Всем привет!
Имеем Cisco 4331. Работает как маршрутизатор и как CME в небольшом офисе. До главного офиса - GRE туннель.
SIP транк до АТС главного офиса. Голосовой трафик в SIP транке идет через GRE туннель.
Необходимо настроить ZBFW на данном маршрутизаторе.
Интерфейс, смотрящий в интернет, был включен в зону z2, а интерфейсы CME, локалки и туннеля до главного офиса - в зону z1.
После того, как интерфейсы включаются в зоны - перестает ходить RTP трафик при звонках через SIP транк между офисами.
Судя по дампу, снятому вайршарком с компа с софтфоном, зарегистрированным на CME, - не идет RTP трафик с интерфейса CME. Насколько я понимаю, это трафик self зоны.
Попробовал добавить zone-pair для трафика между self зоной и z1 в оба направления - не помогло.
Конфигурация:
Код:
interface GigabitEthernet0/0/0
description *PROVIDER*
ip address X.X.X.X
ip nat outside
ip access-group INTERNET in
negotiation auto
zone-member security z2
interface GigabitEthernet0/0/1.11
description *CME INT*
encapsulation dot1Q 11
ip address 192.168.1.5 255.255.255.0
zone-member security z1
!
interface GigabitEthernet0/0/1.12
description *LAN*
encapsulation dot1Q 12
ip address 192.168.2.1 255.255.255.252
ip nat inside
zone-member security z1
interface Tunnel1
description *MAIN*
ip address X.X.X.X 255.255.255.252
tunnel source Y.Y.Y.Y
tunnel destination Z.Z.Z.Z
zone-member security z1
access-list 118 permit ip 192.168.0.0 0.0.255.255 any
access-list 119 permit ip any any
class-map type inspect match-all CM_UDP
match protocol udp
match access-group 118
class-map type inspect match-all CM_ALL
match access-group 118
class-map type inspect match-all CM_SELF_TU
match access-group 119
class-map type inspect match-all CM_SELF_SIP
match protocol sip
!
policy-map type inspect PM_S
class type inspect CM_SELF_TU
pass
class type inspect CM_SELF_SIP
inspect
class class-default
policy-map type inspect PM_INS
class type inspect CM_UDP
inspect
class type inspect CM_ALL
inspect
class class-default
!
zone security z1
zone security z2
zone-pair security IN_OUT source z1 destination z2
service-policy type inspect PM_INS
zone-pair security IN_SELF source z1 destination self
service-policy type inspect PM_S
zone-pair security SELF_IN source self destination z1
service-policy type inspect PM_S
Как можно заставить ходить RTP трафик при активном ZBFW?
Буду очень благодарен за ответы.