Расширение емкости сети в Cisco ASA⁠⁠

Техника в руках неандертальца = груда металлолома.

Труд сделал из обезьяны уставшую обезьяну. Человеком её сделали орудия труда которые она научилась использовать.

Я может и чуть поздно читаю этот пост.

Но ИМХО, на ASA решать такие задачи.. ну это прям дичь. Эта "кошка" конечно вывезет многое, но не стоит забывать что это вообще такое и какие задачи производитель в неё заложил. Все же основная задача это фаервол.

Тут надо "рисовать" сеть, ставить отдельно L3 железку для маршрутизации всего этого зоопарка. И тогда можно через ASA протаскивать трафик для целей межсетевого экрана, если это надо.

Ну а если бюджета нет, и есть только эта "кошка", то вникать что такое вланы, подсети, маршрутизация и прочие "плюшки". Сегментация сети, бродкаст трафик, мультикаст, воип... кароче, это интересно ))

А, да... тут ещё не мало важно какие лицухи и какая версия ПО стоит на текущей железке. Ну и сколько ей лет. Могу подсказать такой момент, что у неё "на борту" стоит память DDR2. И при перезагрузке по питанию, бывает что плашки "умирают", а новых их не купить. Подходят любые что на Авито найдёшь, но надо искать

Перенести DHCP на ASA тоже пока не вариант, там нет привязки к мак адресу.

Не очень понял что вы имеете ввиду под привязкой. Резервирование? Вроде должно быть, но точно по синтаксису не подскажу. У нас ASA в качестве DHCP нигде не используется. Ну и если по нормальному, то и не должна она быть DHCP сервером. Но процентов на 90 уверен, что настроить это как-то можно.

К слову. Если надумаете делать сегментацию, то не забудьте, что у вас будет много разных сетей в dhcp, а на ASA нужно настраивать DHCP-Relay

ACL на ASA все поправил с 24 на 23 маску, и про объекты настроенные не забыл, и в настройках NAT расширил? А то у тех, кто выпадет за диапазон старой сети внезапно ничего начнутся проблемы. Ну и DHCP тоже править нужно, надеюсь ты тоже это не забыл.

Про сегментацию тебе тут правильно писали, но подходить к этому надо ответственно. Почитай матчасть, посмотри видео, и начни с наименее важного сегмента (можно вообще что-нить тестовое взять для начала). Работа эта не быстрая, но приведя сеть в порядок получишь не плохой опыт как сетевой инженер. Главное не спешить и работать аккуратно.

Тут то никто не спорит. Вопрос в другом. Советы даются по большей части не зная ни структуры сети, ни потребности бизнеса, ни что за оборудование у него имеется. Из инфы по оборудованию была только ASA. Где-то в комментах был ответ по коммутаторам, но он прилетел уже сильно позже. Ранее стояли вообще неуправляемые коммутаторы, ща вроде что-то норм, если не путаю (лень искать). Но главная проблема сохраняется - сетью заведует не сетевик. Что он натворит в такой сети одному рандому ведомо. Да и к такой задаче надо подходить не в авральном режиме, а хорошенько всё продумав и просчитав, ибо это не простое дейтсвие, а для бизнеса может привести к остановке работы. Так что сначала решается текущая задача как можно, то есть расширением сети на /23, а уже потом, изучив бизнес процессы, возможности оборудования и прочее можно приступать к планированию изменений в сети. Опять же, такие работы нужно проводить в нерабочее время, а это переработки, которые ещё надо обосновать руководству. Зачастую руководство таких контор вообще не шарит как это всё работает.

Там IP адреса в /24 заканчиваются. Неуправляемых коммутаторов там быть не может. Их больше 3 в одном сегменте в принципе быть не может. Я говорю как надо делать, а не советую. Пускай учится, задача этому способствует.

Сегментация сети тебе нужна. Сервера в одну сетку, юзверей в другую или несколько других, войп отдельно. В ядро л3 коммутатор. Dhcp сервер который раздаёт IP на основе тага vlan. У меня так сделано.

Чем больше сеть, тем больше в ней BUM трафика, тем больше будет широковещательный шторм случись что. Используй две /24.

Правильное решение - постараться самостоятельно понять, учитывая лично твои потребности и особенности лично твоей сети, нужна тебе сегментация (с вытекающей из нее потребностью в маршрутизации) или нет.