客户在互联网上使用 IBM SAS 产品。流量通过 Juniper VPN 设备从 IBM 托管数据中心流向客户网络。IBM 表示他们没有为私有 IP 地址建立隧道。IBM 表示他们正在为公共 IP 地址建立隧道。这可能吗?这在 VPN 配置和数据包中是什么样子的?我想知道源/目标 IP/端口在加密隧道 IPSec 有效负载和携带 IPSec 有效负载的 IP 数据包中是什么样子的。
IPSec 有效负载:源:1.1.1.101:1001 目标:2.2.2.101:2001 IP 数据包:源:1.1.1.1:101 目标:2.2.2.1:201
是否可以通过 IPSec VPN 隧道发送公共 IP 地址?IBM 是否可以通过 VPN 将打印作业从其网络上的服务器使用静态 nat 公共地址发送到客户网络上的打印机,该打印机使用打印机的静态 nat 公共地址?或者 VPN 不能这样做?VPN 是否只能处理来自和到私有 IP 地址的相关流量?
答案1
是的,我们将隧道从公司网络连接到数据中心的公共 IP 范围。这样,我们可以允许所有来自公司 VLAN 的流量进入数据中心,同时限制从外部到我们数据中心的流量。
IBM 可能不允许隧道传输到您的私有网络,因为后者可能与他们的内部网络发生冲突。例如,您要连接的打印机位于 10.10.10.0/24 中,这是一个公司 VLAN。如果 SAS 产品位于某个 VLAN 中,例如 172.31.0.0/24,该 VLAN 由 IBM 网络团队管理,他们不会将流量从 172.31.0.0/24 隧道传输到 10.10.10.0/24,即使这样的 IPSec 隧道是可能的。如果他们创建这样的隧道,他们将来在使用自己的 10.10.10.0/24 VLAN 时会遇到问题。
对你来说最好的选择是这样的:
- 在 IBM 和您公司的公共 IP 范围之间创建隧道。
- 在 publicIP:port 和 PrinterIP:port 之间创建 NAT 和/PAT
答案2
当然有可能。从技术上讲,公共 IP 地址与 RFC1918 地址没有什么不同,只是 RFC1918 地址已被保留用于私人用途。
在您的 IPsec 配置中,您可以匹配和隧道化公共地址,就像您可以匹配 RFC1918 地址一样。