Câu trả lời:
Máy chủ web sẽ chỉ cần ARP ASA để lấy địa chỉ MAC cho cổng (mặc định) của nó. Vì vậy, ASA sẽ không cần phải trả lời ARP cho bất kỳ địa chỉ IP nào khác. Bạn có thể tắt proxy-arp một cách an toàn trên giao diện DMZ. Bạn đúng trong giả định của bạn rằng bạn cần nó cho giao diện bên ngoài.
Bạn không cần proxy arp trên DMZ LAN. Hệ thống web sẽ tự trả lời ARP trên mạng LAN đó.
Proxy ARP được sử dụng trên ASA để trả lời các máy chủ được sử dụng trong STATIC NAT trên cùng một mạng.
Để giải quyết vấn đề này, tôi khuyên bạn nên định tuyến bất kỳ địa chỉ nào được sử dụng như STATIC xuống địa chỉ FW để loại bỏ nhu cầu về Proxy ARP trên ASA và bất kỳ địa chỉ nào khác.
ASA sẽ sử dụng proxy-arp để trả lời yêu cầu đến địa chỉ IP NAT-ed, vì vậy bạn chỉ cần kích hoạt nó trên giao diện bên ngoài.