SDN, NFV e reti overlay — la rete programmabile

📋 Obiettivi di apprendimento

✓Spiegare la separazione tra control plane e data plane in SDN e descrivere il ruolo del controller SDN e del protocollo OpenFlow

✓Descrivere NFV spiegando come le funzioni di rete tradizionali (firewall, router, bilanciatore) vengono virtualizzate su hardware commodity

✓Spiegare il meccanismo VXLAN: perché nasce, come incapsula L2 in UDP e come risolve i limiti di scalabilità delle VLAN tradizionali

✓Descrivere SD-WAN come applicazione di SDN alla WAN aziendale spiegando i vantaggi rispetto alle WAN tradizionali con MPLS

📄

Slides

Data Center — architettura, topologie e Tier

Il problema delle reti tradizionali nei data center moderni

Le reti tradizionali sono progettate attorno a un principio semplice: ogni apparato di rete — switch, router, firewall — contiene sia l’intelligenza per decidere dove inviare i pacchetti (control plane) sia i meccanismi fisici per farlo (data plane). Ogni dispositivo è autonomo, configurato singolarmente, con logica proprietaria del vendor.

In un data center con centinaia di switch e migliaia di VM questo approccio genera problemi strutturali:

❌ Rigidità

Modificare una policy di rete richiede accedere manualmente a decine di dispositivi e applicare modifiche identiche uno per uno — processo lento e soggetto a errori

❌ Vendor lock-in

Le feature avanzate sono proprietarie — passare da un vendor a un altro richiede di imparare un nuovo linguaggio di configurazione e riscrivere tutte le policy

❌ Lentezza di reazione

Nel cloud le VM si creano e spostano in secondi — la rete deve adattarsi altrettanto rapidamente. La configurazione manuale non scala

La risposta a questi problemi è SDN — Software Defined Networking: separare l’intelligenza di routing dalla sua esecuzione fisica, centralizzarla in un software programmabile via API, e ridurre gli switch fisici a semplici esecutori di istruzioni.

SDN — Software Defined Networking

Il principio fondamentale — separare control plane e data plane

In ogni apparato di rete tradizionale convivono due funzioni distinte:

Control Plane — il cervello

Decide dove inviare i pacchetti. Calcola le routing table, gestisce i protocolli di routing (OSPF, BGP), determina le policy di sicurezza. In uno switch tradizionale vive nel firmware del dispositivo stesso.

Data Plane — i muscoli

Esegue fisicamente il forwarding dei pacchetti secondo le istruzioni del control plane. In uno switch è l’ASIC (chip hardware dedicato) che instrada i pacchetti alla velocità del cavo — milioni al secondo.

In SDN questi due piani vengono separati fisicamente: il control plane viene estratto da ogni singolo dispositivo e centralizzato in un software chiamato controller SDN. Gli switch fisici mantengono solo il data plane — diventano dispositivi semplici che eseguono istruzioni ricevute dal controller.

Architettura SDN — tre livelli

APPLICATION LAYER

App di rete: monitoraggio, load balancing, sicurezza, orchestrazione cloud

Communicano con il controller via Northbound API (REST)

↕ Northbound API

CONTROL LAYER — Controller SDN

Visione globale della rete, calcola i flow, distribuisce le regole agli switch. Es: OpenDaylight, ONOS, VMware NSX

↕ Southbound API (OpenFlow)

INFRASTRUCTURE LAYER — Switch / Router fisici

Solo data plane — eseguono le flow table ricevute dal controller. Nessuna intelligenza di routing autonoma

OpenFlow — il protocollo di comunicazione SDN

OpenFlow è il protocollo standard (definito dall’Open Networking Foundation) che il controller SDN usa per comunicare con gli switch fisici — la cosiddetta Southbound API. Permette al controller di installare, modificare e rimuovere regole di forwarding (flow entries) nelle flow table degli switch.

Come funziona OpenFlow — il ciclo di un pacchetto

1

Un pacchetto arriva su uno switch OpenFlow — lo switch consulta la propria flow table cercando una regola corrispondente (match su MAC, IP, VLAN, porta…)

2

Se la regola esiste → lo switch esegue l’azione indicata (forward sulla porta X, drop, modifica header, forward al controller)

3

Se la regola non esiste (table miss) → il pacchetto viene inviato al controller SDN con un messaggio Packet-In

4

Il controller analizza il pacchetto, decide come gestirlo e risponde con un messaggio Flow-Mod — installa una nuova regola nella flow table dello switch

5

I pacchetti successivi dello stesso flusso vengono gestiti direttamente dallo switch senza coinvolgere il controller — la regola è ora in cache

Vantaggi concreti di SDN

🔧 Automazione

Quando una VM viene creata, l’orchestratore (Kubernetes, OpenStack) chiama l’API del controller SDN — la rete si configura automaticamente senza intervento manuale

👁️ Visibilità globale

Il controller ha visione completa di tutta la topologia — può ottimizzare i path globalmente invece che hop-by-hop come fanno i protocolli tradizionali

🔓 Hardware commodity

Gli switch diventano semplici dispositivi di forwarding — si possono usare switch white-box economici invece di costosi apparati proprietari con software incluso

📌 SDN nel cloud — VMware NSX e Cisco ACI

I due prodotti SDN enterprise più diffusi sono VMware NSX (ora Broadcom NSX) e Cisco ACI (Application Centric Infrastructure). NSX virtualizza completamente la rete sopra l’hypervisor VMware — firewall, routing, load balancing sono tutti software. ACI usa una struttura spine-leaf con un controller centrale chiamato APIC. Entrambi permettono di definire le policy di rete in termini di applicazioni (“il tier web può parlare con il tier database”) invece che in termini di IP e porte — un cambio concettuale fondamentale.

NFV — Network Function Virtualization

Se SDN separa il control plane dall’hardware di rete, NFV (Network Function Virtualization) va oltre: virtualizza le funzioni di rete stesse. Un firewall, un router, un load balancer, un sistema IDS/IPS — tradizionalmente sono appliance hardware dedicate. Con NFV diventano software che gira su server commodity standard.

📌 L’origine di NFV — gli operatori telefonici

NFV nasce nel 2012 da un white paper firmato da 13 operatori di telecomunicazioni (AT&T, Deutsche Telekom, Vodafone, Telecom Italia…). Il problema: le reti degli operatori erano piene di appliance hardware proprietarie — ogni nuova funzione richiedeva acquisto, installazione e configurazione di hardware fisico. Il ciclo di provisioning durava settimane. NFV prometteva di ridurlo a minuti deployando le funzioni come software su server standard x86.

Da appliance fisiche a VNF

❌ Architettura tradizionale

🔥 Firewall Cisco ASA

Hardware dedicato — €15.000+

⚖️ Load Balancer F5 BIG-IP

Hardware dedicato — €30.000+

🛡️ IDS/IPS Dedicated Appliance

Hardware dedicato — €20.000+

→

✅ Architettura NFV (VNF)

Server x86 commodity

vFirewall
VM/Container

vLB
VM/Container

vIDS
VM/Container

Tutte le funzioni su hardware standard
Deploy in minuti — scalabilità software

L’architettura NFV — ETSI MANO

L’ETSI (European Telecommunications Standards Institute) ha definito l’architettura di riferimento per NFV, che si articola in tre componenti principali:

NFV Infrastructure
(NFVI)

Lo strato fisico e virtuale: server commodity, storage, switch, hypervisor. È la piattaforma su cui girano le VNF — può essere un data center on-premise o un cloud pubblico.

Virtual Network
Functions (VNF)

Le funzioni di rete virtualizzate: vFirewall, vRouter, vLB, vIDS, vWAN optimizer. Ogni VNF è una VM o un container con una specifica funzione di rete. Possono essere concatenate in Service Function Chains.

NFV Management
& Orchestration
(MANO)

Il livello di gestione: orchestra il deployment delle VNF, gestisce il ciclo di vita (start, stop, scale), monitora le prestazioni e gestisce le risorse dell’infrastruttura. Strumenti open source: OpenStack Tacker, ONAP.

Service Function Chaining

📌 Service Function Chaining — concatenare le VNF

Con NFV è possibile definire catene di funzioni che il traffico deve attraversare in sequenza. Per esempio, tutto il traffico in ingresso dall’Internet potrebbe dover passare attraverso: vFirewall → vIDS → vLB → applicazione.

Internet
 → 
[vFirewall]
 → 
[vIDS]
 → 
[vLoad Balancer]
 → 
[App Server]

Questa catena può essere creata, modificata o distrutta via API in secondi — senza toccare hardware fisico.

VXLAN — reti overlay per il data center moderno

Con la virtualizzazione e SDN, le VM si spostano liberamente tra server fisici. Questo crea un problema di rete fondamentale: come mantenere la stessa rete L2 (stesso segmento, stesso dominio di broadcast) per una VM che si sposta fisicamente da un server all’altro — magari in rack diversi o data center diversi?

Il limite delle VLAN tradizionali

⚠️ Limite 1 — 4094 VLAN

Il campo VLAN ID nell’header 802.1Q è a 12 bit — massimo 4094 VLAN distinte. In un data center cloud con migliaia di tenant che richiedono reti separate, 4094 è un limite reale.

⚠️ Limite 2 — STP blocca i link ridondanti

Spanning Tree Protocol blocca i path ridondanti per evitare loop L2. In un data center spine-leaf questo spreca banda preziosa e rallenta la convergenza dopo un guasto.

VXLAN — Virtual eXtensible LAN

VXLAN (RFC 7348, 2014) è un protocollo di tunneling che risolve entrambi i problemi: incapsula frame Ethernet L2 all’interno di pacchetti UDP/IP, permettendo di estendere reti L2 su una rete L3 sottostante.

📌 L’idea chiave di VXLAN

VXLAN crea reti overlay — reti virtuali costruite sopra la rete fisica (underlay) già esistente. Due VM su host fisici distanti pensano di essere sulla stessa LAN locale, mentre in realtà i loro frame viaggiano incapsulati in pacchetti UDP attraverso la rete IP. La rete underlay vede solo traffico UDP normale — non sa nulla delle reti virtuali degli inquilini.

Struttura del pacchetto VXLAN

Encapsulazione VXLAN — frame originale nell’UDP

Outer Ethernet Header
MAC VTEP src→dst

Outer IP Header
IP VTEP src→dst

UDP Header
porta 4789

VXLAN Header
VNI (24 bit)

Inner Ethernet Frame
Frame originale VM (L2 intatto)

VNI (VXLAN Network Identifier): 24 bit → 16 milioni di segmenti logici distinti (vs 4094 di 802.1Q)

VTEP (VXLAN Tunnel EndPoint): il componente che incapsula/decapsula i frame — può essere implementato nell’hypervisor (software) o nello switch (hardware)

VXLAN in pratica — migrazione live di VM

Scenario: VM migra da Host A a Host B — la rete rimane identica

[VM — IP: 10.0.1.5, MAC: aa:bb:cc] si trova su Host A (rack 1)
→ Live Migration su Host B (rack 5, data center diverso)
[VM — IP: 10.0.1.5, MAC: aa:bb:cc] ora su Host B — stesso IP, stesso MAC
VTEP di Host B registra il nuovo mapping VNI + MAC → IP di Host B
Il traffico si instrada automaticamente verso il nuovo VTEP — la VM non si accorge di nulla

SD-WAN — SDN applicato alla WAN aziendale

Se SDN trasforma la rete interna del data center, SD-WAN (Software Defined Wide Area Network) applica gli stessi principi alla rete geografica aziendale — il collegamento tra sedi, uffici remoti e cloud.

Il problema della WAN tradizionale

WAN tradizionale con MPLS

❌ Circuiti MPLS dedicati — costosi (€500–2000/mese per sede)

❌ Provisioning lento — settimane per attivare una nuova sede

❌ Tutto il traffico cloud passa per il DC centrale — latenza elevata

❌ Nessuna visibilità sull’applicazione — si gestiscono pacchetti IP

⚠️ Router fisici in ogni sede — configurazione manuale

SD-WAN

✅ Usa Internet broadband, 4G/5G, MPLS — qualsiasi link disponibile

✅ Zero-touch provisioning — nuova sede online in ore

✅ Breakout locale: il traffico cloud/SaaS esce direttamente da ogni sede

✅ Policy basate sull’applicazione: Zoom su fibra, backup su 4G

✅ Controller centrale con visibilità su tutta la rete in tempo reale

Come funziona SD-WAN

Architettura SD-WAN tipica

[SD-WAN Controller]
 (cloud o on-premise)

        ↕ gestione e policy via Internet

[Edge A — Sede Roma]
 ═══ tunnel cifrato ═══ 
[Edge B — Sede Milano]

Fibra 1 Gbps + 4G backup
            Fibra 500 Mbps

[Breakout locale → Azure/AWS/SaaS]
      
[Breakout locale → Internet]

Il traffico Microsoft 365 esce direttamente da ogni sede (breakout locale) — non viene più backhaul-ato al DC centrale. Il traffico verso sistemi aziendali critici passa ancora nel tunnel cifrato tra le sedi. Il controller applica queste policy su tutti gli edge in modo centralizzato.

SDN + NFV — la convergenza nel cloud

SDN e NFV sono tecnologie complementari che si potenziano a vicenda. Nella maggior parte dei deployment moderni vengono usate insieme:

SDN vs NFV — differenza e complementarità

Aspetto	SDN	NFV
Obiettivo principale	Programmabilità della rete — separare control da data plane	Virtualizzare le funzioni di rete su hardware commodity
Cosa virtualizza	Il piano di controllo dello switch/router	L’appliance di rete completa (firewall, LB, IDS…)
Standard chiave	OpenFlow, OVSDB, NETCONF	ETSI NFV-MANO, TOSCA
Implementazioni note	VMware NSX, Cisco ACI, OpenDaylight	Cisco CSR, Fortinet vFortiGate, F5 Virtual Edition

📌 Il quadro completo — SDN + NFV + Cloud

In un data center cloud moderno i tre livelli si integrano: SDN (es. VMware NSX) automatizza la configurazione della rete virtuale quando una VM viene creata; NFV fornisce le funzioni di sicurezza (vFirewall, vIDS) come software deployabile in secondi; VXLAN permette alle VM di spostarsi tra host fisici mantenendo la stessa identità di rete. Il risultato: un’infrastruttura di rete completamente programmabile via API, dove il provisioning di una rete completa con sicurezza e load balancing richiede minuti invece di settimane.

📌 Riepilogo — Punti chiave

SDN separa il control plane (dove inviare i pacchetti) dal data plane (forwarding fisico). Il controller SDN centralizza l’intelligenza e comunica con gli switch via OpenFlow — installando flow entries nelle flow table degli switch
NFV virtualizza le appliance di rete (firewall, load balancer, IDS) come software su server x86 commodity. L’architettura ETSI si articola in NFVI (infrastruttura), VNF (funzioni virtualizzate) e MANO (orchestrazione). Le VNF si concatenano in Service Function Chain
VXLAN risolve i limiti delle VLAN tradizionali: 24 bit di VNI = 16 milioni di segmenti (vs 4094). Incapsula frame L2 in UDP — crea reti overlay su rete IP underlay. I VTEP (Virtual Tunnel EndPoint) gestiscono l’incapsulazione, implementati nell’hypervisor o nello switch
SD-WAN applica SDN alla WAN: controller centrale, edge intelligenti in ogni sede, policy basate sull’applicazione, breakout locale per traffico SaaS/cloud. Riduce i costi rispetto a MPLS dedicato usando link Internet commodity
SDN + NFV + VXLAN convergono nel cloud moderno: rete completamente programmabile via API, provisioning automatico integrato con l’orchestratore (Kubernetes, OpenStack), funzioni di sicurezza virtualizzate deployabili in minuti

📚 Risorse per approfondire

📋

RFC 7348 — Virtual eXtensible Local Area Network (VXLAN)

La specifica VXLAN originale — formato del pacchetto, VNI, VTEP e funzionamento del tunneling L2 su L3

🔗

Open Networking Foundation — OpenFlow Resources

Documentazione OpenFlow dell’ONF — specifica del protocollo, tutorial e casi d’uso SDN nelle reti enterprise e cloud

🌐

ETSI — NFV Standards and Architecture

Portal ETSI NFV con tutti gli standard di riferimento — architettura MANO, NFVI, VNF e casi d’uso nelle reti degli operatori