Tempo di lettura: 8 minuti e 47 secondi | Pubblicazione: 16° ottobre 2025
L’EVPN-VXLAN Cos’è l’EVPN-VXLAN?
L’EVPN-VXLAN è un fabric di rete che estende la connettività di livello 2 sotto forma di overlay di rete sopra una rete fisica esistente. Questa tecnologia basata su standard aperti serve a creare reti più agili, sicure e scalabili in ambienti campus e data center.
Descrizione della EVPN-VXLAN
L’EVPN-VXLAN è una tecnologia basata su standard aperti che risolve le limitazioni delle tradizionali reti basate su VLAN creando un fabric di rete che estende la connettività di livello 2 sotto forma di overlay di rete sopra una rete fisica esistente. L’EVPN-VXLAN consiste di:
- VPN Ethernet (EVPN) che viene utilizzata come piano di controllo dell’overlay e fornisce connettività virtuale tra domini diversi di livello 2/3 su una rete IP o MPLS;
- Virtual eXtensible LAN (VXLAN), un protocollo comune di overlay per la virtualizzazione della rete che espande lo spazio di indirizzi della rete di livello 2 da 4.000 a 16 milioni
Capire l’EVPN
Nelle reti tradizionali di livello 2, le informazioni di raggiungibilità vengono distribuite nel piano dati tramite flooding. Con le reti EVPN-VXLAN, questa attività si sposta sul piano di controllo.
L’EVPN è un'estensione del Border Gateway Protocol (BGP) che consente alla rete di trasportare informazioni sulla raggiungibilità degli endpoint, come gli indirizzi MAC di livello 2 e gli indirizzi IP di livello 3. Questa tecnologia del piano di controllo utilizza MP-BGP per la distribuzione degli endpoint degli indirizzi MAC e IP, dove gli indirizzi MAC vengono trattati come route.
Inoltre, l’EVPN garantisce l’inoltro multipercorso e la ridondanza tramite un modello multihoming completamente attivo. Un endpoint o un dispositivo può connettersi a due o più dispositivi upstream e inoltrare il traffico mediante tutti i link. Se un link o un dispositivo si guasta, il traffico continua a fluire utilizzando i link attivi rimanenti.
Poiché l'apprendimento MAC viene ora gestito nel piano di controllo, si evita il flooding, fenomeno comune nelle reti di livello 2. L’EVPN è in grado di supportare diverse tecnologie di incapsulamento del piano dati tra switch abilitati per EVPN-VXLAN. Con le architetture EVPN-VXLAN, la VXLAN fornisce l'incapsulamento del piano dati overlay.
Gli overlay di rete vengono creati incapsulando il traffico ed eseguendone il tunneling su una rete fisica. Il protocollo di tunneling VXLAN incapsula i frame Ethernet di livello 2 in pacchetti UDP di livello 3, abilitando reti virtuali o subnet di livello 2 che possono estendersi sulla rete fisica di livello 3 sottostante. Il dispositivo che esegue l'incapsulamento e il decapsulamento della VXLAN viene chiamato tunnel endpoint VXLAN (VTEP). L’EVPN consente ai dispositivi che fungono da VTEP di scambiarsi le informazioni sulla raggiungibilità sui propri endpoint.
In una rete overlay VXLAN, ogni subnet o segmento di livello 2 è identificato in modo univoco da un identificatore di rete virtuale (VNI). Una VNI segmenta il traffico nello stesso modo in cui lo segmenta un ID VLAN: gli endpoint all'interno della stessa rete virtuale possono comunicare direttamente tra loro, mentre gli endpoint in reti virtuali diverse richiedono un dispositivo che supporta il routing inter-VNI (inter-VXLAN).
Come funziona l’EVPN-VXLAN?
L’EVPN-VXLAN consente alle organizzazioni di connettere località geograficamente distanti tramite bridging virtuale di livello 2. L’EVPN-VXLAN fornisce la scala richiesta dai cloud service provider ed è spesso la tecnologia preferita per le interconnessioni del data center.
L’EVPN, sotto forma di overlay, supporta l’architettura multi-tenant ed è altamente estensibile, spesso tramite risorse provenienti da diversi data center per offrire un singolo servizio. Può fornire connettività di livello 2 su un’infrastruttura fisica per i dispositivi connessi a una rete virtuale o abilitare il routing di livello 3.
Poiché funge da piano di controllo a fini dell’apprendimento di indirizzi MAC per le reti di overlay, l’EVPN può supportare diverse tecnologie di incapsulamento del piano dati. Questa flessibilità è particolarmente interessante per i fabric di rete non strettamente basati su MPLS.
La tecnologia VXLAN incapsula i frame Ethernet di livello 2 in pacchetti UDP di livello 3: questo significa che le subnet di livello 2 possono estendersi nelle reti di livello 3 sottostanti. Un network identifier (VNI) VXLAN segmenta ogni subnet di livello 2 analogamente agli ID VLAN tradizionali.
Un tunnel endpoint VXLAN (VTEP) è un dispositivo con supporto VXLAN che incapsula e deincapsula i pacchetti. Nella rete fisica, uno switch funziona generalmente come gateway VXLAN di livello 2 o 3 ed è considerato un VTEP hardware. Gli equivalenti per rete virtuale sono noti come VTEP software, ospitati in hypervisor come VMware ESXi o vSphere.
Perché l’EVPN-VXLAN adesso?
L’EVPN-VXLAN è emerso come framework di rete ampiamente diffuso soprattutto per le limitazioni delle reti tradizionali basate su VLAN.
All’interno degli ambienti campus, la proliferazione degli endpoint determinata dal modello BYOD, dalla mobilità del posto di lavoro e dall’IoT sta facendo emergere l'esigenza di strategie di segmentazione più granulari, per separare i diversi profili di utenti, dispositivi e traffico.
Il discorso è simile nei data center, in cui vengono distribuiti carichi di lavoro in costante aumento a supporto della trasformazione digitale. L’IT deve proteggere e gestire i carichi di lavoro su base individuale, impedendo al contempo agli hacker di spostarsi da un server all’altro in caso di violazione.
Sviluppo di un overlay di fabric EVPN-VXLAN con HPE Aruba Networking
Il portafoglio di switch di rete HPE Aruba Networking CX è progettato per i requisiti complessi e in evoluzione delle moderne reti di data center e per campus, tra cui i fabric basati su EVPN-VXLAN. Basati su un’architettura distribuita, non bloccante e sulla tecnologia AOS-CX, gli switch HPE Aruba Networking CX garantiscono un’efficienza delle operazioni IT migliorata e disponibilità elevata, a livello di accesso, aggregazione, core e data center.
Switch HPE Aruba Networking CX che supportano l’EVPN-VXLAN
HPE Aruba Networking Central NetConductor è una soluzione di nuova generazione per reti sempre più complesse, che consente alle organizzazioni di ogni tipo e dimensione di configurare automaticamente l’infrastruttura LAN, WLAN e WAN per prestazioni di rete ottimali, applicando al contempo le policy di sicurezza granulari di controllo degli accessi che costituiscono la base delle architetture zero trust e SASE.
Central NetConductor usa protocolli ampiamente adottati, come EVPN/VXLAN, per produrre un overlay di rete intelligente indicato per la rapida distribuzione di reti aziendali e la massima scalabilità. Comprende servizi cloud-native distribuiti da HPE Aruba Networking Central e una piattaforma cloud-native che rappresenta la base di Aruba Edge Services Platform (ESP) di HPE Aruba Networking e può essere distribuito senza sostituire integralmente l'infrastruttura di rete esistente.
EVPN-VXLAN in azienda
Un'architettura EVPN-VXLAN basata su standard nel campus offre numerosi vantaggi.
1. Le aziende possono aggiungere facilmente più dispositivi di livello core, di distribuzione e di accesso a un'attività in crescita senza dover riprogettare con un nuovo set di dispositivi per aggiornare l'architettura. Tramite un underlay basato su IP di livello 3 con un overlay EVPN-VXLAN, gli operatori di reti campus possono distribuire reti molto più grandi rispetto a quelle altrimenti disponibili con le tradizionali architetture basate su Ethernet di livello 2.
2. L’EVPN-VXLAN consente ai clienti di configurare facilmente le stesse VLAN in più edifici e sedi differenti, riducendo così la complessità operativa. Le stesse VLAN possono essere estese a più edifici e sedi.
3. L’EVPN-VXLAN consente alle aziende di utilizzare policy basate su gruppi per distribuire un set comune di policy e servizi in tutti i campus. Questo riduce il sovraccarico dei filtri ACL/firewall sugli switch della rete aziendale.
4. Le policy basate sui gruppi consentono inoltre la microsegmentazione per offrire ai clienti aziendali un controllo migliore sugli utenti finali o i dispositivi che possono comunicare con altri dispositivi nella rete del campus.
EVPN-VXLAN nel data center
I data center moderni che operano su vasta scala, generalmente usano un’architettura fabric IP con un overlay EVPN-VXLAN.
Il fabric IP consente di comprimere i livelli di rete tradizionali in un'architettura spine and leaf a due livelli, ottimizzata per ambienti su vasta scala. Questa rete di livello 3 altamente interconnessa funge da underlay per garantire elevata resilienza e bassa latenza in tutta la rete e può essere facilmente scalata orizzontalmente in base alle esigenze.
L'overlay EVPN-VXLAN si trova sopra il fabric IP, consentendo di estendere e interconnettere i domini dei data center di livello 2 e di posizionare endpoint (come server o macchine virtuali) ovunque nella rete, anche tra data center diversi.
Switch HPE Aruba Networking CX che supportano l’EVPN-VXLAN
- HPE Aruba Networking CX 6200 Switch Series (solo VXLAN statico): switch di accesso impilabili di livello 3 con PoE e uplink da 10 Gigabit
- HPE Aruba Networking CX 6300 Switch Series: switch di accesso e aggregazione impilabili, con uplink di 10/25 GbE (DAC 50 GbE) e supporto per Smart Rate e PoE ad alta potenza
- HPE Aruba Networking CX 6400 Switch Series: switch modulari a elevata disponibilità per un accesso all’edge versatile alle distribuzioni data center con capacità fino a 28Tbps
- HPE Aruba Networking CX 8325 Switch Series: switch compatti con connettività 1/10/25/40/100 GbE, ideali per casi d’uso leaf-spine
- HPE Aruba Networking CX 8360 Switch Series: connettività 1/10/25/40/100 GbE a prestazioni elevate in un fattore di forma 1U compatto
- HPE Aruba Networking CX 8400 Switch Series: switch modulare a 8 slot altamente resiliente con capacità fino a 19.2Tbps, ideale per il core del campus
- HPE Aruba Networking CX 9300 Switch Series: switch per data center da 400 GbE a prestazioni elevate con 32 porte da 100/200/400 GbE
- HPE Aruba Networking CX 10000 Switch Series: 800G di firewall stateful distribuito per il traffico est-ovest, segmentazione zero trust e telemetria pervasiva
Domande frequenti
Perché l’EVPN-VXLAN si sta diffondendo?
EVPN e VXLAN collaborano per creare reti di campus e data center altamente scalabili, efficienti e agili. L’EVPN-VXLAN separa l'infrastruttura di rete dai servizi e dalle applicazioni pertinenti a ciascun reparto o a ciascun cliente. Questo concetto di virtualizzazione di rete fornisce l'isolamento nativo del traffico e la possibilità di estendere i servizi a qualsiasi parte della rete senza introdurre costosi metodi operativi come l'installazione di VLAN.
Cos'è la tecnologia EVPN?
Le reti tradizionali richiedono l'uso di hardware di switch per apprendere e mantenere gli indirizzi MAC mentre i dispositivi si spostano sulla rete. I broadcast sono necessari per l’aggiornamento di tutti i dispositivi nella stessa VLAN o dominio di broadcast ogni volta che un nuovo indirizzo MAC viene appreso o ritirato, indipendentemente dalla posizione in cui si trovano i dispositivi. L'estensione delle VLAN su una rete richiede anche di evitare il loop che è supportato da protocolli come Spanning Tree. Per evitare i loop, la rete deve funzionare al 50% dell’efficienza bloccando le porte su ciascun dispositivo. I fornitori hanno anche implementato tecnologie proprietarie per ridurre la necessità di protocolli per evitare i loop. Per la mancanza di standard, questo porta comunque alla dipendenza da un fornitore.
Queste inefficienze creano problematiche ai clienti che hanno in programma la crescita e l’espansione dei servizi.
La VPN Ethernet o l’EVPN risolve questi problemi tramite l’MP-BGP basato su standard. L’EVPN supporta l'apprendimento e il ritiro MAC tramite BGP senza la necessità di broadcast in rete. L’EVPN supporta il multi-homing active-active al fine di mitigare i meccanismi per evitare il loop o la dipendenza da un fornitore proprietario.
Dove viene utilizzato l’EVPN?
I moderni data center che operano su vasta scala generalmente utilizzano un'architettura IP fabric con EVPN-VXLAN. Le reti aziendali che richiedono scalabilità senza dover riprogettare con un nuovo set di dispositivi sfruttano l’EVPN-VXLAN.
Le aziende che necessitano di set comuni di policy e servizi in tutti i campus distribuiscono l’EVPN-VXLAN. Questo consente agli operatori di rete di distribuire reti molto più grandi di quelle altrimenti disponibili con le tradizionali architetture basate su Ethernet di livello 2.
I service provider sono passati dal servizio LAN privata virtuale (VPLS) all’EVPN per sfruttare il supporto nativo dell’EVPN per il multi-homing active-active, la riduzione del flooding Address Resolution Protocol (ARP) e MAC, oltre a una maggiore efficienza di rete.
Qual è la differenza tra VPLS ed EVPN?
I protocolli basati sul controllo come EVPN, VPLS e persino L2VPN risolvono il problema legacy flood-and-learn; tuttavia, sono stati prevalentemente basati su MPLS. Con l’avvento della VXLAN come protocollo overlay di elezione per i fabric IP, l’EVPN si allontana dai tradizionali requisiti di trasporto MPLS utilizzando la VXLAN come trasporto.
I vantaggi dell’EVPN rispetto alla VPLS includono:
- maggiore efficienza di rete
- riduzione del flooding di unicast sconosciuti a causa dell’apprendimento del piano di controllo MAC
- flooding ARP ridotto per il binding da MAC a IP nel piano di controllo
- traffico multipercorso su più switch spine (entropia VXLAN)
- traffico multipercorso verso server dual-homed active-active
- gateway distribuito di livello 3: convergenza rapida VMTO
- riconvergenza più rapida quando il link al server dual-homed non funziona (aliasing)
- riconvergenza più rapida quando una VM sposta la scalabilità
- flessibilità del piano di controllo basato su BGP altamente scalabile
- facile integrazione con L3VPN e L2VPN per Data Center Interconnect (DCI)
- piano di controllo basato su BGP che offre la possibilità di applicare policy granulari
Qual è la differenza tra VPN ed EVPN?
Le tecnologie VPN sono state distribuite nelle reti di service provider per consentire a diversi clienti o tenant di avere la capacità di condividere una singola infrastruttura di rete con reti virtuali per i requisiti logici di separazione del traffico. Il BGP viene utilizzato per separare le reti virtuali in Virtual Route Forwarder (VRF), mentre il trasporto sottostante è MPLS.
I service provider continuano a utilizzare l’MPLS poiché tendono a possedere la maggior parte dell'infrastruttura di rete utilizzata dai loro clienti. Questo consente a ciascun service provider di controllare rispettivamente la QoS end-to-end e una rigorosa policy di rete. Pertanto, i service provider offrono ai clienti L2VPN e L3VPN come servizi presupponendo il trasporto MPLS.
Nel caso dei data center e delle reti aziendali, la QoS e il controllo delle policy di rete sono fondamentali e devono essere gestiti nel migliore dei modi nternamente piuttosto che da un'entità terza, come un service provider. L'estendibilità del livello 2 e l'accessibilità al cloud sono altri fattori che richiedono ai data center e alle aziende di sfruttare un trasporto IP nativo.
La VXLAN è un protocollo di tunneling standard che consente al traffico di livello 2 di fluire su qualsiasi rete IP. La VXLAN supporta inoltre fino a 16 milioni di reti logiche, consentendo al contempo l'adiacenza di livello 2 tramite reti IP. Per questi motivi, la VXLAN è stata adottata da reti aziendali e di data center, oltre alla capacità di controllare le politiche QoS e di rete senza dipendere da terzi.
Con l’avvento della VXLAN come protocollo overlay di elezione per i fabric IP, l’EVPN si allontana dai tradizionali requisiti di trasporto MPLS utilizzando la VXLAN come trasporto. Qui di seguito sono illustrati i vantaggi delle EVPN nelle distribuzioni in data center e campus, olte alle differenze rispetto alle distribuzioni basate su MPLS:
- maggiore efficienza di rete
- riduzione del flooding di unicast sconosciuti a causa dell’apprendimento del piano di controllo MAC
- flooding ARP ridotto per il binding da MAC a IP nel piano di controllo
- traffico multipercorso su più switch spine (entropia VXLAN)
- traffico multipercorso verso server dual-homed active-active
- gateway distribuito di livello 3: ottimizzazione del traffico delle macchine virtuali (VMTO)
- convergenza rapida
- riconvergenza più rapida quando il link al server dual-homed non funziona (aliasing)
- riconvergenza più rapida quando una VM si sposta
- scalabilità
- piano di controllo basato su BGP altamente scalabile
- flessibilità
- facile integrazione con L3VPN e L2VPN per DCI
- piano di controllo basato su BGP che offre la possibilità di applicare policy granulari
L’EVPN è l'unica soluzione completamente basata su standard che offre questi vantaggi per un protocollo di controllo del data center e del campus.
Perché viene utilizzato un overlay VXLAN?
La VXLAN consente agli amministratori di rete di creare reti logiche di livello 2 su diverse reti di livello 3. La VXLAN ha uno spazio Virtual Network ID (VNID) a 24 bit, che consente 16 milioni di reti logiche. Implementata nell'hardware, la VXLAN supporta il trasporto di pacchetti Ethernet nativi all'interno di un incapsulamento di tunnel. La VXLAN è diventata lo standard de facto per gli overlay terminati sugli switch fisici ed è supportata nelle piattaforme di switching Juniper Networks per campus e data center.
Gli overlay VXLAN offrono numerosi vantaggi:
- eliminazione dello Spanning Tree Protocol (STP)
- maggiore scalabilità
- resilienza ottimizzata
- contenimento dei guasti/isolamento del traffico
