简介
本文档介绍使用基于区域的防火墙(ZBF)时在IOS-XE路由器中出现的单向音频问题,此问题会在ZBF到位后影响外部交换办公室(FXO)路由器端口的入站和出站呼叫。
本文档的主要目的是解释此问题的原因,并为您提供强制ZBF使语音呼叫正常工作以及FXO路由器端口的双向音频通信所需的解决方案。
先决条件
要求
思科建议您了解IOS-XE路由器中的Cisco ZBF配置。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 集成多业务路由器(ISR G2)
- IOS-XE 3S
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问题:配置基于区域的策略防火墙时,排除IOS-XE路由器上FXO端口的单向音频问题
在路由器中配置ZBF后,在具有FXO端口的路由器中,单向音频在入站和出站呼叫中即会体验到。 从所有路由器接口删除ZBF区域后,单向音频问题消失。
遗憾的是,每次出现此问题时,ZBF都不显示任何指示或确认ZBF丢弃语音流量的系统日志消息。 即使您尝试使用以下任何选项强制ZBF记录任何丢包,您也不会看到任何系统日志丢弃消息:
步骤1.可以在最后一个class-default类内在每个ZBF策略映射末尾启用丢弃日志:
policy-map type inspect POLICY_INSIDE_TO_SELF
class type inspect CMAP_ZBFW_RFC_1918
pass
class type inspect CMAP_ZBFW_ALL_PROTOCOLS
inspect
class class-default
drop log
或者
步骤2.可以在全局ZBF参数映射中启用日志丢弃的数据包:
parameter-map type inspect global
log dropped-packets
如果应用下一个ZBF配置更改,您可以尝试解决此单向音频通信问题,但遗憾的是,它根本无法运行:
- 通过配置允许语音流量从内部到外部区域的检查和传递操作规则。
- 通过配置允许语音流量从外部到内部区域的检查和传递操作规则。
- 通过配置允许语音流量从外部到自区域的检查和传递操作规则,反之亦然。
- 通过配置允许语音流量从内部到自区域的检查和传递操作规则,反之亦然。
- 通过配置允许语音流量从内部到内部区域的检查和传递操作规则。
解决方案
为避免ZBF丢弃与FXO路由器端口相关的语音流量,您需要将处于Status/Protocol UP状态的所有服务引擎路由器接口分配给INSIDE ZBF区域:
interface Service-Engine0/1/0
zone-member security INSIDE
interface Service-Engine0/2/0
zone-member security INSIDE
一旦将处于UP状态/协议状态的路由器服务引擎接口分配给INSIDE区域,则通过ZBF的单向音频问题最终得到解决。
示例 1
在此IOS-XE ZBF实施中,确认了从LAN网络到PSTN的入站和出站电话呼叫的单向音频问题,在将处于UP状态的服务引擎接口分配到ZONE_INSIDE区域后,单向音频问题终于得到解决:
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 64.100.0.10 YES NVRAM up up
GigabitEthernet0/0/1 unassigned YES NVRAM up up
Gi0/0/1 192.168.10.1 YES NVRAM up up
GigabitEthernet0/0/2 unassigned YES NVRAM administratively down down
Service-Engine0/1/0 unassigned YES NVRAM up up Service-Engine0/2/0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0
zone-member security ZONE_INSIDE
interface Service-Engine0/2/0
zone-member security ZONE_INSIDE
R1# show zone security
zone self
Description: System defined zone
zone ZONE_INSIDE
Member Interfaces:
GigabitEthernet0/0/1
Service-Engine0/1/0 Service-Engine0/2/0
zone ZONE_OUTSIDE
Member Interfaces:
GigabitEthernet0/0/0
示例 2
在此IOS-XE ZBF实施中,确认了从LAN网络到PSTN的入站和出站电话呼叫的单向音频问题,在将处于UP状态的服务引擎接口分配到受信任区域后,最终解决了单向音频问题:
R2# show ip int brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 172.16.1.1 YES NVRAM up up
Gi0/0/1 64.100.0.10 YES NVRAM up up
Service-Engine0/1/0 unassigned YES unset up up Service-Engine0/4/0 unassigned YES unset up up
GigabitEthernet0 unassigned YES NVRAM administratively down down
Loopback0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0 zone-member security Trusted interface Service-Engine0/4/0 zone-member security Trusted
R2#show zone security
zone self
Description: System defined zone
zone Trusted
Member Interfaces:
GigabitEthernet0/0/0
Service-Engine0/1/0 Service-Engine0/4/0
zone Untrusted
Member Interfaces:
Gi0/0/1
相关 Bug
基于XE的平台上的CSCuu86175 CUBE:启用ZBFW后,呼叫可能会失败
CSCuh55237 DOC:ASR文档应反映“ZBFW不能与CUBE-SP互操作”
相关信息
反馈