Tweet
[Kiến Thức Cốt Lõi] Phân biệt Underlay và Overlay Network – Góc nhìn thực chiến cho anh em SD-WAN, SDA, NFV
Khi chúng ta chuyển từ kiến trúc mạng truyền thống sang các mô hình ảo hóa, tự động hóa như SD-WAN, VXLAN, hoặc Fabric SDA, có hai khái niệm cực kỳ quan trọng luôn song hành trong mọi thiết kế: Underlay và Overlay.
Vậy chính xác thì Underlay và Overlay là gì? Và tại sao ta phải hiểu rõ hai lớp này nếu muốn triển khai thành công các giải pháp hiện đại?
🔧 Underlay là nền móng vật lý – nơi mọi thứ bắt đầu
Underlay Network là mạng vật lý hoặc mạng IP truyền thống đang tồn tại – tức là những đường cáp thật, router thật, và các giao thức định tuyến thật như OSPF, EIGRP, BGP… chạy trên đó.
Ví dụ:
Bạn có một mạng gồm các router R1 đến R7 kết nối vật lý với nhau. Mỗi router xây dựng bảng định tuyến dựa trên các giao thức định tuyến động. Khi R1 muốn gửi gói tin đến R7, nó sẽ tra bảng định tuyến để tìm đường đi tối ưu (có thể qua R2 hoặc R3), và gói tin sẽ “nhảy” qua từng router vật lý trung gian.
👉 Mọi hoạt động forwarding trong Underlay dựa vào topo vật lý và định tuyến truyền thống.
🎯 Overlay là lớp ảo hóa – xây dựng kết nối logic trên nền tảng vật lý
Overlay Network là một mạng logic hoặc ảo (virtual network) được thiết lập trên nền Underlay. Nó dùng để đơn giản hóa topology, tăng khả năng kiểm soát, tách biệt lưu lượng, và hỗ trợ những tính năng mà mạng vật lý không làm được.
Ví dụ cụ thể:
Bạn cấu hình một tunnel GRE giữa R1 và R7. Ngay lập tức, bạn vừa tạo ra một "kênh logic" chạy xuyên suốt qua nhiều router vật lý mà không cần quan tâm cụ thể từng bước nhảy.
🌀 Lúc này, bạn đang có một overlay network hoạt động trên nền underlay.
🧠 Tư duy quan trọng: Underlay là bắt buộc, Overlay là linh hoạt
Không có underlay hoạt động tốt, thì overlay cũng “chết”. Mọi tunnel (GRE, IPSec, VXLAN...) đều cần đường đi vật lý bên dưới để hoạt động. Vì vậy, khi kiểm tra sự cố mạng SD-WAN hay Fabric SDA, bước đầu tiên luôn là verify underlay: có reachability? có định tuyến đúng?
📌 Ứng dụng thực tế
🔍 Tổng kết kiến thức
📣 Câu hỏi tự ôn lại:
Nếu anh em đang triển khai SD-WAN hoặc SDA, hãy luôn ghi nhớ: Overlay giúp đơn giản hóa quản lý, nhưng Underlay là máu huyết thật sự của mạng. Đừng bỏ qua việc monitor và validate underlay khi troubleshoot!
Khi chúng ta chuyển từ kiến trúc mạng truyền thống sang các mô hình ảo hóa, tự động hóa như SD-WAN, VXLAN, hoặc Fabric SDA, có hai khái niệm cực kỳ quan trọng luôn song hành trong mọi thiết kế: Underlay và Overlay.
Vậy chính xác thì Underlay và Overlay là gì? Và tại sao ta phải hiểu rõ hai lớp này nếu muốn triển khai thành công các giải pháp hiện đại?
🔧 Underlay là nền móng vật lý – nơi mọi thứ bắt đầu
Underlay Network là mạng vật lý hoặc mạng IP truyền thống đang tồn tại – tức là những đường cáp thật, router thật, và các giao thức định tuyến thật như OSPF, EIGRP, BGP… chạy trên đó.
Ví dụ:
Bạn có một mạng gồm các router R1 đến R7 kết nối vật lý với nhau. Mỗi router xây dựng bảng định tuyến dựa trên các giao thức định tuyến động. Khi R1 muốn gửi gói tin đến R7, nó sẽ tra bảng định tuyến để tìm đường đi tối ưu (có thể qua R2 hoặc R3), và gói tin sẽ “nhảy” qua từng router vật lý trung gian.
👉 Mọi hoạt động forwarding trong Underlay dựa vào topo vật lý và định tuyến truyền thống.
🎯 Overlay là lớp ảo hóa – xây dựng kết nối logic trên nền tảng vật lý
Overlay Network là một mạng logic hoặc ảo (virtual network) được thiết lập trên nền Underlay. Nó dùng để đơn giản hóa topology, tăng khả năng kiểm soát, tách biệt lưu lượng, và hỗ trợ những tính năng mà mạng vật lý không làm được.
Ví dụ cụ thể:
Bạn cấu hình một tunnel GRE giữa R1 và R7. Ngay lập tức, bạn vừa tạo ra một "kênh logic" chạy xuyên suốt qua nhiều router vật lý mà không cần quan tâm cụ thể từng bước nhảy.
- Từ góc nhìn của R1 và R7: họ thấy nhau như là hàng xóm trực tiếp.
- Bảng định tuyến giờ đây sẽ có dòng "directly connected GRE tunnel to R7".
- Nhưng thực tế, gói tin vẫn chạy trên mạng vật lý (Underlay) và nhờ các router trung gian forwarding.
🌀 Lúc này, bạn đang có một overlay network hoạt động trên nền underlay.
🧠 Tư duy quan trọng: Underlay là bắt buộc, Overlay là linh hoạt
Không có underlay hoạt động tốt, thì overlay cũng “chết”. Mọi tunnel (GRE, IPSec, VXLAN...) đều cần đường đi vật lý bên dưới để hoạt động. Vì vậy, khi kiểm tra sự cố mạng SD-WAN hay Fabric SDA, bước đầu tiên luôn là verify underlay: có reachability? có định tuyến đúng?
📌 Ứng dụng thực tế
- SD-WAN: Overlay là IPsec tunnels chạy trên underlay WAN (Internet/MPLS). Ta quản lý tuyến đường, policy, QoS ở lớp overlay, nhưng vẫn cần underlay ổn định.
- VXLAN EVPN: Overlay là các VXLAN tunnels chạy giữa leaf switches. Underlay là mạng spine-leaf dùng để vận chuyển VXLAN encapsulated packets.
- SDAccess (Cisco): Overlay là fabric (LISP/ VXLAN tunnels), còn underlay là OSPF/BGP để kết nối switch C9300/C9500.
🔍 Tổng kết kiến thức
- Underlay: Mạng thật, định tuyến thật → giúp các gói tin truyền đi vật lý.
- Overlay: Mạng ảo hóa, dễ kiểm soát hơn → xây trên underlay.
- Tunnel (GRE/IPSec/VXLAN) là ví dụ điển hình của overlay.
- Overlay phụ thuộc vào underlay. Nếu underlay lỗi, overlay cũng gián đoạn.
📣 Câu hỏi tự ôn lại:
- Khi không ping được endpoint trong overlay, bạn sẽ kiểm tra phần nào trước: Underlay hay Overlay?
- Có thể có overlay nếu underlay chưa định tuyến xong không?
Nếu anh em đang triển khai SD-WAN hoặc SDA, hãy luôn ghi nhớ: Overlay giúp đơn giản hóa quản lý, nhưng Underlay là máu huyết thật sự của mạng. Đừng bỏ qua việc monitor và validate underlay khi troubleshoot!
Attached Files