>[оверквотинг удален]
>> ни в одной ссылке не написано что для static NAT у Juniper
>> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
>> не твой случай.
>> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
>> он тебе именно в этом случае обсалютно не нужен. А если
>> твой рутер будет соеденен через PPP к инету, как ты тогда
>> будешь устраивать Proxy ARP на внешнем интерфейсе ???
> Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из
> этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее,
> они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.
Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, не меняя при этом адрес вебсервера для внешнего мира.
Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его надо NATить и с внешнего интерфейса ASA пакет уходит в мир уже от 10.1.1.20.
Для рутера провайдера это все выглядит так как будто ASA имеет два адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил выше рутер моего прова видет что все мои внешние адреса принадлежат одному MAC адресу а именно моей ASA. За ASA в приватном DMZ стоят все мои почтовые и вебсервера.
> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
> не для всей сети...
Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой broadcast domain. Это значит что когда рутер провайдера спрашивает who has 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном и том же broadcast domain где и рутер провайдера и перенаправляет это в broadcast domain там где стоит сервер 10.1.1.20.