Я никогда раньше не делал VLAN, в нашей собственной LAN я физически создаю подсети с помощью CISCO ASA 5505.
Теперь мы добавили новый сайт, и меня попросили создать VPN-соединение и 2 или 3 VLAN между 2 сайтами, это те же самые VLAN на сайте 1, чтобы они были на сайте 2. В качестве примера будет использоваться один из vlan. для ip-телефонов на обоих сайтах. Другая VLAN будет использоваться для приложений.
Сайты будут подключены по выделенной линии 10 Мб.
Я собираюсь получить маршрутизатор Cisco 2821 на обоих концах. но я искал в Интернете, и это маршрутизатор уровня 2.
Итак, что лучше всего делать? Следует ли мне запросить другой маршрутизатор, который является уровнем 3, или мне следует запросить коммутатор уровня 3 для подключения к этому маршрутизатору?
Спасибо
Нико
Во-первых, Cisco 2821 - это просто маршрутизатор. Я не знаю, откуда вы взяли этот бизнес «маршрутизатора уровня 2» (это утверждение само по себе оксюморон), но 2821 - это прекрасно работающий IP-маршрутизатор.
Вы не хотите расширять широковещательный домен 2 уровня через VPN. Вам не понравится, как он работает.
Назовем ваше существующее местоположение «сайтом A», а новое местоположение - «сайтом B». Назовем сети:
В вашем 2821 вы должны настроить туннель IPSEC между сайтами. Вот достойный пример использования статического ключа: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml
После этого вы создадите интерфейсы VLAN на маршрутизаторах на каждом конце, назначив IP-адреса маршрутизаторов в каждой VLAN:
Маршрутизатор на сайте A:
interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.0.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.1.1 255.255.255.0
Маршрутизатор на сайте B:
interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.3.1 255.255.255.0
Предполагая, что вы правильно настроили туннель IPSEC с правильными адресами, исключенными из NAT, трафик между различными подсетями на сайтах будет прозрачно зашифрован и отправлен на другой конец. Маршрутизаторы на каждом конце, благодаря своим интерфейсам VLAN и статическим записям таблицы маршрутизации, автоматически помечают трафик соответствующими тегами VLAN и сбрасывают их в Ethernet.
Вам необходимо настроить коммутаторы на обоих концах с магистральными портами для подключения маршрутизаторов, и вам нужно будет выяснить, как интегрировать маршрутизатор сайта A в существующую топологию маршрутизации в существующем ASA-5505, но это должен дать вам достаточно, чтобы начать работу.
То, что вы хотите сделать, на самом деле не рекомендуется. Расширять широковещательный домен через WAN - не лучшая идея.
Это можно сделать двумя способами. Если у вас есть связь уровня 2 между вашим сайтом, просто используйте переключатель. Но когда вы говорите о маршрутизаторе, я предполагаю, что ваш сайт подключен к уровню 3, поэтому вы можете использовать L2TP для выполнения уровня 2 поверх уровня 3 (на самом деле 4).
Пожалуйста, обратите внимание на:
http://blog.dest-unreach.be/2009/05/05/ethernet-over-ip-l2tp-on-cisco
http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/l2tpv325.html
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6549/ps6587/prod_white_paper0900aecd8066d3f5.html
Как правило, не рекомендуется распространять уровень 2 (vlan) на большие расстояния. Если задержка распространения слишком велика, вы получите много повторных передач (в лучшем случае). По этой же причине Cat-5 и волоконно-оптические линии связи имеют ограничения по расстоянию. Для каждого TCP-пакета, который машина отправляет, он ожидает ответа ACK в течение определенного периода времени - если он не получит его, ему придется повторно передать (при условии, что соединение вообще может быть установлено).
Это может быть подходящее время, чтобы копнуть немного глубже и задать еще несколько вопросов, чтобы попытаться определить, какие цели являются стихами, когда кто-то, возможно, не имеет технической подготовки, скажет «Я хочу vlan».
Вы, безусловно, можете использовать одни и те же номера vlan в обоих местах и просто иметь ссылку уровня 3 посередине. IP-адреса будут разными в каждом месте, но номера vlan могут быть одинаковыми.
Если вам это абсолютно необходимо, вам нужно будет установить туннель уровня 2 между локациями. Вам также может потребоваться устройство на обоих концах для выполнения локальных ACK и повторной синхронизации пакетов.
Я настоятельно рекомендую вам провести дополнительное исследование технических и бизнес-требований.
- Для каждого TCP-пакета, который отправляет машина, он ожидает ответа ACK в течение определенного периода времени.
Ну и что? TCP работает даже через спутники (с задержкой ~ 5 с). Он будет адаптироваться по мере необходимости.
По мнению автора, L2TP может быть предпочтительным, но он сильно нагружает маршрутизатор. Лично я считаю, что платформа mini-ITX с Linux и встроенным VTUN / TAP или OpenVPN / TAP является лучшим выбором. Хотя он и не такой надежный, он обеспечивает отличное время безотказной работы и может быть легко и дешево заменен в случае отказа.
(Предполагается, что связь между сайтами безопасна и шифрование не требуется.)
Как вы создаете подсети с помощью ASA. Используете ли вы субинтерфейсы и vlan ИЛИ используете ли вы отдельный интерфейс Ethernet для каждого сегмента LAN.
В любом случае, хотя это и плохой дизайн, думаю, что коммутатор будет полезнее роутера. Маршрутизатор не нужен для подключения виртуальных локальных сетей на двух сайтах, поскольку на обеих сторонах требуются одни и те же виртуальные локальные сети. Маршрутизатор помог бы подключиться из одной сети в другую.
Для вашего приложения более чем достаточно любого управляемого коммутатора уровня 2 или уровня 3, который может выполнять транкинг с использованием VTP (VLAN Trunking Protocol). Просто соединяются магистральные сети VLAN с обеих сторон на интерфейсе, который является общим для обеих сторон, и аналогичные сети VLAN с обеих сторон будут подключены.