是否可以使用ASA 5520 / Cisco 1841 DSL路由器将本地VLAN扩展到通过IPSEC VPN连接的远程站点。
我们可以在ASA之间build立多个VPN隧道吗? (从每个VLAN每个VPN?)
如果没有任何其他选项/组合可用?
是否可以将本地VLAN扩展到通过IPSEC VPN连接的远程站点
不,根据定义。 IpSec是一个IP级安全隧道。 Vlans是以太网级别。
我们可以在ASA之间build立多个VPN隧道
是。 这是一个维护噩梦,如果它太多,并没有在pipe理自动化,但它是可能的。
如果没有任何其他选项/组合可用?
如果你在它们之间build立一个以太网隧道 – 不知道这是否可行 – 那么你可以使用“正常”的VLAN数据包。
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html
有一些信息,但我不确定这是否适用于1841年。但是,这将允许您基本上发送embeddedVLAN信息的以太网帧。
或者多路由表设置可能工作 – 取决于为什么你有VLANS的第一位。 或基于MPLS-VPLS的东西。 1841年不说那个。
更专业的路由器可能会允许像NVGRE这样的目的。 那么,不完全专业 – 但1841年更是一个边缘级别的路由器不是在核心使用的东西。
看来,1841年可以做VPLS – 这将是最好的。 需要您configurationMPLS设置。
主要问题的答案是,很多select取决于您从业务angular度实际尝试做什么以及您对每个端点的路由器有多less控制权。
通常情况下,您可以使用通用IPsec / Layer 3将本地LAN扩展到远程站点。search站点到站点LAN-to-LAN IPSec VPN。 有很多select,我最喜欢使用GRE over IPsec,但是你需要两端的路由器。 如果您可以告诉我们在中心/辐射网站上有什么设备可用,这将有助于您给出更具体的答案。
如果你想扩展你的二层networking,这是不是一个很好的主意,我认为最好的select是通过IPsec使用L2TPv3。 同样你需要两端的路由器。 但是,如果不注意详细信息,广播,组播,生成树,冗余等等,这些在三层VPN上更容易处理,那么您必须注意许多问题,例如可能会使路由器负载过重的MTU大小。
您可以在ASA和路由器IPSec隧道上使用NAT来连接重叠的子网。 您可以将其他子网添加到IPSec隧道保护networking(隧道configuration所引用的ACL)中,而不是为每个子网创build到子网连接的隧道。 如果每个站点的设备必须在第2层互相通信,则需要使用第2层链路或第2层隧道协议来扩展局域网。 如果在IPSec隧道上使用NAT,则每个站点的设备将无法在第2层互相通信。