VPN 上的 VLAN (ASA 5520)？如果沒有其他可用的選項？

是否可以將本地 VLAN 擴展到透過 IPSEC VPN 連接的遠端站點

不，根據定義。 IpSec 是IP 等級的安全隧道。 VLAN 是乙太網路層級的。

我們可以在 ASA 之間擁有許多 VPN 隧道嗎

是的。如果它變得太多並且管理上沒有自動化，這將是一場維護噩夢，但這是可能的。

如果沒有其他可用的選項/組合？

如果您在它們之間建立乙太網路隧道（不確定這是否可行），則您可以使用「正常」VLAN 封包。

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

有一些訊息，雖然我不確定這是否適用於 1841。

或者，多重路由表設定也可能有效 - 取決於您首先擁有 VLAN 的原因。或基於 MPLS - VPLS 的東西。不過 1841 並沒有談論這一點。

更專業的路由器可能允許 NVGRE 之類的東西用於此目的。好吧，不完全是專業的 - 但 1841 更多的是一個邊緣級路由器，而不是在核心中使用。

看起來 1841 可以做 VPLS——這樣效果最好。需要您配置 MPLS 設定。

主要問題的答案是，許多選擇取決於您從業務角度實際嘗試執行的操作以及您對每個端點的路由器有多少控制權。

通常，您可以使用通用 IPsec/第 3 層將本機 LAN 擴展到遠端站點。有很多選擇，我最喜歡的一種是使用 GRE over IPsec，但兩端都需要路由器。如果您可以告訴我們您在中心/輻射站點上可以使用哪些設備，這將有助於為您提供更具體的答案。

如果您想擴展第 2 層網路（由於多種原因這不是一個好主意），我認為最好的選擇是使用基於 IPsec 的 L2TPv3。同樣，兩端都需要路由器。不過，您必須注意許多問題，例如MTU 大小，如果您不注意細節，廣播、多播、生成樹、冗餘等在第3 層VPN 上處理起來會更容易，MTU 大小可能會使您的路由器過載。

您可以在 ASA 和路由器 IPSec 隧道上使用 NAT 來連接重疊子網路。您可以透過將其他子網路新增至 IPSec 隧道保護網路（隧道設定引用的 ACL）來將其放入 IPSec 隧道中，而不是為每個子網路到子網路連線建立隧道。如果每個站點的設備必須在第 2 層相互通信，則需要使用第 2 層 WAN 連結或第 2 層隧道協定來擴充 LAN。如果在IPSec隧道上使用NAT，則各個站點的設備將無法進行二層通訊。