VLAN sobre WAN

Question

VLAN sobre WAN

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (0 votos)

1

Eu nunca fiz VLAN antes, em nossa própria LAN, eu criei sub-redes fisicamente usando o CISCO ASA 5505.

Agora, adicionamos um novo site e fomos solicitados a criar uma conexão VPN e 2 ou 3 VLANs entre dois sites. Essas são as mesmas VLANs no site 1 para incluí-las no site 2. Como exemplo, uma das vlans será usado para os telefones ip em ambos os sites. Outra VLAN será usada para aplicativos.

Os sites serão conectados por uma linha dedicada de 10mb.

Vou receber um roteador Cisco 2821 nas duas extremidades. mas eu tenho procurado na internet e este é um roteador de camada 2.

Agora, qual é o melhor whay para fazer isso? Devo solicitar um roteador diferente, que é a camada 3, ou devo solicitar que um switch da camada 3 se conecte a esse roteador?

Obrigado

Nico

vpn vlan wide-area-network

por Nicolas Marengo 07.07.2009 / 11:37

5 respostas

Tags vpn vlan wide-area-network

Como posso alternar entre várias configurações TCPIP para meu adaptador de rede? PowerShell? Upgrade do controlador de domínio principal

score 3 · Answer 1

Primeiro, o Cisco 2821 é apenas um roteador. Eu não sei de onde você tirou esse negócio de "roteador de camada 2" (a declaração é um oxímoro em si), mas um 2821 é um roteador IP perfeitamente capaz.

Você não deseja estender um domínio de difusão da camada 2 por uma VPN. Você não vai gostar de como isso funciona.

Vamos ligar para o seu local existente "site A" e o novo local "site B". Vamos chamar as redes:

Sub-rede de dados do site A - ID da VLAN 1 - 192.168.0.0/24
Sub-rede do Site A Voice - VLAN id 2 - 192.168.1.0/24
Sub-rede de dados do site B - VLAN id 1 - 192.168.2.0/24
Sub-rede de voz do Site B - VLAN id 2 - 192.168.3.0/24

Nos seus 2821's, você configuraria um túnel IPSEC entre os sites. Veja um exemplo decente usando uma chave estática: link

Assim que você conseguir isso, você criará interfaces VLAN nos roteadores em cada extremidade, atribuindo os endereços IP dos roteadores em cada VLAN:

Roteador no site A:

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.0.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.1.1 255.255.255.0

Roteador no site B:

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.2.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.3.1 255.255.255.0

Supondo que você tenha configurado o túnel IPSEC corretamente com os endereços apropriados excluídos do NAT, o tráfego entre as várias sub-redes nos sites será criptografado de forma transparente e enviado para a outra extremidade. Os roteadores em cada extremidade, por causa de suas interfaces de VLAN e entradas de tabela de roteamento estáticas, marcam automaticamente o tráfego com as tags de VLAN apropriadas e as soltam na Ethernet.

Você precisará configurar os switches em ambas as extremidades com portas de tronco para conectar os roteadores e terá que descobrir como integrar o roteador do Site A à sua topologia de roteamento existente: o ASA-5505 existente , mas isso deve lhe dar o suficiente para começar.

score 2 · Answer 2

O que você quer fazer é realmente não recommand. Estender um domínio de broadcast por uma WAN não é uma boa ideia.
Há duas maneiras de fazer isso. Se você tem link de camada 2 entre o seu site, basta usar um switch. Mas como você fala sobre o roteador, eu acho que o seu site está conectado com a camada 3 para que você possa usar o L2TP para fazer a Camada 2 sobre a Camada 3 (4 na verdade).

Por favor, dê uma olhada em: link
link
link

score 1 · Answer 3

Geralmente, não é uma boa idéia estender a camada 2 (vlans) por longas distâncias. Se o atraso de propagação for longo, você receberá muitas retransmissões (na melhor das hipóteses). Esta é a mesma razão pela qual os links Cat-5 e fibra têm limitações de distância. Para cada pacote TCP que uma máquina envia, está esperando um ACK de volta dentro de um certo período de tempo - se ele não obtiver um, ele terá que retransmitir (supondo que a conexão possa ser estabelecida de todo).

Esse pode ser um bom momento para se aprofundar um pouco mais e fazer mais algumas perguntas para tentar determinar quais são os objetivos: ter alguém que talvez não tenha o histórico técnico para dizer "quero vlans".

Você certamente pode usar os mesmos números de vlan em ambos os locais e apenas ter um link de camada 3 no meio. Os endereços IP serão diferentes em cada local, mas os números de vlan podem ser os mesmos.

Se você realmente precisar fazer isso, será necessário estabelecer um túnel de camada 2 entre os locais. Você também pode precisar de um appliance nas duas extremidades para fazer ACKs locais e reprogramar os pacotes.

Eu sugiro que você faça uma investigação adicional sobre os requisitos técnicos e de negócios.

score 1 · Answer 4

- Para cada pacote TCP que uma máquina envia, está esperando um ACK de volta dentro de um determinado período de tempo

Então o que? O TCP funciona mesmo em satélites (com latência de ~ 5s). Ele se adaptará conforme necessário.

Para o autor, o L2TP pode ser de escolha, mas coloca muita carga no roteador. Pessoalmente, acho que a plataforma mini-ITX com Linux e VTUN / TAP ou OpenVPN / TAP a bordo de uma melhor escolha. Embora não seja tão robusto, oferece excelente tempo de atividade e pode ser substituído facilmente e barato em caso de falha.

score 0 · Answer 5

(Isso supõe que o link entre sites é seguro e a criptografia não é necessária).

Como você está criando sub-redes usando o ASA? Você está usando subinterfaces e vlans OU está usando uma interface ethernet separada para cada segmento da LAN.

Em qualquer caso, embora seja um projeto ruim, acho que o switch será mais útil que o roteador. Você não precisa de roteador para conectar vlans em dois locais, pois as mesmas VLANs são necessárias nos dois lados. O roteador teria ajudado na conexão de uma rede para outra.

Para sua aplicação, qualquer switch gerenciável de camada 2 ou camada 3 que possa fazer entroncamento usando VTP (VLAN Trunking Protocol) é mais do que suficiente. Apenas as VLANs de tronco de ambos os lados na interface que é comum a ambos os lados e VLANs semelhantes em ambos os lados serão conectadas.