VLAN sobre VPN (ASA 5520)? se não houver outras opções disponíveis?

2

É possível estender as VLANs locais para um site remoto conectado por VPN IPSEC usando o roteador DSL ASA 5520 / Cisco 1841.

podemos ter muitos túneis VPN entre os ASAs? (de cada VLAN uma vpn cada?)

se não houver outras opções / combinações disponíveis?

    
por user204051 01.01.2014 / 16:04

3 respostas

2

Is it possible to extend the local VLANs to a Remote site connected by IPSEC VPN

Não, por definição. O IpSec é um túnel de segurança de nível IP. Vlans são de nível ethernet.

can we have many VPN tunnels between the ASAs

Sim. Esse é um pesadelo de manutenção se ficar muito grande e não for automatizado no gerenciamento, mas é possível.

if not any other options/combinations available?

Se você colocar um túnel ethernet entre eles - sem ter certeza de que isso é possível - você pode usar os pacotes VLAN "normais".

link

tem algumas informações, embora eu não tenha certeza se isso funciona no 1841. Mas isso permitiria que você basicamente enviasse quadros Ethernet com informações de VLAN incorporadas.

Alternativamente, uma configuração de tabela de roteamento múltiplo pode funcionar - depende de POR QUE você tem VLANS em primeiro lugar. ou algo baseado em MPLS - VPLS. O 1841 não fala dessa vez.

Mais roteadores profissionais podem permitir algo como o NVGRE para esse propósito. Bem, não exatamente profissional - mas o 1841 é mais um roteador de nível de borda que não é algo para usar no núcleo.

Parece que o 1841 pode fazer VPLS - que funcionaria melhor então. Requer que você configure uma configuração MPLS.

O principal problema de resposta é que muitas das escolhas dependem do que você realmente tenta fazer do ponto de vista de negócios e quanto controle você tem sobre os roteadores em cada endpoint.

    
por 01.01.2014 / 16:38
2

Normalmente, você pode estender sua LAN local para um site remoto usando IPsec / Camada 3 comum. Pesquisar VPN ipsec de site para site, lan-para-lan. Existem muitas opções, a minha favorita é usar o GRE sobre IPsec, mas você precisa de roteadores nas duas extremidades. Se você puder nos dizer quais dispositivos você tem disponíveis nos sites hub / spoke, isso ajudaria para fornecer uma resposta mais específica.

Se você quiser estender sua rede da camada 2, o que não é uma boa ideia por muitas razões, acredito que a melhor opção é usar L2TPv3 sobre IPsec. Novamente, você precisa de roteadores nas duas extremidades. Você tem que cuidar de muitos problemas, como tamanhos de MTU que podem sobrecarregar seu roteador se você não prestar atenção aos detalhes, broadcast, multicast, spanning tree, redundância, etc, que são tratados com mais facilidade no Layer3 VPN.

    
por 01.01.2014 / 17:21
0

Você pode usar o NAT no túnel IPSec do ASA e do roteador para conectar as sub-redes sobrepostas. Você pode colocar sub-redes adicionais no encapsulamento IPSec adicionando-as às redes protegidas por encapsulamento IPSec (a ACL referenciada pela configuração do encapsulamento), em vez de criar um encapsulamento para cada sub-rede para conexão de sub-rede. Se os dispositivos em cada site tiverem que se comunicar um com o outro na camada 2, você precisará estender a LAN com um link de camada 2 ou um protocolo de encapsulamento de camada 2. Se você usar NAT em um túnel IPSec, os dispositivos em cada site não poderão se comunicar um com o outro na camada 2.

    
por 01.01.2014 / 17:45