在SDN如火如荼的今天,每一个网络工程师见到最多的术语大概就是Underlay、Overlay、大二层了。每一个人理解这些技术一定有一套自己的见解,今天站在我个人的家角度来探讨一下Underlay、Overlay、大二层技术。
我第一次在网络领域看到overlay这个术语大概在2011年左右,刚入门开始学习MPLS/ L 3 VPN那会。我们不妨来看一下MPLS/ L3 VPN中介绍的Overlay是怎样的。
VPN的两大类别:
Peer-to-Peer VPN
Overlay VPN
相关术语——
1,P network:运营商核心网络,也就是提供VPN服务供应商自己的网络 "P = provider"
2,C network:客户网络 "C = customer"
3,P device: 运营商网络核心设备
4,PE device:运营商网络边缘设备,用于连接P网络与C网络 "PE = Provider Edge"
5,CE device:客户网络边缘设备,用于连接P网络与C网络 "CE = Customer Edge"
Peer-to-Peer VPN 与 overlay VPN的区别:
在peet-to-peer VPN的实现中,C网络路由会在P网络内传递,P设备也会参与C网络的路由选择,这句话突出的重点就是:P网络与C网络融为一体,C网络路由的任何改变都会影响到P网络。
在overlay VPN的实现中,CE对接PE设备,P网络提供所有CE之间的网络可达性,基于这个网络可达性为基准,CE通过隧道技术构建点到点的VPN互联。隧道基于诸如:GRE、L2TP、PPTP、IPsec。VPN隧道把多个分布于不同位置的网络相互互联起来,这些VPN隧道组成的网络就是overlay网络。它们完全独立与底层的P网络,P网络只负责提供VPN隧道的src-dst可达性。
到这里其实已经把underlay与overlay的概念引出来了,underlay就是底层承载网,overlay就是基于底层网络互联互通的基础加上隧道技术去构建一个虚拟的网络。overlay的核心其实就是打隧道(tunnel)。
总结一下:
underlay是底层网络,负责互联互通
overlay是基于隧道技术实现的,overlay的流量需要跑在underlay之上。
VPN场景的Underlay/Overlay就介绍到这里,接下来讨论下DC(DataCenter)网络
server-virtualization 技术把物理服务器虚拟化成多个虚拟机,企业应用部署在虚拟机上,hypervisor/VMM用来监控虚拟机状态,当故障即将来了的时候,hypervisor通过相关技术(vmotion、live migration)把运行在当前物理机上的虚拟机迁移到其他物理机上。虚机迁移这个动作对用用户是透明的,所以在迁移前后必须保证虚机的MAC/IP 是保持不变的。这样就意味着迁移必须在一个二层广播域内完成。(一个IP子网=一个广播域)
在传统的基于STP的组网结构中,为了避免二层广播域太大,二层终结在汇聚交换机上,一组汇聚上的同一VLAN在一个广播域内,这里我们况且把一组汇聚称为一个POD。在传统架构中,虚机迁移只能在POD内完成。
STP组网二层无法扩大的原因:
因为以太网交换机的工作原理是learn/flooding,这样的机制下如果二层域太大,一个broadcast就有可能影响到所有节点。并且STP是树形结构,单路径转发(冗余路径被阻塞),现代数据中心互联40G/100G情况下,会存在严重的资源浪费。
这个时候MAC Routing技术(Trill/Fabric-Path)应运而生,控制层面采用成熟的IS-IS协议,同时引入AF(assert-forwarder)来破环,这样就可以基于TriLL/Fabirc-Path来构建二层全连接网络。
但是很不幸的是,Trill弥补了STP技术的缺陷,实现了full-mesh的Layer 2 连接,扩大了二层范围,但是由于机制过于复杂、trill域内所有设备必须支持trill、多租户能力不足等缺陷。导致该技术只是昙花一现,并没有做到大范围的部署。
Network Virtualization Overlays(NOV3技术)
NOV3技术代表:
VxLAN(VMware)
NvGRE(Microsoft)
STT(Nicira)
可以看到NOV3技术的发起者都是软件厂商, VMware(私有云)、Microsoft(公有云)、Nicira(SDN)。
NOV3技术的实现原理其实非常简单,VxLAN=MAC in UDP 、NvGRE = MAC in GRE、STT = MAC in TCP(伪TCP),显而言之都是一种再封装技术,基于新的头部实现隧道互联。使用这些隧道组成的逻辑网络就是数据中心的overlay。基于隧道的发起点不同,又分为硬件overlay(隧道两端是物理交换机)、软件overlay(隧道两端是vSwitch)。
当NOV3应用于现代数据中心时,隧道是基于IP实现的,所以underlay的作用就只是提供隧道两端IP可达性,这样底层物理组网就非常可以三层到边,构建CLOS结构的网状IP Fabric。
underlay完成三层互通之后,overlay如何设计、优化就可以独立讨论,因为overlay的任何变化都不会对underlay产生影响