VLAN over VPN (ASA 5520)? 如果没有其他可用选项？

是否可以将本地 VLAN 扩展到通过 IPSEC VPN 连接的远程站点

不是，根据定义。IpSec 是 IP 级安全隧道。Vlan 是以太网级的。

我们可以在 ASA 之间建立多条 VPN 隧道吗

是的。如果数量太多，而且无法实现自动化管理，这将是一场维护噩梦，但这是有可能发生的。

如果没有其他可用的选项/组合？

如果您在它们之间建立以太网隧道 - 不确定这是否可行 - 那么您可以使用“正常” VLAN 数据包。

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

有一些信息，虽然我不确定这是否适用于 1841。但这基本上允许您发送嵌入了 VLAN 信息的以太网帧。

另外，多路由表设置也可能有效 - 取决于您首先拥有 VLAN 的原因。或者基于 MPLS - VPLS 的东西。不过 1841 并没有谈论这一点。

更专业的路由器可能允许使用 NVGRE 之类的东西来实现此目的。好吧，并不完全专业 - 但 1841 更像是边缘级路由器，而不是核心路由器。

看来 1841 可以做 VPLS - 那效果最好。需要您配置 MPLS 设置。

主要问题的答案是，很多选择取决于你从业务角度实际尝试做什么，以及你对每个端点的路由器有多少控制权。

通常，您可以使用通用 IPsec/第 3 层将本地 LAN 扩展到远程站点。搜索站点到站点、LAN 到 LAN IPsec VPN。有很多选项，我最喜欢的是使用 GRE over IPsec，但您需要两端都有路由器。如果您能告诉我们您在中心/辐射站点上有哪些设备可用，这将有助于为您提供更具体的答案。

如果您想扩展第 2 层网络（出于多种原因，这不是一个好主意），我认为最好的选择是使用 L2TPv3 而不是 IPsec。同样，您需要两端都有路由器。不过，您必须处理许多问题，例如 MTU 大小（如果您不注意细节，可能会使您的路由器过载）、广播、多播、生成树、冗余等，而这些在第 3 层 VPN 上更容易处理。

您可以在 ASA 上使用 NAT 和路由器 IPSec 隧道来连接重叠子网。您可以将其他子网添加到 IPSec 隧道保护网络（隧道配置引用的 ACL），从而将它们放入 IPSec 隧道中，而不是为每个子网到子网的连接创建隧道。如果每个站点的设备必须在第 2 层相互通信，则需要使用第 2 层 WAN 链路或第 2 层隧道协议扩展 LAN。如果您在 IPSec 隧道上使用 NAT，则每个站点的设备将无法在第 2 层相互通信。