Overlay網絡是通過網絡虛擬化技術，在同一張Underlay網絡上構建出的一張或者多張?zhí)摂M的邏輯網絡。不同的Overlay網絡雖然共享Underlay網絡中的設備和線路，但是Overlay網絡中的業(yè)務與Underlay網絡中的物理組網和互聯(lián)技術相互解耦。

Overlay網絡的多實例化，既可以服務于同一租戶的不同業(yè)務(如多個部門)，也可以服務于不同租戶，是SD-WAN以及數據中心等解決方案使用的核心組網技術。

1. 為什么需要Overlay網絡?

Overlay網絡和Underlay網絡是一組相對概念，Overlay網絡是建立在Underlay網絡上的邏輯網絡。而為什么需要建立Overlay網絡，就要從底層的Underlay網絡的概念以及局限講起。

Underlay網絡

Underlay網絡正如其名，是Overlay網絡的底層物理基礎。

如下圖所示，Underlay網絡可以是由多個類型設備互聯(lián)而成的物理網絡，負責網絡之間的數據包傳輸。

在Underlay網絡中，互聯(lián)的設備可以是各類型交換機、路由器、負載均衡設備、防火墻等，但網絡的各個設備之間必須通過路由協(xié)議來確保之間IP的連通性。

Underlay網絡可以是二層也可以是三層網絡。其中二層網絡通常應用于以太網，通過VLAN進行劃分。三層網絡的典型應用就是互聯(lián)網，其在同一個自治域使用OSPF、IS-IS等協(xié)議進行路由控制，在各個自治域之間則采用BGP等協(xié)議進行路由傳遞與互聯(lián)。隨著技術的進步，也出現(xiàn)了使用MPLS這種介于二三層的WAN技術搭建的Un derlay網絡。

然而傳統(tǒng)的網絡設備對數據包的轉發(fā)都基于硬件，其構建而成的Underlay網絡也產生了如下的問題：

• 由于硬件根據目的IP地址進行數據包的轉發(fā)，所以傳輸的路徑依賴十分嚴重。
• 新增或變更業(yè)務需要對現(xiàn)有底層網絡連接進行修改，重新配置耗時嚴重。
• 互聯(lián)網不能保證私密通信的安全要求。
• 網絡切片和網絡分段實現(xiàn)復雜，無法做到網絡資源的按需分配。
• 多路徑轉發(fā)繁瑣，無法融合多個底層網絡來實現(xiàn)負載均衡。

Overlay網絡

為了擺脫Underlay網絡的種種限制，現(xiàn)在多采用網絡虛擬化技術在Underlay網絡之上創(chuàng)建虛擬的Overlay網絡。

在Overlay網絡中，設備之間可以通過邏輯鏈路，按照需求完成互聯(lián)形成Overlay拓撲。

相互連接的Overlay設備之間建立隧道，數據包準備傳輸出去時，設備為數據包添加新的IP頭部和隧道頭部，并且被屏蔽掉內層的IP頭部，數據包根據新的IP頭部進行轉發(fā)。當數據包傳遞到另一個設備后，外部的IP報頭和隧道頭將被丟棄，得到原始的數據包，在這個過程中Overlay網絡并不感知Underlay網絡。

Overlay網絡有著各種網絡協(xié)議和標準，包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等。

隨著SDN技術的引入，加入了控制器的Overlay網絡，有著如下的優(yōu)點：

• 流量傳輸不依賴特定線路。Overlay網絡使用隧道技術，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸。
• Overlay網絡可以按照需求建立不同的虛擬拓撲組網，無需對底層網絡作出修改。
• 通過加密手段可以解決保護私密流量在互聯(lián)網上的通信。
• 支持網絡切片與網絡分段。將不同的業(yè)務分割開來，可以實現(xiàn)網絡資源的最優(yōu)分配。
• 支持多路徑轉發(fā)。在Overlay網絡中，流量從源傳輸到目的可通過多條路徑，從而實現(xiàn)負載分擔，最大化利用線路的帶寬。

2. Overlay網絡有哪些例子？

Overlay網絡在SD-WAN、數據中心兩大解決方案中被廣泛應用，由于其底層Underlay網絡的架構也不盡相同，使得Overlay網絡的拓撲存在不同的形式。

數據中心的Overlay網絡

隨著數據中心架構演進，現(xiàn)在數據中心多采用Spine-Leaf架構構建Underlay網絡，通過VXLAN技術構建互聯(lián)的Overlay網絡，業(yè)務報文運行在VXLAN Overlay網絡上，與物理承載網絡解耦。

Leaf與Spine全連接，等價多路徑提高了網絡的可用性。

Leaf節(jié)點作為網絡功能接入節(jié)點，提供Underlay網絡中各種網絡設備接入VXLAN網絡功能，同時也作為Overlay網絡的邊緣設備承擔VTEP(VXLAN Tunnel EndPoint)的角色。

Spine節(jié)點即骨干節(jié)點，是數據中心網絡的核心節(jié)點，提供高速IP轉發(fā)功能，通過高速接口連接各個功能Leaf節(jié)點。

SD-WAN中的Overlay網絡

SD-WAN的Underlay網絡基于廣域網，通過混合鏈路的方式達成總部站點、分支站點、云網站點之間的互聯(lián)。通過搭建Overlay網絡的邏輯拓撲，完成不同場景下的互聯(lián)需求。

圖1-5 SD-WAN的Overlay網絡(以Hub-Spoke為例)

SD-WAN的網絡主要由CPE設備構成，其中CPE又分為Edge和GW兩種類型。

• Edge：是SD-WAN站點的出口設備。
• GW：是聯(lián)接SD-WAN站點和其他網絡(如傳統(tǒng)VPN)的網關設備。

根據企業(yè)網絡規(guī)模、中心站點數量、站點間互訪需求可以搭建出多個不同類型的Overlay網絡：

• Hub-spoke： 適用于企業(yè)擁有1~2個數據中心，業(yè)務主要在總部和數據中心，分支通過WAN集中訪問部署在總部或者數據中心的業(yè)務。分支之間無或者有少量的互訪需求，分支之間通過總部或者數據中心繞行。
• Full-mesh： 適用于站點規(guī)模不多的小企業(yè)，或者在分支之間需要進行協(xié)同工作的大企業(yè)中部署。大企業(yè)的協(xié)同業(yè)務，如VoIP和視頻會議等高價值的應用，對于網絡丟包、時延和抖動等網絡性能具有很高的要求，因此這類業(yè)務更適用于分支站點之間直接進行互訪。
• 分層組網： 適應于網絡站點規(guī)模龐大或者站點分散分布在多個國家或地區(qū)的大型跨國企業(yè)和大企業(yè)，網絡結構清晰，網絡可擴展性好。
• 多Hub組網： 適用于有多個數據中心，每個數據中心均部署業(yè)務服務器為分支提供業(yè)務服務的企業(yè)。
• POP組網： 當運營商/MSP面向企業(yè)提供SD-WAN網絡接入服務時，企業(yè)一時間不能將全部站點改造為SD-WAN站點，網絡中同時存在傳統(tǒng)分支站點和SD-WAN站點這兩類站點，且這些站點間有流量互通的訴求。一套IWG(Interworking Gateway，互通網關)組網能同時為多個企業(yè)租戶提供SD-WAN站點和已有的傳統(tǒng)MPLS VPN網絡的站點連通服務。

3. Overlay網絡 VS Underlay網絡

Overlay網絡和Underlay網絡的區(qū)別如下所示：

表 Underlay網絡 VS Overlay網絡