Некоторое время у нас был существующий VPN между 5505 и 870. Мы только что добавили в сеть VLAN на стороне 5505. Кажется, мы не можем понять, как заставить устройства в VLAN взаимодействовать с устройствами в сети 870, у которых нет VLAN. Мы думаем, что нам, возможно, придется использовать своего рода маршрутизатор для обработки маршрутизации, прежде чем попасть в ASA. Мы думали, что PFsense может работать хорошо.
Мы бились об эту штуку уже 2 дня, так что любая немедленная помощь будет отличной. Мы приближаемся к крайнему сроку.
Спасибо!!!
Ответ от user61006 неполный. Большинство коммутаторов с поддержкой 802.1q (включая 5505) позволяют определять порты, на которых тегирование 802.1q включено или выключено, и к каким по умолчанию относятся нетегированные пакеты vlan. Вы можете определить порты, для которых включено несколько VLAN, при условии, что для этого порта включена маркировка. Короче говоря, если 5505 - ваш единственный коммутатор (небольшая сеть для VLAN ...), вам, вероятно, не нужно ничего менять, но, если у вас есть другие коммутаторы, убедитесь, что все порты подключены между ними и 5505 имеют теги и являются членами любых сетей VLAN, которые вы хотите, чтобы 5505 видел / проходил через VPN. Например, у меня есть 3 VLAN, а на моем основном коммутаторе у меня определен магистральный порт, который является членом всех 3 VLAN и имеет включенную маркировку, а немаркированные пакеты (хотя он не получает ни одного) по умолчанию являются членами vlan 1. Затем ASA5505 подключается к этому порту и, таким образом, получает весь необходимый трафик от моего коммутатора в любой из сетей VLAN. Конечно, из-за характера коммутации трафик между ПК на коммутаторе не должен проходить на другие коммутаторы / 5505.
Игнорируя 870 в течение минуты и просто концентрируясь на стороне сети 5505, как устройства на разных vlan обмениваются данными? Вланы по умолчанию изолированы друг от друга и не могут общаться друг с другом. Какой vlan - это порт, к которому подключен "внутренний" интерфейс 5505? 5505 будет видеть трафик только от этого vlan. Если у вас настроена маршрутизация между vlan, и вы добавили маршрут к внутреннему интерфейсу 5505, тогда трафик от этих vlan может пройти через туннель vpn на другую сторону, и вам, вероятно, понадобятся маршруты на другой стороне, чтобы вернуть трафик. , если у вас нет маршрута к туннелю по умолчанию или вы не используете протокол динамической маршрутизации через vpn.