Ситуация такая:
Есть Cisco ASA 5520, она выделает ДМЗ, локалку и внешнюю сеть (инет, каналы до клиентов)
В общем классическая схема как в учебниках. Но. Внутри локалки сейчас есть адреса из двух сеток: 192.168.111.0 и 192.168.100.0
VLAN’ами эти сети не разделены (это будет делаться позднее). Сейчас мне на ASA на inside интерфейсе нужно принять обе эти сетки.
В роутерах это делается без проблем при помощи secondary ip. У ASA нет такой фичи. Но это ограничение можно вроде как обойти. Сначала пробовал как описано тут:
http://www.ducea.com/2008/05/31/adding-a-secondary-ip-addres.../
не работает.

Потом пытался сделать через trunk:
Порт свича перевел в транк и решил сабинтерфейсами на ASA принять обе сети в одном native влане:

!
interface GigabitEthernet0/3
nameif inside_trunk
security-level 100
no ip address
!
interface GigabitEthernet0/3.1
description LAN 100
vlan 1
nameif inside_100
security-level 100
ip address 192.168.100.100 255.255.255.0
!
interface GigabitEthernet0/3.2
description LAN 111
vlan 1
nameif inside_111
security-level 100
ip address 192.168.111.100 255.255.255.0
!

Но тоже не работает.
Если на свиче сделать новый влан (например 2), то ASA его принимает. А вот с native – нифига. Может вообще так нельзя и остается только делать вланы в сети ?