Est-il possible d'étendre les VLANs locaux à un site distant connecté par VPN IPSEC en utilisant un ASA 5520 / routeur DSL Cisco 1841.
Peut-on avoir plusieurs tunnels VPN entre les ASA ? (de chaque VLAN un VPN chacun ?)
Sinon, y a-t-il d'autres options/combinaisons possibles ?
Est-il possible d'étendre les VLANs locaux à un site distant connecté par VPN IPSEC ?
Non, par définition. IpSec est un tunnel de sécurité de niveau IP. Les Vlans sont au niveau Ethernet.
Peut-on avoir plusieurs tunnels VPN entre les ASA ?
Oui. C'est un cauchemar de maintenance si cela devient trop important et n'est pas automatisé dans la gestion, mais c'est possible.
Sinon, y a-t-il d'autres options/combinaisons possibles ?
Si vous mettez en place un tunnel Ethernet entre eux - je ne suis pas sûr que cela soit possible - vous pouvez alors utiliser les paquets VLAN "normaux".
http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html
a quelques informations, mais je ne suis pas sûr que cela fonctionne sur le 1841. Mais cela vous permettrait essentiellement d'envoyer des trames Ethernet avec des informations VLAN incorporées.
Alternativement, une configuration de table de routage multiple peut fonctionner - cela dépend de la raison pour laquelle vous avez des VLANS en premier lieu. ou quelque chose basé sur MPLS - VPLS. Le 1841 ne parle pas de cela cependant.
Les routeurs plus professionnels peuvent autoriser quelque chose comme NVGRE à cette fin. Enfin, pas exactement professionnel - mais le 1841 est plus un routeur de niveau périphérique que quelque chose à utiliser dans le noyau.
Il semble que le 1841 puisse faire du VPLS - ce serait le mieux alors. Vous devez configurer une installation MPLS.
Le principal problème est qu'une grande partie des choix dépend de ce que vous essayez réellement de faire d'un point de vue commercial et du degré de contrôle que vous avez sur les routeurs à chaque extrémité.
Normalement, vous pouvez étendre votre réseau local à un site distant en utilisant le protocole IPsec commun / la couche 3. Recherchez Site-to-site, lan-to-lan ipsec VPN. Il y a beaucoup d'options, ma préférée est d'utiliser GRE sur IPsec, mais vous avez besoin de routeurs aux deux extrémités. Si vous pouvez nous dire de quels dispositifs vous disposez sur les sites hub/spoke, cela nous aiderait à vous donner une réponse plus spécifique.
Si vous voulez étendre votre réseau de couche 2, ce qui n'est pas une très bonne idée pour de nombreuses raisons, je pense que la meilleure option est d'utiliser L2TPv3 sur IPsec. Là encore, vous avez besoin de routeurs aux deux extrémités. Vous devez cependant faire attention à de nombreux problèmes, tels que les tailles MTU qui pourraient surcharger votre routeur si vous ne faites pas attention aux détails, la diffusion, la multidiffusion, le spanning-tree, la redondance, etc. qui sont plus faciles à gérer avec un VPN de couche 3.
Vous pouvez utiliser le NAT sur l'ASA et le tunnel IPSec du routeur pour connecter les sous-réseaux qui se chevauchent. Vous pouvez mettre des sous-réseaux supplémentaires dans le tunnel IPSec en les ajoutant aux réseaux protégés du tunnel IPSec (l'ACL référencée par la configuration du tunnel), au lieu de créer un tunnel pour chaque connexion de sous-réseau à sous-réseau. Si les périphériques de chaque site doivent communiquer entre eux au niveau de la couche 2, vous devrez étendre le réseau local avec une liaison wan de couche 2 ou un protocole de tunneling de couche 2. Si vous utilisez le NAT sur un tunnel IPSec, les périphériques de chaque site ne pourront pas communiquer entre eux au niveau de la couche 2.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Je suppose que vous demandez des vlans L2 ? Comme l'extension d'un domaine de diffusion sur votre tunnel ?