簡介
本文描述使用區域型防火牆(ZBF)時,IOS-XE路由器中出現單向音訊問題,此問題會影響ZBF一經就位的外部交換局(FXO)路由器埠的入站和出站呼叫。
本文的主要目的是解釋為什麼會發生此問題,並為您提供所需的解決方案,以迫使ZBF允許語音呼叫正常工作並通過FXO路由器埠的雙向音訊通訊。
必要條件
需求
思科建議您瞭解IOS-XE路由器中的Cisco ZBF配置。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 整合式服務路由器(ISR G2)
- IOS-XE 3S
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題:配置基於區域的策略防火牆時,解決IOS-XE路由器上FXO埠的單向音訊問題
一旦在路由器中配置了ZBF,具有FXO埠的路由器的入站和出站呼叫就會遇到單向音訊。 從所有路由器介面刪除ZBF區域後,單向音訊問題消失。
遺憾的是,每次發生此問題時,ZBF都不會顯示任何指示或確認ZBF丟棄語音流量的系統日誌消息。 即使您嘗試強制ZBF使用以下任何選項記錄任何丟包,您也不會看到任何系統日誌丟棄消息:
步驟1。您可以在最後一個class class-default內的每個ZBF策略對映的結尾啟用drop log:
policy-map type inspect POLICY_INSIDE_TO_SELF
class type inspect CMAP_ZBFW_RFC_1918
pass
class type inspect CMAP_ZBFW_ALL_PROTOCOLS
inspect
class class-default
drop log
或
步驟2.可以在全域ZBF引數對映中啟用log dropped-packets:
parameter-map type inspect global
log dropped-packets
如果應用下一個ZBF配置更改,您可以嘗試解決此單向音訊通訊問題,但不幸的是,它根本無法工作:
- 通過配置inspect and pass action rules允許語音流量從內部區域流向外部區域。
- 通過配置inspect and pass action rules允許語音流量從外部到內部區域。
- 通過配置inspect和pass操作規則,允許語音流量從外部傳輸到自區域,反之亦然。
- 通過配置inspect和pass操作規則,允許語音流量從內部到自區域,反之亦然。
- 通過配置inspect and pass action rules允許語音流量從內部區域流向內部區域。
解決方案
為了避免ZBF丟棄與FXO路由器埠相關的語音流量,您需要將處於Status/Protocol UP狀態的所有service-engine路由器介面分配到INSIDE ZBF區域:
interface Service-Engine0/1/0
zone-member security INSIDE
interface Service-Engine0/2/0
zone-member security INSIDE
一旦將處於UP狀態/協定狀態的路由器服務引擎介面分配給INSIDE區域,則最終通過ZBF解決單向音訊問題。
範例 1
在此IOS-XE ZBF實現中,確認了從LAN網路到PSTN的入站和出站電話呼叫的單向音訊問題,在將處於運行狀態的服務引擎介面分配到ZONE_INSIDE區域後,單向音訊問題最終得到解決:
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 64.100.0.10 YES NVRAM up up
GigabitEthernet0/0/1 unassigned YES NVRAM up up
Gi0/0/1 192.168.10.1 YES NVRAM up up
GigabitEthernet0/0/2 unassigned YES NVRAM administratively down down
Service-Engine0/1/0 unassigned YES NVRAM up up Service-Engine0/2/0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0
zone-member security ZONE_INSIDE
interface Service-Engine0/2/0
zone-member security ZONE_INSIDE
R1# show zone security
zone self
Description: System defined zone
zone ZONE_INSIDE
Member Interfaces:
GigabitEthernet0/0/1
Service-Engine0/1/0 Service-Engine0/2/0
zone ZONE_OUTSIDE
Member Interfaces:
GigabitEthernet0/0/0
範例 2
在此IOS-XE ZBF實現中,確認了從LAN網路到PSTN的入站和出站電話呼叫的單向音訊問題,在將處於UP狀態的服務引擎介面分配到Trusted zone後,單向音訊問題最終得以解決:
R2# show ip int brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 172.16.1.1 YES NVRAM up up
Gi0/0/1 64.100.0.10 YES NVRAM up up
Service-Engine0/1/0 unassigned YES unset up up Service-Engine0/4/0 unassigned YES unset up up
GigabitEthernet0 unassigned YES NVRAM administratively down down
Loopback0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0 zone-member security Trusted interface Service-Engine0/4/0 zone-member security Trusted
R2#show zone security
zone self
Description: System defined zone
zone Trusted
Member Interfaces:
GigabitEthernet0/0/0
Service-Engine0/1/0 Service-Engine0/4/0
zone Untrusted
Member Interfaces:
Gi0/0/1
相關錯誤
基於XE的平台上的CSCuu86175 CUBE:啟用ZBFW後,呼叫可能會失敗
CSCuh55237文檔:ASR文檔應反映「ZBFW無法與CUBE-SP互操作」
相關資訊
意見