Заказчик использует продукт IBM SAS через Интернет. Трафик передается из центра обработки данных IBM в сеть заказчика через устройства Juniper VPN. IBM заявляет, что они не туннелируют частные IP-адреса. IBM заявляет, что они туннелируют общедоступные IP-адреса. Это возможно? Как это выглядит в конфигурации VPN и в пакетах? Я хотел бы знать, как будут выглядеть исходный / целевой ip / порты в зашифрованном туннелированном IPSec Payload и в IP-пакете, несущем IPSec Payload.
Полезная нагрузка IPSec: источник: 1.1.1.101: 1001 пункт назначения: 2.2.2.101: 2001 IP-пакет: источник: 1.1.1.1: 101 пункт назначения: 2.2.2.1: 201
Можно ли отправлять общедоступные IP-адреса через туннель IPSec VPN? Может ли IBM отправить задание печати с сервера в своей сети, используя общедоступный адрес static-nat через VPN, на принтер в сети заказчика, используя общедоступный адрес принтера static-nat? Или может VPN этого не сделать? Может ли VPN работать только с интересным трафиком с частных IP-адресов и на них?
Конечно возможно. С технической точки зрения, общедоступные IP-адреса ничем не отличаются от адресов RFC1918, кроме того факта, что адреса RFC1918 зарезервированы для частного использования.
В конфигурации IPsec вы можете сопоставлять и туннелировать общедоступные адреса так же, как адреса RFC1918.
Да, мы туннелируем из нашей корпоративной сети в диапазон общедоступных IP-адресов в центре обработки данных. Таким образом, мы можем разрешить весь трафик из корпоративных виртуальных локальных сетей в центр обработки данных, ограничивая при этом поток извне в наши центры обработки данных.
IBM может не разрешить туннелирование в вашу частную сеть, поскольку последняя может конфликтовать с их внутренними сетями. Например, принтер, который вы хотите подключить, находится в корпоративном vlan 10.10.10.0/24. Если продукт SAS находится в каком-либо vlan, скажем 172.31.0.0/24, который управляется сетевой командой IBM, они не собираются туннелировать трафик с 172.31.0.0/24 на 10.10.10.0/24, даже если такой IPSec туннель возможен. Если они создадут такой туннель, в будущем у них возникнут проблемы с использованием собственной 10.10.10.0/24 VLAN.
Лучший вариант для вас - это: