Résoudre le problème de chevauchement IP dans le multicloud

L’adressage IP privé est l’une des fonctionnalités les plus utiles du protocole. Cet espace d'adressage est destiné à une utilisation non réglementée au niveau local (au sein d'une organisation, sans connexion via Internet) et a apporté la liberté de créer des réseaux internes à grande échelle.

Cette flexibilité a toutefois un prix : lorsque l’on tente de connecter deux réseaux IP privés auparavant distincts, certaines des mêmes adresses IP peuvent avoir été utilisées dans les deux réseaux. Étant donné que les adresses IP doivent être uniques au sein de chaque réseau ou domaine de routage, ces doublons provoquent un accès réseau instable vers et depuis les zones qui se chevauchent. Bien qu'il existe des solutions de contournement traditionnelles pour réduire l'impact, F5 Volterra propose un moyen d'éviter complètement le problème.

Pourquoi le chevauchement est un problème

Lorsque deux parties différentes d'un réseau se chevauchent et utilisent la même plage d'adresses de sous-réseau IP, deux problèmes principaux se produisent. Premièrement, ces deux sous-réseaux ne peuvent pas du tout communiquer entre eux, car aucun des appareils ne saura que l’adresse n’est pas destinée à un point de terminaison local. Si ces sous-réseaux sont tous deux réservés aux clients et remplis d'utilisateurs, ce problème peut être simple à résoudre, mais si un sous-réseau contient des services réseau, ces services seront complètement inaccessibles par l'autre. De plus, le chevauchement IP affecte tout le trafic allant vers ces sous-réseaux depuis n’importe quel autre endroit du réseau. Étant donné que les routeurs du réseau échangent des informations, les deux sous-réseaux seront annoncés, mais à partir de deux emplacements différents. Les connexions peuvent être envoyées au mauvais endroit à tout moment, même pour les connexions qui ont été établies avec succès.

L'afflux moderne de chevauchement de propriété intellectuelle

La cause la plus courante de chevauchement IP dans les réseaux bien gérés est la connexion ou la fusion de deux réseaux auparavant séparés. Le scénario est facile à imaginer lorsque deux organisations fusionnent, en particulier si le service informatique de chaque organisation utilise une convention d’allocation d’adresses similaire, telle que 10/8 pour les points de terminaison et 172.16/12 pour l’infrastructure. Cependant, le chevauchement devient de plus en plus courant lors de la connexion à un ou plusieurs clouds. Les plus grands réseaux individuels se trouvent chez des hyperscalers comme les fournisseurs de cloud public, et ils utilisent nécessairement une adresse IP privée. Lorsque chaque serveur héberge un grand nombre de machines virtuelles ou un plus grand nombre de conteneurs, une seule ligne peut consommer un réseau /16 entier. À mesure que la demande de cloud a augmenté, la demande d'accès a également augmenté, passant des VPN sur site client aux VPN site-site, aux produits de réseau multicloud et même aux connexions WAN directes aux centres de données cloud. Les VPN site à site et les liaisons WAN connectent efficacement des parties du réseau cloud au réseau du client et, comme la plupart des réseaux clients sont également construits sur des adresses IP privées, le chevauchement des adresses IP en résulte de plus en plus.

Correction du chevauchement IP par rapport à Résolution du chevauchement IP

À mesure que les applications modernes distribuées deviennent plus courantes, les connexions d'application à application le seront également, telles que le cloud hybride, le cloud à cloud et le edge à cloud. Les architectures évolutives nécessiteront une méthode de gestion du chevauchement IP qui puisse être automatisée de manière propre. De nombreux administrateurs réseau se tournent d’abord vers NAT. Après tout, NAT est ce qui permet aux adresses IP privées de se connecter à l’Internet public. Cependant, NAT ne fait que déplacer le problème au lieu de le résoudre : l'abstraction ne s'étend pas à l'intérieur du sous-réseau, ce qui déplace la charge sur les applications et les services pour gérer les cas extrêmes (comme les réseaux distants avec la même plage de sous-réseaux). De plus, NAT obscurcit la visibilité en créant un décalage entre les événements collectés à l’intérieur et à l’extérieur du sous-réseau. Les coûts d’exploitation continus introduits par la NAT ne sont justifiés que lorsque d’autres options, comme la renumérotation, sont pires.

Volterra VoltMesh de F5 fournit une solution propre au chevauchement IP. Le chevauchement n'est un problème que lorsque les connexions reposent sur L3, donc VoltMesh sépare les adresses L3 des transactions au niveau L4 ou L7, en utilisant les mêmes méthodes de livraison d'applications sur lesquelles les clients F5 s'appuient depuis 25 ans. Cependant, VoltMesh ajoute une fonctionnalité unique : comme ses fonctions sont distribuées, le service informatique peut choisir n'importe quelle adresse IP n'importe où dans le maillage pour diffuser l'application, et comme ses fonctions sont intégrées, une visibilité complète de bout en bout est maintenue pour la mise en réseau, la sécurité et même l'application. Grâce à VoltMesh, il est même possible de fournir un service distant, quelle que soit son adresse IP réelle, dans un sous-réseau local, avec une adresse IP locale, de sorte qu'aucune modification du réseau n'est requise : pas de NAT, pas de trous de pare-feu et aucun changement de routage. VoltMesh offre un contrôle complet et une visibilité complète sans interruption du réseau, pour la solution de chevauchement IP la plus propre possible.

Les réseaux continuent de s’étendre et de s’interconnecter à l’ère du multicloud, grâce à l’adressage IP privé, ce qui signifie que le chevauchement d’IP continuera d’être un problème tant que l’accent sera mis sur la connectivité héritée. Que ce soit sur site ou entre les clouds, F5 Volterra VoltMesh est capable de fournir des services en toute sécurité en découplant les applications de la couche réseau, en offrant une accessibilité sans connectivité et en garantissant une séparation nette pour préserver la confidentialité des réseaux privés.

Pour plus d'informations, visitez Journey to the Multi-Cloud Challenges sur DevCentral de F5 et obtenez une gestion multi-cloud complète avec F5.