How Automatic Return Routing solves IP overlap

Context

기업 네트워크 통합(M&A, 엑스트라넷, 동일 구조 다중 지점)에서 동일한 사설 IP 주소가 중복되면, 반환 패킷이 라우팅 테이블의 모호성으로 인해 잘못된 사이트로 전송되는 문제가 발생했다. 기존의 VRF(Virtual Routing and Forwarding)와 NAT(Network Address Translation) 솔루션은 기능하지만 관리 오버헤드가 크다.

Technical Solution

• 상태 추적 기반 라우팅으로 전환: 라우팅 테이블 조회 대신 플로우 메타데이터에 터널 ID를 기록해 반환 트래픽을 원본 터널로 자동 복귀
• Unified Routing 프레임워크 도입: Linux 커널 기반 라우팅에서 Apollo(Zero Trust hub의 userspace 데이터 플레인)로 이동해 패킷별이 아닌 플로우 단위 라우팅 결정
• 플로우 초기화 단계에서 입구 정보 캡처: IPsec 터널·GRE 터널·Network Interconnect를 통해 들어온 패킷의 특정 연결(터널) ID를 메모리에 저장
• 아이덴티티 기반 라우팅: 'IP 주소가 어디에 있는가'라는 질문에서 '이 특정 대화가 어디서 시작되었는가'로 변경해 라우팅 테이블 조회 제거
• 터널/상호연결 단위 설정: ARR을 개별 터널 또는 Network Interconnect 기준으로 선택적 활성화 가능

Impact

• Cloudflare One 클라이언트의 성능이 3~5배 향상됨

Key Takeaway

중복된 private IP 환경에서 라우팅 테이블의 모호성을 해결하려면 패킷 단위 독립적 결정에서 플로우 단위 상태 추적으로 패러다임을 전환하면, NAT·VRF 같은 복잡한 레이어를 제거할 수 있다.