https://www.opennet.ru/openforum/vsluhforumID6/1462.html Добрый вечер.<br><br>Есть подсеть 192.168.0.0/24 в которой сидят все рабочие станции и сервера. В качестве шлюза выступает ASA 5510 c ip 192.168.0.2, так же в этом VLAN есть еще одна подсеть 192.168.5.0/24 в который висят все ILO. Если нужен доступ к ILO, пользователи присваивают себе IP из подсети 192.168.5.0/24 это крайне не удобно, хочется иметь доступ к сети 192.168.5.0 не меняя в настройки сетевой карты.<br><br>Что сделано:<br><br>interface Ethernet0/0 Выход во внешнею сеть.<br> nameif outside<br> security-level 0<br> ip address x.x.x.x x.x.x.x<br><br>interface Ethernet0/1<br> nameif inside<br> security-level 100<br> ip address 192.168.0.2 255.255.255.0<br><br>interface Ethernet0/2<br> nameif ILO<br> security-level 100<br> ip address 192.168.5.1 255.255.255.0<br><br><br>same-security-traffic permit inter-interface<br><br>nat (inside,ILO) source static lan lan destination static ILO ILO<br><br>На интерфейсе ILO gw 192.168.5.1<br><br>так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.<br><br>Такое вообще реально реально сделать? или это п https://www.opennet.ru/openforum/vsluhforumID6/1462.html#7 Wed, 17 Sep 2014 07:05:28 GMT <br>&gt; На новых прошивках второй вариант не работает.<br><br>Да вот в том то и проблема, что этот вариант работал раньше, а сейчас, он не дает сделать route inside. В общем по разным вилланам растаскивать.<br><br>Хотя и странно, а что если у меня VoIP телефоны в другой подсети, если по разным вилланам разносить то придется все порты к транк переводить.<br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#6 Wed, 03 Sep 2014 12:39:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt; nat (inside,ILO) source static lan lan destination static ILO ILO <br>&gt;&gt; На интерфейсе ILO gw 192.168.5.1 <br>&gt;&gt; так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.<br>&gt;&gt; Такое вообще реально реально сделать? или это полный бред и нужно разводить <br>&gt;&gt; по разным вилланам?<br>&gt; Разводите по VLAN - это правильный подход к организации сети с точки <br>&gt; зрения элементарной безопасности и нормальной логики.<br>&gt; Если VLAN не ваш вариант - попробуйте это: https://supportforums.cisco.com/discussion/11668746/how-configure-secondary-ip-inside-interface-asa-5520 <br>&gt; , но не факт, что это будет полноценный вариант, который вам <br>&gt; необходим.<br><br>На новых прошивках второй вариант не работает.<br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#5 Wed, 03 Sep 2014 10:39:21 GMT &gt;[оверквотинг удален]<br>&gt; interface Ethernet0/2 <br>&gt; nameif ILO <br>&gt; security-level 100 <br>&gt; ip address 192.168.5.1 255.255.255.0 <br>&gt; same-security-traffic permit inter-interface <br>&gt; nat (inside,ILO) source static lan lan destination static ILO ILO <br>&gt; На интерфейсе ILO gw 192.168.5.1 <br>&gt; так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает. <br>&gt; Такое вообще реально реально сделать? или это полный бред и нужно разводить <br>&gt; по разным вилланам?<br><br>Разводите по VLAN - это правильный подход к организации сети с точки зрения элементарной безопасности и нормальной логики.<br>Если VLAN не ваш вариант - попробуйте это: https://supportforums.cisco.com/discussion/11668746/how-configure-secondary-ip-inside-interface-asa-5520 , но не факт, что это будет полноценный вариант, который вам необходим.<br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#4 Wed, 03 Sep 2014 05:49:29 GMT &gt;[оверквотинг удален]<br>&gt; interface Ethernet0/2 <br>&gt; nameif ILO <br>&gt; security-level 100 <br>&gt; ip address 192.168.5.1 255.255.255.0 <br>&gt; same-security-traffic permit inter-interface <br>&gt; nat (inside,ILO) source static lan lan destination static ILO ILO <br>&gt; На интерфейсе ILO gw 192.168.5.1 <br>&gt; так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает. <br>&gt; Такое вообще реально реально сделать? или это полный бред и нужно разводить <br>&gt; по разным вилланам?<br><br>На коммутаторе STP включен? С чего вы взяли, что кольцо? На асе L3 интерфейсы, никаких колец не должно быть.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#3 Wed, 03 Sep 2014 04:43:16 GMT &gt; interface Ethernet0/1 <br>&gt; nameif inside <br>&gt; security-level 100 <br>&gt; ip address 192.168.0.2 255.255.255.0 <br>&gt; ip address 192.168.5.1 255.255.255.0 secondary<br><br>Ай. Это чудо не умеет secondary.<br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#2 Wed, 03 Sep 2014 01:17:03 GMT Второй IP адрес на машине решит проблему. НО это не есть правильно.<br> https://www.opennet.ru/openforum/vsluhforumID6/1462.html#1 Fri, 29 Aug 2014 02:30:08 GMT &gt;[оверквотинг удален]<br>&gt; interface Ethernet0/2 <br>&gt; nameif ILO <br>&gt; security-level 100 <br>&gt; ip address 192.168.5.1 255.255.255.0 <br>&gt; same-security-traffic permit inter-interface <br>&gt; nat (inside,ILO) source static lan lan destination static ILO ILO <br>&gt; На интерфейсе ILO gw 192.168.5.1 <br>&gt; так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает. <br>&gt; Такое вообще реально реально сделать? или это полный бред и нужно разводить <br>&gt; по разным вилланам?<br><br>А если на компе повесить секондари ИП? А так то конечно- разные вланы, а АСА- роутит.<br><br>