DMZ LAN 上不需要代理 arp。Web 系统将在该 LAN 上为自己应答 ARP。

Web 服务器只需要向 ASA 发送 ARP 即可获取其（默认）网关的 MAC 地址。因此，ASA 不需要回复任何其他 IP 地址的 ARP，然后是它自己的地址。您可以安全地关闭 DMZ 接口上的 proxy-arp。您假设外部接口需要它是正确的。

ASA 上使用代理 ARP 来响应同一网络上静态 NAT 中使用的主机。

为了解决这个问题，我建议将用作 STATIC 的任何地址路由到 FW 地址，这将摆脱对 ASA 上的代理 ARP 和其他任何东西的需要。

ASA 将使用 proxy-arp 回复对 NAT ed IP 地址的传入请求，因此您只需在外部接口上启用它。