должно будет заработать если настроки правил на DFL верные.
иначе - выкладывайте сразу скриншоты всех IPrules и таблицу маршрутизации Main.

Если подключаю вместо DMZ в свитч,тогда пакеты не идут из 192 сети в 10,прописывание route add 10.10.200.0 mask 255.255.255.0 192.16
8.31.1 ничего не дает
Зато клиенты 10 сети видят свой шлюз,а 192 сеть им видеть в принципе необязательно.

Пакеты из 192 в 10ю не идут лишь по той причине что машины в 10й сети не знают куда ответить назад. - Для этого и нужна команда Route -p ADD
- вы не правильно её пишите(и не на тех компьютерах на которых надо), вы не можете GW указать из другой сети т.е в вашем лучае нельзя писать "192.168.31.1", а вместо него надо писать IP_арес DMZ порта Dlinka - у вас там должно быть что-то на 10.10.200.Х. Вот тогда будет всё работать. В команде Route использутйе ключ -p , иначе после перезагрузки пк маршрут пропадет.
(эту команду надо писать на машинах в 10й сети а не 192й). В 192й сети если у машин шлюз dlink_lan_ip ничего трогать не нужно.

вы сами запутались и меня чуть не запустали =)
всё что вам нужно после переключения патчкорда из дмз в свичт - на машинах из сети 10.10.200.х выполнить команду:
route -p ADD 192.168.31.0 mask 255.255.255.0 DMZ_IP_dlink
где DMZ_IP_dlink - это 10.10.200.X - ип адрес дмз порта.

p/s если вы пытаетесь пинговать сами lan_ip и dmz_ip Dlinka то на это нужны соотвествующие специальные правила.

Пингующие правила прописаны.

Предложенная схема неработоспособна. 10 подсеть не видит 192 ни при шлюзе DMZ_IP, ни DMZ_GW. Прописывание маршрута ничего не дает.

Зачем у вас NAT? Надо allow.

Не проще ли было сети по маске объединить? Типа - 10 сеть перевести в адресацию "рядом" с 192 и сделать маску общую.

Ну или как писали... В 10 сети шлюз на кошку, а на DFL - маршрут.

Ну или еще вариант - 10 сеть идет шлюзом на DFL, а на нем делается
1) альтернативная таблица
lannet lan 90
all-nets dmz адрес_кошки 100
2) правило PBR
dmz/all-nets -> any/all-nets, forward: alt, return: main
3) правила IP (в дополнение к сделанным allow lan <-> dmz)
allow dmz/all-nets -> dmz/all-nets

PS Схема действительно тривиальная, работает только слегка тяжело для понимания, если задуматься

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

попробую последний вариант,хотя с трудом представляю сам механизм

Механизм - DFL для 10й сети будет шлюзом - пакеты в lannet будет пересылать, а все что другое - отправлять на вышестоящий шлюз (кошку).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

спасибо,завтра попробую. Еще по ТЗ мне нужно настроить маршрутизацию из 192 сети не только в подсеть DMZ (10.10.200.0), а во все подсети (10.0.0.0) через шлюз Cisco (10.10.200.1).Прописывал статический маршрут на рабочих станциях-не помогает. Из подсети 10.10.200.0 остальные 10 подсети доступны,при условии,что шлюз (10.10.200.1) подключен в свитч вместо DMZ.

"Остальные десятые" у вас где? Обновите плиз схему.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Только что проверял с правилами Allow dmz-lan;lan-dmz. 192 подсеть не видит 10. С правилами NAT начинает видеть. На схеме остальных "десятых" подсетей нет,так как доступ к ним есть только через 10.10.200.1 по веб-интерфейсу.Физически они находятся не в этой локальной сети.

Если с NAT работает - это означает по прежнему тоже самое что и раньше - машины в 10й сети не знают куда вернуть пакет т.е у них нет маршрута на 192ю сеть при обычной маршрутизации (Allow).

Тогда никак без "донастройки" на циске не обойтись, там вам всеравно придеться добавить маршрут в 192 сеть. Что вообщем-то надо было сделать изначально, без нужды в других манипуляциях.