Probleemoplossing met eenrichtingsproblemen in FXO-poorten op IOS-XE routers wanneer ZBF is ingesteld
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft een eenrichtingsaudioprobleem dat in IOS-XE routers wordt gezien wanneer de op Zone gebaseerde Firewall (ZBF) wordt gebruikt, beïnvloedt dit probleem de inkomende en uitgaande oproepen naar de routerpoorten van het Foreign eXchange Office (FXO) zodra de ZBF is geïnstalleerd.
De belangrijkste bedoeling van dit document is om uit te leggen waarom dit probleem zich voordoet en u de oplossing te bieden die vereist is om de ZBF te dwingen om de spraakoproepen naar behoren te laten werken en met bidirectionele audio-communicatie voor de FXO-routerpoorten.
Voorwaarden
Vereisten
Cisco raadt u aan om kennis te hebben van de configuratie van Cisco ZBF in IOS-XE routers.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Geïntegreerde services routers (ISR G2)
- IOS-XE 3S
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Probleem: Probleemoplossing met eenrichtingsproblemen in FXO-poorten op IOS-XE routers wanneer zone-gebaseerde beleidsfirewall is ingesteld
Eenvoudige audio wordt ervaren op inkomende en uitgaande oproepen in routers met FXO-poorten zodra de ZBF in de router is geconfigureerd. Zodra u de ZBF-zones van alle routerinterfaces verwijdert, wordt de one-way audio-kwestie opgelost.
Helaas, elke keer dat dit probleem zich voordoet toont de ZBF geen enkel syslog-bericht dat aangeeft of bevestigt waarom het spraakverkeer door de ZBF is verbroken. Zelfs al probeert u de ZBF te dwingen om elke pakketdruppel met een van deze opties te loggen, ziet u geen melding van een syslogan:
Stap 1. U kunt het uitrollogbestand aan het eind van elke ZBF beleidskaart in de laatste class-default inschakelen:
policy-map type inspect POLICY_INSIDE_TO_SELF class type inspect CMAP_ZBFW_RFC_1918 pass class type inspect CMAP_ZBFW_ALL_PROTOCOLS inspect class class-default drop log
OF
Stap 2. U kunt het logbestand van gedropt pakketten inschakelen binnen de wereldwijde ZBF-parameter map:
parameter-map type inspect global log dropped-packets
U kunt proberen dit eenrichtingsprobleem met audio-communicatie op te lossen als u de volgende configuratieveranderingen in ZBF toepast, maar helaas werkt het helemaal niet:
- Door te configureren inspecteren en doorgeven actieregels die het spraakverkeer van binnenuit naar buiten toestaan.
- Door te configureren inspecteert en doorgeeft u actieregels die het spraakverkeer van buiten naar binnen toestaan.
- Door te configureren inspecteren en doorgeven u actieregels die het spraakverkeer van buiten naar buiten en vice versa toestaan.
- Door te configureren inspecteren en doorgeven actieregels die het spraakverkeer van de binnenkant tot de zelfzone toestaan en vice versa.
- Door te configureren inspecteert en doorgeeft u actieregels die het spraakverkeer van de binnenkant tot de binnenzone toestaan.
Oplossing
Om te vermijden dat de ZBF het spraakverkeer met betrekking tot de FXO-routerpoorten laat vallen, moet u alle service-motorrouterinterfaces die in de status-/protocol-upstatus zijn, toewijzen aan de INSIDE ZBF-zone:
interface Service-Engine0/1/0 zone-member security INSIDE interface Service-Engine0/2/0 zone-member security INSIDE
Zodra de router service-motor interfaces in de UP status/protocol status zijn toegewezen aan de INSIDE-zone, wordt het eenrichtingsaudioprobleem via de ZBF eindelijk opgelost.
Voorbeeld 1
In deze IOS-XE ZBF implementatie, bevestigde eenrichtingsaudio kwesties voor de inkomende en uitgaande telefoongesprekken van het LAN netwerk naar het PSTN, na toegewezen de dienst-motor interfaces in UP staat aan de ZONE_INSIDE zone, werd de eenrichtingsaudio kwestie eindelijk opgelost:
R1#sh ip int br Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0/0 64.100.0.10 YES NVRAM up up GigabitEthernet0/0/1 unassigned YES NVRAM up up Gi0/0/1 192.168.10.1 YES NVRAM up up GigabitEthernet0/0/2 unassigned YES NVRAM administratively down down Service-Engine0/1/0 unassigned YES NVRAM up up Service-Engine0/2/0 unassigned YES unset up up Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0
zone-member security ZONE_INSIDE
interface Service-Engine0/2/0
zone-member security ZONE_INSIDE
R1# show zone security zone self Description: System defined zone zone ZONE_INSIDE Member Interfaces: GigabitEthernet0/0/1 Service-Engine0/1/0 Service-Engine0/2/0 zone ZONE_OUTSIDE Member Interfaces: GigabitEthernet0/0/0
Voorbeeld 2
In deze IOS-XE ZBF implementatie, bevestigde eenrichtingsaudiokwesties voor de inkomende en uitgaande telefoongesprekken van het LAN netwerk naar het PSTN, na toegewezen de dienst-motor interfaces in UP aan de Trusted zone, werd het eenrichtingsaudio-probleem eindelijk opgelost:
R2# show ip int brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 172.16.1.1 YES NVRAM up up
Gi0/0/1 64.100.0.10 YES NVRAM up up
Service-Engine0/1/0 unassigned YES unset up up Service-Engine0/4/0 unassigned YES unset up up
GigabitEthernet0 unassigned YES NVRAM administratively down down
Loopback0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0 zone-member security Trusted interface Service-Engine0/4/0 zone-member security Trusted
R2#show zone security
zone self
Description: System defined zone
zone Trusted
Member Interfaces:
GigabitEthernet0/0/0
Service-Engine0/1/0 Service-Engine0/4/0
zone Untrusted
Member Interfaces:
Gi0/0/1
Verwante bellen
CSCu86175 CUBE op XE-gebaseerde platforms: Aanroepen kunnen falen van ZBFW ingeschakeld
CSC55237 DOC: ASR-doc moet 'ZBFW niet interoperabel met CUBE-SP' weergeven
Gerelateerde informatie
Bijgedragen door Cisco-engineers
- Christian G Hernandez RCisco TAC-ingenieur
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)