Можно ли расширить локальные сети VLAN на удаленный сайт, подключенный через IPSEC VPN, используя маршрутизатор DSL ASA 5520 / Cisco 1841.
можно ли иметь много туннелей VPN между ASA? (из каждой VLAN по одному vpn?)
если нет других доступных вариантов / комбинаций?
Обычно вы можете расширить локальную локальную сеть до удаленного сайта, используя общий IPsec / Layer 3. Найдите межсайтовый, межсетевой IPsec VPN. Есть много вариантов, мой любимый - использовать GRE через IPsec, но вам нужны маршрутизаторы на обоих концах. Если вы можете сообщить нам, какие устройства у вас есть на узловых / распределенных сайтах, это поможет вам дать более конкретный ответ.
Если вы хотите расширить сеть уровня 2, что по многим причинам не очень хорошая идея, я считаю, что лучшим вариантом является использование L2TPv3 поверх IPsec. Снова вам нужны маршрутизаторы на обоих концах. Тем не менее, вы должны позаботиться о многих проблемах, таких как размеры MTU, которые могут перегрузить ваш маршрутизатор, если вы не обратите внимание на детали, широковещательную, многоадресную рассылку, связующее дерево, избыточность и т. Д., Которые легче обрабатываются в Layer3 VPN.
Можно ли расширить локальные сети VLAN на удаленный сайт, подключенный через IPSEC VPN?
Нет, по определению. IpSec - это туннель безопасности на уровне IP. Вланы - это уровень Ethernet.
можем ли мы иметь много туннелей VPN между ASA
Да. Это кошмар обслуживания, если он становится слишком большим и не автоматизирован в управлении, но это возможно.
если нет других доступных вариантов / комбинаций?
Если вы установите между ними Ethernet-туннель - не уверены, что это возможно - вы можете использовать «обычные» пакеты VLAN.
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html
есть некоторая информация, хотя я не уверен, что это работает на 1841. Но это позволит вам в основном отправлять кадры Ethernet со встроенной информацией VLAN.
В качестве альтернативы может работать настройка нескольких таблиц маршрутизации - в первую очередь, это зависит от того, ПОЧЕМУ у вас есть VLANS. или что-то основанное на MPLS - VPLS. Однако 1841 не говорит об этом.
Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Что ж, не совсем профессионально, но 1841 - это скорее маршрутизатор граничного уровня, а не то, что нужно использовать в качестве ядра.
Кажется, что 1841 может работать с VPLS - тогда это сработает лучше всего. Требует, чтобы вы сконфигурировали установку MPLS.
Основная проблема ответа на этот вопрос заключается в том, что многие варианты выбора зависят от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы на каждой конечной точке.
Вы можете использовать NAT в туннеле IPSec ASA и маршрутизатора для соединения перекрывающихся подсетей. Вы можете поместить дополнительные подсети в туннель IPSec, добавив их в сети, защищенные туннелем IPSec (ACL, на который ссылается конфигурация туннеля), вместо создания туннеля для подключения каждой подсети к подсети. Если устройства на каждом сайте должны взаимодействовать друг с другом на уровне 2, вам необходимо расширить локальную сеть с помощью протокола WAN уровня 2 или протокола туннелирования уровня 2. Если вы используете NAT в туннеле IPSec, устройства на каждом сайте не смогут связываться друг с другом на уровне 2.