疊加網絡

什麼是疊加網絡
1.一個數據包(或幀)封裝在另一個數據包內;被封裝的包轉發到隧道端點後再被拆裝。
2.疊加網絡就是使用這種所謂“包內之包”的技術安全地將一個網絡隱藏在另一個 網絡中，然後將網絡區段進行遷移。



一、VLAN介紹


VLAN，是英文Virtual Local Area Network的縮寫，中文名爲"虛擬局域網"， VLAN是
一種將局域網（LAN）設備從邏輯上劃分（注意，不是從物理上劃分）成一個個網段（或者
說是更小的局域網LAN），從而實現虛擬工作組（單元）的數據交換技術。
VLAN這一新興技術主要應用於交換機和路由器中，但目前主流應用還是在交換機之中
。不過不是所有交換機都具有此功能，只有三層以上交換機才具有此功能，這一點可以查
看相應交換機的說明書即可得知。

VLAN的好處主要有三個：
(1)端口的分隔。即便在同一個交換機上，處於不同VLAN的端口也是不能通信的。這
樣一個物理的交換機可以當作多個邏輯的交換機使用。
(2)網絡的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。
(3)靈活的管理。更改用戶所屬的網絡不必換端口和連線，只更改軟件配置就可以了。


二、VXLAN介紹

什麼是VXLAN
VXLAN全稱Virtual eXtensible LAN，是一種覆蓋網絡技術或隧道技術。VXLAN將虛擬機發出的數據包封裝在UDP中，並使用物理網絡的IP/MAC作爲outer-header進行封裝，然後在物理IP網上傳輸，到達目的地後由隧道終結點解封並將數據發送給目標虛擬機。

爲什麼需要Vxlan

1. vlan的數量限制
   4096個vlan遠不能滿足大規模雲計算數據中心的需求

2. 物理網絡基礎設施的限制
   基於IP子網的區域劃分限制了需要二層網絡連通性的應用負載的部署

3. TOR交換機MAC表耗盡
    虛擬化以及東西向流量導致更多的MAC表項

4. 多租戶場景
    IP地址重疊？


什麼是隧道技術

隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。
    這裏所說的隧道類似於點到點的連接，這種方式能夠使來自許多信息源的網絡業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網絡來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網絡。
    通過隧道的建立，可實現：* 將數據流強制送到特定的地址* 隱藏私有的網絡地址* 在IP網上傳遞非IP數據包* 提供數據安全支持


隧道技術好處
隧道協議有很多好處，例如在撥號網絡中，用戶大都接受ISP分配的動態IP地址，而企業網一般均採用防火牆、NAT等安全措施來保護自己的網絡，企業員工通過ISP撥號上網時就不能穿過防火牆訪問企業內部網資源。採用隧道協議後，企業撥號用戶就可以得到企業內部網IP地址，通過對PPP幀進行封裝，用戶數據包可以穿過防火牆到達企業內部網。

隧道的應用
VPN具體實現是採用隧道技術，將企業網的數據封裝在隧道中進行傳輸。隧道協議可分爲第二層隧道協議PPTP、L2F、L2TP和第三層隧道協議GRE、IPsec。它們的本質區別在於用戶的數據包是被封裝在哪種數據包中在隧道中傳輸的。

三、GRE介紹

GRE特點
1.跨不同網絡實現二次IP通信
2.L3上面包裝L3
3.封裝在IP報文中
4.點對點隧道


GRE好處
不用變更底層網絡架構重建L2、L3通信
實現不同host之間網絡guest 互通
方便guest 遷移
支持網絡數量擴大


對於GRE遂道，缺點主要是

一是增加了GRE表頭會導致本應由交換機硬件來分片的變成由軟件來分片（STT技術可以彌補這一點）；
二是GRE廣播，且遂道將虛擬二層打通了，廣播風暴更厲害。但對於虛機來說，因爲虛擬交換機是完全能夠知道虛機的IP和MAC地址的映射關係的，根本不需要通過ARP廣播來根據IP找MAC地址，目前Neutron中有這類似的blueprint可以禁止廣播。所以個人比較看好STT技術，因爲目前openvswitch與linux kernel還未實現STT，所以Neutron目前沒有STT插件（但有VXLAN和GRE插件）。