01為什么需要Overlay網絡？

Overlay網絡和Underlay網絡是一組相對概念，Overlay網絡是建立在Underlay網絡上的邏輯網絡。

而為什么需要建立Overlay網絡，就要從底層的Underlay網絡的概念以及局限講起。

1這得先說回到Underlay網絡

Underlay網絡正如其名，是Overlay網絡的底層物理基礎。

如下圖所示，Underlay網絡可以是由多個類型設備互聯而成的物理網絡，負責網絡之間的數據包傳輸。

在Underlay網絡中，互聯的設備可以是各類型交換機、路由器、負載均衡設備、防火墻等，但網絡的各個設備之間必須通過路由協議來確保之間IP的連通性。

Underlay網絡可以是二層也可以是三層網絡。

其中二層網絡通常應用于以太網，通過VLAN進行劃分。

三層網絡的典型應用就是互聯網，其在同一個自治域使用OSPF、IS-IS等協議進行路由控制，在各個自治域之間則采用BGP等協議進行路由傳遞與互聯。

隨著技術的進步，也出現了使用MPLS這種介于二三層的WAN技術搭建的Un derlay網絡。

然而傳統的網絡設備對數據包的轉發都基于硬件，其構建而成的Underlay網絡也產生了如下的問題：

由于硬件根據目的IP地址進行數據包的轉發，所以傳輸的路徑依賴十分嚴重。

新增或變更業務需要對現有底層網絡連接進行修改，重新配置耗時嚴重。

互聯網不能保證私密通信的安全要求。

網絡切片和網絡分段實現復雜，無法做到網絡資源的按需分配。

多路徑轉發繁瑣，無法融合多個底層網絡來實現負載均衡。

Underlay網絡存在著以上諸多限制，而Overlay帶來了Underlay無法提供的靈活性。

2為啥需要Overlay網絡

為了擺脫Underlay網絡的種種限制，現在多采用網絡虛擬化技術在Underlay網絡之上創建虛擬的Overlay網絡。

在Overlay網絡中，設備之間可以通過邏輯鏈路，按照需求完成互聯形成Overlay拓撲。

相互連接的Overlay設備之間建立隧道，數據包準備傳輸出去時，設備為數據包添加新的IP頭部和隧道頭部，并且被屏蔽掉內層的IP頭部，數據包根據新的IP頭部進行轉發。

當數據包傳遞到另一個設備后，外部的IP報頭和隧道頭將被丟棄，得到原始的數據包，在這個過程中Overlay網絡并不感知Underlay網絡。

Overlay網絡有著各種網絡協議和標準，包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等。

3Overlay網絡如何解決問題？

隨著SDN技術的引入，加入了控制器的Overlay網絡，有著如下的優點：

流量傳輸不依賴特定線路。Overlay網絡使用隧道技術，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩定傳輸。

Overlay網絡可以按照需求建立不同的虛擬拓撲組網，無需對底層網絡作出修改。

通過加密手段可以解決保護私密流量在互聯網上的通信。

支持網絡切片與網絡分段。將不同的業務分割開來，可以實現網絡資源的最優分配。

支持多路徑轉發。在Overlay網絡中，流量從源傳輸到目的可通過多條路徑，從而實現負載分擔，最大化利用線路的帶寬。

02Overlay網絡是如何形成的？

Overlay是基于軟件的，不依賴于傳輸，它就像物理網絡之上的虛擬網絡。

Overlay網絡的一個典型例子是Internet VPN ，它在Internet上構建了一個虛擬的封閉網絡。

通過使用IPsec等協議構建虛擬網絡，使私有 IP 地址的通信成為可能。

此外，SDN和SD-WAN也采用了Overlay網絡的概念。

但是，要在 SD-WAN 中構建Overlay，需要一個特殊 CPE，稱為 SD-WAN 邊緣設備。

用一個SD-WAN邊緣設備建立GRE隧道的例子給你說明下。

相互連接的SD-WAN邊緣設備之間建立隧道，數據包準備傳輸出去時，設備為數據包添加新的IP頭部和隧道頭部，

并將內部IP頭與MPLS域隔離，MPLS轉發基于外部IP頭進行。

一旦數據包到達其目的地，SD-WAN 邊緣設備將刪除外部 IP 標頭和隧道標頭，得到的是原始 IP 數據包。

在整個過程中，Overlay網絡感知不到Underlay網絡。

同樣的過程也可以用于Internet Underlay，但需要使用IPSec進行加密。

03關于Overlay網絡的應用

說2個具體案例

Overlay網絡在SD-WAN、數據中心兩大解決方案中被廣泛應用。

但由于其底層Underlay網絡的架構也不盡相同，使得Overlay網絡的拓撲存在不同的形式。

1數據中心的Overlay網絡

隨著數據中心架構演進，現在數據中心多采用Spine-Leaf架構構建Underlay網絡。

通過VXLAN技術構建互聯的Overlay網絡，業務報文運行在VXLAN Overlay網絡上，與物理承載網絡解耦。

Leaf與Spine全連接，等價多路徑提高了網絡的可用性。

Leaf節點作為網絡功能接入節點，提供Underlay網絡中各種網絡設備接入VXLAN網絡功能。

同時也作為Overlay網絡的邊緣設備承擔VTEP（VXLAN Tunnel EndPoint）的角色。

Spine節點即骨干節點，是數據中心網絡的核心節點，提供高速IP轉發功能，通過高速接口連接各個功能Leaf節點。

2SD-WAN中的Overlay網絡

SD-WAN的Underlay網絡基于廣域網，通過混合鏈路的方式達成總部站點、分支站點、云網站點之間的互聯。

通過搭建Overlay網絡的邏輯拓撲，完成不同場景下的互聯需求。

SD-WAN的Overlay網絡（以Hub-Spoke為例）

SD-WAN的網絡主要由CPE設備構成，其中CPE又分為Edge和GW兩種類型。

Edge：是SD-WAN站點的出口設備。

GW：是聯接SD-WAN站點和其他網絡（如傳統VPN）的網關設備。

根據企業網絡規模、中心站點數量、站點間互訪需求可以搭建出多個不同類型的Overlay網絡。

Hub-spoke：

適用于企業擁有1~2個數據中心，業務主要在總部和數據中心，分支通過WAN集中訪問部署在總部或者數據中心的業務。

分支之間無或者有少量的互訪需求，分支之間通過總部或者數據中心繞行。

Full-mesh：

適用于站點規模不多的小企業，或者在分支之間需要進行協同工作的大企業中部署。

大企業的協同業務，如VoIP和視頻會議等高價值的應用，對于網絡丟包、時延和抖動等網絡性能具有很高的要求，因此這類業務更適用于分支站點之間直接進行互訪。

分層組網：

適應于網絡站點規模龐大或者站點分散分布在多個國家或地區的大型跨國企業和大企業，網絡結構清晰，網絡可擴展性好。

多Hub組網：

適用于有多個數據中心，每個數據中心均部署業務服務器為分支提供業務服務的企業。

POP組網：

當運營商/MSP面向企業提供SD-WAN網絡接入服務時，企業一時間不能將全部站點改造為SD-WAN站點；

網絡中同時存在傳統分支站點和SD-WAN站點這兩類站點，且這些站點間有流量互通的訴求。

一套IWG（Interworking Gateway，互通網關）組網能同時為多個企業租戶提供SD-WAN站點和已有的傳統MPLS VPN網絡的站點連通服務。

審核編輯：湯梓紅