VLAN über VPN (ASA 5520)? Wenn nicht, sind andere Optionen verfügbar?

Ist es möglich, die lokalen VLANs auf einen Remote-Standort auszudehnen, der über IPSEC VPN verbunden ist?

Nein, per Definition. IpSec ist ein Sicherheitstunnel auf IP-Ebene. VLANs sind auf Ethernet-Ebene.

können wir viele VPN-Tunnel zwischen den ASAs haben

Ja. Dies ist ein Wartungsalptraum, wenn es zu viel wird und nicht automatisiert verwaltet wird, aber es ist möglich.

wenn nicht, sind andere Optionen/Kombinationen verfügbar?

Wenn Sie einen Ethernet-Tunnel zwischen ihnen einrichten – ich bin nicht sicher, ob das möglich ist –, können Sie die „normalen“ VLAN-Pakete verwenden.

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

hat einige Informationen, obwohl ich nicht sicher bin, ob das auf dem 1841 funktioniert. Aber damit könnten Sie grundsätzlich Ethernet-Frames mit eingebetteten VLAN-Informationen senden.

Alternativ kann auch eine Konfiguration mit mehreren Routingtabellen funktionieren – hängt davon ab, WARUM Sie überhaupt VLANs haben. Oder etwas auf MPLS-Basis – VPLS. Der 1841 spricht das allerdings nicht.

Professionellere Router erlauben für diesen Zweck möglicherweise etwas wie NVGRE. Nun, nicht unbedingt professionell – aber der 1841 ist eher ein Edge-Level-Router und nichts, was man im Kern verwenden sollte.

Es scheint, dass der 1841 VPLS kann – das würde dann am besten funktionieren. Sie müssen ein MPLS-Setup konfigurieren.

Das Hauptproblem bei der Beantwortung besteht darin, dass viele der Entscheidungen davon abhängen, was Sie aus geschäftlicher Sicht tatsächlich tun möchten und wie viel Kontrolle Sie über die Router an jedem Endpunkt haben.

Normalerweise können Sie Ihr lokales LAN mithilfe von gängigem IPsec/Layer 3 auf einen Remote-Standort erweitern. Suchen Sie nach Site-to-Site, LAN-to-LAN IPSec VPN. Es gibt viele Optionen, meine Lieblingsoption ist die Verwendung von GRE über IPsec, aber Sie benötigen Router an beiden Enden. Wenn Sie uns mitteilen können, welche Geräte Ihnen auf Hub/Spoke-Standorten zur Verfügung stehen, wäre das hilfreich, um Ihnen eine genauere Antwort geben zu können.

Wenn Sie Ihr Layer-2-Netzwerk erweitern möchten, was aus vielen Gründen keine gute Idee ist, ist meiner Meinung nach die Verwendung von L2TPv3 über IPsec die beste Option. Auch hier benötigen Sie Router an beiden Enden. Sie müssen sich jedoch um viele Dinge kümmern, wie z. B. MTU-Größen, die Ihren Router überlasten könnten, wenn Sie nicht auf Details achten, Broadcast, Multicast, Spanning Tree, Redundanz usw., die bei Layer-3-VPN einfacher gehandhabt werden können.

Sie können NAT auf dem ASA- und Router-IPSec-Tunnel verwenden, um die sich überschneidenden Subnetze zu verbinden. Sie können zusätzliche Subnetze in den IPSec-Tunnel einfügen, indem Sie sie zu den durch den IPSec-Tunnel geschützten Netzwerken hinzufügen (die ACL, auf die in der Tunnelkonfiguration verwiesen wird), anstatt für jede Verbindung zwischen Subnetzen einen Tunnel zu erstellen. Wenn die Geräte an jedem Standort auf Schicht 2 miteinander kommunizieren müssen, müssen Sie das LAN mit einer Schicht-2-WAN-Verbindung oder einem Schicht-2-Tunneling-Protokoll erweitern. Wenn Sie NAT auf einem IPSec-Tunnel verwenden, können die Geräte an jedem Standort nicht auf Schicht 2 miteinander kommunizieren.