概要
このドキュメントでは、ゾーンベースファイアウォール(ZBF)を使用した場合にIOS XEルータで見られる単方向音声の問題について説明します。この問題は、ZBFが確立されるとすぐにForeign eXchange Office(FXO)ルータポート)のの着信および発信コールにに影響します。
このドキュメントの主な目的は、この問題が発生する理由を説明し、ZBFに音声コールを正しく動作させ、FXOルータポートの双方向の音声通信を可能にするために必要なソリューションを提供することです。
前提条件
要件
IOS-XEルータのCisco ZBF設定に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- サービス統合型ルータ(ISR G2)
- IOS-XE 3S
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題:ゾーンベースポリシーファイアウォールが設定されている場合のIOS-XEルータのFXOポートでの片通話の問題のトラブルシューティング
ZBFがルータに設定されると、FXOポートを持つルータの着信コールと発信コールで片通話が発生します。 すべてのルータインターフェイスからZBFゾーンを削除すると、片通話の問題が解消されます。
残念ながら、この問題が発生するたびに、ZBFは音声トラフィックがZBFによってドロップされる理由を示すsyslogメッセージを表示しません。 ZBFに対して、次のオプションを使用してパケット廃棄をログに記録させようとしても、syslog dropメッセージは表示されません。
ステップ1:各ZBFポリシーマップの最後にあるドロップログを、最後のclass class class-default内で有効にすることができます。
policy-map type inspect POLICY_INSIDE_TO_SELF
class type inspect CMAP_ZBFW_RFC_1918
pass
class type inspect CMAP_ZBFW_ALL_PROTOCOLS
inspect
class class-default
drop log
または
ステップ2:グローバルZBFパラメータマップ内でlog dropped-packetsを有効にできます。
parameter-map type inspect global
log dropped-packets
次のZBF設定の変更を適用した場合、この片通話の問題を解決しようとしますが、残念ながら、まったく機能しませんでした。
- 内部ゾーンから外部ゾーンへの音声トラフィックを許可する検査およびパスアクションルールを設定する。
- 外部から内部ゾーンへの音声トラフィックを許可する検査およびパスアクションルールを設定する。
- 外部からセルフゾーンへの音声トラフィック(またはその逆)を許可するinspectおよびpassアクションルールを設定する
- インサイドからセルフゾーンへの音声トラフィックを許可し、その逆を許可するインスペクションおよびパスアクションルールを設定する
- 内部から内部ゾーンへの音声トラフィックを許可するインスペクションおよびパスアクションルールを設定する。
解決方法
ZBFがFXOルータポートに関連する音声トラフィックをドロップするのを回避するには、ステータス/プロトコルUP状態にあるすべてのサービスエンジンルータインターフェイスをINSIDE ZBFゾーンに割り当てる必要があります。
interface Service-Engine0/1/0
zone-member security INSIDE
interface Service-Engine0/2/0
zone-member security INSIDE
UP状態/プロトコル状態のルータサービスエンジンインターフェイスがINSIDEゾーンに割り当てられると、ZBFによる片通話の問題が最終的に解決されます。
例 1
このIOS-XE ZBFの実装では、LANネットワークからPSTNへの着信および発信電話コールの片通話の問題を確認しました。UP状態のサービスエンジンインターフェイスをZONE_INSIDEゾーンに割り当てた後、片通話の問題がが解決となりました。
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 64.100.0.10 YES NVRAM up up
GigabitEthernet0/0/1 unassigned YES NVRAM up up
Gi0/0/1 192.168.10.1 YES NVRAM up up
GigabitEthernet0/0/2 unassigned YES NVRAM administratively down down
Service-Engine0/1/0 unassigned YES NVRAM up up Service-Engine0/2/0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0
zone-member security ZONE_INSIDE
interface Service-Engine0/2/0
zone-member security ZONE_INSIDE
R1# show zone security
zone self
Description: System defined zone
zone ZONE_INSIDE
Member Interfaces:
GigabitEthernet0/0/1
Service-Engine0/1/0 Service-Engine0/2/0
zone ZONE_OUTSIDE
Member Interfaces:
GigabitEthernet0/0/0
例 2
このIOS-XE ZBFの実装では、LANネットワークからPSTNへの着信および発信電話コールの片通話の問題を確認しました。UP状態のサービスエンジンインターフェイスをTrustedゾーンに割り当てると、片通話の問題問題が最終的解決されました。
R2# show ip int brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 172.16.1.1 YES NVRAM up up
Gi0/0/1 64.100.0.10 YES NVRAM up up
Service-Engine0/1/0 unassigned YES unset up up Service-Engine0/4/0 unassigned YES unset up up
GigabitEthernet0 unassigned YES NVRAM administratively down down
Loopback0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0 zone-member security Trusted interface Service-Engine0/4/0 zone-member security Trusted
R2#show zone security
zone self
Description: System defined zone
zone Trusted
Member Interfaces:
GigabitEthernet0/0/0
Service-Engine0/1/0 Service-Engine0/4/0
zone Untrusted
Member Interfaces:
Gi0/0/1
関連バグ
CSCuu86175 CUBE on XE based platform:ZBFWが有効な状態でコールが失敗することがあります
CSCuh55237 DOC:ASRドキュメントに「ZBFW not interoperable with CUBE-SP」と記載されている必要があります。
関連情報