EVPN-VXLAN vs. STP: Die Evolution von L2/L3-Data-Center-Fabrics

EVPN-VXLAN vs. STP: Die Evolution von L2/L3-Data-Center-Fabrics beschreibt einen grundlegenden Paradigmenwechsel im Rechenzentrumsnetz: Weg von großen, übergreifenden Layer-2-Domänen mit Spanning Tree und blockierten Links, hin zu skalierbaren, weitgehend loop-freien Layer-3-Fabrics mit einer Control Plane, die Ethernet- und IP-Informationen gezielt verteilt. In klassischen Designs wurde Layer 2 häufig über viele Switches hinweg „gestreckt“, um Workloads flexibel zu platzieren. Das war bequem, aber riskant: Loops, Broadcast-Stürme, MAC-Flapping und schwer eingrenzbare Fault Domains sind typische Nebenwirkungen großer L2-Flächen. Moderne Data-Center-Fabrics setzen dagegen auf Leaf-Spine-Architekturen, in denen das Underlay konsequent geroutet ist, während Overlay-Technologien wie VXLAN Layer-2- und Layer-3-Segmente logisch bereitstellen. EVPN dient dabei als Steuerungsebene (Control Plane), die MAC- und IP-Informationen verteilt, ARP/ND-Flooding reduzieren kann und Multi-Tenancy sauber abbildet. Das Ergebnis ist nicht nur mehr Skalierung, sondern vor allem mehr Vorhersagbarkeit im Betrieb: geringerer Blast Radius, bessere Ausnutzung aller Links (ECMP statt Blocking) und klarere Betriebsmodelle für Changes und Incident Response. Dieser Artikel ordnet STP und EVPN-VXLAN fachlich ein, erklärt die wichtigsten Bausteine und zeigt, welche Kriterien im Enterprise und im Data Center darüber entscheiden, wann STP noch sinnvoll ist und wann EVPN-VXLAN die robustere Evolution darstellt.

Ausgangspunkt: Warum klassische Layer-2-Fabrics mit STP an Grenzen stoßen

Spanning Tree (STP, RSTP, MSTP) ist historisch die Antwort auf ein fundamentales Problem: Layer-2-Loops sind gefährlich, weil Ethernet keine TTL wie IP hat und Frames in Schleifen unkontrolliert zirkulieren können. STP verhindert das, indem es eine loop-freie Baumstruktur erzwingt und redundante Pfade blockiert. In Campus- und Enterprise-Access-Netzen kann das funktionieren, solange Topologie, VLAN-Anzahl und Change-Rate beherrschbar bleiben. Im Data Center entstehen jedoch andere Anforderungen: hohe Ost-West-Last, sehr hohe Portdichte, schnelle Workload-Mobilität, Multi-Tenancy und häufige Änderungen. Hier wirken die klassischen STP-Eigenschaften zunehmend wie Einschränkungen.

• Blockierte Kapazität: STP verhindert Loops, indem es Links blockiert – Bandbreite bleibt ungenutzt.
• Große Fault Domains: gestreckte VLANs vergrößern Broadcast-Domains; Fehler breiten sich weiter aus.
• Konvergenz und Mikro-Instabilität: auch mit RSTP/MSTP können Topologieänderungen spürbare Auswirkungen haben.
• Komplexe Fehlerbilder: MAC-Flapping, Unknown-Unicast-Flooding, unerwartete Root-Wechsel sind in großen Domänen schwer zu isolieren.

Für die normative VLAN- und Bridging-Grundlage ist IEEE 802.1Q eine zentrale Referenz, während IEEE 802.1D die historische STP-Basis beschreibt.

Leaf-Spine als Evolutionsschritt: Warum das Underlay heute meist Layer 3 ist

Die entscheidende Beobachtung moderner Data-Center-Netze ist: Skalierung und Resilienz entstehen, wenn das physische Transportnetz (Underlay) möglichst einfach, loop-frei und schnell konvergent ist. Leaf-Spine-Topologien mit Layer-3-Routing und ECMP (Equal-Cost Multi-Path) erfüllen genau das. Jeder Leaf hat mehrere Spines als Next Hops, Traffic wird über mehrere gleichwertige Pfade verteilt, und Redundanz entsteht durch Routing statt durch STP-Blocking.

• ECMP statt Blocking: alle Links können aktiv genutzt werden, Bandbreite skaliert horizontal.
• Schnelle Konvergenz: Routing-Protokolle reagieren deterministischer auf Link-/Node-Failures als große STP-Domänen.
• Begrenzte Failure-Domains: ein Fehler bleibt typischerweise lokal; das Underlay „trägt“ keine großen L2-Flächen.

Das Problem: Viele Workloads brauchen weiterhin Layer-2-Services (z. B. bestimmte Cluster-/Legacy-Anforderungen) oder eine konsistente Segmentierung über mehrere Racks hinweg. Genau hier kommen Overlay und EVPN-VXLAN ins Spiel.

VXLAN als Overlay: Layer 2 und Layer 3 logisch über ein L3-Underlay

VXLAN (Virtual Extensible LAN) kapselt Ethernet-Frames in UDP/IP-Pakete und transportiert sie über ein geroutetes Underlay. Technisch entsteht damit eine logische „Overlay-Fabric“, in der virtuelle Segmente (VNIs) VLAN-ähnliche Isolation bieten – ohne dass das Underlay selbst große Broadcast-Domains tragen muss. Die Endpunkte, die VXLAN sprechen, heißen VTEPs (VXLAN Tunnel Endpoints), typischerweise Leaf-Switches oder virtuelle Switches in Hypervisoren.

• Skalierung: VNIs statt VLAN-Limitierungen; Segmentzahl wächst, ohne das Underlay zu verkomplizieren.
• Isolation: Multi-Tenancy und Segmentierung werden logisch abgebildet (z. B. pro Tenant/Zone).
• Transportunabhängigkeit: das Underlay bleibt IP-Routing; Änderungen im Overlay beeinflussen Underlay weniger.

Als technische Referenz für VXLAN eignet sich der Standard RFC 7348.

EVPN als Control Plane: Warum „Flood and Learn“ im Data Center nicht reicht

VXLAN allein kann im „Flood-and-Learn“-Modus betrieben werden: Unbekannte Ziele werden geflutet, Switches lernen MACs aus dem Datenverkehr. Das funktioniert in kleinen Domänen, skaliert aber operativ schlecht, weil Flooding (Broadcast, Unknown Unicast, Multicast – BUM) bei vielen Endpunkten und hoher Dynamik zur Last wird. EVPN (Ethernet VPN) löst das, indem es eine Control Plane bereitstellt, die MAC- und IP-Informationen über BGP verteilt. Dadurch müssen VTEPs nicht mehr ausschließlich durch Flooding lernen, sondern erhalten gezielte Informationen über Erreichbarkeit.

• Control Plane Learning: MAC/IP werden über BGP angekündigt, nicht nur durch Datenverkehr gelernt.
• Reduzierter BUM-Traffic: weniger Flooding, bessere Vorhersagbarkeit in großen Segmenten.
• Saubere Multi-Homing-Modelle: Dual-Homing von Hosts/Access-Switches wird kontrollierter als „STP plus LACP“.

Für EVPN-Grundlagen ist RFC 7432 die zentrale Referenz.

EVPN-VXLAN vs. STP: Der Kernunterschied im Betriebsmodell

Der wesentliche Unterschied ist weniger „Technologie X vs. Y“, sondern wo Schleifenfreiheit hergestellt wird und wie Zustände verteilt werden. STP hält Layer 2 loop-frei durch Blockieren von Ports und baut eine Baumtopologie. EVPN-VXLAN setzt dagegen auf ein loop-freies Underlay (Layer 3) und stellt Layer-2-/Layer-3-Services im Overlay bereit, gesteuert durch eine Control Plane. Das hat direkte Konsequenzen für Betrieb und Fehlerbilder.

• Kapazitätsnutzung: STP blockiert Links; EVPN-VXLAN nutzt ECMP im Underlay und vermeidet Blocking im Normalfall.
• Fault Domains: STP-Domänen können groß sein; EVPN-VXLAN begrenzt L2 typischerweise auf logische Segmente und reduziert Underlay-Abhängigkeiten.
• Konvergenz: STP-Konvergenz basiert auf Topologie und Timern/Handshakes; EVPN-VXLAN profitiert von Routing-Konvergenz und Control-Plane-Updates.
• Fehlersuche: STP-Fehler sind oft topologiegetrieben; EVPN-VXLAN-Fehler sind häufig in Underlay/Overlay/Control-Plane zu trennen.

Broadcast-Domains und BUM-Traffic: Wie EVPN-VXLAN das Problem anders angeht

In großen L2-Netzen ist BUM-Traffic ein zentraler Skalierungsfaktor. STP verhindert Loops, aber es reduziert nicht automatisch Broadcast- oder Unknown-Unicast-Flooding. EVPN-VXLAN kann BUM besser kontrollieren, wenn es korrekt designt ist, zum Beispiel durch ARP-Suppression (Proxying von ARP/ND-Informationen) und durch gezieltes Verteilen von MAC/IP-Informationen. Gleichzeitig bleibt BUM im Overlay ein Thema: Broadcasts existieren weiterhin, nur die Verteilung ist anders organisiert.

• ARP/ND-Suppression: reduziert ARP-Flooding, indem Antworten aus der Control Plane abgeleitet werden.
• Unknown-Unicast-Reduktion: weil MACs über EVPN bekannt sind, entsteht weniger Flooding bei unbekannten Zielen.
• Multicast-Strategie: BUM-Replikation kann über Head-End Replication oder Underlay-Multicast erfolgen, je nach Design.

Für Multicast-Snooping als konzeptionelle Grundlage in L2-Domänen ist RFC 4541 hilfreich.

Multi-Homing: STP/MLAG-Realität vs. EVPN-All-Active

Ein klassisches Data-Center-Problem ist die redundante Anbindung von Servern oder Access-Switches. In STP-basierten Designs wird Redundanz oft durch STP plus LACP realisiert, oder durch MLAG/MC-LAG, um aktive/aktive Uplinks zu ermöglichen, ohne STP-Blocking am Edge. MLAG ist weit verbreitet, aber es bringt eigene Failure-Modes mit (Peer-Link, Split-Brain, State-Synchronisation). EVPN bietet hierfür standardisierte Multi-Homing-Konzepte, häufig im „All-Active“-Modus, bei dem mehrere Leafs gleichzeitig als VTEP für denselben Segmentzugang fungieren können.

• STP-basiert: robust als Safety-Net, aber häufig mit Blocking oder komplexen Interaktionen mit LACP.
• MLAG-basiert: aktive Nutzung beider Uplinks möglich, aber stark abhängig von vendor-spezifischen Implementierungen.
• EVPN Multi-Homing: Control-Plane-gesteuert, klarere Signalisierung von Erreichbarkeit und häufig bessere Skalierungsoptionen.

Komplexität verlagert sich: EVPN-VXLAN ist nicht „einfacher“, sondern anders

Ein häufiger Denkfehler ist, EVPN-VXLAN sei per se einfacher als STP. In Wahrheit wird Komplexität verlagert: Weg von großen L2-Topologien und STP-Interaktionen, hin zu einer dreiteiligen Sicht: Underlay (Routing), Overlay (VXLAN/VNI) und Control Plane (BGP EVPN). Der Gewinn liegt darin, dass diese Ebenen klarer trennbar sind und sich in großen Umgebungen besser standardisieren lassen.

• Underlay-Fragen: ECMP, MTU, Routing-Konvergenz, Loopback-Adressen, Link-Health.
• Overlay-Fragen: VNI/VLAN-Zuordnung, Anycast-Gateway, Segment-/Tenant-Design, BUM-Strategie.
• Control-Plane-Fragen: BGP-Sessions, Route Types, MAC/IP-Announcements, Policy und Filtering.

Anycast-Gateway und verteiltes Routing: Warum L3 im Fabric-Edge oft gewinnt

Ein wesentlicher Vorteil moderner Fabrics ist die Möglichkeit, Default Gateways dezentral bereitzustellen. Statt ein zentrales Gateway (und damit potenzielle Hotspots und größere Failure-Domains) zu nutzen, können Leafs ein Anycast-Gateway anbieten: gleiche Gateway-IP/MAC in mehreren Leafs, lokal erreichbar. Das verkürzt Pfade, reduziert Abhängigkeiten und erleichtert Skalierung. In STP-basierten Designs sind Gateways häufig zentraler, und L2 muss weiter „gezogen“ werden, um Workloads zu verbinden.

• Kürzere Pfade: Ost-West-Verkehr bleibt lokal, weniger Hairpinning.
• Skalierbarkeit: zusätzliche Leafs erhöhen Kapazität linear.
• Fehlereingrenzung: Gateway-Funktion verteilt, weniger Single Points of Contention.

Konvergenz und Failure Handling: Vergleich typischer Szenarien

In der Praxis zählen nicht Marketingbegriffe, sondern die Reaktion auf reale Fehler: Link-Down, Switch-Reboot, Transceiver-Degradation, BGP-Session-Reset, Fehlpatching. STP reagiert auf Topologieänderungen, EVPN-VXLAN auf Underlay-Konvergenz und Control-Plane-Updates. Beide können stabil sein, beide können im Fehlerfall unangenehm werden, wenn Guardrails fehlen.

• Link-Ausfall im Underlay: EVPN-VXLAN profitiert von ECMP; Traffic weicht auf andere Pfade aus, wenn Routing korrekt konvergiert.
• Loop am Edge: STP kann schützen, wenn korrekt konfiguriert; in EVPN-VXLAN-Umgebungen ist Edge-Loop-Prevention weiterhin kritisch (z. B. BPDU Guard, Port-Policies, Storm Control).
• Control-Plane-Störung: EVPN ist abhängig von BGP/Control-Plane; gutes Design beinhaltet saubere Redundanz, Timer-Disziplin und Monitoring.
• Broadcast-/Storm-Szenarien: in beiden Welten relevant; in EVPN-VXLAN muss BUM bewusst begrenzt werden (Replication-Strategie, Rate-Limits, Policies).

Monitoring und Troubleshooting: Welche Signale im Betrieb wirklich helfen

Die Betriebsfähigkeit entscheidet oft darüber, ob ein Unternehmen EVPN-VXLAN erfolgreich einführt. Bei STP konzentriert sich Monitoring typischerweise auf Root-Placement, Topology Changes (TCN), blocked ports und BPDU-Events. Bei EVPN-VXLAN kommen zusätzliche Telemetriepunkte hinzu, die jedoch sehr strukturierbar sind.

• STP-Signale: Root Bridge, Portrollen/States, TCN-Rate, BPDU-Guard/Root-Guard-Events, MAC-Flapping.
• Underlay-Signale: ECMP-Path Health, Routing-Neighborhoods, MTU-Drops, Link-Errors, Latenz und Loss pro Link.
• EVPN-Signale: BGP EVPN Session State, Route Counts, MAC/IP-Moves, ARP-Suppression-Hit-Rate, VNI-Health.
• Overlay-Signale: VNI-Mapping, BUM-Rate pro VNI, Head-End Replication Counters, Anycast-Gateway-Status.

Sicherheit und Segmentierung: Warum EVPN-VXLAN oft sauberere Tenants ermöglicht

Große STP-basierte L2-Flächen führen häufig zu Segmentierung „nur mit VLANs“. Das kann funktionieren, aber es skaliert organisatorisch und sicherheitstechnisch begrenzt, wenn viele Tenants, Applikationszonen oder Compliance-Anforderungen existieren. EVPN-VXLAN unterstützt Multi-Tenancy typischerweise über VRFs und VNIs, sodass Layer-3-Isolation klarer abbildbar wird. Der operative Vorteil: Weniger „VLAN-Stretching“, kleinere Broadcast-Domains, und Policies können näher an den Workloads umgesetzt werden.

• VRF-basierte Trennung: starke Isolation zwischen Tenants oder Zonen.
• Gezielte L2-Services: L2 nur dort, wo es fachlich notwendig ist, nicht als Default über alles.
• Bessere Blast-Radius-Kontrolle: Fehler und Broadcasts bleiben in kleineren logischen Segmenten.

Migrationspfade: Wie man von STP-Welten zu EVPN-VXLAN kommt, ohne Chaos zu erzeugen

Die Evolution passiert selten als „Big Bang“. In vielen Unternehmen koexistieren STP-basierte Bereiche und moderne Fabrics über Jahre. Ein sauberer Migrationspfad definiert klare Interconnect-Grenzen und vermeidet, dass große L2-Domänen unkontrolliert in die neue Fabric „hineinwachsen“.

• Klare Boundary: L3-Übergänge zwischen klassischem Netzwerk und Fabric, wo möglich; L2-Stretch nur für definierte Sonderfälle.
• Service-by-Service Migration: neue Applikationszonen zuerst, Legacy später; Segmentierung schrittweise modernisieren.
• Standardisierte Templates: Underlay- und EVPN-Konfigurationen als wiederholbare Bausteine (reduziert menschliche Fehler).
• Operational Runbooks: Underlay/Overlay/Control-Plane Diagnoseabläufe, klare Ownership und Eskalationspfade.

Wann STP weiterhin sinnvoll ist: Realistische Einsatzbereiche

Auch in modernen Umgebungen hat STP seinen Platz, vor allem als Schutzmechanismus an Kanten oder in kleineren, klar kontrollierten L2-Domänen. Entscheidend ist, dass STP dann nicht das Rückgrat der gesamten Skalierung ist, sondern ein bewusst begrenztes Tool.

• Access-Edge mit hohem Fehlpatch-Risiko: BPDU Guard, Root Guard, Storm Control als Pflichtschutz.
• Kleine L2-Inseln: überschaubare VLANs und Topologien, in denen STP stabil betrieben werden kann.
• Interimsphasen: Übergangslösungen während Migrationen, solange Grenzen klar und dokumentiert sind.

Entscheidungskriterien: EVPN-VXLAN vs. STP aus Sicht von Betrieb und Risiko

• Skalierung und Kapazitätsnutzung: wenn ECMP und volle Linkauslastung entscheidend sind, spricht viel für EVPN-VXLAN.
• Broadcast-Domain-Risiko: wenn große L2-Flächen regelmäßig Incidents verursachen, ist Segmentierung plus Overlay-Control-Plane meist robuster.
• Change-Rate: je dynamischer Workloads und Infrastruktur, desto stärker profitieren Sie von klar trennbaren Ebenen (Underlay/Overlay/Control-Plane).
• Organisationsfähigkeit: EVPN-VXLAN erfordert Standards, Templates und Monitoring-Disziplin; ohne diese kann die neue Komplexität schaden.
• Legacy-Anforderungen: wo L2 zwingend ist, kann EVPN-VXLAN L2-Services gezielt bereitstellen, ohne das Underlay zu „ver-L2-en“.

Outbound-Links für Standards und vertiefende Referenzen

• RFC 7348 (VXLAN: Overlay-Tunneling für L2 über L3)
• RFC 7432 (EVPN: Control Plane für Ethernet-VPN)
• IEEE 802.1Q (VLAN Bridging und moderne L2-Grundlagen)
• IEEE 802.1D (Spanning Tree Grundlagen als Konzeptbasis)
• RFC 4541 (IGMP/MLD Snooping: Multicast-Flooding in L2 begrenzen)

In der Evolution von L2/L3-Data-Center-Fabrics steht STP für ein bewährtes, aber topologiegetriebenes Sicherheitsmodell, das Loops durch Blocking verhindert und in großen Domänen operative Grenzen erreicht. EVPN-VXLAN verschiebt die Logik: Das Underlay bleibt als geroutetes Fabric einfach und skalierbar, während das Overlay Segmentierung und L2/L3-Services bereitstellt und die Control Plane gezielt Zustände verteilt. Der praktische Unterschied zeigt sich in Skalierung, Linkauslastung, Blast Radius und Fehlersuche. Für Teams, die diese Evolution erfolgreich umsetzen wollen, sind Standards, wiederholbare Templates, klare Monitoring-Signale und saubere Migrationsgrenzen die entscheidenden Faktoren, damit moderne Fabrics nicht nur leistungsfähig, sondern auch im täglichen Betrieb zuverlässig beherrschbar bleiben.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.