Здравствуйте!

Имеется следующая топология:
Сети кампуса 1 --- Cisco ASA5515  --- АПКШ Континент --- криптотуннель --- АПКШ Континент --- Catalyst 3750X --- Сети кампуса 2

Между ASA и Catalyst 3750X хотим поднять OSPF. У техподдержки производителей АПКШ узнали, что АПКШ не может являться полноценным участником OSPF взаимодействия (т.е. не может являться соседом OSPF устройства), также АПКШ не пропускает мультикаст трафик (в частности HELLO-пакеты идущие на 224.0.0.5). Рекомендацией производителей является явная настройка соседства на устройствах за АПКШ.

В этой связи на Cisco ASA настроено

interface X.Y
ip address 10.0.0.1 255.255.255.252
ospf network point-to-point non-broadcast

router ospf 1
network 10.0.0.0 0.0.0.3 area 0
neighbor 192.168.0.1 (адрес интерфейса на Catalyst 3750X)

До адреса 192.168.0.1 настроен статический маршрут смотрящий на АПКШ.
Снифером проверено, что действительно с ASA уходят unicast HELLO-пакеты.

Совсем другая картина с Cat3750X.

interface Vlan 61
ip address 192.168.0.1 255.255.255.252
ip ospf network non-broadcast

router ospf 1
network 192.168.0.0 0.0.0.3 area 0
neighbor 10.0.0.1

ip route 0.0.0.0 0.0.0.0 192.168.0.2 (АПКШ)

Снифер показал, что никаких unicast hello коммутатор не генерит (мультикаста тоже нет). Если изменить режим с non-broadcast на broadcast, то как и ожидается каждые 10 секунд испускаются HELLO на 224.0.0.5. Также отмечено, что если поменять адрес удаленной точки в команде neighbor, например, на адрес АПКШ (т.е. directly connected узла), то коммутатор начинает генерить те самые unicast HELLO.

Подскажите пожалуйста, с чем связана данная особенность. Является ли это нормой и как в таком случае настроить соседство между удаленными узлами ASA и Cat.

Спасибо.