VPN을 통한 VLAN(ASA 5520)? 다른 옵션이 없다면?

IPSEC VPN으로 연결된 원격 사이트로 로컬 VLAN을 확장할 수 있습니까?

아니요, 정의에 따르면. IpSec은 IP 수준 보안 터널입니다. VLAN은 이더넷 수준입니다.

ASA 간에 VPN 터널을 많이 가질 수 있나요?

예. 너무 많아지고 관리가 자동화되지 않으면 유지 관리가 악몽이 되지만 가능합니다.

사용할 수 있는 다른 옵션/조합이 없다면?

그들 사이에 이더넷 터널을 설치하면(가능한지 확실하지 않음) "일반" VLAN 패킷을 사용할 수 있습니다.

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

에는 몇 가지 정보가 있지만 이것이 1841에서 작동하는지 확실하지 않습니다. 그러나 이를 통해 기본적으로 VLAN 정보가 포함된 이더넷 프레임을 보낼 수 있습니다.

또는 다중 라우팅 테이블 설정이 작동할 수 있습니다. 처음에 VLAN이 있는 이유에 따라 다릅니다. 또는 MPLS-VPLS를 기반으로 한 것입니다. 1841년에는 그런 말이 나오지 않습니다.

보다 전문적인 라우터에서는 해당 목적으로 NVGRE와 같은 기능을 허용할 수 있습니다. 글쎄요, 정확히는 전문적이지는 않습니다. 하지만 1841은 코어에서 사용할 것이 아닌 에지 레벨 라우터에 가깝습니다.

1841은 VPLS를 수행할 수 있는 것 같습니다. 그러면 VPLS가 가장 잘 작동할 것입니다. MPLS 설정을 구성해야 합니다.

주요 문제 대답은 비즈니스 관점에서 실제로 수행하려는 작업과 각 엔드포인트의 라우터에 대해 얼마나 많은 제어권을 갖고 있는지에 따라 많은 선택이 달라진다는 것입니다.

일반적으로 공통 IPsec/계층 3을 사용하여 로컬 LAN을 원격 사이트로 확장할 수 있습니다. 사이트 간, lan-to-lan IPsec VPN을 검색하세요. 많은 옵션이 있습니다. 제가 가장 좋아하는 옵션은 IPsec을 통해 GRE를 사용하는 것이지만 양쪽 끝에 라우터가 필요합니다. 허브/스포크 사이트에서 어떤 장치를 사용할 수 있는지 알려주시면 보다 구체적인 답변을 제공하는 데 도움이 될 것입니다.

여러 가지 이유로 별로 좋은 생각이 아닌 레이어 2 네트워크를 확장하려는 경우 가장 좋은 옵션은 IPsec을 통해 L2TPv3을 사용하는 것이라고 생각합니다. 다시 말하지만 양쪽 끝에 라우터가 필요합니다. 그러나 Layer3 VPN에서 더 쉽게 처리되는 세부 사항, 브로드캐스트, 멀티캐스트, 스패닝 트리, 중복성에 주의를 기울이지 않으면 라우터에 과부하가 걸릴 수 있는 MTU 크기와 같은 많은 문제를 처리해야 합니다.

ASA 및 라우터 IPSec 터널에서 NAT를 사용하여 겹치는 서브넷을 연결할 수 있습니다. 각 서브넷 대 서브넷 연결에 대한 터널을 생성하는 대신 IPSec 터널 보호 네트워크(터널 구성에서 참조하는 ACL)에 추가 서브넷을 추가하여 IPSec 터널에 추가 서브넷을 배치할 수 있습니다. 각 사이트의 장치가 레이어 2에서 서로 통신해야 하는 경우 레이어 2 wan 링크 또는 레이어 2 터널링 프로토콜을 사용하여 LAN을 확장해야 합니다. IPSec 터널에서 NAT를 사용하는 경우 각 사이트의 장치는 계층 2에서 서로 통신할 수 없습니다.