Weblog

Overlay Netzwerke

10.02.2026 · 7 Min. Lesezeit

Wenn man heute über Overlay-Netzwerke spricht, klingt das erst einmal nach etwas Neuem und Modernem - nach Cloud, SDN, VXLAN und vor allem nach teuer. Tatsächlich ist die Grundidee aber uralt: Schon sehr früh haben Menschen angefangen, „Netze im Netz“ zu bauen. Früher waren das gemietete Standleitungen, Frame Relay oder X.25, auf denen wiederum Firmennetze aufgebaut wurden. Später folgten die ersten VPNs über das offene Internet - technisch nichts anderes als ein virtuelles, privates Netz, das logisch so wirkt, als wäre ein eigenes Kabel von A nach B gelegt, obwohl in Wirklichkeit hundert Router dazwischenstehen.

Genau das ist im Kern ein Overlay: Ein virtuelles Netz, das sich wie ein eigenständiges Netzwerk verhält, obwohl es nur als Schicht über einem anderen, bereits existierenden Netzwerk liegt.

Um zu verstehen, warum Overlays heute so wichtig sind, hilft ein kurzer Blick auf die klassische Netzwelt. Ursprünglich war ein Netzwerk sehr physisch gedacht: Ein Kabel, ein Port, ein Segment. Wenn Rechner miteinander sprechen sollten, wurden sie in denselben Switch gesteckt oder per Router verbunden. Mit Virtualisierung, Cloud und Mobilität ist dieses Modell auseinandergeflogen: VMs und Container werden verschoben, Workloads wandern zwischen Rechenzentren, Heimgeräte wechseln ständig ihren Zugang (WLAN, Mobilfunk, Gäste-WLAN). Gleichzeitig steigen die Anforderungen an Segmentierung, Sicherheit, Mandantentrennung und Skalierbarkeit. Die physische Topologie alleine kann diese Anforderungen nicht mehr sinnvoll abbilden - also abstrahieren wir sie.

Overlay-Netze sind genau diese Abstraktionsschicht: Sie tun so, als gäbe es ein logisches Netz mit seiner eigenen Struktur, unabhängig davon, wie die Kabel und Router darunter tatsächlich aussehen.

Formal kann man ein Overlay-Netzwerk so beschreiben: Es ist ein virtuelles Computernetzwerk, das auf einem anderen Netzwerk aufsetzt und dessen Transport nutzt. Die Knoten im Overlay sind meist Endsysteme, Tunnelendpunkte, Router oder virtuelle Switches. Die Verbindungen im Overlay (also die „virtuellen Links“) sind oft Tunnel - zum Beispiel IP-in-IP, GRE, UDP-Tunnel wie bei VXLAN oder auch verschlüsselte IPsec-Verbindungen. Dieser virtuelle Graph wird über den physischen oder „Underlay“-Graphen gelegt. Entscheidend: Das Overlay kann eine völlig andere Topologie haben als das Underlay. Im Underlay sind vielleicht alle Knoten sternförmig an einem Provider angeschlossen; im Overlay kann man daraus ein volles Mesh, ein virtuelles LAN oder beliebig viele isolierte Netze machen.

Praktisch funktioniert das durch Kapselung. Jedes Overlay-Paket wird in ein Underlay-Paket eingepackt. Beispiel VXLAN: Ein Ethernet-Frame wird genommen, unverändert behalten und dann zusätzlich mit einem VXLAN-Header und einem äußeren IP/UDP-Header versehen. Im physischen Netz sieht man nur ein normales IP-Paket, das an irgendeine IP-Adresse gesendet wird. Am Ziel entkapselt der Tunnelendpunkt das Paket und liefert wieder den ursprünglichen Ethernet-Frame aus. Aus Sicht der Endgeräte existiert ein gemeinsames Layer-2-Segment, obwohl physisch nur ein geroutetes IP-Netz dazwischen existiert. VXLAN definiert dabei eine 24-Bit-VNI (VXLAN Network Identifier), was etwa 16 Millionen logische Segmente erlaubt - eine dramatische Erweiterung gegenüber den nur 12-Bit-VLAN-IDs mit rund 4094 möglichen VLANs.

Die Skalierbarkeit ist hier ein zentraler Punkt: VLANs waren lange Zeit das Mittel der Wahl, um ein großes LAN in kleinere Broadcast-Domänen zu zerlegen. In klassischen Campus- oder Rechenzentrumsnetzen reichte das auch. Mit Multi-Tenant-Clouds, massivem Service Chaining und Microsegmentierung stößt man aber an harte Grenzen. VXLAN wurde genau dafür entworfen: ein Overlay, das Layer-2 über ein Layer-3-Netzwerk spannt, sehr viele logische Netze ermöglicht und sich relativ gut in existierende IP-Infrastrukturen integrieren lässt.

Overlay-Netze sind bei weitem nicht auf Rechenzentren beschränkt. Ein altbekanntes Beispiel sind VPNs: Ob klassisches Site-to-Site-IPsec oder SSL-VPN - in beiden Fällen wird ein virtuelles, privates Netz über das Internet gelegt. Der Benutzer oder das Unternehmensnetz „sieht“ ein internes IP-Präfix, kann interne Server ansprechen und hat logisch eine direkte Verbindung, obwohl physisch das offene Internet genutzt wird.

Content Delivery Networks sind ein anderes Beispiel: Sie legen ein eigenes, global verteiltes Overlay über das Internet, um Inhalte zur richtigen Zeit an den richtigen Ort zu bringen, inklusive intelligenter Routing-Entscheidungen und Caching - all das ohne Einfluss auf die physische Internet-Topologie, aber mit großer Wirkung auf Performance und Verfügbarkeit.

MPLS passt ebenfalls sehr gut in dieses Bild, auch wenn es häufig als „Underlay-Technik mit Overlay-Eigenschaften“ gesehen wird. MPLS abstrahiert IP-Routing, indem es Paketen Labels gibt und damit sogenannte Label Switched Paths (LSPs) bildet. Für den Kunden entstehen virtuelle Verbindungen (L3VPNs, L2VPNs wie VPLS), die sich wie eigene Netze anfühlen. Das Provider-Netz transportiert diese LSPs über sein physisches Backbone - logisch sind das vom Kunden her gesehen Overlays: Der Kunde sieht nur seine privaten Präfixe oder sein virtuelles LAN, nicht aber die interne Struktur des MPLS-Netzes. Ab diesem Punkt verschwimmen die Grenzen zwischen „Underlay-Technologie“ und „Overlay-Dienst“ - was wieder zeigt: Overlay ist weniger ein Protokollname, sondern ein Architekturkonzept.

Ein modernes Paradebeispiel für Netzwerkvirtualisierung im Rechenzentrum ist VXLAN, oft zusammen mit SDN-Controllern oder BGP-EVPN. VXLAN löst gleich mehrere Probleme: Die Begrenzung der VLAN-IDs, die Abhängigkeit von flachen L2-Domänen und die schlechte Skalierbarkeit von klassischen Spanning-Tree-basierten Designs. Durch Kapselung von Layer-2 in Layer-3 kann das physische Netz als reines IP-Underlay mit Routing (meist Clos-/Spine-Leaf-Topologie) aufgebaut werden, während das Overlay beliebige logische L2-Domänen bietet. BGP-EVPN kommt als Kontrollplane hinzu, verteilt MAC- und IP-Zuordnungen und sorgt dafür, dass die VXLAN-Tunnelendpunkte wissen, wohin sie kapseln müssen. So entsteht ein sehr flexibles, virtuelles Netz im Netz - transparent für die Anwendungen, aber hoch skalierbar und automatisierbar.

Wenn man von Rechenzentren in die Community-Netz-Welt wechselt, landet man schnell bei Freifunk. Freifunk ist auf den ersten Blick „nur“ ein Funknetz aus vielen Knoten, die sich untereinander per WLAN oder Kabel verbinden. Technisch steckt dahinter aber ein recht komplexes Konstrukt aus Mesh-Routing und Overlays. Die Knoten benutzen typischerweise ein Mesh-Protokoll wie batman-adv (ein Layer-2-Mesh über WLAN) oder OLSR (ein Layer-3-Mesh). Schon dieses Mesh kann man als Overlay verstehen: Die logische Mesh-Topologie wird über die realen Funk-Links gelegt, die hochdynamisch sind, sich ständig ändern und auch mal sehr schlechte Qualität haben.

Freifunk geht noch einen Schritt weiter, wenn es darum geht, die „Freifunk-Wolke“ über Standorte hinweg zu verbinden. Oft werden dazu VPN- oder Tunnellösungen wie fastd, L2TP oder WireGuard genutzt. Ein Router bei dir zu Hause baut dann einen Tunnel zu einem Gateway im Freifunk-Backbone auf. Über diesen Tunnel wird ein Layer-2- oder Layer-3-Netz transportiert, das sich nahtlos an das Mesh-Netz vor Ort anschließt.

Aus Sicht eines Clients im Freifunk-WLAN spielt es keine Rolle, ob der Gateway-Knoten physisch im selben Haus steht oder in einem Rechenzentrum in einer anderen Stadt - die IP-Adressierung, Broadcast-Domänen und Routing-Regeln sind Teil des Overlays. Das Freifunk-Netz ist damit ganz klar ein logisches Netz, das auf einer Mischung aus Heim-Internetanschlüssen, Mobilfunkstrecken und Rechenzentrumslinks aufbaut.

Gerade an Freifunk kann man sehr schön erklären, warum Overlays Freiheit schaffen. Freifunk braucht kein eigenes, dediziertes Glasfaser-Backbone. Es nutzt die bestehende Internet-Infrastruktur - egal ob DSL, Kabel oder Mobilfunk - als Underlay. Darauf wird ein unabhängiges, gemeinschaftlich verwaltetes Netz aufgebaut, mit eigener Adressierung, eigenen Gateways ins Internet, eigenen Routing- und Peering-Entscheidungen. Communitys können damit Netzpolitik, Bandbreitenverteilung und Zugangskonzepte selbst gestalten, ohne die physische Infrastruktur besitzen zu müssen. Das ist die gleiche Idee wie bei einem Mandanten in der Public Cloud: Du „mietest“ dir nicht nur Ressourcen, du legst mit Overlays ein eigenes Netz über etwas, das dir physisch nicht gehört.

Technisch sind einige wiederkehrende Bausteine in nahezu allen Overlay-Technologien zu finden. Erstens: Kapselung, wie beschrieben - das Einpacken eines Pakets in ein anderes Paket. Zweitens: eine Form von Identifikator für das logische Netz oder die logische Verbindung, etwa VLAN-ID, VXLAN-VNI oder MPLS-Label. Drittens: eine Kontrollplane, die die Zuordnung „welcher Endpunkt gehört zu welchem Overlay“ verwaltet - das kann statische Konfiguration sein, aber auch dynamische Protokolle wie BGP-EVPN, Mesh-Routing-Protokolle oder zentrale SDN-Controller. Und viertens: eine Entkopplung von physischer und logischer Topologie, sodass das Underlay unabhängig optimiert werden kann (z. B. für Ausfallsicherheit und Kapazität), während das Overlay auf Applikations- oder Organisationslogik zugeschnitten wird.

Für Laien verständlich formuliert bedeutet das: Das Underlay ist die Straße, das Overlay ist das öffentliche oder private Verkehrssystem, das darauf fährt. Das eine ist der Asphalt mit seinen Abzweigungen und Tunneln, das andere sind Buslinien, Lieferketten oder Carsharing-Dienste, die diese Infrastruktur unterschiedlich nutzen. Man kann neue Linien einrichten, ohne die Straßen neu zu bauen; genau so können wir neue logische Netze einrichten, ohne Kabel zu ziehen oder Switches umzupatchen. VXLAN-Netze im Rechenzentrum, MPLS-VPNs beim Provider und Freifunk-Wolken in der Stadt sind alles nur unterschiedliche Ausprägungen derselben Grundidee.

Mit der zunehmenden Verbreitung von SDN, Cloud und dezentralen Community-Netzen wird Overlay-Networking eher noch wichtiger werden. Anwendungen erwarten heute flexible, dynamische Netze: schnell neue Segmente, sauber getrennte Mandanten, verschlüsselter Transport, Standortunabhängigkeit. Statt jedes Mal die physische Infrastruktur umbauen zu müssen, modellieren wir diese Anforderungen in Overlays. Wer also MPLS, VXLAN und Freifunk als drei völlig unterschiedliche Themen wahrnimmt, schaut eigentlich auf verschiedene Facetten derselben Architektur: Netze im Netz, die genau das Verhalten anbieten, das die Anwendung oder die Community gerade braucht - unabhängig davon, wie es darunter aussieht. Und genau das macht Overlay-Netzwerke zu einem der zentralen Konzepte moderner Kommunikationstechnik.