在L3网络上扩展VLAN

Question

我有两个使用ipsec连接的站点，ipsec是使用两个netscreen框连接的，我希望将VLAN从一个站点扩展到另一个站点，这样可以在不添加任何新组件的情况下实现这一点吗？

Answer 1

那么，您想要在具有IPsec链路的IP网络上隧道以太网帧吗？工作像任何IP网络，但你必须小心的MTU (一如既往)。IPsec链路的最大传输单元( MTU )通常比1500低，但是在IP上使用以太网时，无论如何都会遇到MTU问题。

解决方案可以是在RFC7348中指定的VXLAN。但是，请注意，由于VXLAN在UDP上运行，因此存在大量的开销。如果IPsec链路的MTU为1500，那么IPsec、UDP和VXLAN一起增加了管理费用，这意味着以太网链路的MTU小于1500。要使以太网链路的MTU为1500，您将需要一个大于1500的MTU用于IPsec链路，这在互联网上通常是不可能的。

请注意，由于VXLAN运行在第二层，因此无法生成ICMP数据包太大的消息(这是第三层消息)。这意味着您必须手动将MTU配置为以太网链路的较小值，否则就会丢弃数据包(=无连接性)或分段数据包(=性能问题)。

RFC2784中指定的GRE (通用路由封装)也可以用来传输以太网帧(透明以太网桥接，Ethertype 0x6558)，但是防火墙可能不像它们喜欢运行在UDP之上的VXLAN那样喜欢直接在IP上运行的GRE。然而，GRE是一个几乎一致使用的行业标准，因此，来自著名供应商的大多数高质量防火墙应该提供允许GRE通信的可能性。

MTU/碎片问题同样适用于在IP或UDP之上运行的所有协议，其间没有TCP。

那么，TCP作为以太网数据包的传输又如何呢？您通过以太网链路传输的通信量可能已经有一个使用TCP的级别，因此您将在TCP上运行TCP。这是非常不鼓励的，因为您有两个重传发生的级别，这意味着如果出现数据包丢失，系统的性能可能会灾难性地下降。TCP可以消除MTU问题，但是由于TCP在丢包的情况下可能具有灾难性的行为，所以我不建议这样做。

Answer 2

您可以通过配置以下方法来实现这一点：

1. L2TPv3
2. EoMPLS
3. QinQ

在您的情况下，更有可能是QinQ或L2TP。您可以在以下链接找到更多信息：QinQ、秦Q-2或juniper guide：这里

L2TP指南：L2TP和netscreen指南：网屏