Eu executarei o NAT na interface externa de um ASA para um servidor web dentro de uma DMZ. Gostaria de desativar o proxy-arp em todas as interfaces que eu puder. Eu sei que a interface externa precisará ter o proxy-arp ativado por causa da instrução NAT. Também preciso ter o proxy-arp ativado na interface DMZ?
Respostas:
O servidor da Web precisará apenas ARP o ASA para obter o endereço MAC para seu gateway (padrão). Portanto, o ASA não precisará responder um ARP para nenhum outro endereço IP que não seja o seu. Você pode desativar com segurança o proxy-arp na interface DMZ. Você está certo ao supor que precisa para a interface externa.
Você não precisa de proxy arp na DMZ LAN. O sistema da web responderá o ARP por si mesmo nessa LAN.
O ARP do proxy é usado nos ASA para responder aos anfitriões que são usados nos NAT ESTÁTICOS na mesma rede.
Para contornar isso, eu recomendaria rotear qualquer endereço usado como STATIC até o endereço FW, o que eliminará a necessidade do Proxy ARP no ASA e qualquer outra coisa.
O ASA usará o proxy-arp para responder à solicitação de entrada para o endereço IP ed-NAT, portanto, você só precisará habilitá-lo na interface externa.