01為什么需要Overlay網(wǎng)絡？

Overlay網(wǎng)絡和Underlay網(wǎng)絡是一組相對概念，Overlay網(wǎng)絡是建立在Underlay網(wǎng)絡上的邏輯網(wǎng)絡。

而為什么需要建立Overlay網(wǎng)絡，就要從底層的Underlay網(wǎng)絡的概念以及局限講起。

1這得先說回到Underlay網(wǎng)絡

Underlay網(wǎng)絡正如其名，是Overlay網(wǎng)絡的底層物理基礎。

如下圖所示，Underlay網(wǎng)絡可以是由多個類型設備互聯(lián)而成的物理網(wǎng)絡，負責網(wǎng)絡之間的數(shù)據(jù)包傳輸。

在Underlay網(wǎng)絡中，互聯(lián)的設備可以是各類型交換機、路由器、負載均衡設備、防火墻等，但網(wǎng)絡的各個設備之間必須通過路由協(xié)議來確保之間IP的連通性。

Underlay網(wǎng)絡可以是二層也可以是三層網(wǎng)絡。

其中二層網(wǎng)絡通常應用于以太網(wǎng)，通過VLAN進行劃分。

三層網(wǎng)絡的典型應用就是互聯(lián)網(wǎng)，其在同一個自治域使用OSPF、IS-IS等協(xié)議進行路由控制，在各個自治域之間則采用BGP等協(xié)議進行路由傳遞與互聯(lián)。

隨著技術的進步，也出現(xiàn)了使用MPLS這種介于二三層的WAN技術搭建的Un derlay網(wǎng)絡。

然而傳統(tǒng)的網(wǎng)絡設備對數(shù)據(jù)包的轉(zhuǎn)發(fā)都基于硬件，其構建而成的Underlay網(wǎng)絡也產(chǎn)生了如下的問題：

由于硬件根據(jù)目的IP地址進行數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以傳輸?shù)穆窂揭蕾囀謬乐亍?/p>

新增或變更業(yè)務需要對現(xiàn)有底層網(wǎng)絡連接進行修改，重新配置耗時嚴重。

互聯(lián)網(wǎng)不能保證私密通信的安全要求。

網(wǎng)絡切片和網(wǎng)絡分段實現(xiàn)復雜，無法做到網(wǎng)絡資源的按需分配。

多路徑轉(zhuǎn)發(fā)繁瑣，無法融合多個底層網(wǎng)絡來實現(xiàn)負載均衡。

Underlay網(wǎng)絡存在著以上諸多限制，而Overlay帶來了Underlay無法提供的靈活性。

2為啥需要Overlay網(wǎng)絡

為了擺脫Underlay網(wǎng)絡的種種限制，現(xiàn)在多采用網(wǎng)絡虛擬化技術在Underlay網(wǎng)絡之上創(chuàng)建虛擬的Overlay網(wǎng)絡。

在Overlay網(wǎng)絡中，設備之間可以通過邏輯鏈路，按照需求完成互聯(lián)形成Overlay拓撲。

相互連接的Overlay設備之間建立隧道，數(shù)據(jù)包準備傳輸出去時，設備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，并且被屏蔽掉內(nèi)層的IP頭部，數(shù)據(jù)包根據(jù)新的IP頭部進行轉(zhuǎn)發(fā)。

當數(shù)據(jù)包傳遞到另一個設備后，外部的IP報頭和隧道頭將被丟棄，得到原始的數(shù)據(jù)包，在這個過程中Overlay網(wǎng)絡并不感知Underlay網(wǎng)絡。

Overlay網(wǎng)絡有著各種網(wǎng)絡協(xié)議和標準，包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等。

3Overlay網(wǎng)絡如何解決問題？

隨著SDN技術的引入，加入了控制器的Overlay網(wǎng)絡，有著如下的優(yōu)點：

流量傳輸不依賴特定線路。Overlay網(wǎng)絡使用隧道技術，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸。

Overlay網(wǎng)絡可以按照需求建立不同的虛擬拓撲組網(wǎng)，無需對底層網(wǎng)絡作出修改。

通過加密手段可以解決保護私密流量在互聯(lián)網(wǎng)上的通信。

支持網(wǎng)絡切片與網(wǎng)絡分段。將不同的業(yè)務分割開來，可以實現(xiàn)網(wǎng)絡資源的最優(yōu)分配。

支持多路徑轉(zhuǎn)發(fā)。在Overlay網(wǎng)絡中，流量從源傳輸?shù)侥康目赏ㄟ^多條路徑，從而實現(xiàn)負載分擔，最大化利用線路的帶寬。

02Overlay網(wǎng)絡是如何形成的？

Overlay是基于軟件的，不依賴于傳輸，它就像物理網(wǎng)絡之上的虛擬網(wǎng)絡。

Overlay網(wǎng)絡的一個典型例子是Internet VPN ，它在Internet上構建了一個虛擬的封閉網(wǎng)絡。

通過使用IPsec等協(xié)議構建虛擬網(wǎng)絡，使私有 IP 地址的通信成為可能。

此外，SDN和SD-WAN也采用了Overlay網(wǎng)絡的概念。

但是，要在 SD-WAN 中構建Overlay，需要一個特殊 CPE，稱為 SD-WAN 邊緣設備。

用一個SD-WAN邊緣設備建立GRE隧道的例子給你說明下。

相互連接的SD-WAN邊緣設備之間建立隧道，數(shù)據(jù)包準備傳輸出去時，設備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，

并將內(nèi)部IP頭與MPLS域隔離，MPLS轉(zhuǎn)發(fā)基于外部IP頭進行。

一旦數(shù)據(jù)包到達其目的地，SD-WAN 邊緣設備將刪除外部 IP 標頭和隧道標頭，得到的是原始 IP 數(shù)據(jù)包。

在整個過程中，Overlay網(wǎng)絡感知不到Underlay網(wǎng)絡。

同樣的過程也可以用于Internet Underlay，但需要使用IPSec進行加密。

03關于Overlay網(wǎng)絡的應用

說2個具體案例

Overlay網(wǎng)絡在SD-WAN、數(shù)據(jù)中心兩大解決方案中被廣泛應用。

但由于其底層Underlay網(wǎng)絡的架構也不盡相同，使得Overlay網(wǎng)絡的拓撲存在不同的形式。

1數(shù)據(jù)中心的Overlay網(wǎng)絡

隨著數(shù)據(jù)中心架構演進，現(xiàn)在數(shù)據(jù)中心多采用Spine-Leaf架構構建Underlay網(wǎng)絡。

通過VXLAN技術構建互聯(lián)的Overlay網(wǎng)絡，業(yè)務報文運行在VXLAN Overlay網(wǎng)絡上，與物理承載網(wǎng)絡解耦。

Leaf與Spine全連接，等價多路徑提高了網(wǎng)絡的可用性。

Leaf節(jié)點作為網(wǎng)絡功能接入節(jié)點，提供Underlay網(wǎng)絡中各種網(wǎng)絡設備接入VXLAN網(wǎng)絡功能。

同時也作為Overlay網(wǎng)絡的邊緣設備承擔VTEP（VXLAN Tunnel EndPoint）的角色。

Spine節(jié)點即骨干節(jié)點，是數(shù)據(jù)中心網(wǎng)絡的核心節(jié)點，提供高速IP轉(zhuǎn)發(fā)功能，通過高速接口連接各個功能Leaf節(jié)點。

2SD-WAN中的Overlay網(wǎng)絡

SD-WAN的Underlay網(wǎng)絡基于廣域網(wǎng)，通過混合鏈路的方式達成總部站點、分支站點、云網(wǎng)站點之間的互聯(lián)。

通過搭建Overlay網(wǎng)絡的邏輯拓撲，完成不同場景下的互聯(lián)需求。

SD-WAN的Overlay網(wǎng)絡（以Hub-Spoke為例）

SD-WAN的網(wǎng)絡主要由CPE設備構成，其中CPE又分為Edge和GW兩種類型。

Edge：是SD-WAN站點的出口設備。

GW：是聯(lián)接SD-WAN站點和其他網(wǎng)絡（如傳統(tǒng)VPN）的網(wǎng)關設備。

根據(jù)企業(yè)網(wǎng)絡規(guī)模、中心站點數(shù)量、站點間互訪需求可以搭建出多個不同類型的Overlay網(wǎng)絡。

Hub-spoke：

適用于企業(yè)擁有1~2個數(shù)據(jù)中心，業(yè)務主要在總部和數(shù)據(jù)中心，分支通過WAN集中訪問部署在總部或者數(shù)據(jù)中心的業(yè)務。

分支之間無或者有少量的互訪需求，分支之間通過總部或者數(shù)據(jù)中心繞行。

Full-mesh：

適用于站點規(guī)模不多的小企業(yè)，或者在分支之間需要進行協(xié)同工作的大企業(yè)中部署。

大企業(yè)的協(xié)同業(yè)務，如VoIP和視頻會議等高價值的應用，對于網(wǎng)絡丟包、時延和抖動等網(wǎng)絡性能具有很高的要求，因此這類業(yè)務更適用于分支站點之間直接進行互訪。

分層組網(wǎng)：

適應于網(wǎng)絡站點規(guī)模龐大或者站點分散分布在多個國家或地區(qū)的大型跨國企業(yè)和大企業(yè)，網(wǎng)絡結構清晰，網(wǎng)絡可擴展性好。

多Hub組網(wǎng)：

適用于有多個數(shù)據(jù)中心，每個數(shù)據(jù)中心均部署業(yè)務服務器為分支提供業(yè)務服務的企業(yè)。

POP組網(wǎng)：

當運營商/MSP面向企業(yè)提供SD-WAN網(wǎng)絡接入服務時，企業(yè)一時間不能將全部站點改造為SD-WAN站點；

網(wǎng)絡中同時存在傳統(tǒng)分支站點和SD-WAN站點這兩類站點，且這些站點間有流量互通的訴求。

一套IWG（Interworking Gateway，互通網(wǎng)關）組網(wǎng)能同時為多個企業(yè)租戶提供SD-WAN站點和已有的傳統(tǒng)MPLS VPN網(wǎng)絡的站點連通服務。

審核編輯：湯梓紅