VLAN по VPN (ASA 5520)? если не какие-либо другие доступные опции?
ПК также имеет Локальные политики. Посмотрите здесь о том, как изменить их. Хотя я не знаю, какой заблокировал бы тот определенный ползунок.
Можно ли расширить локальные сети VLAN на удаленный сайт, подключенный через IPSEC VPN
Нет, согласно определению. IpSec - это туннель безопасности на уровне IP. Vlan - это уровень Ethernet.
можно ли использовать много VPN-туннелей между ASA
Да. Это кошмар обслуживания, если он становится слишком большим и не автоматизирован в управлении, но это возможно.
Если нет других доступных вариантов / комбинаций?
Если вы установите Ethernet-туннель между ними - не уверен, что это возможно - тогда вы можете использовать "обычные" пакеты VLAN.
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre .html
содержит некоторую информацию, хотя я не уверен, что это работает на 1841. Но это позволит вам в основном отправлять кадры Ethernet со встроенной информацией о VLAN.
В качестве альтернативы может работать настройка нескольких таблиц маршрутизации - в первую очередь, в зависимости от того, ПОЧЕМУ у вас есть VLANS. или что-то основанное на MPLS - VPLS. Однако 1841 не говорит об этом.
Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Что ж, не совсем профессионально, но 1841 - это скорее маршрутизатор граничного уровня, а не то, что можно использовать в ядре.
Кажется, 1841 может работать с VPLS - тогда это сработает лучше всего. Требует, чтобы вы сконфигурировали настройку MPLS.
Решение основной проблемы заключается в том, что многие варианты выбора зависят от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы на каждой конечной точке.
Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Что ж, не совсем профессионально, но 1841 - это скорее маршрутизатор граничного уровня, а не то, что можно использовать в ядре.
Кажется, 1841 может работать с VPLS - тогда это сработает лучше всего. Требует, чтобы вы сконфигурировали настройку MPLS.
Решение основной проблемы заключается в том, что многие варианты выбора зависят от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы на каждой конечной точке.
Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Что ж, не совсем профессионально, но 1841 - это скорее маршрутизатор граничного уровня, а не то, что можно использовать в ядре.
Кажется, 1841 может работать с VPLS - тогда это сработает лучше всего. Требует, чтобы вы сконфигурировали настройку MPLS.
Решение основной проблемы заключается в том, что многие варианты выбора зависят от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы на каждой конечной точке.
Обычно вы можете расширить локальную локальную сеть до удаленного сайта, используя стандартный протокол IPsec / уровня 3. Найдите межсайтовый, межсетевой IPsec VPN. Есть много вариантов, мой любимый - использовать GRE через IPsec, но вам нужны маршрутизаторы на обоих концах. Если вы сообщите нам, какие устройства у вас есть на узловых / лучевых сайтах, это поможет дать вам более конкретный ответ.
Если вы хотите расширить свою сеть уровня 2, это не очень хорошая идея для многих По причинам, я считаю, что лучший вариант - использовать L2TPv3 поверх IPsec. Снова вам нужны маршрутизаторы на обоих концах. Однако вы должны позаботиться о многих проблемах, таких как размеры MTU, которые могут перегрузить ваш маршрутизатор, если вы не будете уделять внимание деталям, широковещательная передача, многоадресная передача, связующее дерево, избыточность и т. Д., Которые легче обрабатываются в Layer3 VPN.
Вы можете использовать NAT на ASA и туннеле IPSec маршрутизатора для соединения перекрывающихся подсетей. Вы можете поместить дополнительные подсети в туннель IPSec, добавив их в сети, защищенные туннелем IPSec (ACL, на который ссылается конфигурация туннеля), вместо создания туннеля для подключения каждой подсети к подсети. Если устройства на каждом сайте должны взаимодействовать друг с другом на уровне 2, вам потребуется расширить локальную сеть с помощью протокола WAN уровня 2 или протокола туннелирования уровня 2. Если вы используете NAT в туннеле IPSec, устройства на каждом сайте не смогут связываться друг с другом на уровне 2.