VLAN sobre VPN (ASA 5520)? se não houver outras opções disponíveis?

É possível estender as VLANs locais para um site remoto conectado por VPN IPSEC

Não, por definição. IpSec é um túnel de segurança em nível IP. Vlans são de nível Ethernet.

podemos ter muitos túneis VPN entre os ASAs

Sim. Este é um pesadelo de manutenção se for demais e não for automatizado no gerenciamento, mas é possível.

se não houver outras opções/combinações disponíveis?

Se você colocar um túnel Ethernet entre eles - não tenho certeza se isso é possível - você poderá usar os pacotes VLAN "normais".

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

tem algumas informações, embora eu não tenha certeza se isso funciona no 1841. Mas isso permitiria basicamente enviar quadros Ethernet com informações de VLAN incorporadas.

Alternativamente, uma configuração de tabela de roteamento múltiplo pode funcionar - depende de POR QUE você tem VLANS em primeiro lugar. ou algo baseado em MPLS - VPLS. O 1841 não fala disso.

Roteadores mais profissionais podem permitir algo como NVGRE para essa finalidade. Bem, não exatamente profissional - mas o 1841 é mais um roteador de nível de borda, não algo para usar no núcleo.

Parece que o 1841 pode fazer VPLS - isso funcionaria melhor então. Requer que você configure uma configuração MPLS.

A principal resposta ao problema é que muitas das escolhas dependem do que você realmente tenta fazer do ponto de vista comercial e de quanto controle você tem sobre os roteadores em cada terminal.

Normalmente você pode estender sua LAN local para um site remoto usando IPsec / Camada 3 comum. Pesquise VPN ipsec site a site, lan-to-lan. Existem muitas opções, a minha favorita é usar GRE sobre IPsec, mas você precisa de roteadores nas duas extremidades. Se você puder nos dizer quais dispositivos você tem disponíveis em sites hub/spoke, isso ajudaria a fornecer uma resposta mais específica.

Se você deseja estender sua rede de camada 2, o que não é uma ideia muito boa por vários motivos, acredito que a melhor opção é usar L2TPv3 sobre IPsec. Novamente, você precisa de roteadores nas duas extremidades. Você precisa cuidar de muitos problemas, como tamanhos de MTU que podem sobrecarregar seu roteador se você não prestar atenção aos detalhes, transmissão, multicast, spanning-tree, redundância, etc., que são tratados mais facilmente na VPN Layer3.

Você pode usar o NAT no ASA e no túnel IPSec do roteador para conectar as sub-redes sobrepostas. Você pode colocar sub-redes adicionais no túnel IPSec adicionando-as às redes protegidas por túnel IPSec (a ACL referenciada pela configuração do túnel), em vez de criar um túnel para cada conexão de sub-rede para sub-rede. Se os dispositivos em cada site precisarem se comunicar entre si na camada 2, você precisará estender a LAN com um link wan de camada 2 ou um protocolo de tunelamento de camada 2. Se você usar NAT em um túnel IPSec, os dispositivos de cada site não conseguirão se comunicar entre si na camada 2.