客户通过 Internet 使用 IBM SAS 产品。流量通过瞻博网络 VPN 设备从 IBM 托管数据中心流向客户网络。IBM 表示他们没有通过隧道传输私有 IP 地址。IBM 表示他们正在通过隧道传输公共 IP 地址。这可能吗?这在 VPN 配置和数据包中是什么样的?我想知道在加密的隧道 IPSec Payload 和携带 IPSec Payload 的 IP 数据包中源/目标 ip/ports 的样子。
IPSec 有效负载:源:1.1.1.101:1001 目标:2.2.2.101:2001 IP 数据包:源:1.1.1.1:101 目标:2.2.2.1:201
是否可以通过 IPSec VPN 隧道发送公共 IP 地址?IBM 是否可以使用静态 nat 公共地址通过 VPN 将打印作业从其网络上的服务器发送到使用打印机的静态 nat 公共地址的客户网络上的打印机?或者VPN不能做到这一点?VPN 是否只能处理来自私有 IP 地址的有趣流量?
当然有可能。从技术上讲,公共 IP 地址与 RFC1918 地址没有什么不同,只是 RFC1918 地址已保留供私人使用。
在您的 IPsec 配置中,您可以像匹配 RFC1918 地址一样匹配和隧道化公共地址。
是的,我们从公司网络隧道到数据中心的公共 IP 范围。这样,我们可以允许从 corp vlan 到数据中心的所有流量,同时限制从外部到我们数据中心的流量。
IBM 可能不允许通过隧道连接到您的专用网络,因为后者可能与其内部网络发生冲突。例如,您要连接的打印机位于 10.10.10.0/24,一个 corp vlan。如果 SAS 产品在某个 vlan 中,例如 172.31.0.0/24,由 IBM 网络团队管理,他们不会将流量从 172.31.0.0/24 隧道传输到 10.10.10.0/24,即使这样的 IPSec隧道是可能的。如果他们创建这样的隧道,他们将来使用自己的 10.10.10.0/24 VLAN 将有问题。
您最好的选择是: