Lesezeit: 8 Minuten 47 Sekunden | Veröffentlicht: 16. Oktober 2025
EVPN-VXLAN Was ist EVPN-VXLAN?
EVPN-VXLAN ist eine Netzwerk-Fabric, zur Ausweitung der Layer-2-Konnektivität in Form eines Netzwerk-Overlays über einem bestehenden physischen Netzwerk. Es handelt sich um einen offenen Standard, der agilere, sicherere und besser skalierbare Netzwerke in Campus und Rechenzentren ermöglicht.
EVPN-VXLAN erklärt
EVPN-VXLAN ist ein offener Standard, der die Beschränkungen herkömmlicher VLAN-basierter Netzwerke überwindet, indem eine Netzwerk-Fabric aufgebaut wird, die die Layer 2-Konnektivität in Form eines Netzwerk-Overlays über einem bestehenden physischen Netzwerk erweitert. EVPN-VXLAN besteht aus:
- Ethernet VPN (EVPN) wird als Overlay-Steuerungsebene genutzt und ermöglicht eine virtuelle Konnektivität zwischen Layer-2/3-Domains über ein IP- oder ein MPLS-Netzwerk
- Virtuell erweiterbaren LANs (VXLAN), einem gängigen Netzwerk-Virtualisierungs-Overlay-Protokoll, das den Layer 2-Netzwerkadressraum von 4.000 auf 16 Millionen erweitert
Hintergrundinformationen zu EVPN
In traditionellen Layer 2-Netzwerken werden Erreichbarkeitsinformationen durch Flooding in der Datenebene verteilt. Bei EVPN VXLAN-Netzwerken verlagert sich diese Aktivität auf die Steuerungsebene.
EVPN ist eine Erweiterung des Border Gateway Protocol (BGP), die es dem Netzwerk ermöglicht, Informationen zur Erreichbarkeit von Endpunkten wie Layer 2-MAC-Adressen und Layer 3-IP-Adressen zu übertragen. Diese Steuerungsebenentechnologie verwendet MP-BGP für die Verteilung von MAC- und IP-Adressen an Endpunkte, wobei MAC-Adressen als Routen behandelt werden.
EVPN bietet außerdem Mehrwege-Weiterleitung und Redundanz durch ein vollständig aktives Multihoming-Modell. Ein Endpunkt oder Gerät kann sich mit zwei oder mehr vorgelagerten Geräten verbinden und den Datenverkehr über alle Verbindungen weiterleiten. Fällt eine Verbindung oder ein Gerät aus, wird der Datenverkehr über die verbleibenden aktiven Verbindungen aufrechterhalten.
Da das MAC-Lernen nun in der Steuerungsebene erfolgt, wird das bei Layer 2-Netzwerken häufig auftretende Flooding vermieden. EVPN kann verschiedene Datenkapselungstechnologien zwischen EVPN-VXLAN-fähigen Switches unterstützen. Bei EVPN-VXLAN-Architekturen übernimmt VXLAN die Kapselung der Overlay-Datenebene.
Netzwerk-Overlays entstehen durch die Kapselung des Datenverkehrs und dessen Tunnelung über ein physisches Netzwerk. Das VXLAN-Tunneling-Protokoll fasst Layer 2-Ethernet-Frames in Layer 3-UDP-Paketen zusammen und ermöglicht so die Erstellung virtueller Layer 2-Netzwerke oder Subnetze, die sich über das zugrundeliegende physische Layer 3-Netzwerk erstrecken können. Das Gerät, das die VXLAN-Kapselung und -Dekapselung durchführt, wird als VXLAN-Tunnelendpunkt (VXLAN Tunnel Endpoint, VTEP) bezeichnet. EVPN ermöglicht es Geräten, die als VTEPs fungieren, untereinander Erreichbarkeitsinformationen über ihre Endpunkte auszutauschen.
In einem VXLAN-Overlay-Netzwerk wird jedes Layer 2-Subnetz bzw. -Segment eindeutig durch eine virtuelle Netzwerkkennung (Virtual Network Identifier, VNI) identifiziert. Eine VNI segmentiert den Datenverkehr auf die gleiche Weise wie eine VLAN-ID den Datenverkehr segmentiert – Endpunkte innerhalb desselben virtuellen Netzwerks können direkt miteinander kommunizieren, während Endpunkte in verschiedenen virtuellen Netzwerken ein Gerät benötigen, das Inter-VNI-Routing (Inter-VXLAN-Routing) unterstützt.
Wie funktioniert EVPN-VXLAN?
EVPN-VXLAN ermöglicht Unternehmen, geografisch verteilte Standorte mithilfe virtuellen Layer 2-Bridgings zu verbinden. EVPN-VXLAN ermöglicht den von Cloud-Dienstanbietern benötigten Maßstab und ist häufig die bevorzugte Technologie für Verbindungen zwischen Rechenzentren.
EVPN als Overlay unterstützt Mandantenfähigkeit und ist hochgradig erweiterbar, häufig mithilfe von Ressourcen unterschiedlicher Rechenzentren zur Bereitstellung eines einzelnen Services. Es kann Layer 2-Verbindungen über physische Infrastruktur für Geräte in einem virtuellen Netzwerk bereitstellen oder ein Layer 3-Routing ermöglichen.
Da es als MAC-Adressen lernende Steuerungsebene für Overlay-Netzwerke dient, kann EVPN unterschiedliche Verkapselungstechnologien für die Datenebene unterstützen. Diese Flexibilität ist insbesondere für nicht strikt MPLS-basierte Netzwerk-Fabrics interessant.
VXLAN kapselt Layer 2-Ethernet-Frames in Layer 3-UDP-Paketen ein, d. h. virtuelle Layer 2-Subnetze können sich auf darunter liegende Layer-3-Netzwerke erstrecken. Ein VXLAN Netzwerk-Identifikator (VNI) wird verwendet, um jedes Layer 2-Subnetz zu segmentieren, ähnlich wie bei herkömmlichen VLAN-IDs.
Ein VXLAN-Tunnel-Endpunkt (VTEP) ist ein VXLAN-fähiges Gerät, das Pakete einkapselt und entkapselt. Im physischen Netzwerk fungiert üblicherweise ein Switch als Layer 2- oder Layer 3-VXLAN-Gateway und wird als Hardware-VTEP angesehen. Die Entsprechungen im virtuellen Netzwerk werden als Software-VTEPs bezeichnet, die auf Hypervisoren wie VMWare SXi oder vSphere gehostet werden.
Warum EVPN-VXLAN jetzt?
EVPN-VXLAN hat sich zu einem beliebten Netzwerk-Framework entwickelt, im Wesentlichen aufgrund der Einschränkungen bei herkömmlichen VLAN-basierten Netzwerken.
Innerhalb von Campus-Umgebungen führt die Verbreitung von Endgeräten aufgrund von BYOD, Arbeitsplatz-Mobilität und IoT-Nutzung zu einem Bedarf an detaillierteren Segmentierungsstrategien, um verschiedene Benutzer-, Geräte- und Datenverkehrsprofile zu trennen.
In Rechenzentren ist die Situation ähnlich, wo ständig wachsende Workloads bereitgestellt werden, um die digitale Transformation zu unterstützen. Die IT-Abteilung muss die Workloads einzeln schützen und verwalten sowie gleichzeitig verhindern, dass Hacker bei einem Sicherheitsverstoß buchstäblich von Server zu Server ziehen.
Aufbau eines EVPN-VXLAN-Fabric-Overlays mit HPE Aruba Networking
Das HPE Aruba Networking CX Portfolio mit Netzwerk-Switches wurde für die komplexen Anforderungen moderner Campus- und Rechenzentrumsnetzwerke entwickelt, einschließlich EVPN-VXLAN-basierter Fabrics. HPE Aruba Networking CX Switches basieren auf einer verteilten, blockierungsfreien Architektur und werden durch AOS-CX unterstützt, sodass sie eine bessere IT-Betriebseffizienz sowie Hochverfügbarkeit von der Zugriffsebene über die Aggregation und den Kern bis hin zum Rechenzentrum ermöglichen.
HPE Aruba Networking CX Switches, die EVPN-VXLAN unterstützen
HPE Aruba Networking Central NetConductor ist die nächste Lösungsgeneration für zunehmend komplexe Netzwerke, die Unternehmen jeder Art und Größenordnung die Konfiguration der LAN-, WLAN- und WAN-Infrastruktur ermöglicht, um optimale Netzwerkleistung zu bieten und gleichzeitig Sicherheitsrichtlinien für eine granulare Zugriffssteuerung durchzusetzen, um die Grundlage für Zero Trust- und SASE-Architekturen zu schaffen.
Central NetConductor nutzt gängige Protokolle wie EVPN/VXLAN, um ein intelligentes Netzwerk-Overlay aufzubauen, das schnelle Bereitstellungen über das Unternehmens-Netzwerk sowie eine umfassende Skalierbarkeit ermöglicht. Das Framework umfasst Cloud-native Services, die über HPE Aruba Networking Central bereitgestellt werden, eine Cloud-native Plattform, die als Basis für die HPE Aruba Networking Edge Services Platform (ESP) dient und ohne Komplettaustausch der gegenwärtigen Netzwerkinfrastruktur bereitgestellt werden kann.
EVPN-VXLAN im Unternehmen
Eine standardbasierte EVPN-VXLAN-Architektur auf dem Campus bietet mehrere Vorteile:
1. Unternehmen können problemlos weitere Kern-, Verteilungs- und Zugriffsebenengeräte zu einem wachsenden Unternehmen hinzufügen, ohne die Architektur durch eine Neugestaltung mit neuen Geräten aktualisieren zu müssen. Durch die Verwendung eines Layer 3-IP-basierten Underlays mit einem EVPN-VXLAN-Overlay können Campus-Netzwerkbetreiber wesentlich größere Netzwerke bereitstellen, als dies mit herkömmlichen Layer 2-Ethernet-basierten Architekturen möglich ist.
2. EVPN-VXLAN ermöglicht es Kunden, dieselben VLANs einfach über Gebäude und verschiedene Standorte hinweg zu konfigurieren und so die betriebliche Komplexität zu reduzieren. Dieselbe VLAN-Architektur kann über mehrere Gebäude und Standorte hinweg genutzt werden.
3. EVPN-VXLAN ermöglicht es Unternehmen, gruppenbasierte Richtlinien zu nutzen, um einen gemeinsamen Satz von Richtlinien und Services campusweit bereitzustellen. Dadurch wird die Anzahl der ACL-/Firewall-Filter auf den Switches im gesamten Unternehmensnetzwerk reduziert.
4. Gruppenbasierte Richtlinien ermöglichen zudem eine Mikrosegmentierung, um Unternehmenskunden eine bessere Kontrolle darüber zu geben, welche Endbenutzer oder Geräte im gesamten Campusnetzwerk miteinander kommunizieren können.
EVPN-VXLAN im Rechenzentrum
Moderne Rechenzentren in großem Maßstab verwenden typischerweise eine IP-Fabric-Architektur mit einem EVPN-VXLAN-Overlay.
Die IP-Fabric ermöglicht es Ihnen, traditionelle Netzwerkebenen in eine zweistufige Spine-and-Leaf-Architektur zu überführen, die für großflächige Umgebungen optimiert ist. Dieses hochgradig vernetzte Layer 3-Netzwerk dient als Underlay, um eine hohe Ausfallsicherheit und geringe Latenz in Ihrem Netzwerk zu gewährleisten und kann bei Bedarf problemlos horizontal skaliert werden.
Das EVPN-VXLAN-Overlay liegt auf der IP-Fabric auf und ermöglicht es Ihnen, Ihre Layer 2-Rechenzentrumsdomänen zu erweitern und zu verbinden sowie Endpunkte (wie Server oder virtuelle Maschinen) an beliebiger Stelle im Netzwerk zu platzieren, auch über verschiedene Rechenzentren hinweg.
HPE Aruba Networking CX Switches, die EVPN-VXLAN unterstützen
- HPE Aruba Networking CX 6200 Switch Series: (nur statisches VXLAN): stapelbare Layer 3-Access-Switches mit PoE und 10-Gigabit-Uplinks
- HPE Aruba Networking CX 6300 Switch Series: Stacking-fähige Access und Aggregation Switches mit 10/25GbE Uplinks (50 GbE DAC) sowie Unterstützung für Smart Rate und Hochleistungs-PoE
- HPE Aruba Networking CX 6400 Switch Series: Modulare Hochverfügbarkeits-Switches für flexiblen Edge-Zugriff auf Rechenzentrumsbereitstellungen mit bis zu 28 Tbit/s Kapazität
- HPE Aruba Networking CX 8325 Switch Series: Kompakte Switches mit 1/10/25/40/100 GbE Konnektivität, ideal für Leaf-and-Spine-Anwendungsfälle
- HPE Aruba Networking CX 8360 Switch Series: 1/10/25/40/100 GbE Hochleistungs-Konnektivität in einem kompakten 1HE-Formfaktor
- HPE Aruba Networking CX 8400 Switch Series: Hochgradig ausfallsicherer modularer Switch mit 8 Steckplätzen und bis zu 19,2 Tbit/s Kapazität, ideal für den Campus-Kern
- HPE Aruba Networking CX 9300 Switch Series: Hochleistungs-Rechenzentrums-Switch mit 400 GbE und 32 Anschlüssen für 100/200/400 GbE
- HPE Aruba Networking CX 10000 Switch Series: 800 G verteilte Stateful Firewall für Ost-West-Datenverkehr, Zero Trust-Segmentierung und durchgängige Telemetrie
FAQs
Warum gewinnt EVPN-VXLAN an Popularität?
EVPN und VXLAN arbeiten zusammen, um hochskalierbare, effiziente und agile Campus- und Rechenzentrumsnetzwerke zu schaffen. EVPN-VXLAN entkoppelt die Netzwerkinfrastruktur von den Services und Anwendungen, die für die einzelnen Abteilungen oder die einzelnen Kunden relevant sind. Dieses Konzept der Netzwerkvirtualisierung bietet native Verkehrsisolation und die Möglichkeit, Services auf jeden Teil des Netzwerks auszudehnen, ohne kostspielige Betriebsmethoden wie die Einrichtung von VLANs einzuführen.
Was ist die EVPN-Technologie?
Herkömmliche Netzwerke benötigen Switching-Hardware, um MAC-Adressen zu lernen und zu verwalten, während sich Geräte innerhalb eines Netzwerks bewegen. Broadcasts sind erforderlich, um alle Geräte im selben VLAN oder in derselben Broadcast-Domäne zu aktualisieren, sobald eine neue MAC-Adresse erlernt oder entzogen wird, unabhängig davon, wo sich die Geräte befinden. Die Erweiterung von VLANs über ein Netzwerk erfordert auch die Vermeidung von Schleifen, was durch Protokolle wie Spanning Tree unterstützt wird. Um Schleifen zu vermeiden, muss das Netzwerk mit einer Effizienz von 50 Prozent arbeiten, indem Anschlüsse an jedem Gerät blockiert werden. Die Anbieter haben außerdem proprietäre Technologien implementiert, um den Bedarf an Schleifenvermeidungsprotokollen zu verringern. Das führt jedoch aufgrund fehlender Standards zu einer Abhängigkeit von einzelnen Anbietern.
Diese Ineffizienzen stellen Kunden, die Wachstum und eine Erweiterung ihrer Dienstleistungen planen, vor Herausforderungen.
Ethernet-VPN oder EVPN löst diese Probleme durch den standardbasierten MP-BGP. EVPN unterstützt das Lernen und Zurückziehen von MAC-Adressen über BGP, ohne dass eine Übertragung im gesamten Netzwerk erforderlich ist. EVPN unterstützt Active-Active Multihoming zur Vermeidung von Schleifen oder proprietären Mechanismen mit Abhängigkeit von einem Anbieter.
Wo wird EVPN eingesetzt?
Moderne Rechenzentren, die im großen Maßstab betrieben werden, nutzen typischerweise eine IP-Fabric-Architektur mit EVPN-VXLAN. Unternehmensnetzwerke, die Skalierbarkeit erfordern, ohne mit neuen Geräten neu konzipiert werden zu müssen, nutzen EVPN-VXLAN.
Unternehmen, die campusübergreifend einheitliche Richtlinien und Services benötigen, setzen EVPN-VXLAN ein. Das ermöglicht es Netzwerkbetreibern, wesentlich größere Netzwerke zu realisieren, als es mit herkömmlichen Layer 2-Ethernet-basierten Architekturen möglich ist.
Serviceprovider migrieren von virtuellen privaten LAN-Services (VPLS) zu EVPN, um von der nativen Unterstützung von Active-Active Multihoming, dem reduzierten Address Resolution Protocol (ARP) und MAC Flooding sowie der höheren Netzwerkeffizienz von EVPN zu profitieren.
Was ist der Unterschied zwischen VPLS und EVPN?
Kontrollbasierte Protokolle wie EVPN, VPLS und sogar L2VPN lösen das Problem des herkömmlichen Flood-and-Learn-Verfahrens. Allerdings wurden sie überwiegend auf MPLS-Basis entwickelt. Angesichts der zunehmenden Verbreitung von VXLAN als bevorzugtes Overlay-Protokoll für IP-Fabrics geht EVPN einen anderen Weg als die traditionellen MPLS-Transportanforderungen und nutzt VXLAN als Transportprotokoll.
Zu den Vorteilen von EVPN gegenüber VPLS gehören:
- Verbesserte Netzwerkeffizienz
- Reduzierte Unicast-Flutung unbekannter Signale durch MAC-Lernen auf der Steuerungsebene
- Reduzierte ARP-Flutung durch MAC-zu-IP-Bindung in der Steuerungsebene
- Mehrwegeverkehr über mehrere Spine-Switches (VXLAN-Entropie)
- Mehrwegeverkehr zu einem Active-Active Dual-Homed-Server
- Verteiltes Layer 3-Gateway: Schnelle VMTO-Konvergenz
- Schnellere Rekonvergenz bei Verbindungsfehlern zu Dual-Homed-Servern (Aliasing)
- Schnellere Rekonvergenz bei der Verschiebung einer VM-Skalierbarkeit
- Sehr skalierbare BGP-basierte Steuerungsebene Flexibilität
- Einfache Integration mit L3VPNs und L2VPNs für Data Center Interconnect (DCI)
- Eine BGP-basierte Steuerungsebene, die die Möglichkeit bietet, fein abgestufte Richtlinien anzuwenden
Was ist der Unterschied zwischen VPN und EVPN?
VPN-Technologien werden in den Netzwerken von Serviceprovidern eingesetzt, um mehreren Kunden oder Tenants die Möglichkeit zu geben, eine einzige Netzwerkinfrastruktur mithilfe virtueller Netzwerke zur logischen Trennung des Datenverkehrs gemeinsam zu nutzen. BGP wird verwendet, um virtuelle Netzwerke in Virtual Route Forwarders (VRFs) zu unterteilen, während der zugrunde liegende Transport MPLS ist.
Serviceprovider nutzen weiterhin MPLS, da sie in der Regel den Großteil der Netzwerkinfrastruktur besitzen, die ihre Kunden nutzen. Das ermöglicht es jedem Serviceprovider, die durchgängige Servicequalität (QoS) und die strenge Netzwerkrichtlinie selbst zu kontrollieren. Daher bieten Serviceprovider L2VPN und L3VPN als Services für ihre Kunden unter der Voraussetzung einer MPLS-Transportverbindung an.
Bei Rechenzentren und Unternehmensnetzwerken sind QoS und Netzwerkrichtlinienkontrolle von entscheidender Bedeutung und sollten am besten intern und nicht von einem Drittanbieter wie einem Dienstleister gewährleistet werden. Layer 2-Erweiterbarkeit und Cloud-Zugänglichkeit sind weitere Faktoren, die Rechenzentren und Unternehmen dazu zwingen, einen nativen IP-Transport zu nutzen.
VXLAN ist ein Standard-Tunneling-Protokoll, das es ermöglicht, Layer 2-Datenverkehr über jedes beliebige IP-Netzwerk zu leiten. VXLAN unterstützt außerdem bis zu 16 Millionen logische Netzwerke und ermöglicht gleichzeitig die Layer 2-Nähe über IP-Netzwerke. Aus diesen Gründen sowie aufgrund der Möglichkeit, QoS und Netzwerkrichtlinien ohne Abhängigkeit von Drittanbietern zu steuern, wurde VXLAN von Rechenzentrums- und Unternehmensnetzwerken übernommen.
Angesichts der zunehmenden Verbreitung von VXLAN als bevorzugtes Overlay-Protokoll für IP-Fabrics geht EVPN einen anderen Weg als die traditionellen MPLS-Transportanforderungen und nutzt VXLAN als Transportprotokoll. Im Folgenden werden die Vorteile von EVPN in Rechenzentrums- und Campus-Umgebungen sowie die Unterschiede zu MPLS-basierten Umgebungen verdeutlicht:
- Verbesserte Netzwerkeffizienz
- Reduzierte Unicast-Flutung unbekannter Signale durch MAC-Lernen auf der Steuerungsebene
- Reduzierte ARP-Flutung durch MAC-zu-IP-Bindung in der Steuerungsebene
- Mehrwegeverkehr über mehrere Spine-Switches (VXLAN-Entropie)
- Mehrwegeverkehr zu einem Active-Active Dual-Homed-Server
- Verteiltes Layer 3-Gateway: Virtual Machine Traffic Optimization (VMTO)
- Schnelle Konvergenz
- Schnellere Rekonvergenz bei Verbindungsfehlern zu Dual-Homed-Servern (Aliasing)
- Schnellere Rekonvergenz bei der Verschiebung einer VM
- Skalierbarkeit
- Sehr skalierbare BGP-basierte Steuerungsebene
- Flexibilität
- Einfache Integration mit L3VPNs und L2VPNs für DCI
- Eine BGP-basierte Steuerungsebene, die die Möglichkeit bietet, fein abgestufte Richtlinien anzuwenden
EVPN ist die einzige vollständig standardbasierte Lösung, die diese Vorteile für ein Rechenzentrums- und Campus-Steuerungsebenenprotokoll bietet.
Warum wird ein VXLAN-Overlay verwendet?
VXLAN ermöglicht es Netzwerkadministratoren, logische Layer 2-Netzwerke über verschiedene Layer 3-Netzwerke hinweg zu erstellen. VXLAN verfügt über einen 24-Bit-VNID-Bereich (Virtual Network ID), der 16 Millionen logische Netzwerke ermöglicht. VXLAN ist in die Hardware implementiert und unterstützt den Transport nativer Ethernet-Pakete innerhalb einer Tunnelkapselung. VXLAN hat sich zum De-facto-Standard für Overlays entwickelt, die auf physischen Switches terminiert werden, und wird von Juniper Networks Campus- und Data-Center-Switching-Plattformen unterstützt.
VXLAN-Overlays bieten mehrere Vorteile:
- Abschaffung des Spanning Tree Protocol (STP)
- Bessere Skalierbarkeit
- Erhöhte Ausfallsicherheit
- Fehlerbegrenzung/Verkehrsisolierung
