Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:09



Ответить на тему  [ Сообщений: 4 ] 
CME: RTP трафик не идет при включенном ZBFW 
Автор Сообщение

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
Всем привет!

Имеем Cisco 4331. Работает как маршрутизатор и как CME в небольшом офисе. До главного офиса - GRE туннель.
SIP транк до АТС главного офиса. Голосовой трафик в SIP транке идет через GRE туннель.
Необходимо настроить ZBFW на данном маршрутизаторе.
Интерфейс, смотрящий в интернет, был включен в зону z2, а интерфейсы CME, локалки и туннеля до главного офиса - в зону z1.
После того, как интерфейсы включаются в зоны - перестает ходить RTP трафик при звонках через SIP транк между офисами.
Судя по дампу, снятому вайршарком с компа с софтфоном, зарегистрированным на CME, - не идет RTP трафик с интерфейса CME. Насколько я понимаю, это трафик self зоны.
Попробовал добавить zone-pair для трафика между self зоной и z1 в оба направления - не помогло.

Конфигурация:

Код:
interface GigabitEthernet0/0/0
 description *PROVIDER*
 ip address X.X.X.X
 ip nat outside
 ip access-group INTERNET in
 negotiation auto
 zone-member security z2

interface GigabitEthernet0/0/1.11
 description *CME INT*
 encapsulation dot1Q 11
 ip address 192.168.1.5 255.255.255.0
 zone-member security z1
!
interface GigabitEthernet0/0/1.12
 description *LAN*
 encapsulation dot1Q 12
 ip address 192.168.2.1 255.255.255.252
 ip nat inside
 zone-member security z1

interface Tunnel1
 description *MAIN*
 ip address X.X.X.X 255.255.255.252
 tunnel source Y.Y.Y.Y
 tunnel destination Z.Z.Z.Z
 zone-member security z1

access-list 118 permit ip 192.168.0.0 0.0.255.255 any

access-list 119 permit ip any any



class-map type inspect match-all CM_UDP
 match protocol udp
 match access-group 118
class-map type inspect match-all CM_ALL
 match access-group 118
class-map type inspect match-all CM_SELF_TU
 match access-group 119
class-map type inspect match-all CM_SELF_SIP
 match protocol sip
!
policy-map type inspect PM_S
 class type inspect CM_SELF_TU
  pass
 class type inspect CM_SELF_SIP
  inspect
 class class-default
policy-map type inspect PM_INS
 class type inspect CM_UDP
  inspect
 class type inspect CM_ALL
  inspect
 class class-default
!
zone security z1
zone security z2
zone-pair security IN_OUT source z1 destination z2
 service-policy type inspect PM_INS
zone-pair security IN_SELF source z1 destination self
 service-policy type inspect PM_S
zone-pair security SELF_IN source self destination z1
 service-policy type inspect PM_S



Как можно заставить ходить RTP трафик при активном ZBFW?
Буду очень благодарен за ответы.


06 апр 2022, 19:27
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
Попробуйте включить лог дропов,
parameter-map type inspect global
log dropped-packets enable

Хорошо помогает, а так на быстрый взгляд все хорошр


07 апр 2022, 08:56
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
Кстати, а не может у Вас трафик в нат попадать? Вообще трафик от/к self разрешен


07 апр 2022, 08:59
Профиль

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
Большое спасибо!

По логам стало понятно, что интерфейс Service-Engine0/4/0(PVDM) не был включен ни в одну зону:
Код:
Apr  7 11:47:05.888: %IOSXE-6-PLATFORM:  SIP1: cpp_cp: QFP:0.0 Thread:000 TS:00057529070581192040 %FW-6-DROP_PKT: Dropping udp pkt from Service-Engine0/4/0 CME_IP_ADDR:9262 => REMOTE_IP_ADDRESS:2070(target:class)-(none:none) due to Firewall invalid zone with ip ident 39908


Теперь RTP трафик ходит!!!


07 апр 2022, 15:06
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB