Underlay — это реальная, «железная» сеть, по которой бегут пакеты инкапсулированных оверлеев. Её задача — гарантировать связанность, пропускную способность и предсказуемые задержки между конечными точками (VTEP, VPN-шлюзами, нодами и т. п.), не вникая в внутренности виртуальных сегментов.
Принципы.
Базовый слой строят как L3-фабрику IP с простыми и детерминированными правилами: маршрутизация от узла к узлу, ECMP для многопутевой балансировки, быстрая сходимость при отказах (BFD/FRR), единая MTU, стабильный пинг и минимум «магии».
Из чего обычно состоит.
- Топология Clos (leaf–spine) или её вариации.
- Адресный план с /31 p2p и loopback-ами для сервисов (VTEP, BGP).
- Протоколы: IS-IS/OSPF для IGP, часто eBGP в фабрике, иногда MPLS.
- Jumbo MTU на линках (например, 9k), чтобы уместить накладные VXLAN/GENEVE/GRE.
- Телеметрия: sFlow/NetFlow, IP SLA, экспорт маршрутов и состояний.
Роль рядом с оверлеями.
Underlay видит только внешние IP-пакеты (например, UDP/4789 для VXLAN) и доставляет их «как есть». Он не занимается сегментацией/изоляцией — этим ведает overlay. Важны сквозная MTU, сохранение DSCP/ECN (если требуется) и корректный ECMP-хэш, чтобы трафик распределялся ровно.
Ключевые настройки.
- Заложить MTU на 50–100+ байт больше, чем «классические» 1500, либо уменьшить MTU в оверлее и включить MSS-clamp.
- Включить быструю сходимость (BFD/FRR), чтобы падения линков не срывали оверлей.
- Настроить QoS/AQM (FQ-CoDel/RED) там, где возможны очереди.
- Следить за ECMP-балансировкой и симметрией маршрутов.
Подводные камни.
Несогласованная MTU → фрагментация и «подвисания»; фильтры/ACL, режущие Protocol 47 (GRE) или UDP/4789 (VXLAN) → обрывы туннелей; неучтённый DSCP-whitening у провайдера → пропадает приоритизация; слишком «умный» L2 в ядре → петли и сложная отладка — ядро лучше держать чистым L3.
Короткий пример.
Два зала связаны IP-фабрикой leaf–spine на 100G. На всех линках MTU 9216, IGP — IS-IS, между leaf/spine — eBGP с ECMP. VTEP-адреса живут на loopback, BFD даёт переобход за ~200 мс. Поверх этого спокойно едет VXLAN/EVPN: underlay обеспечивает дорогу, overlay — логику и изоляцию.
Даже в глоссарии есть повод сэкономить
Дарим 1 месяц к году оплаты VPS. Код: NEWCOM