文章总结： 本文通过快递运输的比喻，生动解释了Overlay与Underlay网络的概念、区别与应用场景。Underlay是物理底层网络，依赖交换机、光纤等硬件和OSPF、BGP等协议，负责数据的实际传输，延迟低但改动麻烦。Overlay是覆盖在Underlay之上的虚拟网络，通过VXLAN、GRE、IPSec等软件技术实现逻辑互联，支持灵活调整和跨地域组网，但延迟稍高。文章结合京东618扩容、阿里云多地多活、银行混合云安全互联及Kubernetes容器集群等实际场景，说明了两者如何协同工作，满足现代云计算、动态扩容和安全互联等复杂需求。 综合评分： 85 文章分类： 网络安全,技术标准,云安全,应用安全,解决方案

Overlay 与 Underlay 网络：理论、区别与应用场景详解

原创

刘军军 刘军军

运维星火燎原

2026年2月24日 00:01 山西

Overlay和Underlay网络：用快递打个比方，其实没那么玄乎

咱们先打个比方——把网络想象成快递运输系统。你有没有想过，快递是怎么从北京的你手里，跑到上海的朋友那儿的？这里面其实有两套“规则”：一套是货车实际走的高速、铁路这些“真实路线”，另一套是快递单上写的“虚拟地址”和追踪信息。这两套规则，对应到网络里，就是Underlay（底层网络）和Overlay（覆盖网络）。

一、Underlay：网络里的“真实快递路线”

Underlay其实就是网络里“看得见摸得着”的部分。你去数据中心转一圈，那些堆在机柜里的交换机、路由器，连在设备上的光纤、网线，还有运营商铺的海底光缆、基站——这些全是Underlay的“家当”。它的作用特别实在：让数据能从A点“实实在在”跑到B点。

举个例子，你手机发一条微信，数据得从你家Wi-Fi路由器，跳到运营商的基站，再通过光纤跑到微信的服务器。这条“物理路线”就是Underlay在干活。

它有俩明显特点

• “死脑筋”但可靠：Underlay的路线规划靠的是传统协议（比如OSPF、BGP），就像货车司机按导航走高速——一旦路修好了，改路线可麻烦了（得重新调交换机配置甚至加硬件）。但好处是稳，数据直接走物理路径，延迟低，特别适合数据库同步这种“急性子”需求。
• 纯物理：你能摸到交换机的铁壳子，能看到网线插在端口上，这些都是真家伙。

二、Overlay：网络里的“快递单魔法”

Overlay就有意思多了——它是“跑在Underlay上面的虚拟网络”，靠软件技术（比如VXLAN、GRE）给数据“穿件外套”，让原本物理上八竿子打不着的设备，在逻辑上“称兄道弟”。

还拿快递说事儿：假设你从北京寄快递到上海，但包裹实际先去了杭州分拨中心，再绕到上海。这时候快递单上写的“上海浦东新区XX路1号”就像Overlay——收件人根本不用管包裹绕了路，只觉得它是“直接”从北京来的。

它的特点更“灵活”

• 虚拟的“软连接”：Overlay不依赖物理设备，靠软件就能搭出一个“虚拟局域网”。比如俩数据中心隔了半个中国，物理上走公网，但Overlay能让它们的服务器“感觉”在一个机房里。
• 能“变魔术”：你想加个虚拟子网？敲敲键盘改改配置就行，不用搬交换机拉网线。动态调整特别方便，特别适合云服务器、容器这种“说变就变”的场景。
• 数据得“穿外套”：Overlay传数据时，会给原始数据套一层“外层IP”（比如VXLAN用UDP封装），通过Underlay传输后再脱掉。所以延迟比Underlay稍高，但能解决很多物理网络搞不定的事儿。

三、俩到底有啥不一样？

要我说，Underlay和Overlay就像“基建队”和“规划师”——一个搭地基，一个想办法在地基上盖各种楼。具体区别咱们掰扯掰扯：

| | | | | — | — | — | | 方面 | Underlay（底层网络） | Overlay（覆盖网络） | | 本质 | 物理设备+实际连接（交换机、光纤、路由规则） | 软件搭的“虚拟网”（像给数据画了张“虚拟地图”） | | 目标 | 解决“物理能到”（数据必须能从A跑到B） | 解决“逻辑能通”（数据在虚拟空间里能直接对话） | | 典型技术 | OSPF（找路）、BGP（跨网通信）、STP（防环路） | VXLAN（套外层IP）、GRE（打隧道）、IPSec（加密隧道） | | 改起来麻烦吗？ | 超麻烦！改路由得调交换机，加设备得重新布线 | 简单！敲命令改配置就行，支持自动化 | | 延迟 | 低（数据直接跑物理路线） | 稍高（数据穿了“外套”，得先脱再传） |

四、真实场景：它们到底咋配合？

场景 1：京东 618 大促的 “临时加机”

背景：京东大促前临时扩容 2000 台服务器，分散在全国 5 个数据中心（北京、上海、广州等），需快速组成一个逻辑上的 “大机房”。

关键说明：

• Underlay：各数据中心内部用光纤 / 网线连接服务器，出口交换机通过公网（或专线）互联，负责传输 “套了 VXLAN 外套” 的数据。
• Overlay（VXLAN）：所有服务器逻辑上属于 “虚拟 VLAN 999”，内层 IP 为 192.168.99.x（虚拟 IP）。数据从北京服务器 1 发出时，被 VXLAN 封装为外层 IP（203.0.113.1→203.0.113.2），经公网传到上海出口交换机后，脱掉外层 IP，上海服务器 2 收到的是内层 IP（192.168.99.1→192.168.99.2），就像在一个机房里。

场景 2：阿里云 “多地多活” 的跨中心互联

背景：阿里云杭州主中心与上海灾备中心需实时同步数据，物理上隔公网，需 “逻辑同机房”。

关键说明：

• Underlay：杭州和上海的边界路由器通过公网连接，负责传输 “加密包裹”（IPSec 封装后的数据）。
• Overlay（IPSec）：杭州主服务器的原始数据（192.168.1.10→192.168.2.20）被 IPSec 加密并封装为公网 IP（203.0.113.100→203.0.113.200），经公网传到上海边界路由器后，解密并脱掉公网 IP，上海灾备服务器直接收到原始数据，就像在同一个局域网同步。

场景 3：某银行 “混合云” 的安全互联

背景：银行本地数据中心（传统机房）与腾讯云需安全互联，解决 IP 冲突和公网传输风险。

关键说明：

• Underlay：公网负责传输 “双重包裹”（外层是 VXLAN 的物理 IP，内层是 IPSec 加密后的数据）。
• Overlay（VXLAN+IPSec）：本地核心服务器的原始数据（10.20.30.1→10.20.30.2）先套一层 VXLAN 的外层 IP（58.213.45.1→58.213.45.2），再用 IPSec 加密。腾讯云出口网关收到后，先解密 IPSec，再脱掉 VXLAN 外层，日志服务器直接收到原始数据，既解决了 IP 冲突（两边都用 10.20.30.x），又保证了公网传输的安全性。

场景 4：Kubernetes 容器集群的 “虚拟局域网”（补充）

背景：某互联网公司用 Kubernetes 跑容器（Pod），Pod 动态增减，物理网络无法灵活分配 IP。

关键说明：

• Underlay：物理服务器通过机房交换机互联，外层 IP 为服务器的物理 IP（172.16.0.x）。
• Overlay（VXLAN）：Pod 的虚拟 IP（10.244.0.x）数据被 VXLAN 封装为外层 IP（172.16.0.1→172.16.0.2），经交换机传输到目标服务器后，脱掉外层 IP，Pod2 直接收到原始数据，就像在一个局域网里，完全感知不到物理位置差异。

五、为啥非得俩一起用？

Underlay是“硬底子”，没它数据根本传不出去；Overlay是“巧办法”，没它很多复杂需求（比如跨云互联、动态扩容）根本搞不定。

就像快递——没有真实的公路、货车（Underlay），包裹根本送不出去；但没有快递单的虚拟地址（Overlay），包裹可能得绕老远去分拨中心，效率低还麻烦。

一句话总结：Underlay让数据“走得通”，Overlay让数据“走得聪明”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：运维星火燎原 刘军军 刘军军《Overlay 与 Underlay 网络：理论、区别与应用场景详解》