Sommaire

Sommaire....................................................................................................................................2
Introduction.............................................................................................................................3
Partie I : Généralités................................................................................................................3
Partie II : Implémentation.......................................................................................................4
Outils et logiciels utilisés........................................................................................................5
Outils.......................................................................................................................................5
Usage principal.......................................................................................................................5
Tests et résultats......................................................................................................................6
Conclusion..............................................................................................................................6
Table des matières.......................................................................................................................7
Introduction
Le VXLAN (Virtual eXtensible LAN) a été initialement conçu pour résoudre les
limites des VLAN traditionnels dans les datacenters virtualisés et multi-tenant, en permettant
l’extension de la couche 2 sur des infrastructures de couche 3 existantes. Normalisé par la
RFC 7348, il repose sur l’encapsulation des trames Ethernet dans un en-tête VXLAN, suivi
des en-têtes UDP et IP, afin de créer un réseau superposé (overlay) indépendant de
l’infrastructure sous-jacente. Grâce à son identifiant de 24 bits, le VXLAN Network Identifier
(VNI), il autorise jusqu’à 16 millions de segments isolés, contre 4096 pour les VLAN
classiques. Le protocole utilise par défaut le port UDP 4789 et un champ de drapeau (I Flag)
pour valider le VNI, assurant ainsi l’intégrité de l’identification du réseau virtuel. Initialement
développé par Cisco, VMware et Broadcom, VXLAN s’impose aujourd’hui comme une
brique essentielle des architectures cloud et SDN, permettant la mobilité des machines
virtuelles, l’isolation des locataires et la souplesse d’un plan de contrôle centralisé ou
distribué.

Partie I : Généralités
Présentation de VXLAN

Le protocole VXLAN a été introduit pour pallier la restriction du nombre de VLAN (4096) et
répondre aux besoins croissants des environnements cloud et des fournisseurs de services. Il
encapsule entièrement la trame Ethernet d’origine dans un paquet UDP/IP, permettant une
communication Layer 2 sur une infrastructure Layer 3 sans modification majeure de
l’underlay. Chaque VNI constitue un domaine de diffusion isolé, assurant la séparation du
trafic entre locataires et facilitant la sécurité et le contrôle d’accès. Les communications BUM
(Broadcast, Unknown unicast, Multicast) sont gérées soit par multicast IP (flood-and-learn),
soit par ingress replication pour les environnements non-multicast, garantissant la livraison
des paquets même en l’absence de mapping dynamique précis. L’underlay doit en outre
supporter des MTU étendues (jumbo frames) pour éviter la fragmentation due à l’overhead de
50–60 octets supplémentaire.

Concepts fondamentaux de VXLAN

 VTEP (VXLAN Tunnel Endpoint) : point d’entrée et de sortie du tunnel VXLAN,

réalisant l’encapsulation et la décapsulation des trames. Les VTEP peuvent être
implémentés en logiciel (Linux kernel, Open vSwitch) ou en hardware sur des
commutateurs programmables.
 VNI (VXLAN Network Identifier) : champ de 24 bits identifiant un segment virtuel,
validé par un drapeau I dans l’en-tête VXLAN.
 Plan de contrôle : peut être purement distribué (mode flood-and-learn, discovery via
ARP/ND) ou s’appuyer sur un plan BGP EVPN (RFC 7432) pour l’échange scalable
des mappages MAC<->VTEP<->VNI.
 Plan de données : utilise UDP pour transporter l’en-tête VXLAN, le port 4789 par
défaut, et repose sur l’underlay IP pour l’acheminement des tunnels.
  Réplication BUM : gérée soit par multidiffusion ASM (flood-and-learn) soit par
ingress replication, avec des optimisations OISM (Optimized Inter-Subnet Multicast)
en EVPN pour réduire le trafic superflu.

Modèles de déploiement de VXLAN

1. Flood-and-Learn sans plan de contrôle dédié

o Découverte dynamique des VTEP via inspection des paquets ARP/ND et des
trames BUM.
o Utilisation de groupes multicast IP pour la réplication, simple à configurer
mais moins contrôlable en termes de convergence et de bande passante.
2. EVPN/BGP pour le plan de contrôle
o Distribution centralisée des mappages MAC<->VTEP par MP-BGP EVPN
(RFC 7432), supportant MPLS et VXLAN comme data plane.
o Choix entre ingress replication et multicast pour la réplication BUM,
optimisation de la bande passante et sécurisation de la multidiffusion.

Le choix de la méthode dépend de la taille du réseau, des exigences de performance, et de la

maîtrise des protocoles BGP/EVPN.

Avantages et inconvénients de VXLAN

Avantages :

 Scalabilité : supporte jusqu’à 16 millions de VNI, adapté aux très grands

environnements cloud.
 Agilité et mobilité : découplage complet entre overlay et underlay, facilitant la
migration live des VM et l’extension de réseaux au-delà des limites physiques.
 Interopérabilité : normalisé par l’IETF, interopère avec de multiples fournisseurs et
s’intègre dans les architectures SDN.
 Micro-segmentation : permet un cloisonnement avancé et la mise en place de
politiques de sécurité granulaires via VNI dédiés.

Inconvénients :

 Complexité opérationnelle : maîtrise requise des plans de contrôle EVPN/BGP, PIM

pour multicast, et des outils d’automatisation.
 Overhead d’encapsulation : ajout de 50–60 octets par paquet, nécessité d’ajuster le
MTU et d’utiliser des jumbo frames pour éviter la fragmentation.
 Dépendance au plan de contrôle : la performance et la résilience reposent sur la
solidité du plane BGP EVPN, parfois perçu comme barrière d’entrée.
 État multicast : gestion et évolutivité des groupes multicast dans l’underlay peuvent
devenir un point de défaillance ou de complexité supplémentaire.
 Dépendance au plan de contrôle : pour EVPN, nécessité de maîtriser BGP et les
extensions EVPN, parfois perçu comme une barrière d’entrée.

Partie II : Implémentation
Architecture du système de VXLAN

L’architecture typique s’articule autour de trois composantes :

1. Underlay IP : réseau Spine-Leaf

 Topologie spine-leaf : les leaf switches connectent directement chaque VTEP, tandis
que les spines forment le cœur de réseau. Chaque leaf est maillé à tous les spines pour
garantir l’ECMP, la redondance et la faible latence. Cette structure permet une montée
en charge horizontale sans points de congestion centraux.
 Support jumbo frames : pour compenser l’overhead VXLAN (~50–60 octets),
l’underlay doit être configuré en MTU ≥ 9000. L’absence de jumbo frames conduit à
de la fragmentation, augmentant la latence et la charge CPU.
 Multidiffusion et réplication BUM : en mode flood-and-learn, on utilise soit des
groupes multicast ASM dans l’underlay, soit l’ingress replication (copie unicast vers
chaque VTEP) pour diffuser Broadcast, Unknown unicast et Multicast.

2. VTEP (VXLAN Tunnel Endpoint)

 Implémentation logicielle : via le kernel Linux et iproute2, les commandes ip link

add vxlan permettent de créer et paramétrer dynamiquement des interfaces VXLAN,
avec affectation de VNI, groupe multicast et port UDP (4789 par défaut).
 Implémentation matérielle : certains commutateurs et NIC (Intel Ethernet 700/800
Series) supportent le offload VXLAN/DPDK pour l’encapsulation accélérée, réduisant
la latence à quelques microsecondes.
 Fonctions avancées : SR-IOV pour VTEP virtuels, geneve overlay alternatif,
intégration avec OpenFlow/OVS pour micro-segmentation et monitoring des flux
inter-VM.

3. Contrôleur SDN / Plan de contrôle EVPN

pour échanger les mappages MAC ⇔ VTEP ⇔ VNI. Chaque VTEP ouvre des
 BGP EVPN (RFC 7432) : défini comme plan de contrôle scalable, utilisant MP-BGP

sessions BGP vers des Route Reflectors pour limiter le nombre de peering.
 Choix de la réplication BUM : ingress replication vs. multicast EVPN, avec
optimisations OISM (Optimized Inter-Subnet Multicast) pour réduire le trafic superflu
et améliorer la sécurité de la multidiffusion.
 Intégration orchestration/API : interaction avec des contrôleurs SDN (Cisco DCNM,
NSX, ONOS) pour provisionnement dynamique et supervision centralisée des VNI et
des sessions BGP EVPN.

Outils et logiciels utilisés

Outils Usage principal
Tests et résultats
#########################

Conclusion
L’implémentation de VXLAN exige une architecture soigneusement dimensionnée
(spine-leaf, jumbo frames), des VTEP adaptés (offload matériel/DPDK) et un plan de contrôle
EVPN robuste (BGP, route reflectors). Les outils Linux natifs, Open vSwitch, FRRouting et
les frameworks d’automatisation (Ansible, Terraform) permettent un déploiement rapide et
reproductible. Les tests confirment qu’avec ces bonnes pratiques, la surcharge est négligeable,
la scalabilité atteint plusieurs milliers de VNI, et la résilience du plan BGP EVPN assure un
datacenter moderne à la fois performant et fiable.
 Table des matières

Introduction.............................................................................................................................3
Partie I : Généralités................................................................................................................3
Présentation de VXLAN.....................................................................................................3
Concepts fondamentaux de VXLAN..................................................................................3
Modèles de déploiement de VXLAN.................................................................................4
Avantages et inconvénients de VXLAN.............................................................................4
Partie II : Implémentation.......................................................................................................4
Architecture du système de VXLAN..................................................................................4
1. Underlay IP : réseau Spine-Leaf.....................................................................................5
2. VTEP (VXLAN Tunnel Endpoint).................................................................................5
3. Contrôleur SDN / Plan de contrôle EVPN......................................................................5
Outils et logiciels utilisés........................................................................................................5
Outils.......................................................................................................................................5
Usage principal.......................................................................................................................5
Tests et résultats......................................................................................................................6
Conclusion..............................................................................................................................6