VLAN через VPN (ASA 5520)? если нет других доступных вариантов?

Обычно вы можете расширить свою локальную локальную сеть до удаленного сайта, используя общий IPsec / Уровень 3. Поиск ipsec VPN между локальными сетями и локальной сетью. Вариантов много, мой любимый - использовать GRE поверх IPsec, но вам нужны маршрутизаторы на обоих концах. Если вы скажете нам, какие устройства у вас есть на сайтах-концентраторах / спицах, это поможет вам дать более конкретный ответ.

Если вы хотите расширить сеть второго уровня, что по многим причинам не очень хорошая идея, я считаю, что лучшим вариантом является использование L2TPv3 поверх IPsec. Опять же вам нужны маршрутизаторы на обоих концах. Однако вам придется позаботиться о многих проблемах, таких как размеры MTU, которые могут перегрузить ваш маршрутизатор, если вы не будете обращать внимание на детали, широковещательную рассылку, многоадресную рассылку, связующее дерево, избыточность и т. Д., Которые легче обрабатываются в Layer3 VPN.

Можно ли расширить локальные VLAN до удаленного сайта, подключенного через IPSEC VPN?

Нет, по определению. IpSec - это туннель безопасности на уровне IP. Vlans - это уровень Ethernet.

мы можем иметь много VPN-туннелей между ASA

Да. Это кошмар обслуживания, если он становится слишком большим и не автоматизирован в управлении, но это возможно.

если нет других доступных вариантов / комбинаций?

Если вы устанавливаете туннель Ethernet между ними - не уверен, что это возможно - тогда вы можете использовать "нормальные" пакеты VLAN.

http://www.cisco.com/en/US/docs/ios-xml/ios/interface/configuration/xe-3s/ir-eogre.html

имеет некоторую информацию, хотя я не уверен, что это работает на 1841. Но это позволит вам в основном отправлять кадры Ethernet со встроенной информацией VLAN.

В качестве альтернативы может работать настройка таблицы множественной маршрутизации - в зависимости от того, ПОЧЕМУ у вас VLANS. или что-то на основе MPLS - VPLS. 1841 не говорит об этом, хотя.

Более профессиональные маршрутизаторы могут позволить что-то вроде NVGRE для этой цели. Ну, не совсем профессионально - но 1841 - это скорее маршрутизатор верхнего уровня, а не то, что нужно использовать в ядре.

Кажется, что 1841 может сделать VPLS - это будет работать лучше всего. Требует от вас настройки MPLS.

Основная проблема ответа заключается в том, что выбор зависит от того, что вы на самом деле пытаетесь сделать с точки зрения бизнеса, и от того, насколько вы контролируете маршрутизаторы в каждой конечной точке.

Вы можете использовать NAT на туннеле IPSec ASA и маршрутизатора для подключения перекрывающихся подсетей. Вы можете разместить дополнительные подсети в туннеле IPSec, добавив их в защищенные туннели IPSec сети (ACL, на которые ссылается конфигурация туннеля), вместо создания туннеля для каждой подсети с подключением к подсети. Если устройства на каждом сайте должны обмениваться данными друг с другом на уровне 2, вам потребуется расширить локальную сеть с помощью протокола WAN 2-го уровня или протокола туннелирования 2-го уровня. Если вы используете NAT в туннеле IPSec, устройства на каждом сайте не смогут взаимодействовать друг с другом на уровне 2.