Здравствуйте.
Столкнулся с проблемой при настройке маршрутизации на Cisco ASA 5520.
У меня есть несколько VLAN на коммутаторах и я хотел бы сделать маршрутизацию между VLAN на ASA 5520. Согласно мануалам всё было сделано, и клиенты из одной подсети могут ходить в другую подсеть, только в том случае, если в одной из подсети установлены статические IP адреса. У меня стоит DHCP на Windows и в нем создано необходимое количество зон для раздачи во vlan. DHCP сервер стоит в 10 подсети, а так-же клиенты в 10 подсети (LAN сеть). Клиенты получают адреса и всё хорошо. Как только включаешь DHCP Relay на один из интерфейсов (11 подсеть), клиенты получают адреса по DHCP в 11 подсети, получаю шлюз, но связи между сетями нет.
Привожу конфиг, и прошу помочь.


Так вот из 10 подсети в 11 могу пинговать только статические ip установленные в 11 подсети.

Cisco ASA – Permitting traffic between two interfaces with the same security level
by Justin Vashisht on February 16, 2013 in Cisco
I had to make some network modifications to an ASA to activate another interface to accommodate some storage devices on a separate subnet for management purposes. The below diagram shows the subnet’s in question. I needed to configure the two interfaces to allow all interesting traffic to pass bi-directionally between each other. Here are the commands I used to this rolling.

image

Even though the SERVER and STORAGE interfaces are configured with the same security level of 100 the default behavior of an ASA is to block communication between them. We can enable communication between these two interfaces with the same security level with the following command:

ASA-CLI (config) # same –security-traffic permit inter-interface

Here is where many people get stuck. After this command is added many people become baffled that they still cannot ping and pass traffic through. This is because a “static or dynamic” translation rule is still required. I added the following two commands to allow all IP traffic to pass bi-directionally.

ASA-CLI (config) # static (server,storage) 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0

ASA-CLI (config) # static (storage,server) 192.168.2.0 255.255.255.0 192.168.2.0 255.255.255.0

At this point you should be good to go.

-Justin Vashisht (3cVguy)

А они точно получают шлюз 192.168.11.1 ?

Да, это точно. Шлюз получают. Настройки DHCP сервера следующие:



Вот что получает клиент



Забыл указать настройки коммутатора:

Интерфейс смотрящий в порт INT_INSIDE



Интерфейс смотрящий в порт INT_GUEST_WI-FI

В конфиге у меня есть разрешение для хождения по интерфейсам

Я конечно извиняюсь, но не получается

там nat имеется в виду типа

nat (inside,outside-orange) source static branch-office branch-office destination static YAR_LAN_m21 YAR_LAN_m21

При настройке nat между интерфейсами у меня клиенты не получают адреса по dhcp. DHCP сервер говорит "BAD ADDRESS"
см. картинку. И при этом так-же отваливаются клиенты на другом интерфейсе.

Проблема была в том, что в сети поселился ещё один DHCP сервер. Всем спасибо за советы.