什么是Overlay网络？

overlay网络是通过网络虚拟化技术，在同一张underlay网络上构建出的一张或者多张虚拟的逻辑网络。不同的overlay网络虽然共享underlay网络中的设备和线路，但是overlay网络中的业务与underlay网络中的物理组网和互联技术相互解耦。overlay网络的多实例化，既可以服务于同一租户的不同业务(如多个部门)，也可以服务于不同租户，是sd-wan以及数据中心等解决方案使用的核心组网技术。

为什么需要overlay网络?

overlay网络和underlay网络是一组相对概念，overlay网络是建立在underlay网络上的逻辑网络。而为什么需要建立overlay网络，就要从底层的underlay网络的概念以及局限讲起。

underlay网络

underlay网络正如其名，是overlay网络的底层物理基础。

如下图所示，underlay网络可以是由多个类型设备互联而成的物理网络，负责网络之间的数据包传输。

典型的underlay网络

在underlay网络中，互联的设备可以是各类型交换机、路由器、负载均衡设备、防火墙等，但网络的各个设备之间必须通过路由协议来确保之间ip的连通性。

underlay网络可以是二层也可以是三层网络。其中二层网络通常应用于以太网，通过vlan进行划分。三层网络的典型应用就是互联网，其在同一个自治域使用ospf、is-is等协议进行路由控制，在各个自治域之间则采用bgp等协议进行路由传递与互联。随着技术的进步，也出现了使用mpls这种介于二三层的wan技术搭建的underlay网络。

然而传统的网络设备对数据包的转发都基于硬件，其构建而成的underlay网络也产生了如下的问题：

• 由于硬件根据目的ip地址进行数据包的转发，所以传输的路径依赖十分严重。
• 新增或变更业务需要对现有底层网络连接进行修改，重新配置耗时严重。
• 互联网不能保证私密通信的安全要求。
• 网络切片和网络分段实现复杂，无法做到网络资源的按需分配。
• 多路径转发繁琐，无法融合多个底层网络来实现负载均衡。

overlay网络

为了摆脱underlay网络的种种限制，现在多采用网络虚拟化技术在underlay网络之上创建虚拟的overlay网络。

overlay网络拓扑

在overlay网络中，设备之间可以通过逻辑链路，按照需求完成互联形成overlay拓扑。

相互连接的overlay设备之间建立隧道，数据包准备传输出去时，设备为数据包添加新的ip头部和隧道头部，并且被屏蔽掉内层的ip头部，数据包根据新的ip头部进行转发。当数据包传递到另一个设备后，外部的ip报头和隧道头将被丢弃，得到原始的数据包，在这个过程中overlay网络并不感知underlay网络。

overlay网络有着各种网络协议和标准，包括vxlan、nvgre、sst、gre、nvo3、evpn等。

随着sdn技术的引入，加入了控制器的overlay网络，有着如下的优点：

• 流量传输不依赖特定线路。overlay网络使用隧道技术，可以灵活选择不同的底层链路，使用多种方式保证流量的稳定传输。
• overlay网络可以按照需求建立不同的虚拟拓扑组网，无需对底层网络作出修改。
• 通过加密手段可以解决保护私密流量在互联网上的通信。
• 支持网络切片与网络分段。将不同的业务分割开来，可以实现网络资源的最优分配。
• 支持多路径转发。在overlay网络中，流量从源传输到目的可通过多条路径，从而实现负载分担，最大化利用线路的带宽。

overlay网络有哪些例子?

overlay网络在sd-wan、数据中心两大解决方案中被广泛应用，由于其底层underlay网络的架构也不尽相同，使得overlay网络的拓扑存在不同的形式。

数据中心的overlay网络

随着数据中心架构演进，现在数据中心多采用spine-leaf架构构建underlay网络，通过vxlan技术构建互联的overlay网络，业务报文运行在vxlan overlay网络上，与物理承载网络解耦。

数据中心的overlay网络

leaf与spine全连接，等价多路径提高了网络的可用性。

leaf节点作为网络功能接入节点，提供underlay网络中各种网络设备接入vxlan网络功能，同时也作为overlay网络的边缘设备承担vtep(vxlan tunnel endpoint)的角色。

spine节点即骨干节点，是数据中心网络的核心节点，提供高速ip转发功能，通过高速接口连接各个功能leaf节点。

sd-wan中的overlay网络

sd-wan的underlay网络基于广域网，通过混合链路的方式达成总部站点、分支站点、云网站点之间的互联。通过搭建overlay网络的逻辑拓扑，完成不同场景下的互联需求。

图1-5 sd-wan的overlay网络(以hub-spoke为例)

sd-wan的网络主要由cpe设备构成，其中cpe又分为edge和gw两种类型。

• edge：是sd-wan站点的出口设备。
• gw：是联接sd-wan站点和其他网络(如传统vpn)的网关设备。

根据企业网络规模、中心站点数量、站点间互访需求可以搭建出多个不同类型的overlay网络。

• hub-spoke：适用于企业拥有1~2个数据中心，业务主要在总部和数据中心，分支通过wan集中访问部署在总部或者数据中心的业务。分支之间无或者有少量的互访需求，分支之间通过总部或者数据中心绕行。
• full-mesh：适用于站点规模不多的小企业，或者在分支之间需要进行协同工作的大企业中部署。大企业的协同业务，如voip和视频会议等高价值的应用，对于网络丢包、时延和抖动等网络性能具有很高的要求，因此这类业务更适用于分支站点之间直接进行互访。
• 分层组网：适应于网络站点规模庞大或者站点分散分布在多个国家或地区的大型跨国企业和大企业，网络结构清晰，网络可扩展性好。
• 多hub组网：适用于有多个数据中心，每个数据中心均部署业务服务器为分支提供业务服务的企业。
• pop组网：当运营商/msp面向企业提供sd-wan网络接入服务时，企业一时间不能将全部站点改造为sd-wan站点，网络中同时存在传统分支站点和sd-wan站点这两类站点，且这些站点间有流量互通的诉求。一套iwg(interworking gateway，互通网关)组网能同时为多个企业租户提供sd-wan站点和已有的传统mpls vpn网络的站点连通服务。

overlay网络 vs underlay网络

overlay网络和underlay网络的区别如下所示：

表1-1 underlay网络 vs overlay网络