What is VXLAN?

Virtual eXtensible Local-Area Network, or VXLAN, is an Internet Engineering Task Force

(IETF) network virtualization technology standard. It allows a single physical network to be
shared by multiple different organizations, or “tenants,” without any one tenant being able to
see the network traffic of any other.

In this way, VXLANs are analogous to individual units in an apartment building: each
apartment is a separate, private dwelling within a common structure, just as each VXLAN is
a discrete, private network segment within a shared physical network.

Technically speaking, a VXLAN allows a physical network to be segmented into as many as

16 million virtual, or logical, networks. It works by encapsulating Layer 2 Ethernet frames
into a Layer 4 User Datagram Protocol (UDP) packet alongside a VXLAN header. When
combined with an Ethernet virtual private network (EVPN)—which transports Ethernet
traffic in virtualized networks using WAN protocols—VXLAN allows Layer 2 networks to
be extended across a Layer 3 IP or MPLS network.

Key advantages

Because VXLANs are encapsulated inside a UDP packet, they can run on any network able
to transmit UDP packets. The physical layout and geographic distance between nodes of the
underlying network don’t matter, as long as the UDP datagrams are forwarded from the
encapsulating VXLAN Tunnel Endpoint (VTEP) to the decapsulating VTEP.

When VXLAN combines with EVPN, operators can create virtual networks out of physical
network ports on any physical network switches that support the standard and are part of the
same Layer 3 network. For example, you could take a port from switch A, two ports from
switch B, and another port from switch C and construct a virtual network that appears to all
the connected devices as a single physical network. Devices participating in this virtual
network would be unable to see traffic in any other VXLANs or the underlying network
fabric.

Problems that VXLAN solves

Just as the rapid adoption of server virtualization has driven dramatic increases in agility and
flexibility, virtual networks decoupled from physical infrastructure are easier, faster, and
more affordable to operate. For example, they allow multiple tenants to share a single
physical network securely, enabling network operators to quickly and economically scale
their infrastructures to meet growing demand. The primary reasons to segment networks are
privacy and security; to prevent one tenant from seeing or accessing traffic belonging to
another tenant.
Operators logically segment their networks in ways similar to how they’ve long deployed
traditional virtual LANs (VLANs); however, VXLANs overcome VLAN scaling limitations
in the following ways.

 You can theoretically create as many as 16 million VXLANs in an administrative

domain, compared to a maximum of 4094 traditional VLANs. In this way, VXLANs
provide network segmentation at the scale required by cloud and service providers to
support very large numbers of tenants.
 VXLANs enable you to create network segments that stretch between data centers.
Traditional VLAN-based network segmentation creates broadcast domains, but as
soon as a packet containing VLAN tags hits a router, all of that VLAN information is
removed. This means VLANs only travel as far as your underlying Layer 2 network
can reach. This is a problem for some use cases, such as virtual machine (VM)
migration, which typically prefers not to cross Layer 3 boundaries. By contrast,
VXLAN network segmentation encapsulates the original packet inside a UDP packet.
This allows a VXLAN network segment to extend as far as the physical Layer 3
routed network can reach, provided that all switches and routers in the path support
VXLAN, without the applications running on the virtual overlay network being
required to cross any Layer 3 boundaries. As far as the servers connected to the
network are concerned, they are part of the same Layer 2 network, even though the
underlying UDP packets may have transited one or more routers.

 The ability to provide Layer 2 segmentation over the top of an underlying Layer 3
network, combined with the high number of supported network segments, allows
servers to be part of the same VXLAN even if they are remote from one another while
enabling network administrators to keep Layer 2 networks small. Having smaller
Layer 2 networks helps avoid MAC table overflow on switches.

Primary VXLAN applications

Service provider and cloud provider VXLAN use cases are straightforward: these operators
have large numbers of tenants, or customers, and there are multiple legal, privacy, and ethical
reasons why providers must partition one customer’s network traffic from another’s.

In enterprise environments, a tenant might be a user group, department, or other set of

network-segmented users or devices created for internal security reasons. For example,
Internet of Things (IoT) devices such as data center environmental sensors are prone to
compromise, so it’s a sound security practice to isolate IoT network traffic from production
network application traffic.

How VXLAN works

The VXLAN tunneling protocol encapsulates Layer 2 Ethernet frames in Layer 4 UDP
packets, enabling you to create virtualized Layer 2 subnets that span physical Layer 3
networks. Each segmented subnet is uniquely identified by a VXLAN Network Identifier
(VNI).

The entity that performs the encapsulation and decapsulation of packets is called the VXLAN
Tunnel Endpoint (VTEP). A VTEP can be an independent network device, such as a physical
router or switch, or a virtual switch deployed on a server. VTEPs encapsulate Ethernet frames
into VXLAN packets, which are then sent to the destination VTEP over an IP or other Layer
3 network, where they’re decapsulated and forwarded to the destination server.

To support devices that can’t operate as a VTEP on their own, such as bare-metal servers,
hardware VTEPs such as select Juniper switches and routers can encapsulate and decapsulate
data packets. In addition, VTEPs can reside in hypervisor hosts, such as kernel-based virtual
machines (KVMs), to directly support virtualized workloads. This type of VTEP is known as
a software VTEP.

Hardware and software VTEPs are shown above.

In the figure above, when VTEP1 receives an Ethernet frame from Virtual Machine 1 (VM1)
addressed to Virtual Machine 3 (VM3), it uses the VNI and the destination MAC to look up
in its forwarding table for the VTEP to send the packet to. VTEP1 adds a VXLAN header
that contains the VNI to the Ethernet frame, encapsulates the frame in a Layer 3 UDP packet,
and routes the packet to VTEP2 over the Layer 3 network. VTEP2 decapsulates the original
Ethernet frame and forwards it to VM3. VM1 and VM3 are completely unaware of the
VXLAN tunnel and the Layer 3 network between them.

Juniper Networks VXLAN Solutions

Juniper Networks MX Series routers, QFX Series switches, and EX Series switches support
EVPN-VXLAN and can act as VTEP gateways, encapsulating/decapsulating VXLAN
packets, and also route between different VXLANs.

VXLAN FAQs
What is VXLAN used for?

VXLANs are used to accomplish network segmentation beyond what classic VLANs can
deliver. Classic VLANs offer only 4094 virtual networks, while VXLANs offer up to 16
million. Network segmentation has two primary uses: allowing multiple tenants to share a
single physical network without seeing one another’s traffic and allowing for the reuse of IP
address space. It’s also possible to configure network segments with differentiated quality-of-
service (QoS) policies and service-level agreements (SLAs).

VXLAN is primarily used within large data centers, service provider networks, and cloud
operator networks where the 4094 virtual network limit of classic VLANs is too constraining.
That said, as VXLAN becomes supported by more—and less expensive—switch processors,
it’s beginning to move out of the data center and into campus networks.

Is VXLAN a standard?
Yes, the VXLAN standard was created in 2014 by the IETF and is specified in RFC 7348.

Is VXLAN a Layer 3 standard?

VXLAN is sometimes considered a Layer 3 protocol because it relies on an IP (Layer 3)

transport network. It’s sometimes also considered a Layer 4 standard, because it encapsulates
Ethernet frames in UDP, affecting Layer 4 UDP by operation.

Does VXLAN replace VLAN?

VXLANs do not entirely replace VLANs; in some circumstances, such as large service
provider data centers, both standards may be used. VXLANs may be used to segment the
service provider’s global network, isolating each customer on its own VXLAN while
enabling each customer to create private VLANs within their VXLAN.

What’s the basic difference between VXLAN, VLAN, and QinQ technologies?

VLAN, QinQ, and VXLAN are all standards used for logically segmenting physical networks
into multiple virtual networks. Each standard respectively provides greater scalability than
the last. Networks are usually segmented for security reasons and to support differentiated
QoS requirements, which are usually part of SLAs.

VLANs were the first to be standardized in 1998; QinQ built on VLANs to expand the
number of logical networks that can be created. QinQ also enables enterprise/business
VLANs to be supported across public WAN services. VXLAN offers the greatest
extensibility and flexibility of the three technologies.

Technically, the differences among these technologies lie in how they tag and encapsulate
Ethernet frames before transmission over communications networks.

What are the more technical distinctions between VXLAN, VLAN, and
QinQ?

Understanding these different virtualization technologies requires a basic grasp of how

Ethernet networks operate. An Ethernet frame consists of a header with data-forwarding
information, such as the source and destination MAC and IP addresses, and a payload
containing the actual data to be transmitted. For these frames to be successfully forwarded
from one location to another, every network element involved in the communications chain,
such as network interface cards, switches, and routers, must understand the Ethernet and
virtualization standards involved.

VLAN and QinQ both extend the length of the basic Ethernet frame header, requiring that all
network devices (both endpoints, as well as all intermediate devices) support the standards.
By contrast, VXLAN does not extend the Ethernet frame header, thus only requiring support
for the standard on the devices serving as the VTEPs.

The VLAN standard created in 1998 extends Ethernet frame headers by 4 bytes, allowing
Ethernet frames to be “tagged” as belonging to one of up to 4094 virtual networks. QinQ
extends the VLAN standard to allow 4094 “private” VLANs to be created on each of 4094
“public” VLANs, or 16 million VLANs in total. To get the job done, it also extends the
Ethernet frame header by 4 bytes.

Like QinQ, the VXLAN standard, created in 2014, supports up to 16 million virtual
networks. While it doesn’t extend the Ethernet frame header, it does require an increased
maximum IP packet size, extending IPv4 packets from 1518 bytes to 1554 bytes. VXLAN
packets encapsulate the original Ethernet frame inside a UDP packet. The new UDP packet
contains both the VXLAN header and the complete original Ethernet frame inside its
payload. UDP, often used for delay-sensitive traffic, is the connectionless Layer 4
communications protocol in the core Internet protocol suite that’s a lower-latency alternative
to connection-oriented TCP.

Are VXLAN, VLAN, and QinQ typically used together?

Hypothetically, you can use traditional VLANs, QinQ VLANs, and VXLANs all at the same
time. This is because of where the network identifiers exist within the data packet. VXLANs
don’t change or extend the format of the UDP packet in which they are encapsulated, nor do
they change or extend the outer Ethernet frame in which that UDP packet is carried. That’s
because VXLAN packets are contained within the payload of a UDP packet (not the header).
They include a VXLAN header and the complete original Ethernet frame that ultimately was
to be transmitted. VXLAN-in-UDP packets, then, can have outer Ethernet frames that also
contain VLAN and QinQ identifiers.

In other words, in a VXLAN packet, there are three places where virtual networks can be
defined: the outer Ethernet frame, the VXLAN header, and the inner Ethernet frame, and
each of these sets of virtual networks can be completely distinct from one another. This can
result in a packet where the outer Ethernet frame can support 16 million virtual networks, the
VLXAN header can support an additional 16 million virtual networks, and then the inner
Ethernet frame can support another 16 million virtual networks.

In enterprise networking practice, however, networks tend to be either VLAN or VXLAN-

based. When technologies are combined, it is typically by network and cloud service
providers who offer business customers the ability to use VLANs within their own VXLAN.
This scenario makes use of VLANs on the inner Ethernet frame, as well as the virtual
network capabilities of the VXLAN header, but does not make use of VLANs on the outer
Ethernet frame.

Is VXLAN better than VLAN?

VXLANs and VLANs, while superficially similar, solve the same problem in different ways.
This means that they get used in different circumstances and that they are not mutually
exclusive.

Today nearly every switch sold can support at least basic VLANs, and most – including many
consumer switches – can support QinQ. EVPN-VXLAN support is typically limited to more
capable enterprise or carrier-grade switches.

VXLANs are considered the more efficient technology. The reason is that only the switches
that contain VTEPs carry an additional look-up table (LUT) burden in a VXLAN-based
network, and they only need to do so for the virtual networks for which they have VTEPs, not
for the entire network. This contrasts with VLAN-based networks, such as QinQ, which
supports the same 16 million potential virtual networks as VXLAN but requires that all
switches assume the extra burden.

What are the technical details of VXLAN efficiency, compared to QinQ

VLANs?

QinQ VLANs require that every device that may interact with a QinQ packet support the
extended Ethernet header. VXLAN requires that every device that may interact with a
VXLAN packet support the longer Ethernet frame, but requires only those devices with
VTEPs to support decapsulation and reading of the VXLAN header.

Because both classic VLAN and its QinQ extension simply add a tag to the Ethernet frame
header, every switch that sees a VLAN or QinQ packet will store metadata about every
packet. This results in rapidly expanding LUTs, as each switch needs to know where every
single device on the entire network is.

Because VXLANs encapsulate the original Ethernet frame, they separate the network into an
“underlay” and an “overlay.” The underlay is the physical network that transmits the UDP
packets in which the VXLAN header and the original Ethernet frame reside. The majority of
the physical switches transmitting these UDP packets do not need to store information about
either the VXLAN header or the original Ethernet frame: all they need to know is where to
deliver the UDP packet.

When the UDP packet arrives at a switch with a relevant VTEP, the UDP packet is
decapsulated, and the switch with the VTEP then reads the VXLAN header and encapsulated
Ethernet frame’s header information, adding that data to its LUT. As a result, only the
switches containing VTEPs carry the additional LUT burden of virtual networks in a
VXLAN-based network, and they only need to carry that burden for the virtual networks for
which they have VTEPs, not for the entire network. This contrasts with VLAN-based
networks, where all switches would have to do so.

A large VXLAN-based network is thus far more efficient from a LUT resource usage
standpoint than a VLAN/QinQ-based network. However, the VXLAN-based network
requires switches that support VTEPs, something currently restricted to higher-end switches.

What is the difference between VXLAN and EVPN?

All types of virtual LANs are a means of segmenting physical networks into multiple, private,
virtual networks. Ethernet VPN (EPVN) and VXLAN are frequently used together but they
are technically independent with different objectives.

VXLANs expand Layer 2 address space from about 4000 to about 16 million to extend
Ethernet networks across broader IP networks, slicing up the physical network so that
multiple tenants can share its resources without seeing one another’s traffic. EVPN enables
the creation of virtual networks that comprise switch ports and other resources from different
equipment and network domains. EVPN is basically a way to enable computers that aren’t
connected to the same physical network and might be geographically remote from one
another to behave as though they were plugged into the same physical switch, with all nodes
part of that EVPN receiving data broadcasts as though connected to a traditional Layer 2
local network.

Why would I use VXLAN and EVPN together?

When you combine these technologies into an EVPN-VXLAN, you gain ultimate network
configuration flexibility; the physical location of a computer has no bearing on the network to
which it’s connected. A single 32-port switch could have each port exposing a different
VXLAN, meaning that a computer plugged into any port would be unable to talk to any other
computer plugged into another port on that same switch without a router to provide
connectivity. EVPN, however, allows you to build virtual Ethernet networks such that, with
the right configuration, computers in two different cities can be part of the same subnet.

What VXLAN solutions does Juniper offer?

Juniper offers VXLAN VTEP support in several of our switches and routers along with
options for configuring and managing VXLAN and EVPN-VXLAN data center fabrics:

 Select Juniper networking devices, including QFX Series Switches, EX Series

Switches, and MX Series Universal Routers, can serve as VTEPs, forwarding UDP
packets containing VXLAN headers and the encapsulated Ethernet frame, because
they do not need to be aware of the VXLAN contents.
 EVPN-VXLAN data center fabrics can be managed manually through the Junos
operating system CLI, the Junos OS API, or the Juniper Apstra data center fabric
manager.
 Juniper’s AI-driven campus fabrics, based on a VXLAN overlay with an EVPN
control plane, deliver an efficient and scalable way to build and interconnect
enterprise networks with consistency.
 Select Juniper SRX Series Firewalls support security inspection of VXLAN tunnels.

Resources
Qu’est-ce que VXLAN ?

Virtual eXtensible Local-Area Network, ou VXLAN, est une norme technologique de virtualisation de
réseau de l'Internet Engineering Task Force (IETF). Il permet à un seul réseau physique d'être partagé
par plusieurs organisations différentes, ou « locataires », sans qu'aucun locataire ne puisse voir le
trafic réseau d'un autre.

De cette manière, les VXLAN sont analogues aux unités individuelles d'un immeuble : chaque
appartement est une habitation privée distincte au sein d'une structure commune, tout comme
chaque VXLAN est un segment de réseau privé discret au sein d'un réseau physique partagé.

Techniquement parlant, un VXLAN permet de segmenter un réseau physique en jusqu'à 16 millions

de réseaux virtuels ou logiques. Il fonctionne en encapsulant les trames Ethernet de couche 2 dans
un paquet UDP (User Datagram Protocol) de couche 4 aux côtés d'un en-tête VXLAN. Lorsqu'il est
combiné à un réseau privé virtuel Ethernet (EVPN) — qui transporte le trafic Ethernet dans des
réseaux virtualisés à l'aide de protocoles WAN — VXLAN permet d'étendre les réseaux de couche 2
sur un réseau IP ou MPLS de couche 3.

Avantages clés

Étant donné que les VXLAN sont encapsulés dans un paquet UDP, ils peuvent fonctionner sur
n'importe quel réseau capable de transmettre des paquets UDP. La disposition physique et la
distance géographique entre les nœuds du réseau sous-jacent n'ont pas d'importance, tant que les
datagrammes UDP sont transmis du point de terminaison du tunnel VXLAN (VTEP) d'encapsulation
au VTEP de décapsulation.

Lorsque VXLAN se combine avec EVPN, les opérateurs peuvent créer des réseaux virtuels à partir de
ports réseau physiques sur n'importe quel commutateur réseau physique prenant en charge la
norme et faisant partie du même réseau de couche 3. Par exemple, vous pouvez prendre un port du
commutateur A, deux ports du commutateur B et un autre port du commutateur C et construire un
réseau virtuel qui apparaît à tous les périphériques connectés comme un réseau physique unique.
Les appareils participant à ce réseau virtuel ne pourraient pas voir le trafic dans les autres VXLAN ou
dans la structure réseau sous-jacente.

Problèmes résolus par VXLAN

Tout comme l’adoption rapide de la virtualisation des serveurs a entraîné une augmentation
spectaculaire de l’agilité et de la flexibilité, les réseaux virtuels découplés de l’infrastructure
physique sont plus faciles, plus rapides et plus abordables à exploiter. Par exemple, ils permettent à
plusieurs locataires de partager un seul réseau physique en toute sécurité, permettant ainsi aux
opérateurs de réseaux de faire évoluer leurs infrastructures rapidement et économiquement pour
répondre à la demande croissante. Les principales raisons de segmenter les réseaux sont la
confidentialité et la sécurité ; pour empêcher un locataire de voir ou d'accéder au trafic appartenant
à un autre locataire.

Les opérateurs segmentent logiquement leurs réseaux de la même manière qu'ils déploient depuis
longtemps des réseaux locaux virtuels (VLAN) traditionnels ; cependant, les VXLAN surmontent les
limitations de mise à l'échelle des VLAN de la manière suivante.

Vous pouvez théoriquement créer jusqu'à 16 millions de VXLAN dans un domaine administratif,
contre un maximum de 4 094 VLAN traditionnels. De cette manière, les VXLAN assurent une
segmentation du réseau à l'échelle requise par les fournisseurs de cloud et de services pour prendre
en charge un très grand nombre de locataires.

Les VXLAN vous permettent de créer des segments de réseau qui s'étendent entre les centres de
données. La segmentation traditionnelle du réseau basée sur les VLAN crée des domaines de
diffusion, mais dès qu'un paquet contenant des balises VLAN atteint un routeur, toutes ces
informations VLAN sont supprimées. Cela signifie que les VLAN ne voyagent que aussi loin que votre
réseau de couche 2 sous-jacent peut atteindre. Cela constitue un problème pour certains cas
d'utilisation, tels que la migration de machines virtuelles (VM), qui préfère généralement ne pas
franchir les limites de la couche 3. En revanche, la segmentation du réseau VXLAN encapsule le
paquet d'origine dans un paquet UDP. Cela permet à un segment de réseau VXLAN de s'étendre
aussi loin que le réseau physique acheminé de couche 3 peut atteindre, à condition que tous les
commutateurs et routeurs du chemin prennent en charge VXLAN, sans que les applications
exécutées sur le réseau superposé virtuel ne soient obligées de franchir les limites de couche 3. En
ce qui concerne les serveurs connectés au réseau, ils font partie du même réseau de couche 2,
même si les paquets UDP sous-jacents peuvent avoir transité par un ou plusieurs routeurs.

La possibilité de fournir une segmentation de couche 2 au-dessus d'un réseau de couche 3 sous-
jacent, combinée au nombre élevé de segments de réseau pris en charge, permet aux serveurs de
faire partie du même VXLAN même s'ils sont éloignés les uns des autres, tout en permettant aux
administrateurs réseau de conserver Réseaux de couche 2 petits. Avoir des réseaux de couche 2 plus
petits permet d'éviter le débordement de la table MAC sur les commutateurs.

Applications VXLAN principales Les cas d’utilisation du VXLAN par les fournisseurs de
services et les fournisseurs de cloud sont simples : ces opérateurs ont un grand nombre de
locataires ou de clients, et il existe de multiples raisons juridiques, de confidentialité et
éthiques pour lesquelles les fournisseurs doivent séparer le trafic réseau d’un client de celui
d’un autre. Dans les environnements d'entreprise, un locataire peut être un groupe
d'utilisateurs, un service ou tout autre ensemble d'utilisateurs ou de périphériques segmentés
en réseau créés pour des raisons de sécurité interne. Par exemple, les appareils Internet des
objets (IoT), tels que les capteurs environnementaux des centres de données, sont susceptibles
d’être compromis. Il est donc judicieux d’isoler le trafic réseau IoT du trafic des applications
du réseau de production. Comment fonctionne VXLAN Le protocole de tunneling VXLAN
encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 4, vous
permettant de créer des sous-réseaux virtualisés de couche 2 qui couvrent les réseaux
physiques de couche 3. Chaque sous-réseau segmenté est identifié de manière unique par un
identifiant de réseau VXLAN (VNI). L'entité qui effectue l'encapsulation et la décapsulation
des paquets est appelée VXLAN Tunnel Endpoint (VTEP). Un VTEP peut être un
périphérique réseau indépendant, tel qu'un routeur ou un commutateur physique, ou un
commutateur virtuel déployé sur un serveur. Les VTEP encapsulent les trames Ethernet dans
des paquets VXLAN, qui sont ensuite envoyés au VTEP de destination via un réseau IP ou
un autre réseau de couche 3, où ils sont décapsulés et transmis au serveur de destination. Pour
prendre en charge les appareils qui ne peuvent pas fonctionner seuls comme un VTEP, tels
que les serveurs nus, les VTEP matériels tels que certains commutateurs et routeurs Juniper
peuvent encapsuler et décapsuler des paquets de données. De plus, les VTEP peuvent résider
dans des hôtes hyperviseurs, tels que des machines virtuelles basées sur le noyau (KVM),
pour prendre directement en charge les charges de travail virtualisées. Ce type de VTEP est
connu sous le nom de VTEP logiciel.

Dans la figure ci-dessus, lorsque VTEP1 reçoit une trame Ethernet de la machine virtuelle 1 (VM1)
adressée à la machine virtuelle 3 (VM3), il utilise le VNI et le MAC de destination pour rechercher
dans sa table de transfert le VTEP auquel envoyer le paquet. . VTEP1 ajoute un en-tête VXLAN qui
contient le VNI à la trame Ethernet, encapsule la trame dans un paquet UDP de couche 3 et
achemine le paquet vers VTEP2 via le réseau de couche 3. VTEP2 décapsule la trame Ethernet
d'origine et la transmet à VM3. VM1 et VM3 ignorent complètement le tunnel VXLAN et le réseau de
couche 3 qui les relie. Solutions VXLAN de Juniper Networks Les routeurs Juniper Networks MX
Series, les commutateurs QFX Series et les commutateurs EX Series prennent en charge EVPN-VXLAN
et peuvent agir comme des passerelles VTEP, encapsulant/décapsulant les paquets VXLAN, et
également acheminer entre différents VXLAN.

FAQ VXLAN À quoi sert VXLAN ? Les VXLAN sont utilisés pour réaliser une segmentation du réseau
au-delà de ce que les VLAN classiques peuvent offrir. Les VLAN classiques n'offrent que 4 094
réseaux virtuels, tandis que les VXLAN en proposent jusqu'à 16 millions. La segmentation du réseau
a deux utilisations principales : permettre à plusieurs locataires de partager un seul réseau physique
sans voir le trafic de chacun et permettre la réutilisation de l'espace d'adressage IP. Il est également
possible de configurer des segments de réseau avec des politiques de qualité de service (QoS) et des
accords de niveau de service (SLA) différenciés. VXLAN est principalement utilisé dans les grands
centres de données, les réseaux de fournisseurs de services et les réseaux d'opérateurs cloud où la
limite de 4 094 réseaux virtuels des VLAN classiques est trop contraignante. Cela dit, à mesure que le
VXLAN est pris en charge par des processeurs de commutation de plus en plus nombreux et moins
coûteux, il commence à sortir du centre de données et à s'étendre aux réseaux des campus. VXLAN
est-il une norme ? Oui, la norme VXLAN a été créée en 2014 par l'IETF et est spécifiée dans la RFC
7348. VXLAN est-il une norme de couche 3 ? VXLAN est parfois considéré comme un protocole de
couche 3 car il repose sur un réseau de transport IP (couche 3). Il est parfois également considéré
comme une norme de couche 4, car il encapsule les trames Ethernet dans UDP, affectant ainsi l'UDP
de couche 4 par son fonctionnement. VXLAN remplace-t-il le VLAN ? Les VXLAN ne remplacent pas
entièrement les VLAN ; dans certaines circonstances, comme dans les centres de données de grands
fournisseurs de services, les deux normes peuvent être utilisées. Les VXLAN peuvent être utilisés
pour segmenter le réseau mondial du fournisseur de services, isolant chaque client sur son propre
VXLAN tout en permettant à chaque client de créer des VLAN privés au sein de son VXLAN. Quelle
est la différence fondamentale entre les technologies VXLAN, VLAN et QinQ ? VLAN, QinQ et VXLAN
sont tous des standards utilisés pour segmenter logiquement les réseaux physiques en plusieurs
réseaux virtuels. Chaque norme offre respectivement une plus grande évolutivité que la précédente.
Les réseaux sont généralement segmentés pour des raisons de sécurité et pour prendre en charge
des exigences de qualité de service différenciées, qui font généralement partie des SLA. Les VLAN
ont été les premiers à être standardisés en 1998 ; QinQ s'appuie sur les VLAN pour augmenter le
nombre de réseaux logiques pouvant être créés. QinQ permet également aux VLAN d'entreprise
d'être pris en charge sur les services WAN publics. VXLAN offre la plus grande extensibilité et
flexibilité des trois technologies. Techniquement, les différences entre ces technologies résident
dans la manière dont elles marquent et encapsulent les trames Ethernet avant leur transmission sur
les réseaux de communication. Quelles sont les distinctions plus techniques entre VXLAN, VLAN et
QinQ ? Comprendre ces différentes technologies de virtualisation nécessite une compréhension de
base du fonctionnement des réseaux Ethernet. Une trame Ethernet se compose d'un en-tête
contenant des informations de transfert de données, telles que les adresses MAC et IP source et de
destination, et d'une charge utile contenant les données réelles à transmettre. Pour que ces trames
soient transmises avec succès d'un emplacement à un autre, chaque élément du réseau impliqué
dans la chaîne de communication, tel que les cartes d'interface réseau, les commutateurs et les
routeurs, doit comprendre les normes Ethernet et de virtualisation impliquées. VLAN et QinQ
étendent tous deux la longueur de l'en-tête de trame Ethernet de base, exigeant que tous les
périphériques réseau (les deux points finaux, ainsi que tous les périphériques intermédiaires)
prennent en charge les normes. En revanche, VXLAN n'étend pas l'en-tête de trame Ethernet,
nécessitant ainsi uniquement la prise en charge de la norme sur les appareils servant de VTEP. La
norme VLAN créée en 1998 étend les en-têtes de trame Ethernet de 4 octets, permettant aux trames
Ethernet d'être « étiquetées » comme appartenant à l'un des 4 094 réseaux virtuels maximum. QinQ
étend la norme VLAN pour permettre la création de 4 094 VLAN « privés » sur chacun des 4 094
VLAN « publics », soit 16 millions de VLAN au total. Pour faire le travail, il étend également l'en-tête
de trame Ethernet de 4 octets. Comme QinQ, la norme VXLAN, créée en 2014, prend en charge
jusqu'à 16 millions de réseaux virtuels. Bien qu'il n'étende pas l'en-tête de trame Ethernet, il
nécessite une taille maximale de paquet IP accrue, étendant les paquets IPv4 de 1 518 octets à 1 554
octets. Les paquets VXLAN encapsulent la trame Ethernet d'origine dans un paquet UDP. Le nouveau
paquet UDP contient à la fois l'en-tête VXLAN et la trame Ethernet d'origine complète à l'intérieur de
sa charge utile. UDP, souvent utilisé pour le trafic sensible au délai, est le protocole de
communication sans connexion de couche 4 de la suite de protocoles Internet de base qui constitue
une alternative à faible latence au TCP orienté connexion.

Quels sont les détails techniques de l’efficacité du VXLAN par rapport aux VLAN QinQ ? Les VLAN
QinQ exigent que chaque périphérique susceptible d'interagir avec un paquet QinQ prenne en
charge l'en-tête Ethernet étendu. VXLAN nécessite que chaque périphérique susceptible d'interagir
avec un paquet VXLAN prenne en charge la trame Ethernet la plus longue, mais nécessite
uniquement que les périphériques dotés de VTEP prennent en charge la décapsulation et la lecture
de l'en-tête VXLAN. Étant donné que le VLAN classique et son extension QinQ ajoutent simplement
une balise à l'en-tête de la trame Ethernet, chaque commutateur qui voit un paquet VLAN ou QinQ
stockera des métadonnées sur chaque paquet. Cela se traduit par une expansion rapide des LUT, car
chaque commutateur doit savoir où se trouve chaque périphérique sur l'ensemble du réseau. Étant
donné que les VXLAN encapsulent la trame Ethernet d'origine, ils séparent le réseau en une « sous-
couche » et une « superposition ». La sous-couche est le réseau physique qui transmet les paquets
UDP dans lesquels résident l'en-tête VXLAN et la trame Ethernet d'origine. La majorité des
commutateurs physiques transmettant ces paquets UDP n'ont pas besoin de stocker d'informations
sur l'en-tête VXLAN ou sur la trame Ethernet d'origine : tout ce qu'ils ont besoin de savoir, c'est où
livrer le paquet UDP. Lorsque le paquet UDP arrive à un commutateur avec un VTEP approprié, le
paquet UDP est décapsulé et le commutateur avec le VTEP lit ensuite l'en-tête VXLAN et les
informations d'en-tête de la trame Ethernet encapsulées, ajoutant ces données à sa LUT. Par
conséquent, seuls les commutateurs contenant des VTEP supportent la charge LUT supplémentaire
des réseaux virtuels dans un réseau basé sur VXLAN, et ils ne doivent supporter cette charge que
pour les réseaux virtuels pour lesquels ils disposent de VTEP, et non pour l'ensemble du réseau. Cela
contraste avec les réseaux basés sur VLAN, où tous les commutateurs devraient le faire. Un grand
réseau basé sur VXLAN est donc bien plus efficace du point de vue de l'utilisation des ressources LUT
qu'un réseau basé sur VLAN/QinQ. Cependant, le réseau basé sur VXLAN nécessite des
commutateurs prenant en charge les VTEP, ce qui est actuellement réservé aux commutateurs haut
de gamme. Quelle est la différence entre VXLAN et EVPN ? Tous les types de réseaux locaux virtuels
permettent de segmenter les réseaux physiques en plusieurs réseaux virtuels privés. Ethernet VPN
(EPVN) et VXLAN sont fréquemment utilisés ensemble mais ils sont techniquement indépendants
avec des objectifs différents. Les VXLAN étendent l'espace d'adressage de couche 2 d'environ 4 000 à
environ 16 millions pour étendre les réseaux Ethernet sur des réseaux IP plus larges, en découpant le
réseau physique afin que plusieurs locataires puissent partager ses ressources sans voir le trafic des
autres. EVPN permet la création de réseaux virtuels comprenant des ports de commutation et
d'autres ressources provenant de différents équipements et domaines réseau. EVPN est
essentiellement un moyen de permettre aux ordinateurs qui ne sont pas connectés au même réseau
physique et qui peuvent être géographiquement éloignés les uns des autres de se comporter comme
s'ils étaient branchés sur le même commutateur physique, tous les nœuds faisant partie de cet EVPN
recevant des diffusions de données. bien que connecté à un réseau local traditionnel de couche 2.
Pourquoi devrais-je utiliser VXLAN et EVPN ensemble ? Lorsque vous combinez ces technologies
dans un EVPN-VXLAN, vous bénéficiez d'une flexibilité de configuration réseau ultime ;
l’emplacement physique d’un ordinateur n’a aucune incidence sur le réseau auquel il est connecté.
Un seul commutateur à 32 ports pourrait avoir chaque port exposant un VXLAN différent, ce qui
signifie qu'un ordinateur branché sur n'importe quel port ne pourrait pas communiquer avec un
autre ordinateur branché sur un autre port de ce même commutateur sans un routeur pour assurer
la connectivité. EVPN, cependant, vous permet de créer des réseaux Ethernet virtuels de telle sorte
que, avec la bonne configuration, les ordinateurs de deux villes différentes puissent faire partie du
même sous-réseau. Quelles solutions VXLAN propose Juniper ? Juniper offre la prise en charge de
VXLAN VTEP dans plusieurs de nos commutateurs et routeurs, ainsi que des options de configuration
et de gestion des structures de centre de données VXLAN et EVPN-VXLAN : • Certains périphériques
réseau Juniper, notamment les commutateurs QFX Series, les commutateurs EX Series et les
routeurs universels MX Series, peuvent servir de VTEP, transmettant les paquets UDP contenant les
en-têtes VXLAN et la trame Ethernet encapsulée, car ils n'ont pas besoin de connaître le contenu du
VXLAN. . • Les structures de centre de données EVPN-VXLAN peuvent être gérées manuellement via
la CLI du système d'exploitation Junos, l'API Junos OS ou le gestionnaire de structure de centre de
données Juniper Apstra. • Les structures de campus pilotées par l'IA de Juniper, basées sur une
superposition VXLAN avec un plan de contrôle EVPN, offrent un moyen efficace et évolutif de créer
et d'interconnecter des réseaux d'entreprise avec cohérence. • Certains pare-feu Juniper SRX Series
prennent en charge l'inspection de sécurité des tunnels VXLAN. Ressources