Uso ASA do proxy ARP para NAT

8

Eu executarei o NAT na interface externa de um ASA para um servidor web dentro de uma DMZ. Gostaria de desativar o proxy-arp em todas as interfaces que eu puder. Eu sei que a interface externa precisará ter o proxy-arp ativado por causa da instrução NAT. Também preciso ter o proxy-arp ativado na interface DMZ?

henklu
fonte

Respostas:

2

O servidor da Web precisará apenas ARP o ASA para obter o endereço MAC para seu gateway (padrão). Portanto, o ASA não precisará responder um ARP para nenhum outro endereço IP que não seja o seu. Você pode desativar com segurança o proxy-arp na interface DMZ. Você está certo ao supor que precisa para a interface externa.

JelmerS
fonte
4

Você não precisa de proxy arp na DMZ LAN. O sistema da web responderá o ARP por si mesmo nessa LAN.

Craig Constantine
fonte
1

O ARP do proxy é usado nos ASA para responder aos anfitriões que são usados ​​nos NAT ESTÁTICOS na mesma rede.

Para contornar isso, eu recomendaria rotear qualquer endereço usado como STATIC até o endereço FW, o que eliminará a necessidade do Proxy ARP no ASA e qualquer outra coisa.

David Rothera
fonte
0

O ASA usará o proxy-arp para responder à solicitação de entrada para o endereço IP ed-NAT, portanto, você só precisará habilitá-lo na interface externa.

Ionut Hristea
fonte