You are currently viewing VXLAN (Virtual Extensible LAN) : L’Évolutivité des Réseaux de Centres de Données

VXLAN (Virtual Extensible LAN) : L’Évolutivité des Réseaux de Centres de Données

  • Auteur/autrice de la publication :
  • Commentaires de la publication :0 commentaire
  • Temps de lecture :9 mins read

Le protocole VXLAN (Virtual Extensible LAN) est devenu la norme de facto pour les architectures de réseaux modernes, notamment dans les environnements de cloud computing et les centres de données à grande échelle. Il permet de surmonter les limitations des réseaux traditionnels de Couche 2 (L2) et d’apporter l’évolutivité et la flexibilité nécessaires aux environnements virtualisés.

I. Pourquoi VXLAN ? Les Limites du Réseau Traditionnel

L’évolution rapide de la virtualisation (VMware, Hyper-V, KVM) et la croissance exponentielle des environnements de cloud ont mis en évidence les insuffisances des réseaux L2 traditionnels basés sur le protocole VLAN :

1. Limitation de l’Évolutivité des Adresses

Les VLAN utilisent un champ d’identification de 12 bits, limitant le nombre de réseaux logiques à 4094. Dans un centre de données hébergeant des milliers de locataires (multi-tenancy) ou de machines virtuelles (VM), ce nombre est rapidement insuffisant.

2. Problème de l’Arbre Recouvrant (Spanning Tree Protocol – STP)

Dans un environnement de centre de données, la redondance est vitale, ce qui implique des chemins multiples. STP est nécessaire pour éviter les boucles L2, mais il bloque activement les chemins redondants. Cela se traduit par une sous-utilisation coûteuse de la bande passante et des chemins moins efficaces.

3. Problème de Localisation des Machines Virtuelles

Pour permettre la mobilité des machines virtuelles (vMotion) à travers différents hôtes, les VM doivent conserver la même adresse IP et donc rester dans le même domaine L2. Les limites de STP rendent l’extension efficace de ces domaines L2 à travers de grands centres de données difficile.

II. Le Principe Fondamental du VXLAN : L’Encapsulation (Tunneling)

Le VXLAN est un protocole de tunneling qui crée des réseaux logiques de Couche 2 (L2) au-dessus d’un réseau de Couche 3 (L3) existant. Cette technique est appelée Overlay (le réseau logique superposé) sur Underlay (le réseau physique sous-jacent).

1. L’Encapsulation

VXLAN encapsule la trame Ethernet L2 originale (incluant les adresses MAC sources et destinations) à l’intérieur de plusieurs en-têtes :

  • En-tête VXLAN : Ajouté en premier.
  • En-tête UDP : Le paquet est transporté via UDP (port 4789).
  • En-tête IP (Underlay) : Ajouté en dernier pour le routage sur le réseau physique L3.

2. L’Identifiant du Réseau Virtuel (VNI)

Le VXLAN utilise un champ d’identification de 24 bits appelé VNI (VXLAN Network Identifier).

  • Avantage : Le VNI permet de créer 16 millions de réseaux logiques distincts (par opposition aux 4094 du VLAN), assurant une isolation parfaite pour le multi-tenancy à grande échelle.
  • Rôle : Chaque VNI est équivalent à un VLAN ; il définit le domaine de diffusion (broadcast) et d’isolation du client (locataire).

3. Les VTEP (VXLAN Tunnel End Points)

Les VTEP sont des points de terminaison logiciels ou matériels responsables de l’encapsulation et de la désencapsulation des trames VXLAN.

  • Localisation : Ils sont souvent implémentés sur les commutateurs de périphérie de centre de données (Top-of-Rack ou Leaf) ou directement sur les hyperviseurs des serveurs hôtes.
  • Fonctionnement :
    • Encapsulation : Lorsque le trafic L2 arrive d’une VM, le VTEP encapsule la trame avec les en-têtes VXLAN et UDP/IP et l’envoie sur le réseau Underlay (L3).
    • Désencapsulation : Lorsque le paquet arrive à destination, le VTEP distant désencapsule le paquet et le transmet à la VM de destination.

III. L’Architecture Underlay et Overlay

L’architecture VXLAN repose sur une séparation claire entre les deux couches :

1. Underlay (Réseau Physique L3)

C’est le réseau physique traditionnel (Routeurs et Commutateurs) qui fournit la connectivité IP sous-jacente.

  • Topologie : Généralement une architecture Leaf-Spine (Feuille-Épine dorsale) pour garantir une latence faible et des chemins multiples.
  • Routage : Utilise un protocole de routage L3 interne rapide (OSPF, EIGRP, IS-IS, ou BGP) pour assurer la joignabilité IP entre tous les VTEP.
  • Avantage : En utilisant un réseau L3 partout, on évite les boucles L2 et la complexité de STP, tout en permettant l’utilisation de tous les chemins disponibles (ECMP – Equal-Cost Multi-Path).

2. Overlay (Réseau Virtuel L2)

C’est le réseau logique L2 créé par les tunnels VXLAN.

  • Réseaux Logiques : Les machines virtuelles se comportent comme si elles étaient connectées au même switch L2, même si elles sont physiquement séparées par un réseau L3.
  • Mobilité : Les VM peuvent être déplacées n’importe où dans le centre de données sans changer d’adresse IP.

IV. La Gestion du Plan de Contrôle : BGP EVPN (Essentiel pour la CréDibilité)

Initialement, VXLAN utilisait la diffusion (multicast ou broadcast) pour découvrir les adresses MAC et les VTEP de destination (similaire à ARP en L2). Cette méthode était inefficace et consommatrice en bande passante.

Aujourd’hui, le standard de l’industrie pour la gestion du plan de contrôle VXLAN est BGP EVPN (Border Gateway Protocol Ethernet VPN).

  • Rôle : BGP EVPN agit comme un plan de contrôle centralisé et intelligent. Les VTEP utilisent BGP pour annoncer (publier) les adresses MAC des machines virtuelles qu’ils hébergent, ainsi que l’association VNI correspondante.
  • Avantage : Cela élimine le besoin de diffusion (flooding) massif. La connaissance des adresses MAC et des VTEP est distribuée de manière ciblée, ce qui rend l’architecture beaucoup plus efficace, rapide et sécurisée.

V. Avantages Majeurs de VXLAN

  • Évolutivité Massive : 16 millions de VNIs pour le multi-tenancy.
  • Utilisation Complète de la Bande Passante : Grâce à l’Underlay L3, tous les chemins sont actifs (ECMP), optimisant l’utilisation du matériel.
  • Isolation du Trafic : Le trafic de diffusion (broadcast) est contenu dans son propre tunnel VNI, empêchant la propagation sur l’ensemble du réseau L3.
  • Mobilité des VM : Facilite la migration des machines virtuelles sur de longues distances sans rupture de service (maintien de l’adresse L2).

VI. Cas d’Utilisation Typiques

  1. Centres de Données Hyperscale : Déployé par les grands fournisseurs de cloud (Amazon, Google, Microsoft) pour gérer des milliards de connexions.
  2. Réseaux Multi-Tenancy : Idéal pour les entreprises qui hébergent plusieurs clients (locataires) sur une seule infrastructure physique, garantissant une isolation totale entre les données.
  3. Hébergement et VDI (Virtual Desktop Infrastructure) : Permet de simplifier la gestion des bureaux virtuels en assurant que tous les utilisateurs restent dans le même domaine L2, indépendamment de l’endroit où leur machine hôte se trouve.

Conclusion : VXLAN est une pierre angulaire de l’infrastructure réseau moderne. En découplant le réseau virtuel (Overlay) du réseau physique (Underlay) grâce à l’encapsulation L2 sur L3, il a résolu les problèmes d’évolutivité, de complexité et de sous-utilisation des ressources que les technologies VLAN et STP ne pouvaient plus gérer dans le contexte de la virtualisation et du cloud à grande échelle. Il représente une avancée majeure vers le concept de réseau véritablement programmable et défini par logiciel (SDN – Software-Defined Networking).

Exemple :

En se basant sur le cours que nous avons établi, l’exemple de configuration VXLAN le plus pertinent utilise le protocole BGP EVPN pour le plan de contrôle, car c’est le standard moderne et le plus efficace.

Nous allons configurer un réseau simple avec deux commutateurs Leaf agissant comme VTEP (Virtual Tunnel End Points) et un Spine (épine dorsale) agissant comme routeur Underlay.

Scénario de Configuration VXLAN (BGP EVPN)

  • Topologie : Leaf-Spine (2 Leaf, 1 Spine)
  • VTEP : Commutateurs Leaf 1 et Leaf 2.
  • Objectif : Étendre le VLAN 100 (LAN des serveurs) sur les deux Leaves via le VNI 50100.
  • Réseau Underlay : Les boucles de chaque Leaf et Spine sont joignables via iBGP (Internal BGP).
RôleNomIP Loopback (VTEP Source)Réseau LANVNI
SpineSpine-R11.1.1.1N/AN/A
Leaf 1 (VTEP 1)Leaf-SW12.2.2.2VLAN 100 (192.168.10.x)50100
Leaf 2 (VTEP 2)Leaf-SW23.3.3.3VLAN 100 (192.168.10.x)50100

V. Configuration de l’Underlay (Routage L3 avec iBGP)

Le but est d’assurer que les IP Loopback de tous les VTEP sont joignables.

1. Configuration sur le Spine-R1 (Route Reflector)

Le Spine n’a pas besoin de VXLAN, il assure juste le routage de l’Underlay et sert de Route Reflector (RR) pour iBGP EVPN.

Cisco CLI

router bgp 65000 // ASN du Centre de Données
 bgp log-neighbor-changes
 !
 neighbor 2.2.2.2 remote-as 65000 // Leaf 1
 neighbor 2.2.2.2 update-source Loopback0
 neighbor 2.2.2.2 route-reflector-client
 !
 neighbor 3.3.3.3 remote-as 65000 // Leaf 2
 neighbor 3.3.3.3 update-source Loopback0
 neighbor 3.3.3.3 route-reflector-client
 !
 address-family ipv4 // Routage Underlay
  network 1.1.1.1 mask 255.255.255.255 // Annonce sa propre Loopback
  exit-address-family

2. Configuration sur le Leaf-SW1 (VTEP)

Le Leaf s’appuie sur iBGP pour annoncer sa propre Loopback et atteindre le Spine.

Cisco CLI

interface Loopback0
 ip address 2.2.2.2 255.255.255.255
 !
router bgp 65000
 neighbor 1.1.1.1 remote-as 65000 // Voisinage avec le Spine
 neighbor 1.1.1.1 update-source Loopback0
 !
 address-family ipv4
  network 2.2.2.2 mask 255.255.255.255 // Annonce sa propre Loopback
  exit-address-family

(Le Leaf-SW2 est configuré de manière similaire avec l’IP Loopback 3.3.3.3.)

VI. Configuration de l’Overlay (VXLAN et BGP EVPN)

Cette configuration définit le VTEP et le VNI, et utilise BGP EVPN pour l’échange d’informations MAC et VNI.

1. Configuration sur le Leaf-SW1 (VTEP 1)

a. Configuration du VTEP

Le VTEP est une interface logique qui gère les tunnels VXLAN.

Cisco CLI

interface NVE1 // Interface de virtualisation de réseau (Network Virtualization Edge)
 source-interface Loopback0 // Définit la source du tunnel VXLAN (2.2.2.2)
 host-reachability protocol bgp // Utilise BGP pour apprendre les adresses MAC distantes
 !
 member vni 50100 // Associe le VNI 50100 à la configuration
  mcast-group 239.1.1.1 // (Méthode de plan de contrôle héritée, souvent remplacée par BGP)
  exit
exit

b. Configuration du VLAN et du Mapping

On mappe le VLAN L2 local au VNI VXLAN.

Cisco CLI

vlan 100
 name SERVEURS_VXLAN
 vni 50100 // Mappe le VLAN 100 au VNI 50100
exit
!
interface GigabitEthernet1/1 // Interface physique où les serveurs sont connectés
 switchport mode access
 switchport access vlan 100
exit

c. Activation de l’EVPN

Le BGP est étendu pour gérer l’Address Family EVPN.

Cisco CLI

router bgp 65000
 !
 address-family l2vpn evpn // Activation de l'Address Family EVPN
  neighbor 1.1.1.1 activate // Active l'échange EVPN avec le Spine (Route Reflector)
  exit-address-family
exit

2. Configuration sur le Leaf-SW2 (VTEP 2)

La configuration est identique à Leaf-SW1, mais utilise son IP Loopback 3.3.3.3. L’essentiel est que le VLAN 100 soit également mappé au VNI 50100.

Cisco CLI

// (Configuration du BGP L3 pour l'Underlay 3.3.3.3 et le voisin 1.1.1.1)
!
vlan 100
 name SERVEURS_VXLAN
 vni 50100 // Mappage identique
exit
!
interface NVE1
 source-interface Loopback0 // Source du tunnel : 3.3.3.3
 host-reachability protocol bgp
 !
 member vni 50100 // VNI identique
  mcast-group 239.1.1.1
  exit
exit
!
router bgp 65000
 address-family l2vpn evpn
  neighbor 1.1.1.1 activate // Active l'échange EVPN
  exit-address-family
exit

Résultat et Fonctionnement

  1. Serveur sur Leaf 1 s’allume : Leaf-SW1 apprend l’adresse MAC du serveur.
  2. BGP EVPN : Leaf-SW1 annonce cette adresse MAC et le VNI 50100 au Spine (RR).
  3. Propagation : Le Spine propage l’information (MAC + VNI 50100) au Leaf-SW2.
  4. Trafic L2 étendu : Un serveur sur Leaf 2 peut désormais envoyer une trame L2 au serveur sur Leaf 1. Leaf 2 encapsule la trame dans un paquet IP/UDP (source 3.3.3.3, destination 2.2.2.2) et l’envoie sur l’Underlay L3, étendant efficacement le domaine L2.

Laisser un commentaire