Inleiding
Dit document beschrijft een eenrichtingsaudioprobleem dat in IOS-XE routers wordt gezien wanneer de op Zone gebaseerde Firewall (ZBF) wordt gebruikt, beïnvloedt dit probleem de inkomende en uitgaande oproepen naar de routerpoorten van het Foreign eXchange Office (FXO) zodra de ZBF is geïnstalleerd.
De belangrijkste bedoeling van dit document is om uit te leggen waarom dit probleem zich voordoet en u de oplossing te bieden die vereist is om de ZBF te dwingen om de spraakoproepen naar behoren te laten werken en met bidirectionele audio-communicatie voor de FXO-routerpoorten.
Voorwaarden
Vereisten
Cisco raadt u aan om kennis te hebben van de configuratie van Cisco ZBF in IOS-XE routers.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Geïntegreerde services routers (ISR G2)
- IOS-XE 3S
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Probleem: Probleemoplossing met eenrichtingsproblemen in FXO-poorten op IOS-XE routers wanneer zone-gebaseerde beleidsfirewall is ingesteld
Eenvoudige audio wordt ervaren op inkomende en uitgaande oproepen in routers met FXO-poorten zodra de ZBF in de router is geconfigureerd. Zodra u de ZBF-zones van alle routerinterfaces verwijdert, wordt de one-way audio-kwestie opgelost.
Helaas, elke keer dat dit probleem zich voordoet toont de ZBF geen enkel syslog-bericht dat aangeeft of bevestigt waarom het spraakverkeer door de ZBF is verbroken. Zelfs al probeert u de ZBF te dwingen om elke pakketdruppel met een van deze opties te loggen, ziet u geen melding van een syslogan:
Stap 1. U kunt het uitrollogbestand aan het eind van elke ZBF beleidskaart in de laatste class-default inschakelen:
policy-map type inspect POLICY_INSIDE_TO_SELF
class type inspect CMAP_ZBFW_RFC_1918
pass
class type inspect CMAP_ZBFW_ALL_PROTOCOLS
inspect
class class-default
drop log
OF
Stap 2. U kunt het logbestand van gedropt pakketten inschakelen binnen de wereldwijde ZBF-parameter map:
parameter-map type inspect global
log dropped-packets
U kunt proberen dit eenrichtingsprobleem met audio-communicatie op te lossen als u de volgende configuratieveranderingen in ZBF toepast, maar helaas werkt het helemaal niet:
- Door te configureren inspecteren en doorgeven actieregels die het spraakverkeer van binnenuit naar buiten toestaan.
- Door te configureren inspecteert en doorgeeft u actieregels die het spraakverkeer van buiten naar binnen toestaan.
- Door te configureren inspecteren en doorgeven u actieregels die het spraakverkeer van buiten naar buiten en vice versa toestaan.
- Door te configureren inspecteren en doorgeven actieregels die het spraakverkeer van de binnenkant tot de zelfzone toestaan en vice versa.
- Door te configureren inspecteert en doorgeeft u actieregels die het spraakverkeer van de binnenkant tot de binnenzone toestaan.
Oplossing
Om te vermijden dat de ZBF het spraakverkeer met betrekking tot de FXO-routerpoorten laat vallen, moet u alle service-motorrouterinterfaces die in de status-/protocol-upstatus zijn, toewijzen aan de INSIDE ZBF-zone:
interface Service-Engine0/1/0
zone-member security INSIDE
interface Service-Engine0/2/0
zone-member security INSIDE
Zodra de router service-motor interfaces in de UP status/protocol status zijn toegewezen aan de INSIDE-zone, wordt het eenrichtingsaudioprobleem via de ZBF eindelijk opgelost.
Voorbeeld 1
In deze IOS-XE ZBF implementatie, bevestigde eenrichtingsaudio kwesties voor de inkomende en uitgaande telefoongesprekken van het LAN netwerk naar het PSTN, na toegewezen de dienst-motor interfaces in UP staat aan de ZONE_INSIDE zone, werd de eenrichtingsaudio kwestie eindelijk opgelost:
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 64.100.0.10 YES NVRAM up up
GigabitEthernet0/0/1 unassigned YES NVRAM up up
Gi0/0/1 192.168.10.1 YES NVRAM up up
GigabitEthernet0/0/2 unassigned YES NVRAM administratively down down
Service-Engine0/1/0 unassigned YES NVRAM up up Service-Engine0/2/0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0
zone-member security ZONE_INSIDE
interface Service-Engine0/2/0
zone-member security ZONE_INSIDE
R1# show zone security
zone self
Description: System defined zone
zone ZONE_INSIDE
Member Interfaces:
GigabitEthernet0/0/1
Service-Engine0/1/0 Service-Engine0/2/0
zone ZONE_OUTSIDE
Member Interfaces:
GigabitEthernet0/0/0
Voorbeeld 2
In deze IOS-XE ZBF implementatie, bevestigde eenrichtingsaudiokwesties voor de inkomende en uitgaande telefoongesprekken van het LAN netwerk naar het PSTN, na toegewezen de dienst-motor interfaces in UP aan de Trusted zone, werd het eenrichtingsaudio-probleem eindelijk opgelost:
R2# show ip int brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 172.16.1.1 YES NVRAM up up
Gi0/0/1 64.100.0.10 YES NVRAM up up
Service-Engine0/1/0 unassigned YES unset up up Service-Engine0/4/0 unassigned YES unset up up
GigabitEthernet0 unassigned YES NVRAM administratively down down
Loopback0 unassigned YES unset up up
Vlan1 unassigned YES unset administratively down down
interface Service-Engine0/1/0 zone-member security Trusted interface Service-Engine0/4/0 zone-member security Trusted
R2#show zone security
zone self
Description: System defined zone
zone Trusted
Member Interfaces:
GigabitEthernet0/0/0
Service-Engine0/1/0 Service-Engine0/4/0
zone Untrusted
Member Interfaces:
Gi0/0/1
Verwante bellen
CSCu86175 CUBE op XE-gebaseerde platforms: Aanroepen kunnen falen van ZBFW ingeschakeld
CSC55237 DOC: ASR-doc moet 'ZBFW niet interoperabel met CUBE-SP' weergeven
Gerelateerde informatie