我有一个关于通过 VPN 连接两个 LAN(逻辑上相同的 LAN)的问题。在下图中,您可以看到我们实施的整体表现。
描述:
在每一方,我们都有不同的站点和 AAA 服务器(两台服务器共享相同的基础)。我们有 2 个 VLAN。对于普通用户(可以通过身份验证)和访客。
客人只能上网。普通用户可以访问 Internet,并在需要时连接到其他站点的同事。
因此,IPsec + NAT 配置应该可以正常工作。
主要问题是来自一个路由器的传出 IPsec 数据包将在另一台路由器的站点端被“剥离”。在这种情况下,如果我们丢失了 VLAN tag 信息,我们如何将这个数据包放入 VLAN 10(对于普通用户)?
我希望我对问题的描述很清楚。
简而言之:我们如何将来自 IPsec 的数据包放入 VLAN 10(对于普通用户),或者有什么方法可以传播 VLAN?
“VPN”在这里是错误的术语。这意味着站点之间的第 3 层 (IP) 传输。
根据您的图表,10.0/16 是两个站点上的子网。为此,人们需要在站点之间架起一座桥梁。IOStunnel接口可以实现这一点。(和其他几种方法一样)桥接“VLAN 10”(可能是任何接口)和隧道接口,它应该可以工作[隧道和 vlan 保持第 2 层接口;BVI 处理第 3 层。] 需要进行一些调整以保持 DHCP 域的隔离——因为这会创建一个广播域。
更好的解决方案是将每个站点划分为它自己的子网。并将每个访客 LAN 放入一个隔离的、仅限本地的 VLAN。然后让路由和 VPN(s)(隧道与否)处理一切。VRF 和/或 ACL 可以隔离和限制访客访问。
VLAN 是第 2 层域,它们终止于第 3 层边界(路由器)。第 2 层帧在它遇到的第一个路由器上从第 3 层数据包中剥离。当第 3 层数据包到达第二个路由器时,新的第 2 层帧将为目标子网的 VLAN 封装数据包。
如果数据包的目标地址属于 VLAN 10 上的 IP 子网,则路由器会将数据包转发到该 VLAN 上。我假设 VLAN 10 的 IP 子网在每个站点都不同。