[cisco-ttl] Re: ASA-1760-g.shdsl-adsl

From: serkan.ustundag <sustundag_at_....>
Date: Thu Apr 27 2006 - 21:09:34 EEST


Selam
evet dogru anlamissin
Policy NAT with Different Destination Ports ozelligi ile http ve http'i ayri ip ile natla yine g.shdsl'e nat'la ama fw'in dis ip adresini kullanma ayri olsun.
Yani onun icin ayri nat tanimi yaparsin router'da.Problem cikma olasiligini azaltirsin boylece.Yani ayni ip'den (ASA dişs ip ) hep VPN yapacaksin hem de Policy NAT'ta http ve https'de geri donus olacak sorun cikabilir.
Aslinda sunu da yapabilirsin.Policy NAT'i ASA'da hic yapma.source'i 192.168.10.2 destination'u http ve https olan tarfigi pbr ile g.shdsl'e de yonlendirebilirsin.
Deneyip sonucunu bizimle paylasirmisin
iyi gunler

  • In cisco-ttl@yahoogroups.com, Ekrem CELIKEL <ekremcelikel@...> wrote:
    >
    > Selamlar,
    >
    > Söylemek istediğinizi doğru anlamış mıyım?
    > ASA nın dış ip si 192.168.10.1. Ben içerdeki kullanıcıları 10.2
    ye NAT(PAT) layacağım. 10.2 yi de ADSL e NAT layacağım. ASA nın dış bacağını da (10.1) g.shdsl e NAT layacağım.
    > PBR yapmak istememin sebebi, VPN SMTP FTP (HTTP ve HTTPS olmayan)
    vb. gibi servislerin g.shdsl den akmasını sağlamaktır. ASA üzerinde Peki policy based NAT ile HTTP ve HTTPS olmayan servisleri 10.1 e NAT yapsam sonra dediğiniz gibi 10.1 i yani ASA nın dış bacağını g.shdsl e NAT lasam sorun çıkar mı?
    >
    > Umarım doğru anlamış ve doğru anlatabilmişimdir.
    >
    > İlginize teşekkürler.
    >
    > "serkan.ustundag" <sustundag@...> wrote:
    > Ekrem selam
    > 1760'in ethernet'inin ip segmenti g.shdsl hizmetini aldigin servis
    > saglayicinin verdigi gercek ve yonlendirilebilir bir ip segmentiyse
    > g.shdl interfece'ine dogru nat yapman gerekmez.Bu interface'i
    sadece
    > remote access ve site-to-site vpn icin kullanacaksan soyle
    > yapabilirsin.
    > ASA'da kullanicilari ASA'nin dis ip adresi disinda bir ip adresi
    ile
    > PAT yapacak cikar.1760'da yapacagin PBR ile ASA'nin dis ip
    > adresinden gelen butun istekleri g.shdl'e
    > yonlendir.Geri kalan trafigi'de ADSL'e yonlendir.Tabii bu arada
    geri
    > kalan ip'ler icin (PAT ip adresi gibi ) NAT tanimi yapip pbr ile
    > Adsl'e yonlendirebilirsin.(ASA'nin
    > dis ip adresini deny etmeyi unutma )
    >
    > Farzedelimki ethernet segmentin gercek ip adreslerinden
    > olusmuyor.Boyle bile olsa yine ASA'nin dis ip adresini g.shdl
    > interface'ine dogru nat'layip
    > remote access vpn ile site-to-site vpn 'de remote peer olacak
    g.shdl
    > ip adresini verip vpn yapabilirsin.
    > Yine diger geri kalan ip adreslerinin nat tanimlarina da dikkat
    > ederek..
    >
    >
    > --- In cisco-ttl@yahoogroups.com, Ekrem CELIKEL <ekremcelikel@>
    > wrote:
    > >
    > > Selamlar,
    > >
    > > Elimde 1 adet adsl ve g.shdsl interface li 1760 ve arkasında
    ASA
    > 5510 var. 1760 a 2 internet girmekte. 1 tanesi adsl, 1 tanesi de
    ISP
    > dedir. Yapmak istediğim ASA da g.shdsl üzerinden site-to-site ve
    > client-to-site VPN yapmaktır. Ancak router üzerinde 2 farklı
    > interfacede de NAT yapmam gerekecek ki 2 interface de internete
    > çıkabilsin.(adslde ve g.shdsl de). Burada PBR yapacağım. AMA vpn
    > için nasıl bir config yapmam lazım g.shdsl üzerinde?
    > >
    > > g.shdsl-----------------
    > > 1760 ------------ ASA
     > > adsl----------------------
    > >
    > > İlginize teşekkür ederim.
    > >
    > >
    > > ---------------------------------
    > > Yahoo! Mail goes everywhere you do. Get it on your phone.
    > >
    > > [Non-text portions of this message have been removed]
    > >
    >
    >
    >
    >
    >
    >
    >
    >
    >
    > --
    > Cisco Teknik Tartisma Listesi (Cisco-ttl)
    >
    > Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk
    > kullaniciya aittir. Liste yoneticileri, oneride bulunan liste
    uyeleri ya da
    > bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu
    tutulamazlar.
    >
    >
    >
    > SPONSORED LINKS
    > Communication and networking Cisco systems inc Wireless
    communication and networking
    >
    > ---------------------------------
    > YAHOO! GROUPS LINKS
    >
    >
    > Visit your group "cisco-ttl" on the web.
    >
    > To unsubscribe from this group, send an email to:
    > cisco-ttl-unsubscribe@yahoogroups.com
    >
    > Your use of Yahoo! Groups is subject to the Yahoo! Terms of
    Service.
    >
    >
    > ---------------------------------
    >
    >
    >
    >
    >
    > ---------------------------------
    > How low will we go? Check out Yahoo! Messenger's low PC-to-Phone
    call rates.
    >
    > [Non-text portions of this message have been removed]
    >
--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/cisco-ttl/

<*> To unsubscribe from this group, send an email to:
    cisco-ttl-unsubscribe@yahoogroups.com

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/
Received on Thu Apr 27 22:08:02 2006

This archive was generated by hypermail 2.1.8 : Thu Apr 27 2006 - 22:08:07 EEST