服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过WAN的VLAN
Intereting Posts
更改域中受限用户的密码过期date 升级BIND之后:为什么拒绝请求? 服务器位于NATnetworking中 HP Proliant DL180 G5服务器将3 TB的SATA磁盘视为750 GB的磁盘 后缀电子邮件地址更改 最好的WDS替代品 使用PowerShell完全从ACL中删除用户 DNS转发器限制 由于孩子死亡,Solaris SMF终止服务 等同于Windows上的htop命令 从Internet连接时,PPTPD不起作用 在某个OU中使用计算机时,将GPO应用于用户AD组 如何改进Windows Server 2008 R2来处理多个连接? 无法使用libapache2-mod-php5运行Apache 2.4 尝试从外部networking访问ADFS密码更改页面时出现“HTTP 503 – 服务不可用” SSL证书的CSR和密钥文件生成在哪里?

通过WAN的VLAN

我从来没有做过VLAN,在我们自己的局域网中,我使用CISCO ASA 5505物理创build子网。

我们现在已经添加了一个新的站点,并且我被要求在两个站点之间创build一个VPN连接和两个或者三个VLAN,这与站点1中的VLAN是相同的,以使站点2具有它们。例如,其中一个vlans将被使用在这两个网站的ip电话。 另一个VLAN将用于应用程序。

站点将通过10mb租用线路连接。

我将得到任何一端的思科2821路由器。 但我一直在网上看,这是一个二层路由器。

现在,最好的做法是什么? 我是否应该请求具有不同的第3层路由器,还是要求第3层交换机插入该路由器?

谢谢

尼科

首先,Cisco 2821只是一个路由器。 我不知道你从哪里得到这个“第二层路由器”业务(这个说法本身就是一个矛盾),但是2821是一个function完善的IP路由器。

您不想通过VPN扩展第2层广播域。 你不会喜欢它的performance。

让我们打电话给你现有的位置“网站A”和新的位置“网站B”。 我们来调用networking:

  • 站点A数据子网 – VLAN ID 1 – 192.168.0.0/24
  • 站点语音子网 – VLAN ID 2 – 192.168.1.0/24
  • 站点B数据子网 – VLAN ID 1 – 192.168.2.0/24
  • 站点B语音子网 – VLAN ID 2 – 192.168.3.0/24

在你的2821中,你会在站点之间build立一个IPSEC隧道。 以下是使用静态密钥的一个体面的示例: http : //www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml

一旦你得到了,你将在每一端的路由器上创buildVLAN接口,在每个VLAN中分配路由器的IP地址:

站点A中的路由器: 

interface FastEthernet0/0 no ip address no shutdown interface FastEthernet0/0.1 encapsulation dot1q 1 native ip address 192.168.0.1 255.255.255.0 interface FastEthernet0/0.2 encapsulation dot1q 2 ip address 192.168.1.1 255.255.255.0

站点B中的路由器: 

 interface FastEthernet0/0 no ip address no shutdown interface FastEthernet0/0.1 encapsulation dot1q 1 native ip address 192.168.2.1 255.255.255.0 interface FastEthernet0/0.2 encapsulation dot1q 2 ip address 192.168.3.1 255.255.255.0

假设您已经正确设置了IPSEC隧道,并且正确的地址从NAT中排除,站点中各个子网之间的通信将被透明地encryption并发送到另一端。 每端的路由器都会由于其VLAN接口和静态路由表条目而自动标记具有相应VLAN标记的stream量并将其放到以太网上。

你需要在交换机的两端configuration中继端口来连接路由器,你必须弄清楚如何将Site A路由器集成到你现有的路由拓扑结构中:现有的ASA-5505,但是这个应该给你足够的时间去开始。

你想要做的是真的不推荐。 通过WAN扩展广播域不是一个好主意。
有2种方法可以做到这一点。 如果您的网站之间有第2层链接,只需使用开关即可。 但是当你谈论路由器时,我想你的站点与第3层连接,所以你可以使用L2TP在第3层上进行第2层(实际上是4)。

请看看:
http://blog.dest-unreach.be/2009/05/05/ethernet-over-ip-l2tp-on-cisco
http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/l2tpv325.html
http://www.cisco.com/en/US/prod/collat​​eral/iosswrel/ps6537/ps6549/ps6587/prod_white_paper0900aecd8066d3f5.html

长距离延伸第二层(vlans)通常不是一个好主意。 如果传播延迟时间过长,则会得到很多重传(充其量)。 Cat-5和光纤链路有距离限制的原因是一样的。 对于机器发送的每一个TCP数据包来说,都希望在一定的时间内收到一个ACK,否则就不得不重传(假设连接完全可以build立)。

这可能是一个深入挖掘一些问题的好时机,并且可以提出一些更多的问题来尝试确定目标是否有可能没有技术背景的人说“我想要vlans”。

你当然可以在两个地方使用相同的vlan号码,只需在中间有一个三层链路。 每个位置的IP地址会有所不同,但是vlan数字可能相同。

如果你绝对需要这样做,你将需要在地点之间build立一个二层隧道。 您可能还需要两端的设备才能执行本地确认并重新定时数据包。

我强烈build议你对技术和业务需求做一些额外的调查。

– 对于一台机器发送的每个TCP数据包,都要求在一定的时间内收回一个ACK

所以呢? TCP甚至可以通过卫星工作(延迟时间大约为5秒)。 它将根据需要进行调整。

对于笔者来说,L2TP可能是有select的,但是它在路由器上占用了很多的负担。 就个人而言,我发现搭载Linux和VTUN / TAP或OpenVPN / TAP的mini-ITX平台是一个更好的select。 虽然几乎没有那么强大,它提供了极佳的正常运行时间,可以在失败的情况下容易地被replace并且便宜。

(这是假设网站之间的链接是安全的,不需要encryption。)

你如何使用ASA创build子网? 你正在使用子接口和vlans或者你使用单独的以太网接口为每个局域网段。

在任何情况下,虽然这是不好的devise,我认为交换机将是更有用的路由器。 由于两端都需要相同的VLAN,所以不需要路由器连接两个站点的vlan。 路由器会帮助从一个networking连接到另一个。

对于你的应用,任何可以使用VTP(VLAN中继协议)进行中继的第2层或第3层可pipe理交换机是绰绰有余的。 只有双方共用的接口和两端的类似VLAN的中继VLAN才能连通。