Приветствую всех форумчан. Ай нид хелп. Такой вопрос, стояла у меня 2911 цицка, все было нормульно, но вот по мощам перестала вывозить, так вот, за НАТом крутилась телефония для распределенной сети, но, есть несколько сотрудников, которые подключались по внешнему адресу, внешние ай пи с которых они подключались были в пермите и порт 5060 был прокинут до АТС. Так вот, при таком раскладе, при звонках, цицка 2911 открывлала сесии для RTP и все работало как положено, голос шел, было счастье, все было ок. И вот, купили isr4331 купили лицензию security, в общем зарядили так сказать, настроили пуля в пулю относительно ACL установили, счастью нет предела, там где проц у 2911 грузило на 100% тут грузит на 22%, ура я бы сказал, да вот недолгим было счастье, позвонили и сказали, регистрация есть а голоса нет... Полез я изучать данный вопрос, с умными людьми поговорил, сказано что на 4331 что бы все было тип топ, надо что бы был включен фаерволл, ну ок, настроен zbf:
Код:
class-map type inspect match-any FWIN
match access-group name FWIN
match protocol ftp
match protocol rtsp
match protocol icmp
class-map type inspect match-any ALLOW
match access-group name ALLOW
!
policy-map type inspect FWIN
description FireWall-in
class type inspect FWIN
inspect
class class-default
drop
policy-map type inspect ALLOW
description Inside-to-Outside
class type inspect ALLOW
inspect
class class-default
drop
!
zone security INSIDE
zone security OUTSIDE
zone-pair security INSIDE-OUT source INSIDE destination OUTSIDE
service-policy type inspect ALLOW
zone-pair security OUT-INSIDE source OUTSIDE destination INSIDE
service-policy type inspect FWIN
ииии, а вот нифига как не работало, так и не работает...
На всякий случай привожу ACL который в zbf настроен:
Код:
ip access-list extended FWIN
permit ip host 94.28.108.174 any
permit ip host 46.52.166.106 any
permit ip host 79.122.232.90 any
permit ip host 188.43.1.37 any
permit ip host 46.52.164.206 any
permit ip host 46.52.167.102 any
permit ip host 46.52.166.230 any
permit ip host 62.249.150.138 any
permit ip host 217.150.63.181 any
permit ip host 62.249.140.30 any
permit ip host 83.234.69.70 any
permit ip host 82.147.118.13 any
permit ip host 62.33.105.86 any
permit ip host 83.234.69.143 any
permit ip host 83.234.69.140 any
permit ip host 83.234.69.138 any
permit ip host 82.114.111.38 any
permit ip host 176.114.27.22 any
permit ip host 83.234.69.142 any
permit ip host 188.168.38.69 any
permit ip host 95.189.78.34 any
permit ip host 217.150.44.17 any
permit ip host 62.249.140.158 any
permit ip host 62.33.163.202 any
permit ip host 79.122.225.17 any
permit ip host 188.43.34.29 any
permit ip host 62.33.163.206 any
permit ip host 62.249.159.186 any
permit ip host 62.33.40.245 any
permit ip host 188.43.6.161 any
permit ip host 188.43.24.121 any
permit ip host 62.249.136.110 any
permit ip host 176.111.8.63 any
permit ip host 188.43.9.117 any
permit ip host 80.237.49.12 any
permit ip host 46.149.130.20 any
permit ip host 188.162.228.98 any
permit tcp any eq 9900 any
permit tcp any eq 9099 any
permit tcp host 185.98.81.231 any
permit ip host 91.107.68.228 any
permit ip host 91.107.68.229 any
permit ip host 91.107.68.230 any
permit ip host 185.98.81.219 any
permit tcp host 81.1.194.186 eq 33389 any
permit ip host 213.150.84.74 any
permit tcp any eq 993 any
permit tcp any eq 465 any
permit tcp any eq 5938 any
permit udp any eq domain any
permit tcp host 217.175.154.132 eq 88 any
permit tcp any eq 443 any
permit tcp any eq www any
permit tcp any any eq www
permit udp any eq 55777 any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit tcp any eq ftp any
permit icmp any any
permit ip host 92.242.32.74 any
permit udp host 188.93.130.236 range 6000 50000 any
permit udp host 188.93.130.236 eq 5060 host 62.249.150.66 eq 5060
permit udp host 188.93.130.236 eq 5060 host 94.25.8.34 eq 5060
permit tcp any eq 4307 any
permit tcp any eq 9091 any
permit udp any eq ntp any
permit tcp any host 62.249.150.66 eq 55588
permit tcp any host 94.25.8.34 eq 55588
deny udp any host 62.249.150.66 range 5060 5072
deny udp any host 94.25.8.34 range 5060 5072
deny tcp any host 62.249.150.66 range 5060 5072
deny tcp any host 94.25.8.34 range 5060 5072
permit tcp any eq 1935 any
permit tcp any eq 88 any
permit tcp any eq 9443 any
permit tcp any eq 3096 any
permit tcp any eq 4477 any
permit tcp host 82.200.22.70 any
permit tcp host 91.107.68.232 any
permit tcp any any eq 2009
permit udp any range 32800 32901 any
permit udp any range 20010 20020 any
permit tcp any eq 5222 any
permit tcp any eq 5223 any
permit tcp any eq 8080 any
permit tcp any eq 9339 any
permit tcp any range 6112 6119 any
permit udp any range 6112 6119 any
permit tcp any range 6120 30000 any
permit tcp any host 62.249.150.66 eq 2020
permit tcp any host 62.249.150.66 eq 2021
permit tcp any host 94.25.8.34 eq 2020
permit tcp any host 94.25.8.34 eq 2021
permit ip host 46.61.220.193 any
permit ip host 91.107.65.20 any
permit tcp any host 62.249.150.66 eq 55589
permit tcp any host 62.249.150.66 eq 55590
permit tcp any host 62.249.150.66 eq 55591
permit tcp any host 62.249.150.66 eq 55592
permit tcp any eq 8088 any
permit udp any eq 3478 any
permit udp any eq 7000 any
permit udp any range 8000 8100 any
permit udp any range 9000 9100 any
permit ip host 217.175.155.92 any
permit udp any eq 9987 any
permit udp any any eq 9987
permit tcp any eq 30033 any
permit tcp any eq 10011 any
permit tcp any eq 2008 any
permit udp any eq 2010 any
permit tcp any eq 41144 any
permit tcp any eq 14433 any
permit tcp any eq 4444 any
permit tcp any eq 3333 any
permit udp any range 49152 65535 any
permit ip host 87.225.90.77 any
deny ip any any
В общем, есть у кого какие идеи?(