我正在尝试将 VPN 进一步扩展到组织中:
在主要位置,我有一个专用网络(称为 192.168.0.0/24),它通过 Cisco ASA 5510 连接到 Draytek ADSL 路由器。远程位置还有一个专用网络(称为 192.168.1.0/24)直接连接到他们的 Draytek ADSL 路由器。
Cisco ASA 和远程 Draytek 配置了站点到站点 IPSec VPN,因此我们可以安全地与其内部网络设备通信。此设置被复制了几次(192.168.2.0/24 等)。
有没有办法通过 ASA 上的 VLAN 将远程专用网络连接到我们的专用网络,这样我就可以拥有一个支持 VLAN 的交换机,端口 1 位于 192.168.1.0,端口 2 位于 192.168.2.0 等,用于测试和配置目的?
ASA 充当路由器,即第 3 层/IP 设备。通过它们,您可以获得从本地网络 (192.168.0.0/24) 到远程网络 (192.168.1.0/24) 的路由。
Vlan是Layer2,没有IP地址。
如果要跨路由器传播 vlan,则需要将第 2 层流量封装到 ip 流量中。vtun可能会成功,但它在性能方面肯定会非常令人失望,而且设置会很丑陋(你需要在每个点将它安装在两个 linux/bsd 服务器上,并将 vtap 接口桥接到你的 lans ..) . 无论如何,ASA 在这方面没有任何作用。
Cisco(运行 IOS)路由器或 Juniper 的 SRX 线路(以及许多其他路由器)可以通过 GRE、L2TP(或对于更复杂的 MPLS,如 CCC 或 VPLS)桥接第 2 层网段。
对于更便宜的选择,Mikrotik 的硬件也应该能够做到这一点。
如果你在每一端都有一台备用的 Linux 机器,OpenVPN 有一个应该可以工作的桥接模式。
这会很快变得相当复杂(例如,正确处理 MTU 需要相当多的小心)。