%20%E3%81%A7%E3%81%99%E3%81%8B%3F%20%E3%81%9D%E3%81%86%E3%81%A7%E3%81%AA%E3%81%84%E5%A0%B4%E5%90%88%E3%80%81%E4%BB%96%E3%81%AB%E5%88%A9%E7%94%A8%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%AA%E3%83%97%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AF%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%81%8B%3F.png)
ASA 5520 / Cisco 1841 DSL ルータを使用して、IPSEC VPN で接続されたリモート サイトにローカル VLAN を拡張することは可能ですか。
ASA 間に複数の VPN トンネルを設定できますか? (各 VLAN からそれぞれ 1 つの VPN を設定できますか?)
そうでない場合、他のオプション/組み合わせは利用できますか?
答え1
ローカルVLANをIPSEC VPNで接続されたリモートサイトに拡張することは可能ですか?
いいえ、定義上はそうではありません。IPSec は IP レベルのセキュリティ トンネルです。VLAN はイーサネット レベルです。
ASA間に複数のVPNトンネルを設けることはできますか?
はい。管理が自動化されておらず、量が多すぎる場合はメンテナンスが大変になりますが、不可能ではありません。
そうでない場合、他のオプション/組み合わせは利用できますか?
それらの間にイーサネット トンネルを設定すると (これが可能かどうかはわかりませんが)、「通常の」VLAN パケットを使用できるようになります。
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html
いくらかの情報がありますが、これが 1841 で動作するかどうかはわかりません。ただし、これにより、基本的に VLAN 情報が埋め込まれたイーサネット フレームを送信できるようになります。
あるいは、マルチ ルーティング テーブルの設定が機能する可能性があります (VLAN を最初に持つ理由によって異なります)。または MPLS - VPLS に基づくもの。ただし、1841 はこれに対応していません。
より専門的なルーターでは、この目的のために NVGRE のようなものが使用できる場合があります。厳密には専門的ではありませんが、1841 はコアで使用するものではなく、エッジ レベルのルーターです。
1841 は VPLS を実行できるようです。その場合、これが最適に機能します。MPLS セットアップを構成する必要があります。
主な問題に対する答えは、選択肢の多くは、ビジネスの観点から実際に何をしようとしているか、および各エンドポイントのルーターをどの程度制御できるかによって決まるということです。
答え2
通常、一般的な IPsec / レイヤー 3 を使用して、ローカル LAN をリモート サイトに拡張できます。サイト間、LAN 間 IPsec VPN を検索してください。多くのオプションがありますが、私のお気に入りは GRE over IPsec を使用することですが、両端にルーターが必要です。ハブ/スポーク サイトで使用できるデバイスを教えていただければ、より具体的な回答をお送りできます。
レイヤー 2 ネットワークを拡張したい場合 (これは多くの理由からあまり良い考えではありませんが)、最良の選択肢は L2TPv3 over IPsec を使用することだと私は考えています。この場合も、両端にルーターが必要です。ただし、詳細に注意を払わないとルーターに過負荷をかける可能性がある MTU サイズ、ブロードキャスト、マルチキャスト、スパニングツリー、冗長性など、レイヤー 3 VPN では簡単に処理できる多くの問題に対処する必要があります。
答え3
重複するサブネットを接続するには、ASA とルータ IPSec トンネルで NAT を使用できます。サブネット間の接続ごとにトンネルを作成する代わりに、IPSec トンネルで保護されたネットワーク (トンネル設定で参照される ACL) にサブネットを追加することで、IPSec トンネルに追加のサブネットを配置できます。各サイトのデバイスがレイヤ 2 で相互に通信する必要がある場合は、レイヤ 2 WAN リンクまたはレイヤ 2 トンネリング プロトコルを使用して LAN を拡張する必要があります。IPSec トンネルで NAT を使用すると、各サイトのデバイスはレイヤ 2 で相互に通信できなくなります。