Uso ASA do proxy ARP para NAT


8

Eu executarei o NAT na interface externa de um ASA para um servidor web dentro de uma DMZ. Gostaria de desativar o proxy-arp em todas as interfaces que eu puder. Eu sei que a interface externa precisará ter o proxy-arp ativado por causa da instrução NAT. Também preciso ter o proxy-arp ativado na interface DMZ?

Respostas:


2

O servidor da Web precisará apenas ARP o ASA para obter o endereço MAC para seu gateway (padrão). Portanto, o ASA não precisará responder um ARP para nenhum outro endereço IP que não seja o seu. Você pode desativar com segurança o proxy-arp na interface DMZ. Você está certo ao supor que precisa para a interface externa.


4

Você não precisa de proxy arp na DMZ LAN. O sistema da web responderá o ARP por si mesmo nessa LAN.


1

O ARP do proxy é usado nos ASA para responder aos anfitriões que são usados ​​nos NAT ESTÁTICOS na mesma rede.

Para contornar isso, eu recomendaria rotear qualquer endereço usado como STATIC até o endereço FW, o que eliminará a necessidade do Proxy ARP no ASA e qualquer outra coisa.


0

O ASA usará o proxy-arp para responder à solicitação de entrada para o endereço IP ed-NAT, portanto, você só precisará habilitá-lo na interface externa.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.