Chai писал(а):
Зону ДМЗ отделяет МСЭ. В этой зоне несколько серверов. Один из них (Сервер1) должен выходить в интернет с одного и того же адреса. Все узлы зоны транслируются в один и тот же адрес outside, соответствующий выходному интерфейсу.
Зачем? Внутренних адресов жалко?
Chai писал(а):
На МСЭ у нас влияния нет, это ответственность злых и довольно безграмотных в сетевых технологиях безопасников.
И различать входящие из зоны ДМЗ после МСЭ ASBR может только по портам источников.
Бред какой-то.
Chai писал(а):
Далее к нему подключается ASBR ASR1001. Все входящие в него подключения он также должен транслировать, но уже в публичный адрес из пула выделенных. ... (из пула 44-100).
Зачем?
Под почтовик обычно выделяют отдельный IP-адрес, и прописывают на него MX, PTR, SPF, etc.
Выбейте из этих "безопасников" отдельный static IP в той же подсети под почтовик.
И пропишите у себя в ASR1001 на него static NAT (IP-to-IP) на отдельный внешний IP-шник (не из пула).