Temps de lecture : 7 min 51 secondes | Publication : 1er octobre 2025
VXLAN Qu’est-ce que le VXLAN ?
Le Virtual eXtensible Local-Area Network, ou VXLAN, est un standard technologique de virtualisation de réseau développé par l’Internet Engineering Task Force (IETF). Il permet de partager un même réseau physique entre plusieurs organisations différentes, ou « locataires », sans qu’aucun ne soit en mesure de voir le trafic réseau des autres.
Les VXLAN sont semblables à des appartements individuels dans un immeuble : chacun est un logement privé et séparé au sein d’une structure commune, tout comme chaque VXLAN est un segment de réseau privé et indépendant au sein d’un réseau physique partagé.
Comprendre le VXLAN
Un VXLAN permet de segmenter un réseau physique en 16 millions de réseaux virtuels, ou logiques. Il encapsule les trames Ethernet de couche 2 dans un paquet UDP (User Datagram Protocol) de couche 4 avec un en-tête VXLAN. Associé à un VPN Ethernet (EVPN) – qui transporte le trafic Ethernet des réseaux virtualisés à l’aide de protocoles WAN –, le VXLAN permet d’étendre les réseaux de couche 2 sur un réseau IP ou MPLS de couche 3.
Principaux avantages du VXLAN
Dans la mesure où ils sont encapsulés dans un paquet UDP, les VXLAN peuvent fonctionner sur n’importe quel réseau capable de transmettre des paquets de ce type. La disposition physique et la distance géographique entre les nœuds du réseau sous-jacent n’ont pas d’importance tant que les datagrammes UDP sont transmis du point de terminaison du tunnel VXLAN encapsulant (VTEP) au VTEP décapsulant.
Lorsque le VXLAN se combine avec l’EVPN, les opérateurs peuvent créer des réseaux virtuels à partir de ports réseau physiques sur n’importe quel commutateur réseau physique prenant en charge ce standard et faisant partie du même réseau de couche 3. Par exemple, vous pouvez prendre un port du commutateur A, deux ports du commutateur B et un autre port du commutateur C afin de construire un réseau virtuel qui se présente à tous les périphériques connectés comme un réseau physique unique. Les périphériques participant à ce réseau virtuel ne peuvent pas voir le trafic dans d’autres VXLAN ou dans le fabric réseau sous-jacent.
Problèmes résolus par le VXLAN
De même que l’adoption rapide de la virtualisation de serveurs a entraîné une augmentation spectaculaire de l’agilité et de la flexibilité, les réseaux virtuels découplés de l’infrastructure physique se révèlent plus faciles, plus rapides et moins coûteux à exploiter. Par exemple, ils permettent à plusieurs locataires de partager un même réseau physique en toute sécurité. De ce fait, les opérateurs de réseau peuvent faire évoluer leurs infrastructures de façon rapide et économique pour répondre à une augmentation de la demande. Les principales raisons de segmenter les réseaux sont la confidentialité et la sécurité, afin d’empêcher un locataire de voir ou d’accéder au trafic appartenant à un autre locataire.
Les opérateurs segmentent logiquement leurs réseaux comme ils ont longtemps déployé des réseaux locaux virtuels (VLAN) traditionnels. Bien que les VLAN présentent des limites d’évolutivité, les VXLAN offrent des moyens de surmonter celles-ci.
- D’une part, vous pouvez théoriquement créer jusqu’à 16 millions de VXLAN dans un domaine administratif, contre un maximum de 4 094 VLAN traditionnels. Cela permet aux fournisseurs de cloud et de services de segmenter leur réseau à l’échelle requise pour prendre en charge un très grand nombre de locataires.
- Deuxièmement, les VXLAN permettent de créer des segments de réseau qui s’étendent entre les datacenters. La segmentation réseau traditionnelle basée sur le VLAN crée des domaines de diffusion, mais dès qu’un paquet contenant des balises VLAN atteint un routeur, toutes ces informations VLAN sont supprimées. Cela signifie que les VLAN ne peuvent pas s’étendre au-delà de la portée de votre réseau de couche 2 sous-jacent. Il s’agit d’un problème pour des cas d’utilisation tels que la migration de machines virtuelles (VM), pour laquelle il est préférable de rester dans les limites de la couche 3.
- En revanche, la segmentation réseau VXLAN encapsule le paquet d’origine dans un paquet UDP. Tant que tous les commutateurs et routeurs du chemin prennent en charge le VXLAN, les segments de réseau peuvent s’étendre sur toute la portée du réseau physique routé de couche 3 sans que les applications exécutées sur le réseau de superposition virtuel soient obligées de franchir les limites de la couche 3. Quant aux serveurs connectés au réseau, ils font partie du même réseau de couche 2, même si les paquets UDP sous-jacents peuvent avoir transité par un ou plusieurs routeurs.
- Enfin, la capacité de fournir une segmentation de couche 2 sur un réseau de couche 3 sous-jacent, combinée au nombre élevé de segments de réseau pris en charge, permet aux serveurs de faire partie du même VXLAN même s’ils sont éloignés les uns des autres, tandis que les administrateurs réseau peuvent maintenir la petite taille des réseaux de couche 2. Des réseaux de couche 2 plus petits permettent en effet d’éviter le débordement de la table MAC sur les commutateurs.
Principales applications VXLAN
Les cas d’utilisation du VXLAN pour les fournisseurs de services et de cloud sont simples : ces opérateurs gèrent un grand nombre de locataires, ou clients, et il existe de nombreuses raisons juridiques, éthiques et de protection de la vie pour lesquelles les fournisseurs doivent séparer le trafic réseau d’un client de celui d’un autre.
Dans les environnements d’entreprise, un locataire peut être un groupe d’utilisateurs, un département ou un autre ensemble d’utilisateurs ou d’équipements regroupés dans un même segment de réseau créé pour des raisons de sécurité interne. Par exemple, des devices IoT tels que les capteurs environnementaux des datacenters sont susceptibles d’être compromis. Il s’agit donc d’une bonne pratique de sécurité consistant à isoler le trafic réseau IoT du trafic des applications réseau de production.
Comment fonctionne le VXLAN
Le protocole de tunnellisation VXLAN encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 4, ce qui vous permet de créer des sous-réseaux de couche 2 virtualisés qui s’étendent sur des réseaux physiques de couche 3. Chaque sous-réseau segmenté est identifié de manière unique par un identifiant de réseau VXLAN (VNI).
L’entité qui effectue l’encapsulation et la décapsulation des paquets est appelée point de terminaison du tunnel VXLAN (VTEP). Un VTEP peut être un équipement réseau indépendant, tel qu’un routeur ou un commutateur physique, ou un commutateur virtuel déployé sur un serveur. Les VTEP encapsulent les trames Ethernet dans des paquets VXLAN, qui sont ensuite envoyés au VTEP de destination via un réseau IP ou un autre réseau de couche 3, où ils sont décapsulés et transmis au serveur de destination.
Pour prendre en charge les équipements qui ne peuvent pas fonctionner comme des VTEP de manière autonome, tels que les serveurs bare-metal, des VTEP matériels (tels que certains commutateurs et routeurs HPE Juniper Networking) peuvent encapsuler et décapsuler les paquets de données. De plus, les VTEP peuvent résider dans des hôtes hyperviseurs, comme des machines virtuelles basées sur un noyau (KVM), pour prendre directement en charge les charges de travail virtualisées. Ce type de VTEP est connu sous le nom de VTEP logiciel.
Les VTEP matériels et logiciels sont présentés ci-dessus.
Dans la figure ci-dessus, lorsque VTEP1 reçoit une trame Ethernet de la machine virtuelle 1 (VM1) adressée à la machine virtuelle 3 (VM3), il utilise le VNI et le MAC de destination pour rechercher dans sa table de transfert le VTEP auquel envoyer le paquet. VTEP1 ajoute un en-tête VXLAN contenant le VNI à la trame Ethernet, encapsule la trame dans un paquet UDP de couche 3 et transmet le paquet à VTEP2 sur le réseau de couche 3. VTEP2 décapsule la trame Ethernet d’origine et la transmet à VM3. Les machines VM1 et VM3 n’ont aucune connaissance du tunnel VXLAN et du réseau de couche 3 qui les relie.
Les solutions VXLAN de HPE
Les routeurs HPE Juniper Networking MX Series, les commutateurs QFX Series et EX Series, ainsi que les commutateurs HPE Aruba Networks CX Series prennent en charge l’EVPN-VXLAN et peuvent jouer le rôle de passerelles VTEP afin d’encapsuler/décapsuler les paquets VXLAN et de gérer le routage entre différents VXLAN.
FAQ sur le VXLAN
À quoi sert le VXLAN ?
Les VXLAN sont utilisés pour segmenter un réseau au-delà de ce que les VLAN classiques peuvent offrir. Les VLAN classiques n’offrent que 4 094 réseaux virtuels, tandis que les VXLAN en offrent jusqu’à 16 millions. La segmentation réseau répond à deux objectifs principaux : permettre à plusieurs locataires de partager un seul réseau physique sans voir le trafic les uns des autres et permettre la réutilisation de l’espace d’adressage IP. Il est également possible de configurer des segments de réseau avec des politiques de qualité de service (QoS) et des accords de niveau de service (SLA) différenciés.
Les VXLAN sont principalement utilisés dans les grands datacenters, les réseaux des fournisseurs de services et des opérateurs cloud, où la limite de 4 094 réseaux virtuels des VLAN classiques est trop restrictive. Cela étant, à mesure que le VXLAN est pris en charge par des processeurs de commutation de plus en plus nombreux et de moins en moins coûteux, il commence à sortir du datacenter pour se démocratiser dans les réseaux de campus.
La norme VXLAN a été développée en 2014 par l’IETF et elle est spécifiée dans la RFC 7348.
Le VXLAN est-il une norme de couche 3 ?
Le VXLAN est parfois considéré comme un protocole de couche 3 car il repose sur un réseau de transport IP (couche 3). Il est parfois aussi considéré comme une norme de couche 4, dans la mesure où il encapsule les trames Ethernet en UDP, une opération qui affecte l’UDP de couche 4.
Le VXLAN remplace-t-il le VLAN ?
Les VXLAN ne remplacent pas entièrement les VLAN. Dans certaines circonstances, comme dans les grands datacenters des fournisseurs de services, les deux standards peuvent coexister. Les VXLAN peuvent être utilisés pour segmenter le réseau mondial du fournisseur de services, chaque client étant isolé sur son propre VXLAN et conservant la possibilité de créer des VLAN privés au sein de celui-ci.
Quelle est la différence fondamentale entre les technologies VXLAN, VLAN et QinQ ?
Les VLAN, QinQ et VXLAN sont des standards utilisés pour segmenter logiquement les réseaux physiques en réseaux virtuels – chaque nouveau standard offrant une plus grande évolutivité que le précédent. Les réseaux sont généralement segmentés pour des raisons de sécurité et pour prendre en charge des exigences de qualité de service différenciées, qui font généralement partie des SLA.
Les VLAN ont été les premiers à être standardisés en 1998. Les QinQ se sont appuyés sur les VLAN pour étendre le nombre de réseaux logiques pouvant être créés. Les QinQ permettent également de prendre en charge les VLAN d’entreprise/professionnels sur les services WAN publics. Le VXLAN offre la plus grande extensibilité et flexibilité des trois technologies.
Techniquement, les différences entre ces technologies résident dans la manière dont elles étiquettent et encapsulent les trames Ethernet avant leur transmission sur les réseaux de communication.
Les technologies VXLAN, VLAN et QinQ sont-elles généralement utilisées ensemble ?
En théorie, vous pouvez utiliser des VLAN traditionnels, des VLAN QinQ et des VXLAN en même temps. Cela est dû à l’emplacement des identifiants réseau dans le paquet de données. Les VXLAN ne modifient ou n’étendent pas le format du paquet UDP dans lequel ils sont encapsulés, ni la trame Ethernet externe dans laquelle ce paquet UDP est transporté. Cela est dû au fait que les paquets VXLAN sont contenus dans la charge utile (et non dans l’en-tête) du paquet UDP. Ils comprennent un en-tête VXLAN et l’intégralité de la trame Ethernet originale à transmettre. Les paquets VXLAN encapsulés dans des paquets UDP peuvent alors avoir des trames Ethernet externes qui comprennent également des identifiants VLAN et QinQ.
En d’autres termes, dans un paquet VXLAN, il existe trois emplacements où les réseaux virtuels peuvent être définis : la trame Ethernet externe, l’en-tête VXLAN et la trame Ethernet interne. Chacun de ces ensembles de réseaux virtuels peut être complètement distinct des autres. Cela peut donner lieu à un paquet dans lequel la trame Ethernet externe peut prendre en charge 16 millions de réseaux virtuels, l’en-tête VLXAN peut prendre en charge 16 millions de réseaux virtuels supplémentaires, et la trame Ethernet interne, 16 millions de plus.
En pratique, pourtant, les réseaux d’entreprise combinent peu les VLAN et les VXLAN. Lorsque ces technologies sont combinées, c’est généralement à l’initiative des fournisseurs de services réseau et cloud qui offrent à leurs clients professionnels la possibilité d’utiliser des VLAN au sein de leur propre VXLAN. Ce scénario utilise les VLAN étiquetés sur la trame Ethernet interne, ainsi que les capacités de réseau virtuel de l’en-tête VXLAN, mais n’utilise pas les VLAN étiquetés sur la trame Ethernet externe.
Le VXLAN est-il supérieur au VLAN ?
Bien que similaires en surface, les VXLAN et les VLAN résolvent le même problème de manières différentes. Cela signifie qu’ils sont utilisés dans des situations distinctes et qu’ils ne s’excluent pas mutuellement.
Aujourd’hui, presque tous les commutateurs commercialisés peuvent prendre en charge les VLAN, au moins à un niveau de base, et la plupart, y compris de nombreux commutateurs grand public, peuvent prendre en charge la norme QinQ. La prise en charge d’EVPN-VXLAN est généralement limitée aux commutateurs d’entreprise ou de niveau opérateur, plus performants.
Les VXLAN sont considérés comme la technologie la plus efficace. En effet, dans un réseau VXLAN, seuls les commutateurs qui contiennent des VTEP portent une charge supplémentaire avec des tables de correspondance (LUT) pour les réseaux virtuels de leurs VTEP (et non pour l’ensemble du réseau). A contrario, dans les réseaux VLAN comme les réseaux QinQ, qui eux aussi prennent en charge 16 millions de réseaux virtuels potentiels, tous les commutateurs assument une charge supplémentaire.
Quelle est la différence entre les protocoles VXLAN et EVPN ?
Tous les types de réseaux locaux virtuels sont un moyen de segmenter les réseaux physiques en plusieurs réseaux virtuels privés. L’Ethernet VPN (EPVN) et le VXLAN sont fréquemment utilisés conjointement, mais ils sont techniquement indépendants et ont des objectifs différents.
Les VXLAN élargissent l’espace d’adressage de couche 2, passant de 4 000 à 16 millions d’adresses environ pour étendre les réseaux Ethernet sur des réseaux IP plus larges, découpant ainsi le réseau physique afin que plusieurs locataires puissent partager ses ressources sans voir le trafic les uns des autres. L’EVPN permet la création de réseaux virtuels qui comprennent des ports de commutation et d’autres ressources provenant d’équipements et domaines réseau variés. Pour simplifier, EVPN permet à des ordinateurs qui ne sont pas connectés au même réseau physique et qui peuvent être géographiquement éloignés les uns des autres de se comporter comme s’ils étaient branchés au même commutateur physique : tous les nœuds faisant partie de cet EVPN reçoivent les données diffusées comme s’ils étaient connectés à un réseau local de couche 2 traditionnel.