ASA menggunakan proxy ARP untuk NAT

8

Saya akan melakukan NAT pada antarmuka luar ASA ke server web dalam DMZ. Saya ingin menonaktifkan proxy-arp di semua antarmuka yang saya bisa. Saya tahu bahwa antarmuka luar perlu memiliki proxy-arp yang diaktifkan karena pernyataan NAT. Apakah saya perlu mengaktifkan proxy-arp pada antarmuka DMZ juga?

henklu
sumber

Jawaban:

2

Server web hanya perlu ARP ASA untuk mendapatkan alamat MAC untuk gateway (default) -nya. Jadi, ASA tidak perlu membalas ARP untuk alamat IP lain selain miliknya sendiri. Anda dapat mematikan proxy-arp dengan aman di antarmuka DMZ. Anda benar dalam asumsi Anda bahwa Anda memerlukannya untuk antarmuka luar.

JelmerS
sumber
4

Anda tidak perlu arp proxy di DMZ LAN. Sistem web akan menjawab ARP untuk dirinya sendiri pada LAN itu.

Craig Constantine
sumber
1

Proxy ARP digunakan pada ASA untuk menanggapi host yang digunakan dalam STATIC NAT pada jaringan yang sama.

Untuk menyiasati ini, saya akan merekomendasikan routing alamat yang digunakan sebagai STATIC ke alamat FW yang akan menghilangkan kebutuhan untuk Proxy ARP pada ASA dan hal lainnya.

David Rothera
sumber
0

ASA akan menggunakan proxy-arp untuk membalas permintaan yang masuk ke alamat IP NAT-ed, jadi Anda hanya perlu mengaktifkannya di antarmuka luar.

Ionut Hristea
sumber