博客

解决多云中的 IP 重叠问题

F5 缩略图
F5
2021 年 12 月 9 日发布

私有 IP 寻址是该协议最有用的功能之一。 该地址空间指定用于本地范围内(组织内部,不通过互联网连接)的不受管制的使用,并带来了创建大规模内部网络的自由。

然而,这种灵活性是有代价的:当尝试连接两个以前独立的私有 IP 网络时,两个网络可能都使用了相同的一些 IP 地址。 由于 IP 地址在每个网络或路由域内必须是唯一的,这些重复地址会导致重叠区域的网络访问不稳定。 虽然有传统的解决方法可以减少影响,但 F5 Volterra 提供了一种完全避免该问题的方法。

为什么重叠是一个问题

当网络的两个不同部分重叠并使用相同的 IP 子网地址范围时,会出现两个主要问题。 首先,这两个子网根本无法相互通信,因为没有任何设备知道该地址不是用于本地端点的。 如果这些子网都是仅限客户端的,并且充满了用户,那么这个问题可能很容易解决,但如果一个子网包含网络服务,那么另一个子网将完全无法访问这些服务。 此外,IP 重叠会影响从网络中任何其他地方流向这些子网的所有流量。 由于网络中的路由器交换信息,因此两个子网都将被通告,但来自两个不同的位置。 即使成功建立的连接,也可能随时被发送到错误的位置。

知识产权重叠的现代涌入

在管理良好的网络中,IP 重叠的最常见原因是连接或合并两个先前独立的网络。 当两个组织合并时,这种情况很容易想象,特别是如果每个组织的 IT 都使用类似的地址分配约定,例如端点使用 10/8,基础设施使用 172.16/12。 然而,当连接到一个或多个云时,重叠变得越来越常见。 最大的单个网络位于公共云提供商等超大规模网络,并且它们根据需要使用私有 IP 寻址。 当每台服务器都承载大量虚拟机或更多容器时,单行就可能消耗整个 /16 网络。 随着对云的需求不断增长,对访问的需求也随之增长,从客户端站点 VPN 扩展到站点到站点 VPN、多云网络产品,甚至到云数据中心的直接 WAN 连接。 站点到站点 VPN 和 WAN 链路有效地将云网络的各个部分连接到客户的网络,而且由于大多数客户网络也是建立在私有 IP 地址上的,因此 IP 重叠的情况越来越多。

修补 IP 重叠与…… 解决 IP 重叠问题

随着分布式现代应用程序变得越来越普遍,应用程序到应用程序的连接也将变得越来越普遍,例如混合云、云到云和边缘到云。 可扩展架构将需要一种能够干净自动化地处理 IP 重叠的方法。 许多网络管理员首先求助于 NAT——毕竟,NAT 允许私有 IP 地址连接到公共互联网。 然而,NAT 只是转移了问题而不是解决问题:抽象并没有扩展到子网内部,因此将负担转移到应用和服务上以处理边缘情况(例如具有相同子网范围的远程网络)。 此外,NAT 通过在子网内部和外部收集的事件之间产生偏差来模糊可见性。 只有在其他选项(例如重新编号)更糟糕的情况下,NAT 引入的持续运营成本才是合理的。

F5 的 Volterra VoltMesh 为 IP 重叠提供了一个干净的解决方案。 仅当连接依赖于 L3 时,重叠才会成为问题,因此 VoltMesh 将 L3 地址与 L4 或 L7 的交易分开,使用 F5 客户 25 年来所依赖的相同应用交付方法。 然而,VoltMesh 增加了一个独特的功能:由于其功能是分布式的,IT 可以选择网格中任何地方的任何 IP 地址来交付应用,而且由于其功能是集成的,因此可以保持网络、安全甚至应用的完整端到端可见性。 使用 VoltMesh,甚至可以将远程服务(无论其真实 IP 地址是什么)传送到具有本地 IP 地址的本地子网中,因此根本不需要进行任何网络更改:无需 NAT、无需防火墙针孔、无需路由更改。 VoltMesh 提供完全控制和完全可见性,不会中断网络,从而提供最清洁的 IP 重叠解决方案。

在多云时代,网络通过私有 IP 寻址不断扩展和互连,这意味着只要关注传统连接,IP 重叠就会继续成为一个问题。 无论是在本地还是在云之间,F5 Volterra VoltMesh 都能够通过将应用与网络层分离、无需连接即可提供可达性以及确保干净分离以保持私有网络的私密性来安全地提供服务。


如需了解更多信息,请访问 F5 DevCentral 上的“多云挑战之旅”和“通过 F5获得完整的多云管理” 。