Temps de lecture : 8 minutes 47 secondes | Publication : 16 octobre 2025
EVPN-VXLAN Qu’est-ce qu’EVPN-VXLAN ?
EVPN-VXLAN est un fabric réseau qui prolonge la connectivité de couche 2 en tant qu’overlay réseau sur un réseau physique existant. Cette technologie en format ouvert permet de créer des réseaux plus agiles, sécurisés et évolutifs sur les campus et dans les datacenters.
Comprendre EVPN-VXLAN
EVPN-VXLAN est une technologie aux normes ouvertes qui outrepasse la limitation des réseaux VLAN traditionnels en créant un fabric réseau qui étend la connectivité de couche 2 comme un overlay réseau qui vient se placer au-dessus d’un réseau physique existant. EVPN-VXLAN comprend les éléments suivants :
- Un VPN Ethernet VPN (EVPN), qui fait office de plan de contrôle superposé et qui fournit une connectivité virtuelle entre les différents domaines de couche 2/3 par-dessus un réseau IP ou MPLS
- VXLAN, un protocole de superposition de virtualisation de réseau qui étend l’espace d’adressage réseau de couche 2 de 4 000 à 16 millions
Comprendre l’EVPN
Dans les réseaux de couche 2 traditionnels, les informations d’accessibilité sont distribuées dans le plan de données par inondation. Avec les réseaux EVPN-VXLAN, cette activité est transférée au plan de contrôle.
L’EVPN est une extension du protocole BGP (Border Gateway Protocol) qui permet au réseau d’acheminer les informations d’accessibilité des points de terminaison telles que les adresses MAC de couche 2 et les adresses IP de couche 3. Cette technologie de plan de contrôle utilise le MP-BGP pour la distribution des points de terminaison des adresses MAC et IP, où les adresses MAC sont traitées comme des routes.
L’EVPN assure également le transfert multipath et la redondance grâce à un modèle multihoming entièrement actif. Un terminal ou un équipement peut se connecter à deux équipements en amont ou plus, et acheminer le trafic en utilisant toutes les liaisons. En cas de défaillance d’une liaison ou d’un équipement, le trafic continue de circuler via les liaisons actives restantes.
Étant donné que l’apprentissage MAC est désormais géré dans le plan de contrôle, l’inondation (flooding), courante dans les réseaux de couche 2, est évitée. EVPN peut prendre en charge différentes technologies d’encapsulation du plan de données entre les commutateurs compatibles EVPN-VXLAN. Avec les architectures EVPN-VXLAN, VXLAN assure l’encapsulation du plan de données superposé.
Les overlays réseau sont créés en encapsulant le trafic et en le faisant transiter par un réseau physique. Le protocole de tunnellisation VXLAN encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 3, activant ainsi des réseaux ou des sous-réseaux virtuels de couche 2 pouvant s’étendre au réseau physique sous-jacent de couche 3. Le dispositif qui effectue l’encapsulation et la décapsulation VXLAN est appelé terminal de tunnel VXLAN (VTEP). L’EVPN permet aux appareils faisant office de VTEP d’échanger entre eux des informations de connectivité concernant leurs points de terminaison.
Dans un réseau de superposition VXLAN, chaque sous-réseau ou segment de couche 2 est identifié de manière unique par un identifiant de réseau virtuel (VNI). Un VNI segmente le trafic de la même manière qu’un ID VLAN segmente le trafic. Les points de terminaison au sein du même réseau virtuel peuvent communiquer directement entre eux, tandis que les points de terminaison dans des réseaux virtuels différents nécessitent un composant prenant en charge le routage inter-VNI (inter-VXLAN).
Principe de fonctionnement d’EVPN-VXLAN
EVPN-VXLAN permet aux entreprises de relier des sites géographiquement dispersés à l’aide d’un pont virtuel de couche 2. Il offre l’évolutivité requise par les fournisseurs de services cloud, et constitue souvent la technologie préférée pour les interconnexions de datacenter.
En tant que superposition, EVPN prend en charge l’architecture mutualisée et est hautement extensible, utilisant souvent des ressources issues de plusieurs datacenters pour fournir un seul service. Il peut en outre fournir une connectivité de couche 2 au-dessus de l’infrastructure physique pour les appareils dans un réseau virtuel, ou bien permettre un routage de couche 3.
Faisant office de plan de contrôle pour l’apprentissage des adresses MAC pour les réseaux de superposition, l’EVPN peut prendre en charge différentes technologies d’encapsulation de plan de données. Cette flexibilité est particulièrement intéressante pour les fabrics réseau qui ne sont pas rigoureusement basés sur le MPLS.
Le VXLAN encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 3, ce qui signifie que des sous-réseaux virtuels de couche 2 peuvent couvrir des réseaux sous-jacents de couche 3. Un identifiant réseau VXLAN (VNI) est utilisé pour segmenter chaque sous-réseau de couche 2 de la même manière que les identifiants de VLAN traditionnels.
Un terminal de tunnel VXLAN (VTEP) est un appareil compatible VXLAN qui encapsule et désencapsule les paquets. Dans le réseau physique, un commutateur fonctionne généralement comme une passerelle VXLAN de couche 2 ou 3 et est considéré comme un VTEP matériel. Les équivalents virtuels du réseau (ou VTEP logiciels) sont hébergés dans des hyperviseurs tels que VMware ESXi ou vSphere.
Comment expliquer l’essor actuel d’EVPN-VXLAN ?
La popularité croissante d’EVPN-VXLAN en tant que structure de réseau s’explique en grande partie par les limitations des réseaux VLAN traditionnels.
Dans les environnements de campus, la prolifération des points de terminaison due à la politique BYOD, à la mobilité des espaces de travail et à l’IoT nécessite la mise en œuvre de stratégies de segmentation précises pour cloisonner les différents profils d’utilisateurs, les appareils et le trafic.
Il en va de même dans les datacenters, où de plus en plus de charges de travail sont déployées pour soutenir la transformation numérique. L’informatique doit protéger et gérer individuellement les charges de travail tout en empêchant les pirates de se déplacer latéralement d’un serveur à l’autre en cas d’intrusion.
Créer un overlay fabric EVPN-VXLAN avec HPE Aruba Networking
La gamme de commutateurs réseau HPE Aruba Networking CX est conçue pour répondre aux exigences complexes, en évolution constante des réseaux de campus et de datacenter modernes, y compris les fabrics EVPN-VXLAN. Reposant sur une architecture non bloquante distribuée et optimisés par AOS-CX, les commutateurs HPE Aruba Networking CX assurent une efficacité opérationnelle informatique accrue ainsi qu’une haute disponibilité – de la couche d’accès à la couche d’agrégation, au cœur de réseau et au datacenter.
Commutateurs HPE Aruba Networking CX prenant en charge EVPN-VXLAN
HPE Aruba Networking Central NetConductor est la solution nouvelle génération adaptée à la complexité croissante des réseaux actuels. Elle permet aux entreprises tous types et toutes tailles confondus de configurer automatiquement leur infrastructure réseau local, WLAN et WAN de façon à fournir une performance réseau optimale. Elle applique également des politiques de sécurité définissant un contrôle d’accès granulaire, qui constituent la base des architectures zero trust et SASE.
Central NetConductor utilise des protocoles largement adoptés, tels qu’EVPN/VXLAN, pour produire un overlay réseau intelligent favorisant un déploiement rapide et une évolutivité massive des réseaux d’entreprise. La solution comprend des services cloud-native assurés par HPE Aruba Networking Central, une plateforme cloud-native qui constitue la base de HPE Aruba Networking Edge Services Platform (ESP) et peut être déployée sans avoir à remplacer intégralement l’infrastructure réseau existante.
EVPN-VXLAN en entreprise
Une architecture EVPN-VXLAN basée sur des normes présente plusieurs avantages sur un campus :
1. Les entreprises peuvent facilement ajouter des équipements aux couches de cœur, de distribution et d’accès pour leur activité en pleine croissance sans avoir à repenser entièrement leur architecture. En utilisant une sous-couche IP de couche 3 avec une couche de superposition EVPN-VXLAN, les opérateurs de réseau de campus peuvent déployer des réseaux beaucoup plus vastes que ceux disponibles avec les architectures Ethernet traditionnelles de couche 2.
2. EVPN-VXLAN permet aux clients de configurer facilement les mêmes VLAN dans différents bâtiments et sites, réduisant ainsi la complexité opérationnelle. Les mêmes VLAN peuvent être étendus à plusieurs bâtiments et à plusieurs sites.
3. EVPN-VXLAN permet aux entreprises d’utiliser des politiques basées sur les groupes pour déployer un ensemble commun de politiques et de services au sein des campus. Ceci réduit l’encombrement des filtres ACL/pare-feu sur les commutateurs du réseau d’entreprise.
4. Les politiques basées sur des groupes permettent également une microsegmentation afin d’offrir aux entreprises clientes un meilleur contrôle sur les utilisateurs finaux ou les appareils pouvant communiquer avec les appareils du réseau de campus.
EVPN-VXLAN dans le datacenter
Les datacenters modernes déployés à grande échelle utilisent généralement une architecture de fabric IP avec une superposition EVPN-VXLAN.
Le fabric IP permet de condenser les couches réseau traditionnelles en une architecture spine-and-leaf à deux niveaux optimisée pour les environnements à grande échelle. Ce réseau de couche 3 hautement interconnecté sert de sous-couche pour assurer une haute résilience et une faible latence sur l’ensemble de votre réseau et peut être facilement étendu horizontalement selon les besoins.
La superposition EVPN-VXLAN se situe au fabric IP, qui vous permet d’étendre et d’interconnecter vos domaines de datacenter de couche 2 et de placer des points de terminaison (tels que des serveurs ou des machines virtuelles) n’importe où dans le réseau, y compris d’un datacenter à l’autre.
Commutateurs HPE Aruba Networking CX prenant en charge EVPN-VXLAN
- HPE Aruba Networking CX 6200 Switch Series (VXLAN statique uniquement) : commutateurs d’accès empilables de couche 3 avec PoE et liaisons montantes 10 Gigabit
- HPE Aruba Networking CX 6300 Switch Series : commutateurs d’accès et d’agrégation empilables avec des liaisons montantes 10/25GbE (50GbE DAC), Smart Rate et PoE haute puissance
- HPE Aruba Networking CX 6400 Switch Series : commutateurs modulaires haute disponibilité pour un accès edge polyvalent aux déploiements de datacenter, avec jusqu’à 28 Tbit/s de capacité
- HPE Aruba Networking CX 8325 Switch Series : commutateurs compacts offrant une connectivité 1/10/25/40/100GbE, particulièrement adaptés aux cas d’utilisation leaf-spine
- HPE Aruba Networking CX 8360 Switch Series : commutateurs 1U compacts offrant une connectivité 1/10/25/40/100GbE haute performance
- HPE Aruba Networking CX 8400 Switch Series : commutateurs modulaires 8 logements offrant une résilience élevée et une capacité allant jusqu’à 19,2 Tbit/s, idéaux pour les déploiements de cœur de campus
- HPE Aruba Networking CX 9300Switch Series : commutateurs de datacenter 400GbE hautes performances avec 32 ports 100/200/400GbE
- HPE Aruba Networking CX 10000 Switch Series : 800 G de capacité de pare-feu stateful pour le trafic est-ouest, segmentation zero trust et télémétrie omniprésente
FAQ
Pourquoi EVPN-VXLAN gagne-t-il en popularité ?
EVPN et VXLAN fonctionnent ensemble pour créer des réseaux de campus et de datacenters hautement évolutifs, efficaces et agiles. EVPN-VXLAN découple l’infrastructure réseau des services et des applications spécifiques de chaque département ou de chaque client. Ce concept de virtualisation de réseau assure une isolation native du trafic et la possibilité d’étendre les services à n’importe quelle partie du réseau sans introduire de méthodes opérationnelles coûteuses telles que la mise en place de VLAN.
Qu’est-ce que la technologie EVPN ?
Les réseaux traditionnels nécessitent l’utilisation de matériel de commutation pour apprendre et conserver les adresses MAC lorsque les appareils se déplacent sur un réseau. Les diffusions sont nécessaires pour mettre à jour tous les appareils du même VLAN ou domaine de diffusion chaque fois qu’une nouvelle adresse MAC est apprise ou retirée, quel que soit l’emplacement des appareils. L’extension des VLAN à travers un réseau nécessite également l’évitement des boucles, pris en charge par des protocoles comme Spanning Tree. Pour éviter les boucles, le réseau doit fonctionner à 50 % d’efficacité en bloquant les ports sur chaque appareil. Les fournisseurs ont également mis en œuvre des technologies propriétaires pour atténuer le besoin de protocoles d’évitement de boucles. Cependant, cela introduit une dépendance fournisseur en raison d’un manque de normes.
Ces inefficacités créent des difficultés pour les clients qui prévoient une croissance et une expansion de leurs services.
Un VPN Ethernet (EVPN) résout ces problèmes grâce à la norme MP-BGP. L’EVPN prend en charge l’apprentissage et le retrait des adresses MAC via BGP sans avoir besoin d’une diffusion sur le réseau. L’EVPN prend en charge le multihoming actif-actif atténuant l’évitement des boucles ou les mécanismes de dépendance fournisseur.
Où l’EVPN est-il utilisé ?
Les datacenters modernes fonctionnant à grande échelle utilisent généralement une architecture IP Fabric avec EVPN-VXLAN. Les entreprises réseau qui nécessitent une évolutivité sans avoir à repenser leur architecture avec un nouvel ensemble d’équipements exploitent EVPN-VXLAN.
Les entreprises qui ont besoin d’ensembles communs de politiques et de services sur leurs campus déploient EVPN-VXLAN. Ceci permet aux opérateurs de réseau de déployer des réseaux beaucoup plus vastes que ceux disponibles avec les architectures Ethernet de couche 2 traditionnelles.
Les fournisseurs de services migrent du service VPLS (Virtual Private LAN Service) vers EVPN pour profiter de la prise en charge native par l’EVPN du multihoming actif-actif, de la réduction du protocole de résolution d’adresse (ARP) et de MAC flooding, ainsi que d’une plus grande efficacité du réseau.
Quelle est la différence entre les protocoles VPLS et EVPN ?
Les protocoles basés sur le contrôle comme EVPN, VPLS voire L2VPN résolvent le problème hérité du système flood-and-learn. Ils sont néanmoins principalement pilotés par MPLS. Avec l’avènement du VXLAN comme protocole de superposition privilégié pour les infrastructures IP, l’EVPN s’affranchit des exigences de transport MPLS traditionnelles en utilisant le VXLAN comme protocole de transport.
Les avantages de l’EVPN sur VPLS sont les suivants :
- Efficacité accrue du réseau
- Réduction de l’inondation d’unicast inconnu grâce à l’apprentissage MAC dans le plan de contrôle
- Réduction du flooding ARP grâce à la liaison MAC-IP dans le plan de contrôle
- Trafic multipath sur plusieurs commutateurs spine (entropie VXLAN)
- Trafic multipath vers un serveur actif-actif doublement rattaché
- Passerelle de couche 3 distribuée : convergence rapide VMTO
- Reconvergence plus rapide en cas de défaillance de la connexion à un serveur doublement rattaché (aliasing)
- Évolutivité avec une reconvergence plus rapide lors de la migration d’une machine virtuelle
- Flexibilité avec une évolutivité très élevée du plan de contrôle basé sur le BGP
- Intégration facile avec les VPN L3 et L2 pour l’interconnexion de datacenters (DCI)
- Plan de contrôle basé sur le BGP qui permet d’appliquer des politiques très précises
Quelle est la différence entre les protocoles VPN et EVPN ?
Les technologies VPN sont déployées dans les réseaux des fournisseurs de services pour permettre à plusieurs clients ou locataires de partager une infrastructure réseau unique en utilisant des réseaux virtuels pour répondre aux exigences de séparation logique du trafic. Le protocole BGP est utilisé pour séparer les réseaux virtuels en routeurs de routage virtuels (VRF) alors que le transport sous-jacent est le MPLS.
Les fournisseurs de services continuent d’utiliser le MPLS car ils possèdent généralement la majeure partie de l’infrastructure réseau utilisée par leurs clients. Ceci permet à chaque fournisseur de services de contrôler respectivement la qualité de service de bout en bout et une politique réseau stricte. Par conséquent, les fournisseurs de services proposent des services L2VPN et L3VPN à leurs clients en supposant un transport MPLS.
Dans le cas des datacenters et des réseaux d’entreprise, la qualité de service (QoS) et le contrôle des politiques réseau sont essentiels et il est préférable que leur gestion soit réalisée en interne plutôt que confiée à une entité tierce telle qu’un fournisseur de services. L’extensibilité de la couche 2 et l’accessibilité au cloud sont d’autres facteurs qui obligent les datacenters et les entreprises à utiliser un transport IP-native.
Le VXLAN est un protocole de tunnellisation standard qui permet au trafic de couche 2 de circuler sur n’importe quel réseau IP. Le VXLAN prend également en charge jusqu’à 16 millions de réseaux logiques tout en permettant l’adjacence de couche 2 via les réseaux IP. Le VXLAN est adopté par des réseaux de datacenters et d’entreprise pour ces raisons, ainsi que pour sa capacité à contrôler leur QoS et leurs politiques réseau sans dépendance envers des tiers.
Avec l’avènement du VXLAN comme protocole de superposition privilégié pour les infrastructures IP, l’EVPN s’affranchit des exigences de transport MPLS traditionnelles en utilisant le VXLAN comme protocole de transport. L’illustration suivante présente les avantages de l’EVPN dans les déploiements de datacenters et de campus, ainsi que les différences avec les déploiements basés sur le MPLS :
- Efficacité accrue du réseau
- Réduction de l’inondation d’unicast inconnu grâce à l’apprentissage MAC dans le plan de contrôle
- Réduction du flooding ARP grâce à la liaison MAC-IP dans le plan de contrôle
- Trafic multipath sur plusieurs commutateurs spine (entropie VXLAN)
- Trafic multipath vers un serveur actif-actif doublement rattaché
- Passerelle distribuée de couche 3 : optimisation du trafic des machines virtuelles (VMTO)
- Convergence rapide
- Reconvergence plus rapide en cas de défaillance de la connexion au serveur doublement rattaché (aliasing)
- Reconvergence plus rapide lors du déplacement d’une machine virtuelle
- Évolutivité
- Plan de contrôle basé sur BGP très évolutif
- Flexibilité
- Intégration facile avec les VPN L3 et L2 pour DCI
- Plan de contrôle basé sur BGP qui permet d’appliquer des politiques fines
L’EVPN est la seule solution entièrement basée sur des normes qui offre ces avantages pour un protocole de plan de contrôle de datacenter et de campus.
Pourquoi utiliser une superposition VXLAN ?
Le VXLAN permet aux administrateurs réseau de créer des réseaux logiques de couche 2 entre différents réseaux de couche 3. Le VXLAN dispose d’un espace d’identifiants de réseau virtuel (VNID) de 24 bits, ce qui permet de créer 16 millions de réseaux logiques. Implémenté au niveau matériel, le VXLAN prend en charge le transport de paquets natifs Ethernet à l’intérieur d’un tunnel encapsulé. Le VXLAN est devenu la norme de facto pour les superpositions terminées sur des commutateurs physiques. Il est pris en charge par des plateformes de commutation Juniper Networks Campus et de datacenter.
Les superpositions VXLAN offrent plusieurs avantages :
- Élimination du protocole Spanning Tree (STP)
- Meilleure évolutivité
- Résilience améliorée
- Confinement des pannes/isolation du trafic
