Dans mon quotidien d’auditeur en infrastructure, je fais souvent le même constat en entrant dans les salles baies des PME : des investissements matériels inadaptés par simple confusion entre routage et commutation. Pour beaucoup, la différence se résume à l’analogie classique de la « passerelle vers internet » contre la « multiprise réseau ». C’est une vision non seulement réductrice, mais dangereuse sur le plan des performances et de la sécurité. Pour concevoir une architecture robuste, il faut plonger sous le capot. Comment ces deux équipements gèrent-ils fondamentalement les trames et les paquets ? À quel moment un routeur devient-il un goulot d’étranglement ? Et comment structurer vos achats (VLAN, PoE, SDN) pour répondre aux véritables besoins de votre organisation ? C’est ce que nous allons décortiquer ensemble.
Les fondamentaux : définir les rôles au sein de l’infrastructure
Avant d’aborder les protocoles, il est essentiel de bien délimiter les périmètres d’action dans une topologie réseau. Une infrastructure performante repose sur une séparation stricte entre le trafic interne (intra-entreprise) et le trafic externe (vers internet ou des sites distants). Confondre ces deux rôles amène systématiquement à des erreurs de conception.
L’analogie pour tout comprendre : Le bâtiment et la ville
Pour bien visualiser cette séparation des rôles avant de plonger dans la technique pure, j’aime utiliser une analogie éprouvée lors de mes formations. Le Switch est le service de tri postal à l’intérieur d’un immeuble d’entreprise : il connaît précisément le numéro de bureau de chaque employé (l’adresse MAC) et distribue le courrier interne à une vitesse fulgurante. À l’inverse, le Routeur est le grand bureau de poste de la ville : il lit le code postal (l’adresse IP) pour envoyer le courrier vers d’autres villes ou pays (Internet). Il détermine le meilleur chemin pour sortir du réseau local, mais il ignore totalement l’agencement interne des bureaux des autres bâtiments.
Le Switch réseau : le cœur du LAN (Local Area Network)
Le commutateur (ou switch) est l’équipement central de votre réseau local. Son rôle est de connecter physiquement ou logiquement des équipements (PC, serveurs, imprimantes) appartenant au même sous-réseau. Techniquement, le switch crée une matrice de commutation : lorsqu’un PC A veut parler à un PC B, le switch dédie un canal de communication direct entre leurs deux ports, évitant ainsi les collisions de données qui existaient sur les anciens « hubs ».
Cependant, le switch standard a une limite stricte : il est incapable de faire communiquer votre réseau avec un réseau externe (comme Internet). Il ne comprend pas la notion de « monde extérieur ». Son terrain de jeu est exclusivement circonscrit au LAN qu’il gère.
Le Routeur : la passerelle et le chef d’aiguillage (WAN)
Le routeur, quant à lui, a pour fonction quasi exclusive d’interconnecter des réseaux différents (par exemple, relier votre LAN d’entreprise au WAN de votre fournisseur d’accès, ou interconnecter les LAN de deux succursales). Il agit comme une frontière.
La confusion vient souvent des routeurs modernes destinés au grand public ou aux petites entreprises, qui embarquent de multiples fonctions annexes : un serveur DHCP (pour distribuer les adresses IP), du NAT (Network Address Translation, pour masquer vos IP internes sur internet), et un pare-feu basique. Mais dans sa fonction la plus pure, le routeur est uniquement un aiguilleur : il reçoit un paquet de données, consulte sa carte des réseaux (la table de routage), et l’envoie vers la bonne sortie.
La rupture technique : Couche 2 vs Couche 3 du modèle OSI
Pour comprendre véritablement pourquoi un switch traite des térabits de données par seconde là où un routeur peine souvent à dépasser quelques gigabits, il faut se référer au modèle OSI (Open Systems Interconnection). C’est là que se situe la véritable ligne de fracture architecturale.
La commutation de niveau 2 (Switching) : l’adresse MAC comme boussole
Un switch standard opère sur la Couche 2 (Liaison de données) du modèle OSI. À ce niveau, la donnée est formatée sous forme de trame (Frame). Le switch ne regarde qu’une seule chose : l’adresse MAC (physique) de destination inscrite sur l’en-tête de la trame. Pour ce faire, il maintient en mémoire une table dynamique (la CAM table – Content Addressable Memory) qui associe chaque adresse MAC au port physique sur lequel elle a été apprise.
La puissance du niveau 2 réside dans son exécution : cette lecture d’adresse MAC est réalisée par des puces spécialisées appelées ASIC (Application-Specific Integrated Circuit). Le traitement est donc purement matériel (hardware), ce qui permet des vitesses de commutation ahurissantes avec une latence quasi nulle. En revanche, tous les équipements connectés partagent le même « domaine de diffusion » (broadcast domain) : si un équipement « crie » sur le réseau, tous les autres l’entendent.
Le routage de niveau 3 (Routing) : l’adresse IP et les tables de routage
Le routeur opère sur la Couche 3 (Réseau). Lorsqu’il reçoit une trame, il doit accomplir un travail beaucoup plus lourd. Il doit d’abord « désencapsuler » la trame (retirer l’en-tête de couche 2) pour lire le paquet (Packet) qu’elle contient. Il examine ensuite l’adresse IP de destination, consulte sa table de routage, calcule le meilleur chemin (souvent via des protocoles complexes comme OSPF ou BGP), modifie l’en-tête du paquet (le TTL par exemple), ré-encapsule le paquet dans une nouvelle trame, et l’expédie.
Ce processus demande de la puissance de calcul (CPU) et de la mémoire (RAM). C’est pourquoi le routage est intrinsèquement plus « coûteux » en ressources que la commutation. Un routeur qui traite des millions de paquets par seconde nécessite une architecture processeur robuste.
Synthèse technique : Routeur vs Switch
Pour vous aider à clarifier ces différences conceptuelles et techniques, j’ai formalisé le comparatif suivant. Il résume les points de bascule entre les deux typologies d’équipements :
| Caractéristique | Switch (Niveau 2) | Routeur (Niveau 3) |
|---|---|---|
| Couche OSI | Couche 2 (Liaison de données) | Couche 3 (Réseau) |
| Adressage utilisé | Adresse MAC (Physique) | Adresse IP (Logique) |
| Périmètre d’action | Intra-réseau (Domaine local) | Inter-réseaux (Passerelle LAN/WAN) |
| Forme des données | Trames (Frames) | Paquets (Packets) |
| Ports typiques | Haute densité : 8 à 48 ports LAN | Basse densité : 2 à 4 ports (LAN/WAN) |
La zone grise technologique : le Switch de Niveau 3 (Layer 3 Switch)
Dans les environnements d’entreprise (PME ou ETI), la distinction stricte entre les deux équipements s’efface souvent au profit d’un équipement hybride redoutable : le Switch de Niveau 3 (Layer 3 Switch). C’est une évolution logique face aux limites de bande passante des routeurs traditionnels. Concrètement, c’est un commutateur haute densité doté de puces ASIC suffisamment évoluées pour lire les adresses IP et réaliser des fonctions de routage interne.
Pourquoi l’utiliser en priorité ? La réponse tient en un mot : le routage inter-VLAN. Si vous segmentez votre réseau en plusieurs VLAN (un pour les serveurs, un pour la VoIP, un pour la data), ces réseaux virtuels ne peuvent nativement pas communiquer entre eux. Si vous demandez à votre routeur d’entreprise de gérer ce trafic interne (concept du « Router-on-a-stick »), vous allez saturer son processeur et créer un énorme goulot d’étranglement. Le Switch L3 gère ce routage inter-VLAN à la vitesse du matériel (Wire-speed), sans latence.
Cependant, attention à ne pas lui demander l’impossible. Si le Switch L3 excelle en tant que cœur de réseau (Core Switch) pour aiguiller le trafic interne massif, il ne remplace pas un routeur d’extrémité (Edge Router). En effet, un switch L3 ne possède généralement pas les capacités de traduction d’adresses (NAT), de montage de tunnels VPN IPsec ou d’inspection comportementale approfondie.
Architectures et cas d’usage : quand utiliser l’un, l’autre, ou les deux ?
Le choix et le positionnement de ces équipements dictent la résilience de votre SI. Il n’existe pas de « meilleur » équipement absolu, seulement des architectures adaptées au volume de données, au niveau de sécurité requis et à la taille de l’organisation.
Topologie TPE et micro-entreprises : la box tout-en-un
Pour un commerce ou une très petite entreprise de moins de 10 postes, l’architecture gravite souvent autour de l’équipement fourni par le FAI (la « Box Internet »). C’est ce que l’on appelle un routeur SOHO (Small Office/Home Office). Il brouille les pistes en encapsulant un modem (fibre/cuivre), un routeur, un switch de 4 ports et un point d’accès Wi-Fi dans le même châssis.
Cette approche est économique, mais elle atteint très vite ses limites physiques (nombre de ports) et logiques (table NAT limitée causant des plantages réseau). Dans ce cas, l’extension se fait via l’ajout de switches non-manageables (Unmanaged) « Plug & Play », dont l’unique but est de multiplier les ports physiques.
Topologie PME et entreprise : segmentation et équipements dédiés
Dès lors que l’entreprise dépasse la vingtaine de collaborateurs ou héberge des données sensibles, la séparation stricte des rôles s’impose. En bordure de réseau, on place un routeur-firewall dédié (comme un boîtier pfSense ou Fortinet) qui va concentrer ses ressources CPU sur la sécurité périmétrique et les connexions VPN pour les télétravailleurs.
En dessous, le réseau s’appuie sur des commutateurs manageables. Cette architecture est d’ailleurs une fondation incontournable si vous êtes engagé dans la mise en conformité avec la directive NIS 2. Une telle topologie permet de créer des VLAN isolés (pour séparer le Wi-Fi invité du réseau comptable), et d’utiliser le PoE (Power over Ethernet) pour alimenter les points d’accès Wi-Fi, téléphones IP et caméras directement via le câble réseau.
Critères de sélection matérielle pour votre infrastructure
Acheter du matériel réseau ne doit jamais se faire sur un coup de tête au regard d’une promotion. Une analyse capacitaire précise est requise. Pour éviter le surdimensionnement inutile ou le sous-dimensionnement bloquant, il est d’ailleurs pertinent d’évaluer vos investissements IT avec une matrice impact effort afin de déterminer si le passage à du 10G ou au SDN est prioritaire pour votre business.
Avez-vous besoin d’un Switch manageable ou non-manageable ?
C’est la première question à se poser lors de l’extension d’un LAN. La différence de prix est notable, mais justifiée par les fonctionnalités. Optez impérativement pour du manageable si vous validez un de ces critères :
- ✓ Création de VLANs : Vous devez isoler le trafic (séparer les invités des employés, ou la téléphonie des données).
- ✓ Qualité de service (QoS) : Vous utilisez de la voix sur IP (VoIP) et devez garantir la priorité temporelle des paquets vocaux.
- ✓ Sécurité d’accès : Vous avez besoin de sécuriser les ports physiques via authentification RADIUS (standard 802.1X).
- ✓ Agrégation de liens : Vous souhaitez fusionner deux ports via LACP pour doubler la bande passante vers un serveur critique.
- ✓ Supervision : Vous avez besoin d’interroger vos équipements et de remonter des alertes via le protocole SNMP.
Si aucune de ces conditions n’est remplie, un switch « plug-and-play » non-manageable suffira pour de la simple connectivité de bureau.
Le dimensionnement critique : PoE, Backplane et Débit WAN
Lorsque vous validez la fiche technique d’un switch, deux éléments sont décisifs. D’abord, le Budget PoE : vérifiez la somme totale des watts (W) que le switch peut délivrer. Un switch avec 24 ports PoE n’a souvent pas l’alimentation suffisante pour fournir 30W (PoE+) simultanément sur tous les ports. Ensuite, la capacité de fond de panier (Backplane bandwidth) : pour un switch 24 ports Gigabit, elle doit être de 48 Gbps (24 ports x 1 Gbps x 2 pour le Full-Duplex) pour garantir une fluidité totale.
Pour un routeur, le piège classique est de lire le « débit de routage pur ». Un équipement peut annoncer 1 Gbps en routage, mais s’effondrer à 150 Mbps dès lors que vous activez l’inspection de paquets (IPS/IDS) ou un tunnel VPN IPsec (qui demande un cryptage lourd). Regardez toujours les métriques de type « VPN Throughput » ou « Threat Protection Throughput ». Enfin, privilégiez aujourd’hui des écosystèmes SDN (Software-Defined Networking) comme UniFi ou Omada, qui permettent de gérer vos routeurs, switches et bornes Wi-Fi depuis une interface unique, réduisant considérablement la complexité de l’administration au quotidien.
Conclusion
Distinguer routeur et switch va bien au-delà de la théorie : c’est un enjeu direct de performance, de budget et de fiabilité pour votre parc informatique. Le switch opère localement avec une force de commutation brute de niveau 2, tandis que le routeur apporte son intelligence de niveau 3 pour orchestrer les échanges vers l’extérieur. Dans une entreprise structurée, confier chaque tâche à l’équipement dédié (ou à un switch de niveau 3 judicieusement placé en cœur de réseau) est la garantie d’une infrastructure fluide et pérenne.
Gérez-vous actuellement les différents VLANs de votre entreprise via votre routeur principal ou avez-vous délégué cette tâche à un switch de niveau 3 ? Partagez vos retours d’expérience sur l’optimisation de vos flux réseau en commentaire.
