inégalée : l'emplacement physique d'un ordinateur n'a aucune incidence sur le réseau auquel il est raccordé. Chaque port d'un même commutateur de 32 ports peut être relié à un VXLAN différent, ce qui signifie qu'un ordinateur branché sur n'importe quel port ne peut pas communiquer avec un autre ordinateur branché sur un autre port de ce même commutateur sans un routeur pour les relier. Un EVPN permet toutefois de créer des réseaux Ethernet virtuels, de sorte qu'avec la bonne configuration, les ordinateurs de deux villes différentes peuvent faire partie du même sous-réseau.
Quelles solutions VXLAN propose Juniper ?
Juniper prend en charge les VTEP VXLAN sur plusieurs de ses commutateurs et routeurs, ainsi que des options permettant de configurer et de gérer des fabrics de datacenter VXLAN et EVPN-VXLAN :
- Certains équipements réseau de Juniper, y compris les commutateurs QFX Series et EX Series ainsi que les routeurs universels MX Series, peuvent servir de VTEP et transférer des paquets UDP comprenant des en-têtes VXLAN et la trame Ethernet encapsulée, car ils n'ont pas besoin d'avoir connaissance des contenus VXLAN.
- Les fabrics de datacenter EVPN-VXLAN peuvent être gérées manuellement via la CLI ou l'API du système d'exploitation Junos, ou le gestionnaire de fabric de datacenter Juniper Apstra.
- Les fabrics de campus pilotées par l'IA de Juniper, basées sur un overlay VXLAN avec un plan de contrôle EVPN, offrent un moyen efficace et évolutif de développer et d'interconnecter les réseaux d'entreprise de manière cohérente.
- Certains pare-feu Juniper SRX Series prennent en charge l'inspection de sécurité des tunnels VXLAN.
