Acho que os problemas aqui são que você entendeu mal o que significa 255.255.255.255. Não é um "Broadcast global". A definição do RFC ( link ):
"The address 255.255.255.255 denotes a broadcast on a local hardware network, which must not be forwarded. This address may be used, for example, by hosts that do not know their network number and are asking some server for it. Thus, a host on net 36, for example, may:
- broadcast to all of its immediate neighbors by using 255.255.255.255
- broadcast to all of net 36 by using 36.255.255.255
No seu caso, um host 192.168.3.0/24 está enviando uma transmissão para 255.255.255.255 e está dizendo que por favor envie para todos os hosts em 192.168.3.0/24. Isto é o mesmo que enviar um pacote para 192.168.3.255. Se um host em .3 quiser enviar uma transmissão para .2, precisará enviar um pacote para 192.168.2.255. Ter transmissões de .3 retransmitidas para .2 é basicamente dizer que você deseja torná-las a mesma sub-rede, mantendo-as como sub-redes diferentes. (o outro nome comum para uma sub-rede é um "domínio de broadcast")
O que os comandos ip helper
e ip forward-protocol
e ASAs dhcprelay
fazem é capturar o pacote broadcast e encaminhá-lo como um pacote unicast para um pacote específico hospedeiro. normalmente um servidor DHCP remoto, mas existem outros usos. Isso é explicitamente indicado no primeiro parágrafo do documento Checkpoint vinculado na resposta anterior. Pode ser pensado como um tipo de NAT. ou seja, o endereço de destino (255.255.255.255) é alterado para um IP unicast especificado, 192.168.3.10. e depois roteado como um pacote unicast normal. Isso funciona muito bem para o DHCP e permite que o servidor DHCP esteja em uma rede remota e ainda receba e responda a solicitações DHCP, mas, infelizmente, mesmo que o ASA tenha suportado os comandos ip helper
e ip forward-protocol
, ainda não foi possível resolver seu problema. O que o seu pedido viola o RFC e a definição do que é uma sub-rede.
A solução mais fácil aqui é mesclar as duas sub-redes em 192.168.2.0/23, em seguida, ligar as duas interfaces e usar o ASA no modo transparente para filtrar o tráfego entre os dois conjuntos de hosts.
Se você não puder fazer isso, precisará desenvolver uma maneira mais escalável para os dispositivos se encontrarem. Ou enviando broadcasts para suas sub-redes, respectivos endereços de broadcast (192.168.3.255 e 192.168.2.255) ou usando algum outro método de Descoberta. 255.255.255.255 não é uma solução escalável ou flexível.