01為什么需要Overlay網(wǎng)絡(luò)？

Overlay網(wǎng)絡(luò)和Underlay網(wǎng)絡(luò)是一組相對概念，Overlay網(wǎng)絡(luò)是建立在Underlay網(wǎng)絡(luò)上的邏輯網(wǎng)絡(luò)。

而為什么需要建立Overlay網(wǎng)絡(luò)，就要從底層的Underlay網(wǎng)絡(luò)的概念以及局限講起。

1這得先說回到Underlay網(wǎng)絡(luò)

Underlay網(wǎng)絡(luò)正如其名，是Overlay網(wǎng)絡(luò)的底層物理基礎(chǔ)。

如下圖所示，Underlay網(wǎng)絡(luò)可以是由多個類型設(shè)備互聯(lián)而成的物理網(wǎng)絡(luò)，負(fù)責(zé)網(wǎng)絡(luò)之間的數(shù)據(jù)包傳輸。

在Underlay網(wǎng)絡(luò)中，互聯(lián)的設(shè)備可以是各類型交換機、路由器、負(fù)載均衡設(shè)備、防火墻等，但網(wǎng)絡(luò)的各個設(shè)備之間必須通過路由協(xié)議來確保之間IP的連通性。

Underlay網(wǎng)絡(luò)可以是二層也可以是三層網(wǎng)絡(luò)。

其中二層網(wǎng)絡(luò)通常應(yīng)用于以太網(wǎng)，通過VLAN進行劃分。

三層網(wǎng)絡(luò)的典型應(yīng)用就是互聯(lián)網(wǎng)，其在同一個自治域使用OSPF、IS-IS等協(xié)議進行路由控制，在各個自治域之間則采用BGP等協(xié)議進行路由傳遞與互聯(lián)。

隨著技術(shù)的進步，也出現(xiàn)了使用MPLS這種介于二三層的WAN技術(shù)搭建的Un derlay網(wǎng)絡(luò)。

然而傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)包的轉(zhuǎn)發(fā)都基于硬件，其構(gòu)建而成的Underlay網(wǎng)絡(luò)也產(chǎn)生了如下的問題：

由于硬件根據(jù)目的IP地址進行數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以傳輸?shù)穆窂揭蕾囀謬?yán)重。

新增或變更業(yè)務(wù)需要對現(xiàn)有底層網(wǎng)絡(luò)連接進行修改，重新配置耗時嚴(yán)重。

互聯(lián)網(wǎng)不能保證私密通信的安全要求。

網(wǎng)絡(luò)切片和網(wǎng)絡(luò)分段實現(xiàn)復(fù)雜，無法做到網(wǎng)絡(luò)資源的按需分配。

多路徑轉(zhuǎn)發(fā)繁瑣，無法融合多個底層網(wǎng)絡(luò)來實現(xiàn)負(fù)載均衡。

Underlay網(wǎng)絡(luò)存在著以上諸多限制，而Overlay帶來了Underlay無法提供的靈活性。

2為啥需要Overlay網(wǎng)絡(luò)

為了擺脫Underlay網(wǎng)絡(luò)的種種限制，現(xiàn)在多采用網(wǎng)絡(luò)虛擬化技術(shù)在Underlay網(wǎng)絡(luò)之上創(chuàng)建虛擬的Overlay網(wǎng)絡(luò)。

在Overlay網(wǎng)絡(luò)中，設(shè)備之間可以通過邏輯鏈路，按照需求完成互聯(lián)形成Overlay拓?fù)洹?/p>

相互連接的Overlay設(shè)備之間建立隧道，數(shù)據(jù)包準(zhǔn)備傳輸出去時，設(shè)備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，并且被屏蔽掉內(nèi)層的IP頭部，數(shù)據(jù)包根據(jù)新的IP頭部進行轉(zhuǎn)發(fā)。

當(dāng)數(shù)據(jù)包傳遞到另一個設(shè)備后，外部的IP報頭和隧道頭將被丟棄，得到原始的數(shù)據(jù)包，在這個過程中Overlay網(wǎng)絡(luò)并不感知Underlay網(wǎng)絡(luò)。

Overlay網(wǎng)絡(luò)有著各種網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)，包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等。

3Overlay網(wǎng)絡(luò)如何解決問題？

隨著SDN技術(shù)的引入，加入了控制器的Overlay網(wǎng)絡(luò)，有著如下的優(yōu)點：

流量傳輸不依賴特定線路。Overlay網(wǎng)絡(luò)使用隧道技術(shù)，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸。

Overlay網(wǎng)絡(luò)可以按照需求建立不同的虛擬拓?fù)浣M網(wǎng)，無需對底層網(wǎng)絡(luò)作出修改。

通過加密手段可以解決保護私密流量在互聯(lián)網(wǎng)上的通信。

支持網(wǎng)絡(luò)切片與網(wǎng)絡(luò)分段。將不同的業(yè)務(wù)分割開來，可以實現(xiàn)網(wǎng)絡(luò)資源的最優(yōu)分配。

支持多路徑轉(zhuǎn)發(fā)。在Overlay網(wǎng)絡(luò)中，流量從源傳輸?shù)侥康目赏ㄟ^多條路徑，從而實現(xiàn)負(fù)載分擔(dān)，最大化利用線路的帶寬。

02Overlay網(wǎng)絡(luò)是如何形成的？

Overlay是基于軟件的，不依賴于傳輸，它就像物理網(wǎng)絡(luò)之上的虛擬網(wǎng)絡(luò)。

Overlay網(wǎng)絡(luò)的一個典型例子是Internet VPN ，它在Internet上構(gòu)建了一個虛擬的封閉網(wǎng)絡(luò)。

通過使用IPsec等協(xié)議構(gòu)建虛擬網(wǎng)絡(luò)，使私有 IP 地址的通信成為可能。

此外，SDN和SD-WAN也采用了Overlay網(wǎng)絡(luò)的概念。

但是，要在 SD-WAN 中構(gòu)建Overlay，需要一個特殊 CPE，稱為 SD-WAN 邊緣設(shè)備。

用一個SD-WAN邊緣設(shè)備建立GRE隧道的例子給你說明下。

相互連接的SD-WAN邊緣設(shè)備之間建立隧道，數(shù)據(jù)包準(zhǔn)備傳輸出去時，設(shè)備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，

并將內(nèi)部IP頭與MPLS域隔離，MPLS轉(zhuǎn)發(fā)基于外部IP頭進行。

一旦數(shù)據(jù)包到達其目的地，SD-WAN 邊緣設(shè)備將刪除外部 IP 標(biāo)頭和隧道標(biāo)頭，得到的是原始 IP 數(shù)據(jù)包。

在整個過程中，Overlay網(wǎng)絡(luò)感知不到Underlay網(wǎng)絡(luò)。

同樣的過程也可以用于Internet Underlay，但需要使用IPSec進行加密。

03關(guān)于Overlay網(wǎng)絡(luò)的應(yīng)用

說2個具體案例

Overlay網(wǎng)絡(luò)在SD-WAN、數(shù)據(jù)中心兩大解決方案中被廣泛應(yīng)用。

但由于其底層Underlay網(wǎng)絡(luò)的架構(gòu)也不盡相同，使得Overlay網(wǎng)絡(luò)的拓?fù)浯嬖诓煌男问健?/strong>