隨著IT環境的不斷變化以及新技術的快速發展，新的客戶需求下，新的隧道協議也隨之被引入進來。從GRE到VXLAN、GENEVE，網絡虛擬化技術得到了迅猛發展，VXLAN 已成為目前網絡虛擬化Overlay的事實標準，那么，它與Geneve 有何區別與聯系呢？

網絡虛擬化的發展

網絡虛擬化（Networking Virtualization）是在一個underlay網絡上劃分出多個overlay網絡。原本只支持一套網絡的設備，通過網絡虛擬化，現在可以用來支持多套網絡。 如果我們把網絡中的所有節點看成一個分布式系統，那么underlay網絡為這個分布式系統的各個節點提供了網絡連接。而各種各樣的網絡虛擬化協議，則為這個分布式系統的各個節點提供了通信所使用的協議。比如說，在一個云環境里面，所有的服務器共同組成了一個部署虛機的分布式系統。underlay網絡連接這個分布式系統的各個節點（各個服務器），而網絡虛擬化協議用來封裝各個節點之間傳遞的數據（虛機之間的網絡數據）。 網絡虛擬化本身不是一個新的技術，從其誕生之日起，各種各樣的協議被提出。其中較早的是通用路由封裝 (GRE)，它是從物理拓撲中抽象出路由網絡的一種方便的方法。雖然 GRE 是一個很好的工具，但它缺少兩個主要特征，阻礙了它的多功能性:

向外部發送隧道流量或原始流量的差異信號的能力——Overlay Entropy，并允許傳輸網絡在所有可用鏈路上進行哈希。

提供二層網關的能力，因為 GRE 只能封裝 IP 流量。封裝其他協議(如MPLS)是后來添加的，GRE 本身的屬性不包括橋接能力。

由于 GRE 的可擴展性有限，隨著新用例的開發，網絡行業變得更具創造性。一種方法是使用以太網 over MPLS over GRE (EoMPLSoGRE) 來實現第 2 層網關用例。思科將其稱為Overlay Tunnel Virtualization (OTV)，其他供應商將其稱為下一代 GRE 或 NVGRE。雖然OTV是成功的，但NVGRE的采用有限，主要是因為它在網絡虛擬化方面出現較晚，同時下一代協議虛擬可擴展 LAN (VXLAN) 已經取得了進展。

網絡虛擬化隧道協議 VXLAN 是目前網絡虛擬化Overlay的事實標準。基于IP，VXLAN也有一個UDP頭，因此屬于基于IP/UDP的封裝或隧道協議。這個家族的其他成員包括 OTV、LISP、GPE、GUE 和 GENEVE 等。重要性在于 Internet 工程任務組 (IETF) 網絡虛擬化覆蓋 (NVO3) 工作組中的相似性及其密切關系/起源。 VXLAN是目前網絡虛擬化覆蓋的實際標準。基于IP (Internet Protocol)， VXLAN也有一個UDP頭，因此屬于基于IP/UDP的封裝或隧道協議。這個家族的其他成員包括OTV、LISP、GPE、GUE和genee等。

VXLAN

VXLAN 的全稱是虛擬擴展局域網（Virtual eXtensible Local Area Network），它是VMware、Arista Networks 和 Cisco 聯合開發的。VXLAN技術很好地解決了現有VLAN技術無法滿足大二層網絡需求的問題。VXLAN 負責在三層網絡中形成二層局域網段。通過在底層路由三層網絡上利用 VXLAN 技術，可以減少 VLAN 的生成樹和中繼問題。 VXLAN在RFC 7348中被正式記錄，是一個標準。每個 VXLAN 段都有一個名為 VNI 的標識符，它是 24 位的，允許將 VXLAN 值擴展到大約 1600 萬個 VXLAN 段以進行處理。下圖描述了 VXLAN 標頭及其相關字段：

VXLAN，作為成熟的Overlay網絡虛擬化隧道技術，在數字化時代，逐漸暴露出其不夠靈活、缺乏擴展性的問題，其結果就是無法滿足越來越多的網絡要求。要滿足上述需求，需要在網絡數據包中進行相對靈活的調整，以支撐業務應用、支撐安全等的需求。而現有的協議基本是已經固定的字段，缺少可變的、可控的區域，難以添加和修改。

GENEVE

GENEVE（Generic Network Virtualization Encapsulation）是2016-2017年開源界出現的一種新型開源數據虛擬化封裝（隧道）協議，它設計的初衷就是解決當前數據傳輸缺乏靈活性，難以滿足用戶在安全，在業務應用支撐上的各種靈活要求。 Geneve 只定義了一種封裝數據格式，不包括控制平面的信息。GENEVE 相較于 VXLAN 封裝的關鍵優勢在于其靈活性以及通過 IANA（國際互聯網代理成員管理局）來指定選項類別。VXLAN包含一個 24 位的隧道標識符字段。GENEVE則是通過一組可以設置的 TLV 選項實現可擴展性。供應商可以根據自己的需要靈活選擇，不受24位的限制。

2020年11月，IETF（全球互聯網技術任務組）正式出版了詳細的白皮書（RFC：8926），標志著該技術已經足夠成熟。目前，Cisco已經用于數據中心場景，而Juniper、VMware、Amazon、Oracle、IBM、Ericsson等公司也已經開始了實際研究開發在實際項目中使用各自Geneve 標準的私有協議服務最終客戶。

VXLAN vs.GENEVE

從表面來看，VXLAN 和 Geneve 提供的功能相同，都是在三層 IP 數據包內封裝和傳輸二層幀。兩者都使用 UDP 協議來實現其功能。然而，兩種隧道協議還是有較大的區別。VXLAN 幀的標頭長度是 8 字節，而 Geneve 的標頭長度是 16 字節。此外，VXLAN不具備傳輸安全、服務鏈和帶內遙測。Geneve 解決了 VXLAN 的一些主要缺點：

VXLAN缺少協議標識符字段。VXLAN進一步的多路復用/多路分解需要在負載地址中提供協議標識符，而 VXLAN 缺少該協議標識符。

VXLAN不能發送不屬于客戶端的包幀，即對方無法區分是否是客戶端包。

VXLAN 中的所有字段都是固定的，無法通過使用可擴展字段實現互操作性，GENEVE 的最大特點是擁有靈活的可變長區域，提供了更為靈活的空間。

比較 VXLAN 和 GENEVE 封裝格式 Geneve 用例的覆蓋范圍與VXLAN今天能夠做的差不多。像單播/組播流量的橋接和路由等用例，無論是IPv4、IPv6還是多租戶，VXLAN(與BGP EVPN一起)已經可用了近十年。有了GENEVE，所有這些用例都可以通過另一種封裝方法訪問。 通過 GENEVE 協議，我們可以在網絡數據傳輸中做到很多以前難以完成的工作，比如：

提升數據安全：在數據包中，通過傳輸安全值等元數據，以更好的防止數據篡改，保障數據安全。用戶也可以基于此構建私有鏈，從而進一步提升對數據的保護。

無接觸數據處理：基于存放在 GENEVE 協議頭中的元數據，系統不需要完整解開數據包，就可以知道哪個應用需要此數據，或者該如何處理此數據，從而可以完成數據的預處理。

下表展示了兩種協議之間的區別：

總 結

總的來說，當只有一個供應商環境時，VXLAN 可以正常工作，但是當客戶環境中有多個供應商且相對比較復雜時，Geneve 是首選技術。另外，還有一點需要強調的是，Geneve 的更改僅在數據平面上，而對控制平面沒有更改。GENEVE 中可變區域的引入提供了更為靈活的空間去實現更多的新業務需求。 當前，GENEVE 協議的利用還在不斷發掘中，相信隨著 GENEVE 的深入利用，未來可以在工業互聯網安全、車聯網安全、SASE架構、SaaS傳輸甚至是未來元宇宙場景的發揮更大的作用。

審核編輯：湯梓紅