什麼是 Overlay 網絡?
Overlay 網絡是通過網絡虛擬化技術,在同一張 Underlay 網絡上構建出的一張或者多張虛擬的邏輯網絡。不同的 Overlay 網絡雖然共享 Underlay 網絡中的設備和線路,但是 Overlay 網絡中的業務與 Underlay 網絡中的物理組網和互聯技術相互解耦。Overlay 網絡的多實例化,既可以服務於同一租戶的不同業務(如多個部門),也可以服務於不同租戶,是 SD-WAN 以及數據中心等解決方案使用的核心組網技術。
爲什麼需要 Overlay 網絡?
Overlay 網絡和 Underlay 網絡是一組相對概念,Overlay 網絡是建立在 Underlay 網絡上的邏輯網絡。而爲什麼需要建立 Overlay 網絡,就要從底層的 Underlay 網絡的概念以及侷限講起。
Underlay 網絡
Underlay 網絡正如其名,是 Overlay 網絡的底層物理基礎。
如下圖所示,Underlay 網絡可以是由多個類型設備互聯而成的物理網絡,負責網絡之間的數據包傳輸。
在 Underlay 網絡中,互聯的設備可以是各類型交換機、路由器、負載均衡設備、防火牆等,但網絡的各個設備之間必須通過路由協議來確保之間 IP 的連通性。
Underlay 網絡可以是二層也可以是三層網絡。其中二層網絡通常應用於以太網,通過 VLAN 進行劃分。三層網絡的典型應用就是互聯網,其在同一個自治域使用 OSPF、IS-IS 等協議進行路由控制,在各個自治域之間則採用 BGP 等協議進行路由傳遞與互聯。隨着技術的進步,也出現了使用 MPLS 這種介於二三層的 WAN 技術搭建的 Underlay 網絡。
然而傳統的網絡設備對數據包的轉發都基於硬件,其構建而成的 Underlay 網絡也產生了如下的問題:
-
由於硬件根據目的 IP 地址進行數據包的轉發,所以傳輸的路徑依賴十分嚴重。
-
新增或變更業務需要對現有底層網絡連接進行修改,重新配置耗時嚴重。
-
互聯網不能保證私密通信的安全要求。
-
網絡切片和網絡分段實現複雜,無法做到網絡資源的按需分配。
-
多路徑轉發繁瑣,無法融合多個底層網絡來實現負載均衡。
Overlay 網絡
爲了擺脫 Underlay 網絡的種種限制,現在多采用網絡虛擬化技術在 Underlay 網絡之上創建虛擬的 Overlay 網絡。
在 Overlay 網絡中,設備之間可以通過邏輯鏈路,按照需求完成互聯形成 Overlay 拓撲。
相互連接的 Overlay 設備之間建立隧道,數據包準備傳輸出去時,設備爲數據包添加新的 IP 頭部和隧道頭部,並且被屏蔽掉內層的 IP 頭部,數據包根據新的 IP 頭部進行轉發。當數據包傳遞到另一個設備後,外部的 IP 報頭和隧道頭將被丟棄,得到原始的數據包,在這個過程中 Overlay 網絡並不感知 Underlay 網絡。
Overlay 網絡有着各種網絡協議和標準,包括 VXLAN、NVGRE、SST、GRE、NVO3、EVPN 等。
隨着 SDN 技術的引入,加入了控制器的 Overlay 網絡,有着如下的優點:
-
流量傳輸不依賴特定線路。Overlay 網絡使用隧道技術,可以靈活選擇不同的底層鏈路,使用多種方式保證流量的穩定傳輸。
-
Overlay 網絡可以按照需求建立不同的虛擬拓撲組網,無需對底層網絡作出修改。
-
通過加密手段可以解決保護私密流量在互聯網上的通信。
-
支持網絡切片與網絡分段。將不同的業務分割開來,可以實現網絡資源的最優分配。
-
支持多路徑轉發。在 Overlay 網絡中,流量從源傳輸到目的可通過多條路徑,從而實現負載分擔,最大化利用線路的帶寬。
Overlay 網絡有哪些例子?
Overlay 網絡在 SD-WAN、數據中心兩大解決方案中被廣泛應用,由於其底層 Underlay 網絡的架構也不盡相同,使得 Overlay 網絡的拓撲存在不同的形式。
數據中心的 Overlay 網絡
隨着數據中心架構演進,現在數據中心多采用 Spine-Leaf 架構構建 Underlay 網絡,通過 VXLAN 技術構建互聯的 Overlay 網絡,業務報文運行在 VXLAN Overlay 網絡上,與物理承載網絡解耦。
Leaf 與 Spine 全連接,等價多路徑提高了網絡的可用性。
Leaf 節點作爲網絡功能接入節點,提供 Underlay 網絡中各種網絡設備接入 VXLAN 網絡功能,同時也作爲 Overlay 網絡的邊緣設備承擔 VTEP(VXLAN Tunnel EndPoint)的角色。
Spine 節點即骨幹節點,是數據中心網絡的核心節點,提供高速 IP 轉發功能,通過高速接口連接各個功能 Leaf 節點。
SD-WAN 中的 Overlay 網絡
SD-WAN 的 Underlay 網絡基於廣域網,通過混合鏈路的方式達成總部站點、分支站點、雲網站點之間的互聯。通過搭建 Overlay 網絡的邏輯拓撲,完成不同場景下的互聯需求。
圖 1-5 SD-WAN 的 Overlay 網絡(以 Hub-Spoke 爲例)
SD-WAN 的網絡主要由 CPE 設備構成,其中 CPE 又分爲 Edge 和 GW 兩種類型。
-
Edge:是 SD-WAN 站點的出口設備。
-
GW:是聯接 SD-WAN 站點和其他網絡(如傳統 VPN)的網關設備。
根據企業網絡規模、中心站點數量、站點間互訪需求可以搭建出多個不同類型的 Overlay 網絡。
-
Hub-spoke:適用於企業擁有 1~2 個數據中心,業務主要在總部和數據中心,分支通過 WAN 集中訪問部署在總部或者數據中心的業務。分支之間無或者有少量的互訪需求,分支之間通過總部或者數據中心繞行。
-
Full-mesh:適用於站點規模不多的小企業,或者在分支之間需要進行協同工作的大企業中部署。大企業的協同業務,如 VoIP 和視頻會議等高價值的應用,對於網絡丟包、時延和抖動等網絡性能具有很高的要求,因此這類業務更適用於分支站點之間直接進行互訪。
-
分層組網:適應於網絡站點規模龐大或者站點分散分佈在多個國家或地區的大型跨國企業和大企業,網絡結構清晰,網絡可擴展性好。
-
多 Hub 組網:適用於有多個數據中心,每個數據中心均部署業務服務器爲分支提供業務服務的企業。
-
POP 組網:當運營商 / MSP 面向企業提供 SD-WAN 網絡接入服務時,企業一時間不能將全部站點改造爲 SD-WAN 站點,網絡中同時存在傳統分支站點和 SD-WAN 站點這兩類站點,且這些站點間有流量互通的訴求。一套 IWG(Interworking Gateway,互通網關)組網能同時爲多個企業租戶提供 SD-WAN 站點和已有的傳統 MPLS VPN 網絡的站點連通服務。
Overlay 網絡 VS Underlay 網絡
Overlay 網絡和 Underlay 網絡的區別如下所示:
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/zvpwR8EUJUHzAUXYbmOJgA