WAN 上的 VLAN

Question 1

首先，Cisco 2821 只是一个路由器。我不知道您从哪里得到这种“第 2 层路由器”的说法（这种说法本身就是矛盾的），但 2821 是一款功能齐全的 IP 路由器。

您不想通过 VPN 扩展第 2 层广播域。您不会喜欢它的性能。

我们将现有位置称为“站点 A”，将新位置称为“站点 B”。我们将网络称为：

站点 A 数据子网 - VLAN ID 1 - 192.168.0.0/24
站点 A 语音子网 - VLAN ID 2 - 192.168.1.0/24
站点 B 数据子网 - VLAN ID 1 - 192.168.2.0/24
站点 B 语音子网 - VLAN ID 2 - 192.168.3.0/24

在 2821 中，您需要在站点之间设置 IPSEC 隧道。以下是使用静态密钥的不错示例：http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml

一旦完成了这些，您将在两端的路由器上创建 VLAN 接口，并在每个 VLAN 中分配路由器的 IP 地址：

站点 A 中的路由器：

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.0.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.1.1 255.255.255.0

站点 B 中的路由器：

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.2.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.3.1 255.255.255.0

假设您已正确设置 IPSEC 隧道，并将正确的地址排除在 NAT 之外，则站点中各个子网之间的流量将被透明加密并发送到另一端。由于两端的路由器具有 VLAN 接口和静态路由表条目，因此它们会自动为流量添加适当的 VLAN 标签，并将其丢弃到以太网上。

您需要在两端配置带有中继端口的交换机以连接路由器，并且您必须弄清楚如何将站点 A 路由器集成到您现有的路由拓扑中：现有的 ASA-5505，但这应该足以让您开始使用。

Answer

首先，Cisco 2821 只是一个路由器。我不知道您从哪里得到这种“第 2 层路由器”的说法（这种说法本身就是矛盾的），但 2821 是一款功能齐全的 IP 路由器。

您不想通过 VPN 扩展第 2 层广播域。您不会喜欢它的性能。

我们将现有位置称为“站点 A”，将新位置称为“站点 B”。我们将网络称为：

站点 A 数据子网 - VLAN ID 1 - 192.168.0.0/24
站点 A 语音子网 - VLAN ID 2 - 192.168.1.0/24
站点 B 数据子网 - VLAN ID 1 - 192.168.2.0/24
站点 B 语音子网 - VLAN ID 2 - 192.168.3.0/24

在 2821 中，您需要在站点之间设置 IPSEC 隧道。以下是使用静态密钥的不错示例：http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml

一旦完成了这些，您将在两端的路由器上创建 VLAN 接口，并在每个 VLAN 中分配路由器的 IP 地址：

站点 A 中的路由器：

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.0.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.1.1 255.255.255.0

站点 B 中的路由器：

interface FastEthernet0/0
no ip address
no shutdown
interface FastEthernet0/0.1
encapsulation dot1q 1 native
ip address 192.168.2.1 255.255.255.0 
interface FastEthernet0/0.2
encapsulation dot1q 2
ip address 192.168.3.1 255.255.255.0

假设您已正确设置 IPSEC 隧道，并将正确的地址排除在 NAT 之外，则站点中各个子网之间的流量将被透明加密并发送到另一端。由于两端的路由器具有 VLAN 接口和静态路由表条目，因此它们会自动为流量添加适当的 VLAN 标签，并将其丢弃到以太网上。

您需要在两端配置带有中继端口的交换机以连接路由器，并且您必须弄清楚如何将站点 A 路由器集成到您现有的路由拓扑中：现有的 ASA-5505，但这应该足以让您开始使用。

Question 2

你想要做的事情确实不值得推荐。通过 WAN 扩展广播域并不是一个好主意。
有两种方法可以做到这一点。如果你的站点之间有第 2 层链接，只需使用交换机即可。但是当你谈到路由器时，我猜你的站点与第 3 层相连，因此你可以使用 L2TP 在第 3 层（实际上是第 4 层）上进行第 2 层。

请查看：
http://blog.dest-unreach.be/2009/05/05/ethernet-over-ip-l2tp-on-cisco
http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/l2tpv325.html
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6549/ps6587/prod_white_paper0900aecd8066d3f5.html

Answer

你想要做的事情确实不值得推荐。通过 WAN 扩展广播域并不是一个好主意。
有两种方法可以做到这一点。如果你的站点之间有第 2 层链接，只需使用交换机即可。但是当你谈到路由器时，我猜你的站点与第 3 层相连，因此你可以使用 L2TP 在第 3 层（实际上是第 4 层）上进行第 2 层。

请查看：
http://blog.dest-unreach.be/2009/05/05/ethernet-over-ip-l2tp-on-cisco
http://www.cisco.com/en/US/docs/ios/12_0s/feature/guide/l2tpv325.html
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6549/ps6587/prod_white_paper0900aecd8066d3f5.html

Question 3

通常，将第 2 层 (VLAN) 扩展到长距离不是一个好主意。如果传播延迟太长，您将获得大量重传（最好的情况下）。这也是 Cat-5 和光纤链路有距离限制的原因。对于机器发送的每个 TCP 数据包，它都希望在一定时间内收到 ACK ——如果没有收到 ACK，它将不得不重新传输（假设连接能够建立）。

这可能是深入挖掘和提出更多问题的好时机，以尝试确定目标是什么，而不是让没有技术背景的人说“我想要 VLAN”。

当然，您可以在两个位置使用相同的 VLAN 编号，并在中间设置一个第 3 层链接。每个位置的 IP 地址将不同，但 VLAN 编号可以相同。

如果您确实需要这样做，则需要在位置之间建立第 2 层隧道。您可能还需要在两端使用设备来执行本地 ACK 和数据包重新计时。

我强烈建议您对技术和业务需求做些额外的调查。

Answer

通常，将第 2 层 (VLAN) 扩展到长距离不是一个好主意。如果传播延迟太长，您将获得大量重传（最好的情况下）。这也是 Cat-5 和光纤链路有距离限制的原因。对于机器发送的每个 TCP 数据包，它都希望在一定时间内收到 ACK ——如果没有收到 ACK，它将不得不重新传输（假设连接能够建立）。

这可能是深入挖掘和提出更多问题的好时机，以尝试确定目标是什么，而不是让没有技术背景的人说“我想要 VLAN”。

当然，您可以在两个位置使用相同的 VLAN 编号，并在中间设置一个第 3 层链接。每个位置的 IP 地址将不同，但 VLAN 编号可以相同。

如果您确实需要这样做，则需要在位置之间建立第 2 层隧道。您可能还需要在两端使用设备来执行本地 ACK 和数据包重新计时。

我强烈建议您对技术和业务需求做些额外的调查。

Question 4

（假设站点之间的链接是安全的并且不需要加密。）

您如何使用 ASA 创建子网。您是使用子接口和 VLAN，还是为每个 LAN 段使用单独的以太网接口。

无论如何，尽管设计不好，但我认为交换机比路由器更有用。您不需要路由器来连接两个站点的 VLAN，因为两侧都需要相同的 VLAN。路由器将有助于从一个网络连接到另一个网络。

对于您的应用，任何能够使用 VTP（VLAN 中继协议）进行中继的 2 层或 3 层可管理交换机都绰绰有余。只需在双方共用的接口上中继来自双方的 VLAN，双方的类似 VLAN 即可连接。

Answer

（假设站点之间的链接是安全的并且不需要加密。）

您如何使用 ASA 创建子网。您是使用子接口和 VLAN，还是为每个 LAN 段使用单独的以太网接口。

无论如何，尽管设计不好，但我认为交换机比路由器更有用。您不需要路由器来连接两个站点的 VLAN，因为两侧都需要相同的 VLAN。路由器将有助于从一个网络连接到另一个网络。

对于您的应用，任何能够使用 VTP（VLAN 中继协议）进行中继的 2 层或 3 层可管理交换机都绰绰有余。只需在双方共用的接口上中继来自双方的 VLAN，双方的类似 VLAN 即可连接。

WAN 上的 VLAN

答案1

答案2

答案3

答案4

相关内容