ASA 5505 inter-vlan routing и eigrp. Проясните.

[smartchecker]

Есть ASA 5505, которая одной ногой смотрит в и-нет, а другой (dot1q trunk) в cisco 3560, с которым общается по EIGRP.
Картина мира, в представлении ASA выглядит так

Comments

[smartchecker]

Не, туннель там в другую сеть. Эти бегают по eigrp с 3650.
Если прописываю static route в сеть 172.31.8.0/0 через 192.168.7.1 и интерфейс servers, то всё ходит.
Т.е. ASA как-то не может понять, что пакет, который пришёл на интерфейс servers (192.168.7.50) обратно можно отправить через другой интерфейс, на котором висят eigrp маршруты. Или я не понимаю что она хочет.

[realpushkin]

NAT наверное она хочет

[smartchecker]

Зачем?
Из чего и во что?
Все по маршрутам доступны.
Роутер, в схожей ситуации, дотягивается без проблем.

[zherav]

Security level интерфейсов покажите
И access-list'ы.

[anonymous]

Логика работы такая.
Из 7 в 22 Vlan
ASA это не роутер. Какая версия на ASA?
Настрйки этих интерфейсов какие? Стоит ли разрешение трафика между same security-level если они одного уровня.

[smartchecker]

Версия 8.2(5)

interface Vlan7
nameif Servers
security-level 100
ip address 192.168.7.50 255.255.255.0
!
interface Vlan22
description Transport network
nameif transport
security-level 100
ip address 192.168.22.3 255.255.255.0

Разрешение не стоит, хотя пытался включать.

[iruslan]

Если прописываю static route в сеть 172.31.8.0/0 через 192.168.7.1 и интерфейс servers, то всё ходит.
Что такое 192.168.7.1? Адрес на роутере до ASA? Так он и смаршрутизировал ваш пакет на Servers. А пакет должен изначально прийти на интерфейс transport, и тогда всё будет работать. Иначе получается однонаправленный трафик (сессия создана на одном интерфейсе, а ответ уходит на другой). ASA такого не любит.