Ich werde NAT auf der externen Schnittstelle eines ASA zu einem Webserver innerhalb einer DMZ ausführen. Ich möchte Proxy-Arp auf allen Schnittstellen deaktivieren, die ich kann. Ich weiß, dass für die externe Schnittstelle aufgrund der NAT-Anweisung Proxy-Arp aktiviert sein muss. Muss Proxy-Arp auch auf der DMZ-Schnittstelle aktiviert sein?
Der Webserver muss nur den ASA ARP, um die MAC-Adresse für sein (Standard-) Gateway zu erhalten. Der ASA muss einem ARP also keine anderen IP-Adressen als seine eigenen antworten. Sie können Proxy-Arp auf der DMZ-Schnittstelle sicher deaktivieren. Sie gehen zu Recht davon aus, dass Sie es für die externe Schnittstelle benötigen.
Sie benötigen kein Proxy-Arp im DMZ-LAN. Das Web-System antwortet ARP in diesem LAN für sich.
Proxy-ARP wird auf den ASAs verwendet, um auf Hosts zu antworten, die in STATIC NATs im selben Netzwerk verwendet werden.
Um dies zu umgehen, würde ich empfehlen, alle als STATICs verwendeten Adressen an die FW-Adresse weiterzuleiten, wodurch die Notwendigkeit von Proxy-ARP auf dem ASA und allem anderen entfällt.
ASA verwendet Proxy-Arp, um auf die eingehende Anforderung an die NAT-ed IP-Adresse zu antworten, sodass Sie sie nur auf der externen Schnittstelle aktivieren müssen.