伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,數(shù)據(jù)中心的二層組網(wǎng)結(jié)構(gòu)出現(xiàn)了階段性的架構(gòu)變化,數(shù)據(jù)中心網(wǎng)絡(luò)分為了Underlay和Overlay兩個(gè)部分,網(wǎng)絡(luò)進(jìn)入了Overlay虛擬化階段。那么Overlay網(wǎng)絡(luò)是如何形成的?與Underlay 有哪些區(qū)別?又試圖解決什么問題?

Underlay網(wǎng)絡(luò)

Underlay 網(wǎng)絡(luò)是負(fù)責(zé)傳遞數(shù)據(jù)包的物理網(wǎng)絡(luò),由交換機(jī)和路由器等設(shè)備組成,借助以太網(wǎng)協(xié)議、路由協(xié)議和VLAN協(xié)議等驅(qū)動(dòng)。Underlay的所有網(wǎng)絡(luò)組件都必須通過使用路由協(xié)議來確定 IP 連接。


(相關(guān)資料圖)

對(duì)Underlay 網(wǎng)絡(luò)而言,需要建立一個(gè)設(shè)計(jì)良好的L3,包括園區(qū)邊緣交換機(jī)等,以確保網(wǎng)絡(luò)的性能、可擴(kuò)展性和高可用性。

Underlay協(xié)議:BGP、OSPF、IS-IS、EIGRP。

Overlay網(wǎng)絡(luò)

Overlay 是使用網(wǎng)絡(luò)虛擬化在物理基礎(chǔ)設(shè)施之上建立連接的邏輯網(wǎng)絡(luò)。與UnderLay網(wǎng)絡(luò)相比,Overlay實(shí)現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面的分離,這也是SDN的核心理念。

VXLAN協(xié)議是目前最流行的Overlay網(wǎng)絡(luò)隧道協(xié)議之一,它是由IETF定義的NVO3(Network Virtualization over Layer 3)標(biāo)準(zhǔn)技術(shù)之一,采用L2 over L4(MAC-in-UDP)的報(bào)文封裝模式,將二層報(bào)文用三層協(xié)議進(jìn)行封裝,可實(shí)現(xiàn)二層網(wǎng)絡(luò)在三層范圍內(nèi)進(jìn)行擴(kuò)展,將“二層域”突破規(guī)模限制形成“大二層域”。

通過OverLay技術(shù),可以在對(duì)物理網(wǎng)絡(luò)不做任何改造的情況下,通過隧道技術(shù)在現(xiàn)有的物理網(wǎng)絡(luò)上創(chuàng)建了一個(gè)或多個(gè)邏輯網(wǎng)絡(luò),有效解決物理數(shù)據(jù)中心存在的諸多問題,實(shí)現(xiàn)了數(shù)據(jù)中心的自動(dòng)化和智能化。

Overlay協(xié)議:VXLAN、NVGRE、GRE、OTV、OMP、mVPN 。

Underlay網(wǎng)絡(luò)的一些限制

傳統(tǒng)路由協(xié)議構(gòu)建了路由前綴列表,每個(gè)路由條目都指向下一跳的 IP 地址。這意味著每個(gè)數(shù)據(jù)包都會(huì)根據(jù)路由表在網(wǎng)絡(luò)中逐跳轉(zhuǎn)發(fā)到目的地。這種逐跳路由行為有許多低效之處,例如:

(1) 網(wǎng)絡(luò)分段和網(wǎng)絡(luò)切片很難大規(guī)模實(shí)現(xiàn):

在網(wǎng)絡(luò)中逐跳傳輸分段標(biāo)簽需要 VRF、MPLS 和 MP-BGP 之間進(jìn)行復(fù)雜的控制平面交互。網(wǎng)絡(luò)切片和多租戶無法實(shí)現(xiàn)。

(2) 多路徑轉(zhuǎn)發(fā)繁瑣,無法融合多個(gè)底層網(wǎng)絡(luò)來實(shí)現(xiàn)負(fù)載均衡。

(3) 服務(wù)鏈無法有效擴(kuò)展,因?yàn)樗枰诙鄠€(gè)設(shè)備上進(jìn)行手動(dòng)配置。

(4) 互聯(lián)網(wǎng)不能保證私密通信的安全要求。

Underlay網(wǎng)絡(luò)存在著以上諸多限制,而Overlay帶來了Underlay無法提供的靈活性。那么Overlay網(wǎng)絡(luò)又是如何形成的呢?

Overlay網(wǎng)絡(luò)是如何形成的?

Overlay是基于軟件的,不依賴于傳輸,它就像物理網(wǎng)絡(luò)之上的虛擬網(wǎng)絡(luò)。

Overlay網(wǎng)絡(luò)的一個(gè)典型例子是Internet VPN ,它在Internet上構(gòu)建了一個(gè)虛擬的封閉網(wǎng)絡(luò)。通過使用IPsec等協(xié)議構(gòu)建虛擬網(wǎng)絡(luò),使私有 IP 地址的通信成為可能。此外,SDN和SD-WAN也采用了Overlay網(wǎng)絡(luò)的概念。

但是,要在 SD-WAN 中構(gòu)建Overlay,需要一個(gè)特殊 CPE,稱為 SD-WAN 邊緣設(shè)備。

下面以SD-WAN邊緣設(shè)備建立GRE隧道為例進(jìn)行說明。相互連接的SD-WAN邊緣設(shè)備之間建立隧道,數(shù)據(jù)包準(zhǔn)備傳輸出去時(shí),設(shè)備為數(shù)據(jù)包添加新的IP頭部和隧道頭部,并將內(nèi)部IP頭與MPLS域隔離,MPLS轉(zhuǎn)發(fā)基于外部IP頭進(jìn)行。

一旦數(shù)據(jù)包到達(dá)其目的地,SD-WAN 邊緣設(shè)備將刪除外部 IP 標(biāo)頭和隧道標(biāo)頭,得到的是原始 IP 數(shù)據(jù)包。在整個(gè)過程中,Overlay網(wǎng)絡(luò)感知不到Underlay網(wǎng)絡(luò)。

同樣的過程也可以用于Internet Underlay,但需要使用IPSec進(jìn)行加密。

Overlay網(wǎng)絡(luò)如何解決問題?

(1) 使用加密技術(shù)可以保護(hù)私密流量在互聯(lián)網(wǎng)上的通信。

2) 流量傳輸不依賴特定線路。Overlay網(wǎng)絡(luò)使用隧道技術(shù),可以靈活選擇不同的底層鏈路,使用多種方式保證流量的穩(wěn)定傳輸。

(3) 支持多路徑轉(zhuǎn)發(fā)。在Overlay網(wǎng)絡(luò)中,流量從源傳輸?shù)侥康目赏ㄟ^多條路徑,從而實(shí)現(xiàn)負(fù)載分擔(dān),最大化利用線路的帶寬。

4() 支持網(wǎng)絡(luò)切片與網(wǎng)絡(luò)分段。將不同的業(yè)務(wù)分割開來,可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的最優(yōu)分配。

Overlay vs Underlay總結(jié)

? ?

標(biāo)簽: Underlay Overlay