Tout savoir sur le VLAN
Grâce à la technologie des réseaux locaux virtuels (VLAN), les architectes réseau peuvent segmenter les périphériques physiques en sous-groupes logiques et bénéficier d'avantages en matière de performance et de sécurité.
Un VLAN est un sous-réseau logique de périphériques dans un domaine de diffusion, partitionné par des commutateurs réseau et/ou un logiciel de gestion de réseau, qui peut agir en propre comme un réseau local LAN distinct. Les commutateurs qui prennent en charge les VLAN offrent aux gestionnaires de réseau la possibilité de créer des segments de réseau virtuels flexibles, indépendants de la topologie physique filaire ou sans fil sous-jacente. Les VLAN fonctionnent soit au niveau de la couche de liaison de données Layer 2, soit au niveau de la couche réseau Layer 3, en fonction de la conception du réseau. Différents protocoles réseau prennent en charge les VLAN. C'est le cas notamment de l'Ethernet et du WiFi.
Avantages des VLAN
Les VLAN offrent plusieurs avantages. Mais le plus fondamental, c'est la possibilité, pour les gestionnaires de réseau, de déplacer les périphériques d'un VLAN à un autre sans avoir à recâbler le réseau. Autre avantage : les VLAN aident les entreprises à surmonter les problèmes de goulets d'étranglement en réduisant le trafic au niveau de la couche Layer 2. Les VLAN renforcent aussi la sécurité en limitant les périphériques qui peuvent accéder à un VLAN donné. Les VLAN peuvent également servir à isoler des groupes d'utilisateurs. Par exemple, on peut créer un VLAN pour fournir un accès invité sur un réseau WiFi, en isolant les entrepreneurs et autres tiers dans un sous-réseau aux ressources limitées. Ou encore, un gestionnaire de réseau peut créer un VLAN pour un service particulier, comme les RH ou les finances.
Histoire des VLAN
Les réseaux locaux virtuels (VLAN) existent depuis des décennies. Ils ont été inventés par W. David Sincoskie dans les années 1980, alors qu'il travaillait pour Bellcore. Après le démantèlement de Bell System en 1982 en vertu des lois antitrust, Bell Communications Research (aujourd'hui iconectiv) a été établie pour créer une nouvelle société à partir des actifs de l'entreprise Bell Labs basée dans le New Jersey. Plus connue sous le nom de Bellcore, cette « Baby Bell » a recruté la plupart de ses premiers collaborateurs parmi les anciens employés des Bell Labs. En 1984, W. David Sincoskie, un ancien ingénieur informatique des Bell Labs, a rejoint Bellcore pour travailler sur la téléphonie IP. C'est à Bellcore qu'il a mis en place le premier réseau local Ethernet et c'est en cherchant une solution pour éliminer les goulets d'étranglement et augmenter la capacité que M. Sincoskie a développé les premiers VLAN.
Le problème que devait résoudre l'ingénieur informatique à propos de l'Ethernet, c'est que ce support de diffusion transmettait le signal de l'hôte à tous les appareils du réseau, lesquels devaient ensuite traiter les trames reçues, qu'elles soient pertinentes ou non pour l'appareil. Cette modalité crée une surcharge importante sur le CPU de chaque périphérique, tout en encombrant le réseau d'un trafic inutile. De plus, à l'époque, il n'existait aucun moyen éprouvé de connecter plusieurs réseaux Ethernet. Le routage IP était une solution possible, mais l'inconvénient était que ce routage IP était lent et coûteux. M. Sincoskie a donc cherché une alternative rapide et bon marché, avec une faible surcharge du CPU, ce qui l'a conduit au pontage transparent. Malheureusement, cette approche a créé de nouveaux problèmes, en transformant notamment les commutateurs centraux en goulots d'étranglement qui limitaient l'évolutivité. W. David Sincoskie a inventé les VLAN pour résoudre le problème du goulot d'étranglement. Ses concepts ont finalement été inclus dans les normes Ethernet, comme la norme IEEE 802.1Q en 1998, qui décrit le concept de VLAN Ethernet. Des ajouts ultérieurs à la norme (IEEE 802.1ad IEEE 802.1ah) ont ajouté d'autres mécanismes, comme des balises VLAN imbriquées, pour faciliter le pontage et améliorer l'évolutivité.
Fonctionnement des VLAN
Sans les VLAN, les problèmes liés à la conception des réseaux de diffusion (congestion, surcharge élevée de l'unité centrale, sécurité médiocre) peuvent s'étendre rapidement, car les équipements d'infrastructure Ethernet, comme les concentrateurs et les routeurs, permettent aux gestionnaires de réseau de créer des réseaux interconnectés composés de plusieurs LAN physiquement séparés. Par exemple, une entreprise peut disposer d'un réseau local distinct pour chaque service et les relier entre eux par des concentrateurs connectés à un commutateur Ethernet centralisé. Traditionnellement, les VLAN sont définis au niveau du port d'un commutateur Ethernet. Les commutateurs offrent l'avantage de permettre le partitionnement du réseau interconnecté en domaines plus petits, mais comme il s'agit toujours de domaines de diffusion, le commutateur constitue un goulot d'étranglement qui limite la capacité globale.
Les VLAN donnent aux gestionnaires de réseau la possibilité de créer des domaines virtuels qui regroupent les périphériques qui communiquent fréquemment entre eux, ce qui réduit la congestion et la surcharge du processeur, tout en améliorant la sécurité en limitant le nombre de périphériques pouvant accéder à un VLAN donné. Pour gérer le trafic qui circule d'un VLAN à un autre, la plupart des réseaux sont conçus pour transmettre ce trafic à des routeurs. Grâce à un logiciel de gestion de réseau, chaque périphérique d'un VLAN reçoit un ID de VLAN et est affecté à un groupe de VLAN. Cela signifie que les périphériques peuvent se trouver dans n'importe quel réseau local physique connecté au commutateur, mais qu'ils peuvent être segmentés et isolés dans un groupe VLAN qui fonctionne comme s'il s'agissait d'un réseau local physiquement connecté. Pour déplacer un périphérique d'un VLAN à un autre, l'administrateur réseau déplace simplement le périphérique vers un autre port du commutateur ou l'affecte à un nouveau VLAN via le logiciel de gestion du réseau, selon la conception du réseau.
VLAN statique versus VLAN dynamique
Les VLAN statiques sont configurés manuellement et basés sur les ports, chaque port d'un commutateur représentant un VLAN. Dans le cas d'un VLAN statique, quand un périphérique se connecte à un port, il est automatiquement affecté à ce groupe VLAN. En revanche, les VLAN dynamiques (parfois appelés VLAN basés sur les MAC) reposent sur un serveur de politiques appelé « Policy Server » qui maintient une base de données d'adresses MAC et le VLAN approprié pour tous les périphériques en réseau. Le Policy Server fournit un mappage VLAN vers MAC, ce qui permet aux utilisateurs de se déplacer dans un réseau et de se connecter à n'importe quel commutateur tout en conservant la configuration VLAN appropriée. Les VLAN dynamiques sont extrêmement flexibles, mais il y a un inconvénient : pour la plupart des entreprises, la maintenance continue du serveur de politiques pour le mappage VLAN à MAC actuel demande trop de travail manuel pour être pratique.
De nouveaux usages pour les VLAN
Dans les années 2000, la tendance à la virtualisation a donné un rôle central au datacenter. À mesure que les serveurs, le stockage et les postes de travail étaient virtualisés, de nouveaux fournisseurs comme VMware ont commencé à concurrencer les fournisseurs historiques, comme Cisco. Alors que l'infrastructure des datacenters virtualisés commençait à devenir la norme, le concept de VLAN a été actualisé pour pouvoir prendre en charge des réseaux plus complexes. Comme l'explique Robert Whiteley, analyste chez Forrester Research, « l'architecture réseau de demain doit être en phase avec la virtualisation des serveurs, du stockage et des postes de travail. Historiquement, le réseau était en quelque sorte la plomberie sur laquelle tout reposait. Aujourd'hui, il devient le nouveau plancher ». Pour prendre en charge les environnements virtualisés, les réseaux se sont aplatis et les frontières ont commencé à s'estomper entre le coeur et la périphérie, une tendance qui ne montre aucun signe de ralentissement. Par conséquent, il est possible d'utiliser les VLAN autrement. Par exemple, les commutateurs de couche Layer 2 peuvent faire passer des machines virtuelles (VM) d'un datacenter à un autre, tout en les maintenant dans le même VLAN.
Quid du VXLAN ?
Les ressources informatiques étant de plus en plus virtualisées, conteneurisées et déplacées vers le cloud, la virtualisation du réseau a dû évoluer pour suivre le rythme. Si les VLAN traditionnels seront toujours utilisés pour gérer les ressources locales et pour des cas d'usage comme les réseaux WiFi invités, les grands réseaux dans le cloud nécessitent des technologies plus récentes comme le VXLAN. Les réseaux 802.11Q traditionnels sont capables de prendre en charge un peu plus de 4000 VLAN, mais ce n'est pas suffisant dans les datacenters virtualisés. Le problème, c'est que chaque VM nécessite une adresse IP et MAC indépendante, ce qui, pour les équipements réseau, ne ressemble pas à des VM multi-locataires sur un seul serveur, mais plutôt à un nombre exponentiellement plus important de serveurs individuels. De plus, parce que la transformation numérique touche toute l'économie, les migrations de VM mettent également sous pression les VLAN traditionnels. Pour gérer les migrations dynamiques de machines virtuelles sans interruption de service, il faut que l'adresse IP et l'état de fonctionnement de chaque machine virtuelle restent inchangés. Or, la technologie VLAN traditionnelle ne permet pas de faciliter les migrations dynamiques de machines virtuelles et d'établir une isolation dans les environnements multi-locataires, lesquels peuvent comprendre des dizaines de milliers de locataires ou plus dans les grands datacenters du cloud.
Pour surmonter ce goulot d'étranglement, Cisco, VMware et Arista Networks se sont associés pour créer une nouvelle norme VXLAN qui permet de gérer le trafic à l'échelle du cloud. Les VXLAN s'appuient sur la technologie d'encapsulation pour isoler différents réseaux locaux virtuels, en créant un tunnel logique qui relie les périphériques du VXLAN par encapsulation MAC-in-UDP. Cette technique crée une superposition de réseau de la couche Layer 2 sur la couche Layer 3 en encapsulant les paquets Ethernet dans des paquets IP. En d'autres termes, chaque paquet de la couche Layer 2 reçoit un en-tête VXLAN, lequel est ensuite encapsulé dans un paquet IP UDP transmis sur le réseau de la couche Layer 3.
Les paquets encapsulés dans VXLAN sont acheminés sur le réseau comme des paquets IP et les commutateurs compatibles VXLAN peuvent prendre en charge jusqu'à 16 millions de VLAN. Pour faciliter les migrations dynamiques des machines virtuelles, les VXLAN créent un tunnel virtuel entre deux commutateurs de couche Layer 2, transformant le réseau IP sous-jacent en un seul réseau de couche Layer 2. Ainsi, les machines virtuelles peuvent se déplacer n'importe où, mais apparaissent à l'infrastructure comme si elles restaient dans le même VLAN. Á mesure de l'évolution de la technologie de virtualisation, les frontières entre les VLAN, les VXLAN et les technologies adjacentes de réseaux locaux LAN et WLAN, comme le SDN et le SD-WAN, vont s'estomper. Si les tendances actuelles se maintiennent, les capacités des VLAN seront de plus en plus absorbées par d'autres technologies de mise en réseau définies par logiciel, car les réseaux virtuels de tous types abandonnent peu à peu les modes de configurations manuelles pour adopter des modèles de configurations basées sur des politiques.