伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)據(jù)中心的二層組網(wǎng)結(jié)構(gòu)出現(xiàn)了階段性的架構(gòu)變化，數(shù)據(jù)中心網(wǎng)絡(luò)分為了Underlay和Overlay兩個部分，網(wǎng)絡(luò)進入了Overlay虛擬化階段。那么Overlay網(wǎng)絡(luò)是如何形成的？與Underlay 有哪些區(qū)別？又試圖解決什么問題？

Underlay網(wǎng)絡(luò)

Underlay 網(wǎng)絡(luò)是負責傳遞數(shù)據(jù)包的物理網(wǎng)絡(luò)，由交換機和路由器等設(shè)備組成，借助以太網(wǎng)協(xié)議、路由協(xié)議和VLAN協(xié)議等驅(qū)動。Underlay的所有網(wǎng)絡(luò)組件都必須通過使用路由協(xié)議來確定 IP 連接。

 對Underlay 網(wǎng)絡(luò)而言，需要建立一個設(shè)計良好的L3，包括園區(qū)邊緣交換機等，以確保網(wǎng)絡(luò)的性能、可擴展性和高可用性。 

Underlay協(xié)議：BGP、OSPF、IS-IS、EIGRP。

Overlay網(wǎng)絡(luò)

Overlay 是使用網(wǎng)絡(luò)虛擬化在物理基礎(chǔ)設(shè)施之上建立連接的邏輯網(wǎng)絡(luò)。與UnderLay網(wǎng)絡(luò)相比，Overlay實現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面的分離，這也是SDN的核心理念。 

VXLAN協(xié)議是目前最流行的Overlay網(wǎng)絡(luò)隧道協(xié)議之一，它是由IETF定義的NVO3（Network Virtualization over Layer 3）標準技術(shù)之一，采用L2 over L4（MAC-in-UDP）的報文封裝模式，將二層報文用三層協(xié)議進行封裝，可實現(xiàn)二層網(wǎng)絡(luò)在三層范圍內(nèi)進行擴展，將“二層域”突破規(guī)模限制形成“大二層域”。

 通過OverLay技術(shù)，可以在對物理網(wǎng)絡(luò)不做任何改造的情況下，通過隧道技術(shù)在現(xiàn)有的物理網(wǎng)絡(luò)上創(chuàng)建了一個或多個邏輯網(wǎng)絡(luò)，有效解決物理數(shù)據(jù)中心存在的諸多問題，實現(xiàn)了數(shù)據(jù)中心的自動化和智能化。

 Overlay協(xié)議：VXLAN、NVGRE、GRE、OTV、OMP、mVPN 。

Underlay網(wǎng)絡(luò)的一些限制

傳統(tǒng)路由協(xié)議構(gòu)建了路由前綴列表，每個路由條目都指向下一跳的 IP 地址。這意味著每個數(shù)據(jù)包都會根據(jù)路由表在網(wǎng)絡(luò)中逐跳轉(zhuǎn)發(fā)到目的地。這種逐跳路由行為有許多低效之處，例如：

(1) 網(wǎng)絡(luò)分段和網(wǎng)絡(luò)切片很難大規(guī)模實現(xiàn)：

• 在網(wǎng)絡(luò)中逐跳傳輸分段標簽需要 VRF、MPLS 和 MP-BGP 之間進行復雜的控制平面交互。
• 網(wǎng)絡(luò)切片和多租戶無法實現(xiàn)。

(2) 多路徑轉(zhuǎn)發(fā)繁瑣，無法融合多個底層網(wǎng)絡(luò)來實現(xiàn)負載均衡。

(3) 服務(wù)鏈無法有效擴展，因為它需要在多個設(shè)備上進行手動配置。

(4) 互聯(lián)網(wǎng)不能保證私密通信的安全要求。

Underlay網(wǎng)絡(luò)存在著以上諸多限制，而Overlay帶來了Underlay無法提供的靈活性。那么Overlay網(wǎng)絡(luò)又是如何形成的呢？

Overlay網(wǎng)絡(luò)是如何形成的？

Overlay是基于軟件的，不依賴于傳輸，它就像物理網(wǎng)絡(luò)之上的虛擬網(wǎng)絡(luò)。

 Overlay網(wǎng)絡(luò)的一個典型例子是Internet VPN ，它在Internet上構(gòu)建了一個虛擬的封閉網(wǎng)絡(luò)。通過使用IPsec等協(xié)議構(gòu)建虛擬網(wǎng)絡(luò)，使私有 IP 地址的通信成為可能。此外，SDN和SD-WAN也采用了Overlay網(wǎng)絡(luò)的概念。 

但是，要在 SD-WAN 中構(gòu)建Overlay，需要一個特殊 CPE，稱為 SD-WAN 邊緣設(shè)備。

下面以SD-WAN邊緣設(shè)備建立GRE隧道為例進行說明。相互連接的SD-WAN邊緣設(shè)備之間建立隧道，數(shù)據(jù)包準備傳輸出去時，設(shè)備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，并將內(nèi)部IP頭與MPLS域隔離，MPLS轉(zhuǎn)發(fā)基于外部IP頭進行。 

一旦數(shù)據(jù)包到達其目的地，SD-WAN 邊緣設(shè)備將刪除外部 IP 標頭和隧道標頭，得到的是原始 IP 數(shù)據(jù)包。在整個過程中，Overlay網(wǎng)絡(luò)感知不到Underlay網(wǎng)絡(luò)。 

同樣的過程也可以用于Internet Underlay，但需要使用IPSec進行加密。 

Overlay網(wǎng)絡(luò)如何解決問題？

(1) 使用加密技術(shù)可以保護私密流量在互聯(lián)網(wǎng)上的通信。 

2) 流量傳輸不依賴特定線路。Overlay網(wǎng)絡(luò)使用隧道技術(shù)，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸。

(3) 支持多路徑轉(zhuǎn)發(fā)。在Overlay網(wǎng)絡(luò)中，流量從源傳輸?shù)侥康目赏ㄟ^多條路徑，從而實現(xiàn)負載分擔，最大化利用線路的帶寬。

4() 支持網(wǎng)絡(luò)切片與網(wǎng)絡(luò)分段。將不同的業(yè)務(wù)分割開來，可以實現(xiàn)網(wǎng)絡(luò)資源的最優(yōu)分配。

Overlay vs Underlay總結(jié)

? ?