Você não deseja estender um domínio de difusão da camada 2 por uma VPN. Você não vai gostar de como isso funciona.
Vamos ligar para o seu local existente "site A" e o novo local "site B". Vamos chamar as redes:
- Sub-rede de dados do site A - ID da VLAN 1 - 192.168.0.0/24
- Sub-rede do Site A Voice - VLAN id 2 - 192.168.1.0/24
- Sub-rede de dados do site B - VLAN id 1 - 192.168.2.0/24
- Sub-rede de voz do Site B - VLAN id 2 - 192.168.3.0/24
Nos seus 2821's, você configuraria um túnel IPSEC entre os sites. Veja um exemplo decente usando uma chave estática: link
Assim que você conseguir isso, você criará interfaces VLAN nos roteadores em cada extremidade, atribuindo os endereços IP dos roteadores em cada VLAN:
Roteador no site A:
interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.0.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.1.1 255.255.255.0
Roteador no site B:
interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.3.1 255.255.255.0
Supondo que você tenha configurado o túnel IPSEC corretamente com os endereços apropriados excluídos do NAT, o tráfego entre as várias sub-redes nos sites será criptografado de forma transparente e enviado para a outra extremidade. Os roteadores em cada extremidade, por causa de suas interfaces de VLAN e entradas de tabela de roteamento estáticas, marcam automaticamente o tráfego com as tags de VLAN apropriadas e as soltam na Ethernet.
Você precisará configurar os switches em ambas as extremidades com portas de tronco para conectar os roteadores e terá que descobrir como integrar o roteador do Site A à sua topologia de roteamento existente: o ASA-5505 existente , mas isso deve lhe dar o suficiente para começar.