Ситуация такая:
Есть Cisco ASA 5520, она выделает ДМЗ, локалку и внешнюю сеть (инет, каналы до клиентов)
В общем классическая схема как в учебниках. Но. Внутри локалки сейчас есть адреса из двух сеток: 192.168.111.0 и 192.168.100.0
VLAN’ами эти сети не разделены (это будет делаться позднее). Сейчас мне на ASA на inside интерфейсе нужно принять обе эти сетки.
В роутерах это делается без проблем при помощи secondary ip. У ASA нет такой фичи. Но это ограничение можно вроде как обойти. Сначала пробовал как описано тут:
http://www.ducea.com/2008/05/31/adding-a-secondary-ip-addres.../
не работает.

Потом пытался сделать через trunk:
Порт свича перевел в транк и решил сабинтерфейсами на ASA принять обе сети в одном native влане:

!
interface GigabitEthernet0/3
nameif inside_trunk
security-level 100
no ip address
!
interface GigabitEthernet0/3.1
description LAN 100
vlan 1
nameif inside_100
security-level 100
ip address 192.168.100.100 255.255.255.0
!
interface GigabitEthernet0/3.2
description LAN 111
vlan 1
nameif inside_111
security-level 100
ip address 192.168.111.100 255.255.255.0
!

Но тоже не работает.
Если на свиче сделать новый влан (например 2), то ASA его принимает. А вот с native – нифига. Может вообще так нельзя и остается только делать вланы в сети ?

• Cisco ASA secondary ip,eek, 16:08 , 10-Окт-12
  • Cisco ASA secondary ip,Vova, 21:06 , 14-Окт-12
• Cisco ASA secondary ip,sTALK_specTrum, 02:59 , 15-Окт-12

Если интерфейсов хватает сделайте без транков и все заработает :)

> Если интерфейсов хватает сделайте без транков и все заработает :)

В том то и дело, что интерфейса нет. В общем работает как описано в статье по указанной выше ссылке. Только второй адрес не отвечает (ни на ping, ни SSH и т.д.). В статье об этом говориться в конце. Не дочитал сначала.  

Разнести сети на разные физические порты. На коммутаторе соответственно на двух портах задействовать один и тот же VLAN. Причём как минимум на одном порту этот VLAN должен быть native.