Eseguirò NAT sull'interfaccia esterna di un ASA a un server Web all'interno di una DMZ. Vorrei disabilitare proxy-arp su tutte le interfacce che posso. So che l'interfaccia esterna dovrà abilitare proxy-arp a causa dell'istruzione NAT. Devo avere proxy-arp abilitato anche sull'interfaccia DMZ?
Risposte:
Il server Web dovrà solo ARP l'ASA per ottenere l'indirizzo MAC per il suo gateway (predefinito). Pertanto, l'ASA non dovrà rispondere a un ARP per nessun altro indirizzo IP diverso dal proprio. È possibile disattivare in modo sicuro proxy-arp sull'interfaccia DMZ. Hai ragione nel presumere che ne hai bisogno per l'interfaccia esterna.
Non è necessario l'arp proxy sulla LAN DMZ. Il sistema web risponderà da solo all'ARP su quella LAN.
Proxy ARP viene utilizzato sugli ASA per rispondere agli host utilizzati in NAT STATICI sulla stessa rete.
Per ovviare a questo, consiglierei di instradare tutti gli indirizzi utilizzati come STATIC fino all'indirizzo FW che elimineranno la necessità di Proxy ARP sull'ASA e qualsiasi altra cosa.
ASA utilizzerà proxy-arp per rispondere per la richiesta in arrivo all'indirizzo IP nat-ed, quindi sarà necessario abilitarlo solo sull'interfaccia esterna.