https://www.opennet.dev/openforum/vsluhforumID6/2238.html ASA5510 9.1&#124;(5) была поставлена на замену 8.3, конфиг списан один-в-один.<br>В сети DMZ (security level 35)наблюдается хреня с ARP. в других сетях inside outside dmz2 вроде бы нет. <br><br>когда хост из сети DMZ (172.16.1.2) пытается послать что-то своему соседу по dmz(172.16.1.7), у него в arp-таблице почему-то оказывается MAC от интерфейса ASA, соответственно хост соседа не видит. Иногда в arp сидит нормальный MAC соседа, и связь есть. Все сервисы DMZ то дышат, то нет соответственно. С заNATеными адресами проблем нет, в arpе MAC интерфейса asa, связь есть всегда.<br>Пробовались решения<br><br>1) sysopt noproxyarp dmz <br>проблему с локальными адресами решает, всегда в кеше нормальныt MACи. но! при этом отваливаются хосты заNATеные в эту сеть. Правило NAT такое object network obj-10.10.10.0<br> nat (inside,dmz) dynamic obj-range-172.16.1.70-100<br>на момент ввода команды sysopt noproxyarp dmz было два текущих сопоставления (RDP на сервера DMZ), одно упало и не поднималось снова, второе стояло без пробелем все время<br><br>2 https://www.opennet.dev/openforum/vsluhforumID6/2238.html#1 Sat, 09 Dec 2017 16:55:23 GMT &gt;[оверквотинг удален]<br>&gt; nat (inside,dmz) dynamic obj-range-172.16.1.70-100 <br>&gt; на момент ввода команды sysopt noproxyarp dmz было два текущих сопоставления (RDP <br>&gt; на сервера DMZ), одно упало и не поднималось снова, второе стояло <br>&gt; без пробелем все время <br>&gt; 2)arp permit-nonconnected / no arp permit-nonconnected <br>&gt; проблема с локальными адресами DMZ оставалась, разницы о обоих вариантах не замечено <br>&gt; 3)посоветовали сменить версию еще раз <br>&gt; Странно, что в Инете про это ничего толком нет. Проблема, с которой <br>&gt; тысячи должны были столкнуться....<br>&gt; Благодарю за идеи!<br><br>https://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/nat_overview.html#94324<br>