Overlay Network (Оверлейная сеть)

Overlay-сеть — это виртуальная сеть, которую строят поверх другой, базовой сети (underlay). Пакеты пользовательской сети инкапсулируются в пакеты базовой сети и пересылаются «как груз в контейнере». Так можно связать узлы с любыми IP-адресами, разнести один логический сегмент на разные площадки и изолировать трафик арендаторов.

Как это работает.
На краях стоят терминалы туннеля — VTEP/энкапсуляторы (это может быть гипервизор, виртуальный свитч, роутер, узел Kubernetes). Они берут кадр/пакет оверлея и упаковывают его в GRE, VXLAN, GENEVE, IP-in-IP, WireGuard, IPsec и т. п. Базовая сеть видит только «внешние» IP-адреса; «внутренние» маршруты и MAC/ARP живут в оверлее. За рассылку служебной информации отвечает контрол-плейн: от простого «flood-and-learn» до BGP EVPN или SDN-контроллеров.

Где применяется.

• Облака и виртуализация: многопользовательские среды, разделение трафика по VNI, миграция ВМ без смены IP (VXLAN/GENEVE + EVPN).
• Корпоративные WAN/SD-WAN: единое адресное пространство поверх интернета с политиками доступа.
• Kubernetes: сетевые плагины строят оверлей между нодами (Flannel в vxlan-режиме, Calico/GENEVE, Cilium и др.).
• VPN-сети: WireGuard/ZeroTier/Tailscale — тоже оверлеи, часто уже с шифрованием.

Зачем нужен.

• Масштаб: миллионы изолированных сегментов (VNI) вместо лимита VLAN.
• Гибкость адресации: можно переиспользовать приватные подсети разных команд/тенантов.
• Изоляция и политика: проще проводить границы между средами (dev/stage/prod, клиенты, филиалы).
• Независимость от провайдера: базовая сеть может быть «просто IP с маршрутизацией».

Подводные камни.

• MTU уменьшается из-за накладных заголовков (VXLAN ~+50 байт для IPv4): нужна настройка MTU/MSS и, по возможности, джамбо-кадры в underlay.
• Наблюдаемость и отладка сложнее: приходится смотреть и overlay, и underlay, и таблицы контрол-плейна.
• Не все оверлеи шифруют трафик по умолчанию (VXLAN/GENEVE) — для безопасности добавляют IPsec/WireGuard.
• Зависимость от качества underlay: потери/джиттер снизу полностью отражаются на оверлее.

Короткий пример.
Два ЦОДа связаны L3-фабрикой. Вы мапите локальный VLAN 20 в VNI 10020 и поднимаете VXLAN между leaf-ами. EVPN по BGP разносит пары MAC/IP, ARP подавляется, широковещание минимально. Внутренние сервисы остаются в одной /24, хотя физически распределены по разным площадкам.