我正在尝试将 VPN 进一步扩展到组织中:
在主位置,我有一个私有网络(称为 192.168.0.0/24),它通过 Cisco ASA 5510 连接到 Draytek ADSL 路由器。远程位置也有一个私有网络(称为 192.168.1.0/24),直接连接到他们的 Draytek ADSL 路由器。
Cisco ASA 和远程 Draytek 配置了站点到站点 IPSec VPN,以便我们可以安全地与其内部网络设备通信。此设置被复制了几次(192.168.2.0/24 等)。
有没有办法通过 ASA 上的 VLAN 将远程专用网络带入我们的网络,以便我可以拥有一个支持 VLAN 的交换机,其端口 1 为 192.168.1.0,端口 2 为 192.168.2.0 等,以用于测试和配置目的?
答案1
Cisco(运行 IOS)路由器或 Juniper 的 SRX 线路(以及许多其他线路)可以通过 GRE、L2TP(或对于更复杂的情况下的 MPLS 作为 CCC 或 VPLS)桥接第 2 层段。
对于更便宜的选择,Mikrotik 的硬件也应该能够做到这一点。
如果您在两端都有一台备用的 Linux 机器,OpenVPN 就有一个可以工作的桥接模式。
这很快就会变得相当复杂(例如,正确处理 MTU 需要相当小心)。
答案2
ASA 充当路由器,又称第 3 层/IP 设备。通过它们,您可以从本地网络 ( 192.168.0.0/24 ) 路由到远程网络 ( 192.168.1.0/24 )。
Vlan是Layer2,没有IP地址。
如果您想跨路由器传播 VLAN,则需要将第 2 层流量封装为 ip 流量。虚拟隧道可能会奏效,但就性能而言肯定会令人非常失望,而且设置会很难看(您需要在每个点的两个 linux/bsd 服务器上安装它,并将 vtap 接口桥接到您的 lans..)。无论如何,ASA 在这方面不会有任何作用。