Tempo di lettura: 7 minuti e 51 secondi | Pubblicazione: 1° ottobre 2025
VXLAN Cos’è la VXLAN?
Le Virtual Extensible Local-Area Network, o VXLAN, sono uno standard tecnologico di virtualizzazione delle reti IETF (Internet Engineering Task Force). Consentono la condivisione di una singola rete fisica tra più organizzazioni diverse, o "tenant", senza che nessuno di questi possa visualizzare il traffico di rete degli altri.
Le VXLAN sono analoghe alle singole unità di un condominio, dove ogni appartamento è un'abitazione separata e privata all'interno di una struttura comune, proprio come ogni VXLAN è un segmento privato e distinto all'interno di una rete fisica condivisa.
La VXLAN in dettaglio
Una VXLAN consente di segmentare una rete fisica in un massimo di 16 milioni di reti virtuali o logiche. Incapsula i frame Ethernet di livello 2 in un pacchetto UDP (User Datagram Protocol) di livello 4 insieme a un'intestazione VXLAN. Se combinata con una VPN Ethernet (EVPN), che trasporta il traffico Ethernet nelle reti virtualizzate tramite i protocolli WAN, la VXLAN consente di estendere le reti di livello 2 su una IP o MPLS di livello 3.
Principali vantaggi della VXLAN
Essendo incapsulate all'interno di un pacchetto UDP, le VXLAN possono essere eseguite su qualsiasi rete in grado di trasmettere pacchetti UDP. La disposizione fisica e la distanza geografica tra i nodi della rete sottostante non hanno importanza, purché i datagrammi UDP vengano inoltrati dall'endpoint del tunnel VXLAN (VTEP) che esegue l'incapsulamento al VTEP che esegue il decapsulamento.
Con una combinazione di VXLAN ed EVPN, gli operatori possono creare reti virtuali a partire da porte fisiche su qualsiasi switch di reti fisiche che supporti lo standard e faccia parte della stessa rete di livello 3. Ad esempio, è possibile prendere una porta dallo switch A, due porte dallo switch B e un'altra porta dallo switch C e creare una rete virtuale che appaia a tutti i dispositivi connessi come un'unica rete fisica. I dispositivi che ne fanno parte non possono vedere il traffico in altre VXLAN o nel fabric di rete sottostante.
Problemi risolti dalla VXLAN
Proprio come la rapida adozione della virtualizzazione dei server ha portato a notevoli incrementi di agilità e flessibilità, le reti virtuali separate dall'infrastruttura fisica sono più facili, veloci ed economicamente vantaggiose da gestire. Ad esempio, permettono a più tenant di condividere in modo sicuro un'unica rete fisica, consentendo agli operatori di scalare rapidamente e a costi contenuti le proprie infrastrutture per soddisfare l’aumento della domanda. I motivi principali per segmentare le reti sono la privacy e la sicurezza, vale a dire impedire a un tenant di vedere o accedere al traffico di un altro.
Gli operatori segmentano logicamente le loro reti, proprio come hanno fatto per lungo tempo con la distribuzione delle LAN virtuali (VLAN) tradizionali. Le VXLAN possono superare le limitazioni di scalabilità delle VLAN in diversi modi.
- Innanzitutto, in teoria è possibile creare fino a 16 milioni di VXLAN in un dominio amministrativo, rispetto a un massimo di 4094 VLAN tradizionali. Questo garantisce una segmentazione della rete con la scalabilità richiesta dai cloud e service provider per supportare un numero molto elevato di tenant.
- In secondo luogo, le VXLAN supportano i segmenti che si estendono tra i data center. La segmentazione della rete tradizionale basata su VLAN crea domini di broadcast, ma non appena un pacchetto contenente tag VLAN raggiunge un router, tutte le informazioni VLAN vengono rimosse. Questo significa che la distanza massima raggiungibile dalle VLAN è quella della rete di livello 2 sottostante, un problema per casi d'uso quali la migrazione di macchine virtuali (VM), che tende a non oltrepassare i confini del livello 3.
- Al contrario, la segmentazione della rete VXLAN incapsula il pacchetto originale all'interno di uno UDP. Se tutti gli switch e i router nel percorso supportano la VXLAN, i segmenti possono estendersi quanto la rete fisica instradata di livello 3, senza che le applicazioni in esecuzione sulla rete overlay virtuale attraversino necessariamente i confini del livello 3. I server connessi alla rete fanno parte della stessa rete di livello 2, anche se i pacchetti UDP sottostanti potrebbero avere attraversato uno o più router.
- Infine, la capacità di fornire la segmentazione del livello 2 su una rete di livello 3 sottostante, combinata con l'elevato numero di segmenti supportati, consente ai server di far parte della stessa VXLAN anche se distanti l'uno rispetto all’altro, con la possibilità per gli amministratori di rete di contenere le dimensioni delle reti di livello 2. Disporre di reti di livello 2 più piccole contribuisce a evitare l’overflow della tabella MAC sugli switch.
Principali applicazioni della VXLAN
I casi d'uso di VXLAN dei cloud e service provider sono semplici: questi operatori hanno un gran numero di tenant, o clienti, ed esistono diverse ragioni legali, di privacy ed etiche per cui devono suddividere il traffico di rete di un cliente da quello di un altro.
Negli ambienti aziendali, un tenant potrebbe essere un gruppo di utenti, un reparto o un altro insieme di utenti o dispositivi segmentati in rete, creato per motivi di sicurezza interna. Ad esempio, i dispositivi Internet of Things (IoT), come i sensori ambientali dei data center, sono soggetti a compromissioni: è una buona pratica di sicurezza isolare il traffico della rete IoT da quello delle applicazioni della rete di produzione.
Come funziona la VXLAN
Il protocollo di tunneling VXLAN incapsula i frame Ethernet di livello 2 in pacchetti UDP di livello 4, consentendo di creare sottoreti virtualizzate di livello 2 che si estendono sulle reti fisiche di livello 3. Ogni sottorete segmentata è identificata in modo univoco da un VNI (VXLAN Network Identifier).
L'entità che esegue l'incapsulamento e il decapsulamento dei pacchetti è denominata VTEP (VXLAN Tunnel Endpoint). Un VTEP può essere un dispositivo di rete indipendente, come un router o uno switch fisico, oppure uno switch virtuale distribuito su un server. I VTEP incapsulano i frame Ethernet in pacchetti VXLAN, che sono quindi inviati al VTEP di destinazione tramite una rete IP o un'altra rete di livello 3, dove vengono decapsulati e inoltrati al server di destinazione.
Per supportare i dispositivi che non possono fungere autonomamente da VTEP, come i server bare metal, i VTEP hardware (tra cui determinati switch e router HPE Juniper Networking) possono incapsulare e decapsulare i pacchetti di dati. Inoltre, i VTEP possono risiedere in host hypervisor, ad esempio come macchine virtuali basate su kernel (KVM), per supportare direttamente i carichi di lavoro virtualizzati. Questo tipo di VTEP è noto come VTEP software.
Sopra sono mostrati i VTEP hardware e software.
Nella figura sopra, quando VTEP1 riceve un frame Ethernet dalla macchina virtuale 1 (VM1) indirizzato alla macchina virtuale 3 (VM3), utilizza il VNI e il MAC di destinazione per cercare nella sua tabella di inoltro il VTEP a cui inviare il pacchetto. VTEP1 aggiunge un'intestazione VXLAN che contiene il VNI al frame Ethernet, incapsula il frame in un pacchetto UDP di livello 3 e indirizza il pacchetto a VTEP2 sulla rete di livello 3. VTEP2 decapsula il frame Ethernet originale e lo inoltra a VM3. VM1 e VM3 sono completamente inconsapevoli del tunnel VXLAN e della rete di livello 3 esistente tra loro.
Soluzioni VXLAN HPE
I router HPE Juniper Networking serie MX, gli switch serie QFX ed EX e gli switch HPE Aruba Networks serie CX supportano EVPN-VXLAN e possono fungere da gateway VTEP, incapsulando/decapsulando i pacchetti VXLAN, oltre a eseguire il routing tra diverse VXLAN.
Domande frequenti sulle VXLAN
A cosa servono le VXLAN?
Le VXLAN vengono utilizzate per ottenere una segmentazione della rete che va oltre a quella offerta dalle VLAN, che forniscono solo 4094 reti virtuali, contro i 16 milioni delle VXLAN. La segmentazione della rete ha due utilizzi principali: consentire a più tenant di condividere un'unica rete fisica senza vedere il traffico degli altri e consentire il riutilizzo dello spazio degli indirizzi IP. È anche possibile configurare i segmenti di rete con policy di qualità del servizio (QoS) e accordi sul livello di servizio (SLA) differenziati.
Le VXLAN vengono utilizzate principalmente nei grandi data center e nelle reti di service provider e operatori cloud in cui i limiti di 4094 reti virtuali delle VLAN tradizionali sono troppo restrittivi. Detto questo, man mano che la VXLAN viene supportata da un numero maggiore di processori di switch meno costosi, inizia a spostarsi dai data center alle reti dei campus.
Lo standard VXLAN è stato creato nel 2014 dall'IETF ed è specificato nell’RFC 7348.
La VXLAN è uno standard di livello 3?
La VXLAN è talvolta considerata un protocollo di livello 3 perché si basa su una rete di trasporto IP (livello 3). A volte è anche ritenuta uno standard di livello 4, perché incapsula i frame Ethernet in UDP, influenzando il funzionamento dell’UDP di livello 4.
La VXLAN sostituisce la VLAN?
Le VXLAN non sostituiscono completamente le VLAN; in alcune circostanze, come nei grandi data center dei service provider, possono essere utilizzati entrambi gli standard. Le VXLAN possono essere utilizzate per segmentare la rete globale del service provider, isolando ciascun cliente sulla sua VXLAN con la possibilità di creare VLAN private all'interno.
Qual è la differenza fondamentale tra le tecnologie VXLAN, VLAN e QinQ?
Le tecnologie VLAN, QinQ e VXLAN sono tutti standard utilizzati per segmentare logicamente le reti fisiche in più reti virtuali. Ognuna offre rispettivamente maggiore scalabilità rispetto alla precedente. Le reti sono solitamente segmentate per motivi di sicurezza e per supportare requisiti QoS differenziati, che in genere fanno parte degli SLA.
Le VLAN sono state le prime a essere standardizzate nel 1998. La tecnologia QinQ si è basata sulle VLAN per espandere il numero di reti logiche creabili e consente di supportare le VLAN aziendali e commerciali attraverso i servizi WAN pubblici. La VXLAN offre la maggiore estensibilità e flessibilità tra le tre tecnologie.
Dal punto di vista tecnico, le differenze risiedono nel modo in cui ognuna etichetta e incapsula i frame Ethernet prima della trasmissione sulle reti di comunicazione.
Le tecnologie VXLAN, VLAN e QinQ vengono solitamente utilizzate insieme?
Ipoteticamente, è possibile utilizzare contemporaneamente VLAN tradizionali, VLAN QinQ e VXLAN, per via della posizione in cui si trovano gli identificatori di rete all'interno del pacchetto dati. Le VXLAN non modificano né estendono il formato del pacchetto UDP in cui sono incapsulate, né cambiano o estendono il frame Ethernet esterno in cui viene trasportato tale pacchetto UDP, in quanto i pacchetti VXLAN sono contenuti nel payload di un pacchetto UDP (e non nell'intestazione). Includono un'intestazione VXLAN e il frame Ethernet originale completo da trasmettere. I pacchetti VXLAN-in-UDP, quindi, possono avere frame Ethernet esterni che contengono anche identificatori VLAN e QinQ.
In altre parole, in un pacchetto VXLAN ci sono tre punti in cui è possibile definire le reti virtuali: il frame Ethernet esterno, l'intestazione VXLAN e il frame Ethernet interno, e ciascuno di questi insiemi di reti virtuali può essere completamente distinto l'uno dall'altro. Ne deriva un pacchetto in cui il frame Ethernet esterno può supportare 16 milioni di reti virtuali, l'intestazione VLXAN può supportarne altre 16 milioni e, infine, il frame Ethernet interno altri 16 milioni.
Nella pratica del networking aziendale, tuttavia, le reti tendono a essere basate su VLAN o VXLAN. Quando le tecnologie vengono combinate, in genere sono i provider di servizi di rete e cloud a offrire ai clienti aziendali la possibilità di utilizzare le VLAN all'interno della propria VXLAN. Questo scenario sfrutta le VLAN sul frame Ethernet interno, nonché le funzionalità di rete virtuale dell'intestazione VXLAN, ma non le VLAN sul frame Ethernet esterno.
La VXLAN è migliore della VLAN?
Le VXLAN e VLAN, sebbene superficialmente simili, risolvono lo stesso problema in modi diversi. Questo significa che vengono utilizzate in circostanze diverse e che non si escludono a vicenda.
Oggi, quasi tutti gli switch in commercio supportano almeno le VLAN di base e la maggior parte, compresi molti switch consumer, supporta QinQ. Il supporto EVPN-VXLAN è in genere limitato agli switch aziendali o carrier-grade più potenti.
Le VXLAN sono considerate la tecnologia più efficiente. Il motivo è che solo gli switch che contengono i VTEP comportano un carico aggiuntivo della look-up table (LUT) in una rete basata su VXLAN e devono farlo solo per le reti virtuali per le quali dispongono di VTEP, non per l'intera rete. Al contrario, le reti basate su VLAN, come QinQ, che supporta gli stessi 16 milioni di potenziali reti virtuali delle VXLAN, richiedono che tutti gli switch si assumano il carico aggiuntivo.
Qual è la differenza tra VXLAN ed EVPN?
Tutti i tipi di LAN virtuali sono un mezzo per segmentare le reti fisiche in più reti virtuali private. Ethernet VPN (EPVN) e VXLAN sono spesso utilizzate insieme ma rimangono tecnicamente indipendenti e perseguono obiettivi diversi.
Le VXLAN espandono lo spazio degli indirizzi di livello 2 da circa 4000 a circa 16 milioni per estendere le reti Ethernet su reti IP più ampie, suddividendo la rete fisica in modo che più tenant possano condividere le risorse senza vedere il traffico degli altri. EVPN consente la creazione di reti virtuali che comprendono porte di switch e altre risorse provenienti da apparecchiature e domini di rete diversi. EVPN è fondamentalmente un modo per consentire ai computer che non sono connessi alla stessa rete fisica e potrebbero essere geograficamente distanti tra loro di comportarsi come se fossero collegati allo stesso switch fisico, con tutti i nodi appartenenti a tale EVPN che ricevono trasmissioni di dati come se fossero connessi a una tradizionale rete locale di livello 2.