%3F%20%D0%95%D1%81%D0%BB%D0%B8%20%D0%BD%D0%B5%D1%82%2C%20%D1%82%D0%BE%20%D0%BA%D0%B0%D0%BA%D0%B8%D0%B5-%D0%BB%D0%B8%D0%B1%D0%BE%20%D0%B4%D1%80%D1%83%D0%B3%D0%B8%D0%B5%20%D0%B2%D0%B0%D1%80%D0%B8%D0%B0%D0%BD%D1%82%D1%8B%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BD%D1%8B%3F.png)
Возможно ли расширить локальные VLAN до удаленного сайта, подключенного через IPSEC VPN, с использованием маршрутизатора ASA 5520 / Cisco 1841 DSL?
можем ли мы иметь много VPN-туннелей между ASA? (из каждой VLAN по одному vpn на каждую?)
если нет, то какие-либо другие варианты/комбинации доступны?
решение1
Возможно ли расширить локальные VLAN на удаленный сайт, подключенный через IPSEC VPN?
Нет, по определению. IpSec — это туннель безопасности уровня IP. Vlan — это уровень Ethernet.
можем ли мы иметь много VPN-туннелей между ASA
Да. Это кошмар обслуживания, если его становится слишком много и управление не автоматизировано, но это возможно.
если нет, то какие-либо другие варианты/комбинации доступны?
Если вы организуете между ними туннель Ethernet (не уверен, что это возможно), то вы сможете использовать «обычные» пакеты VLAN.
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html
есть некоторая информация, хотя я не уверен, что это работает на 1841. Но это позволит вам в основном отправлять кадры Ethernet со встроенной информацией VLAN.
В качестве альтернативы может подойти настройка нескольких таблиц маршрутизации - в зависимости от того, ПОЧЕМУ у вас VLANS в первую очередь. или что-то на основе MPLS - VPLS. Хотя 1841 об этом не говорит.
Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Ну, не совсем профессиональный - но 1841 - это скорее маршрутизатор периферийного уровня, а не что-то для использования в ядре.
Кажется, 1841 может делать VPLS - это будет работать лучше всего. Требуется настроить установку MPLS.
Основная проблема заключается в том, что многие варианты зависят от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы в каждой конечной точке.
решение2
Обычно вы можете расширить свою локальную сеть до удаленного сайта, используя общий IPsec / Layer 3. Найдите Site-to-site, lan-to-lan ipsec VPN. Есть много вариантов, мой любимый — использовать GRE через IPsec, но вам нужны маршрутизаторы на обоих концах. Если вы можете рассказать нам, какие устройства у вас есть на сайтах hub/spoke, это поможет нам дать вам более конкретный ответ.
Если вы хотите расширить свою сеть уровня 2, что не очень хорошая идея по многим причинам, я считаю, что лучшим вариантом будет использовать L2TPv3 через IPsec. Опять же, вам нужны маршрутизаторы на обоих концах. Однако вам придется позаботиться о многих проблемах, таких как размеры MTU, которые могут перегрузить ваш маршрутизатор, если вы не будете уделять внимание деталям, широковещание, многоадресная рассылка, связующее дерево, избыточность и т. д., которые проще обрабатываются в VPN уровня 3.
решение3
Вы можете использовать NAT на ASA и маршрутизаторе IPSec туннеля для соединения перекрывающихся подсетей. Вы можете поместить дополнительные подсети в IPSec туннель, добавив их в защищенные сети IPSec туннеля (ACL, на который ссылается конфигурация туннеля), вместо того, чтобы создавать туннель для каждого подсетевого соединения. Если устройства на каждом сайте должны взаимодействовать друг с другом на уровне 2, вам нужно будет расширить LAN с помощью wan link уровня 2 или протокола туннелирования уровня 2. Если вы используете NAT на IPSec туннеле, устройства на каждом сайте не смогут взаимодействовать друг с другом на уровне 2.