Réseaux Overlay Expliqués.
L'une des premières questions que nous recevons en présentant l'Access Gate aux professionnels IT est « Vraiment, comment fonctionnent vos réseaux overlay ? » La réalité est bien plus simple qu'il n'y paraît, et repose sur des fonctions réseau IP très standard : le routage et le NAT bidirectionnel.
What Is Overlay Networking?
Overlay Networking Explained
A visual walkthrough of how overlay networking works, why it matters for OT security, and how the Access Gate deploys it without touching your existing infrastructure.
Request a DemoRéseau industriel traditionnel.
La plupart des réseaux industriels privilégient la disponibilité à la sécurité. Ils reposent généralement sur des architectures plates de couche 2 ou basées sur des VLAN avec une segmentation minimale.
Réseaux plats
Des appareils de zones multiples partagent des sous-réseaux, augmentant le risque de mouvement latéral.
Frontières de confiance statiques
Les VLAN et firewalls définissent les accès mais sont sujets aux erreurs et difficiles à faire évoluer.
Protocoles historiques
Le trafic OT (Modbus, DNP3, S7) circule sans chiffrement ni authentification.
Aucune vérification d'identité
L'accès est accordé par IP ou MAC, avec une visibilité et une traçabilité limitées.
Déployer un Access Gate.
L'Access Gate attribue automatiquement des adresses dans l'overlay réseau à chaque appareil, sans impact sur le réseau underlay existant. Pas de refonte VLAN, pas de temps d'arrêt de production.
Création dynamique de l'overlay
Construit une couche réseau virtuelle (ex. 100.64.0.0/16) qui évolue indépendamment des limites de taille VLAN ou de l'agencement physique.
Intelligence de la passerelle
L'Access Gate reflète le réseau physique en construisant un overlay virtuel sécurisé, utilisé ensuite pour le routage du trafic.
Intégration sans intervention
Le DNS résout automatiquement les adresses overlay — pas besoin de reconfigurer les actifs ou d'installer des agents.
Note : Le réseau overlay utilise l'espace d'adressage 100.64.0.0/16, qui appartient à la plage CGNAT. Cela garantit qu'il n'interférera pas avec le routage IP public ou l'accès internet.
Communications overlay sécurisées.
Les communications commencent à être routées via l'Access Gate, qui agit comme un point de contrôle intelligent — imposant sécurité et visibilité sans modifier l'infrastructure physique.
Application de la sécurité
Le trafic transite par l'Access Gate, où l'authentification en temps réel, le contrôle d'accès et la journalisation sont appliqués.
Communication proxy bidirectionnelle
Lorsque c'est supporté, l'Access Gate établit une communication proxy entre les actifs — permettant un contrôle fin et conscient du protocole.
Repli sur tunnel chiffré
Si le proxy n'est pas possible, le système bascule sur des tunnels chiffrés de bout en milieu, offrant tout de même une isolation plus forte que le réseau sous-jacent.
Migration sans temps d'arrêt
Les actifs peuvent migrer de manière incrémentale vers l'overlay, évitant les perturbations ou modifications du câblage et des configurations existants.
Note : L'utilisation d'un schéma de nommage DNS dual simplifie la migration : chaque appareil est accessible via son IP d'origine (ex. 10.0.1.8.fabcore.tr-sec.net) et un alias lisible (asset4.fabcore.tr-sec.net). Cela maintient la rétrocompatibilité tout en permettant un adressage overlay clair et structuré.
Verrouiller l'underlay.
Une fois les communications transférées vers l'overlay sécurisé, le réseau physique — l'underlay — peut être verrouillé. En appliquant l'isolation de ports et des règles firewall ciblées, il devient une couche contrôlée qui n'autorise que le trafic overlay authentifié.
Isolation au niveau du commutateur
Activez les fonctions d'isolation de ports pour créer des barrières physiques empêchant toute communication directe appareil-à-appareil sur l'infrastructure réseau sous-jacente.
Politiques de trafic passerelle uniquement
Déployez des règles firewall à état qui n'autorisent que le trafic provenant de l'Access Gate, en faisant le point d'entrée et de contrôle unique du réseau.
Architecture Zero-Trust
Établissez un modèle de sécurité où chaque communication doit transiter par l'overlay surveillé, éliminant la possibilité d'accès réseau non autorisé ou non surveillé.
Voir le réseau overlay en action.
Déployez un overlay sécurisé sur votre réseau industriel en quelques heures. Pas d'agents, pas de recâblage, pas de temps d'arrêt. Contactez notre équipe.
Comment le réseau overlay permet d'aller au-delà du modèle Purdue.
Le modèle Purdue est un pilier de la construction des réseaux industriels et de la défense en profondeur. Beyond Purdue est un nouveau modèle pour appliquer le Zero-Trust dans les environnements industriels et critiques.
Plus de vidéos
Les chaînes Youtube de Trout incluent davantage de vidéos sur les capacités des Access Gates. Découvrez comment le réseau overlay peut être appliqué pour la protection et la conformité, sans recâblage.
Questions fréquentes sur le réseau overlay.
agent requis. L'Access Gate se déploie en ligne et construit l'overlay au niveau réseau — aucun logiciel sur les terminaux.
Un réseau overlay est une couche réseau virtuelle construite au-dessus de votre infrastructure physique existante. Contrairement à un VPN, qui crée des tunnels point-à-point pour l'accès distant, un overlay crée une topologie réseau complète — avec son propre adressage, routage et segmentation — qui coexiste avec l'underlay. L'Access Gate gère cet overlay de manière dynamique, sans configuration manuelle de tunnel.
Non. L'overlay est construit au-dessus de votre infrastructure existante en utilisant le routage IP standard et le NAT bidirectionnel. Pas de changement de VLAN, pas de renumérotation IP, pas de recâblage. L'underlay continue de fonctionner exactement comme avant — l'overlay ajoute une couche sécurisée sans y toucher.
Non. L'Access Gate opère au niveau réseau. Le DNS résout automatiquement les adresses overlay pour que les appareils communiquent via l'overlay sans aucune modification logicielle. Les automates (PLC), IHM et systèmes SCADA historiques fonctionnent sans modification.
Initialement, les deux réseaux coexistent. Les actifs migrent de manière incrémentale vers l'overlay sans temps d'arrêt. Une fois la migration terminée, l'underlay peut être verrouillé en utilisant l'isolation de ports et des règles firewall passerelle uniquement — de sorte que tout le trafic doit transiter par l'overlay surveillé.
L'overlay utilise la plage 100.64.0.0/16, qui appartient à l'espace CGNAT (Carrier-Grade NAT). Cela garantit qu'il n'entrera pas en conflit avec vos adresses IP privées existantes ni n'interférera avec le routage internet public.
Oui. L'Access Gate supporte la communication proxy bidirectionnelle pour les protocoles qu'il comprend — permettant une inspection et un contrôle d'accès conscients du protocole. Pour les protocoles ne pouvant pas être proxyfiés, il bascule sur des tunnels chiffrés de bout en milieu, offrant tout de même une isolation et un chiffrement supérieurs à ceux de l'underlay plat.
