我们在 5505 和 870 之间建立了 VPN 已有一段时间了。我们刚刚在 5505 端向网络添加了 VLAN。我们似乎无法弄清楚如何让 VLAN 上的设备与没有 VLAN 的 870 网络上的设备进行通信。我们认为在到达 ASA 之前,我们可能必须使用某种路由器来处理路由。我们认为 PFsense 可能会很好用。
我们已经为这个问题绞尽脑汁两天了,所以任何能立即提供帮助的帮助都非常好。我们面临最后期限。
谢谢!!!
答案1
user61006 的回答并不完整。大多数启用 802.1q 的交换机(包括 5505)将允许您定义已打开或关闭 802.1q 标记的端口以及未标记数据包所属的默认 vlan。您可以定义已启用多个 VLAN 的端口,只要该端口上启用了标记即可。简而言之,如果 5505 是您唯一的交换机(小型网络要进行 VLAN 化...),您可能不需要更改任何内容,但假设您有其他交换机,请确保它们与 5505 之间连接的所有端口都已启用标记,并且它们是您希望 5505 通过 VPN 查看/传递的任何 VLAN 的成员。例如,我有 3 个 VLAN,在主交换机上,我定义了一个中继端口,它是所有 3 个 VLAN 的成员,并且已打开标记,未标记的数据包(尽管它没有接收任何数据包)默认是 VLAN 1 的成员。然后 ASA5505 连接到该端口,从而从我的交换机上的任何 VLAN 接收所有必要的流量。当然,由于交换的性质,交换机上 PC 之间的流量不需要穿越到其他交换机/5505。
答案2
暂时忽略 870,只关注网络的 5505 端,不同 VLAN 上的设备如何通信?默认情况下,VLAN 彼此隔离,无法相互通信。5505 的“内部”接口连接到哪个 VLAN?5505 只会看到来自该 VLAN 的流量。如果您在 VLAN 之间设置了路由,并且向 5505 的内部接口添加了路由,那么来自这些 VLAN 的流量可以通过 VPN 隧道到达另一端,并且您可能需要另一端的路由来获取流量,除非您有到隧道的默认路由,或者正在 VPN 上运行动态路由协议。