¿VLAN sobre VPN (ASA 5520)? Si no hay otras opciones disponibles?

Question 1

¿Es posible extender las VLAN locales a un sitio remoto conectado mediante VPN IPSEC?

No, por definición. IpSec es un túnel de seguridad a nivel de IP. Las VLAN son de nivel Ethernet.

¿Podemos tener muchos túneles VPN entre los ASA?

Sí. Esto es una pesadilla de mantenimiento si se hace demasiado y no se automatiza la gestión, pero es posible.

Si no, ¿hay otras opciones/combinaciones disponibles?

Si instala un túnel Ethernet entre ellos (no estoy seguro de que sea posible), podrá utilizar los paquetes VLAN "normales".

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

tiene cierta información, aunque no estoy seguro de que funcione en el 1841. Pero esto le permitiría básicamente enviar tramas de Ethernet con información de VLAN incorporada.

Alternativamente, puede funcionar una configuración de tabla de enrutamiento múltiple; depende de POR QUÉ tenga VLAN en primer lugar. o algo basado en MPLS - VPLS. Sin embargo, el 1841 no habla de eso.

Los enrutadores más profesionales pueden permitir algo como NVGRE para ese propósito. Bueno, no es exactamente profesional, pero el 1841 es más un enrutador de nivel de borde que algo para usar en el núcleo.

Parece que el 1841 puede hacer VPLS; eso funcionaría mejor entonces. Requiere que configure una configuración MPLS.

La respuesta al principal problema es que muchas de las opciones dependen de lo que realmente intenta hacer desde un punto de vista comercial y de cuánto control tiene sobre los enrutadores en cada punto final.

Answer

¿Es posible extender las VLAN locales a un sitio remoto conectado mediante VPN IPSEC?

No, por definición. IpSec es un túnel de seguridad a nivel de IP. Las VLAN son de nivel Ethernet.

¿Podemos tener muchos túneles VPN entre los ASA?

Sí. Esto es una pesadilla de mantenimiento si se hace demasiado y no se automatiza la gestión, pero es posible.

Si no, ¿hay otras opciones/combinaciones disponibles?

Si instala un túnel Ethernet entre ellos (no estoy seguro de que sea posible), podrá utilizar los paquetes VLAN "normales".

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

tiene cierta información, aunque no estoy seguro de que funcione en el 1841. Pero esto le permitiría básicamente enviar tramas de Ethernet con información de VLAN incorporada.

Alternativamente, puede funcionar una configuración de tabla de enrutamiento múltiple; depende de POR QUÉ tenga VLAN en primer lugar. o algo basado en MPLS - VPLS. Sin embargo, el 1841 no habla de eso.

Los enrutadores más profesionales pueden permitir algo como NVGRE para ese propósito. Bueno, no es exactamente profesional, pero el 1841 es más un enrutador de nivel de borde que algo para usar en el núcleo.

Parece que el 1841 puede hacer VPLS; eso funcionaría mejor entonces. Requiere que configure una configuración MPLS.

La respuesta al principal problema es que muchas de las opciones dependen de lo que realmente intenta hacer desde un punto de vista comercial y de cuánto control tiene sobre los enrutadores en cada punto final.

Question 2

Normalmente, puede extender su LAN local a un sitio remoto utilizando IPsec/Capa 3 común. Busque VPN ipsec de sitio a sitio, lan a lan. Hay muchas opciones, mi favorita es usar GRE sobre IPsec, pero necesitas enrutadores en ambos extremos. Si puede decirnos qué dispositivos tiene disponibles en sitios hub/radios, sería útil poder darle una respuesta más específica.

Si desea ampliar su red de capa 2, lo cual no es una muy buena idea por muchas razones, creo que la mejor opción es usar L2TPv3 sobre IPsec. Nuevamente necesitas enrutadores en ambos extremos. Sin embargo, debe ocuparse de muchos problemas, como los tamaños de MTU que podrían sobrecargar su enrutador si no presta atención a los detalles, transmisión, multidifusión, árbol de expansión, redundancia, etc., que se manejan más fácilmente en Layer3 VPN.

Answer

Normalmente, puede extender su LAN local a un sitio remoto utilizando IPsec/Capa 3 común. Busque VPN ipsec de sitio a sitio, lan a lan. Hay muchas opciones, mi favorita es usar GRE sobre IPsec, pero necesitas enrutadores en ambos extremos. Si puede decirnos qué dispositivos tiene disponibles en sitios hub/radios, sería útil poder darle una respuesta más específica.

Si desea ampliar su red de capa 2, lo cual no es una muy buena idea por muchas razones, creo que la mejor opción es usar L2TPv3 sobre IPsec. Nuevamente necesitas enrutadores en ambos extremos. Sin embargo, debe ocuparse de muchos problemas, como los tamaños de MTU que podrían sobrecargar su enrutador si no presta atención a los detalles, transmisión, multidifusión, árbol de expansión, redundancia, etc., que se manejan más fácilmente en Layer3 VPN.

Question 3

Puede utilizar NAT en el túnel IPSec del ASA y del enrutador para conectar las subredes superpuestas. Puede colocar subredes adicionales en el túnel IPSec agregándolas a las redes protegidas del túnel IPSec (la ACL a la que hace referencia la configuración del túnel), en lugar de crear un túnel para cada conexión de subred a subred. Si los dispositivos de cada sitio tienen que comunicarse entre sí en la capa 2, deberá ampliar la LAN con un enlace wan de capa 2 o un protocolo de túnel de capa 2. Si utiliza NAT en un túnel IPSec, los dispositivos de cada sitio no podrán comunicarse entre sí en la capa 2.

Answer

Puede utilizar NAT en el túnel IPSec del ASA y del enrutador para conectar las subredes superpuestas. Puede colocar subredes adicionales en el túnel IPSec agregándolas a las redes protegidas del túnel IPSec (la ACL a la que hace referencia la configuración del túnel), en lugar de crear un túnel para cada conexión de subred a subred. Si los dispositivos de cada sitio tienen que comunicarse entre sí en la capa 2, deberá ampliar la LAN con un enlace wan de capa 2 o un protocolo de túnel de capa 2. Si utiliza NAT en un túnel IPSec, los dispositivos de cada sitio no podrán comunicarse entre sí en la capa 2.

¿VLAN sobre VPN (ASA 5520)? Si no hay otras opciones disponibles?

Respuesta1

Respuesta2

Respuesta3

información relacionada