Zone Based Firewall и звонки SIP

Zone Based Firewall - это фаервол, разработанный для Cisco ISR.

К сожалению ZBF далеко не лучшее изобретение цыски.
Неинтуитивен, невозможность перемещения правил. Ну и конечно глюки.

Один из его глюков - его неумение нормально инспектить SIP.

Чаще всего в логах имеем сообщение:
%AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Transaction) - dropping udp session _ip_:5060 _ip_:5060 on zone-pair _name_

Победить это можно двумя способами.
Первое, что надо сделать - обновить прошивку, далее:

1. Внедряем в фаервол конструкцию, и вешаем её на всех парах зон:
   

   class-map type inspect sip match-any cm_sip_allow-violations
    match protocol-violation
   
   policy-map type inspect sip pm_sip_allow-violations
    class type inspect sip cm_sip_allow-violations
     allow
     log
   
   policy-map type inspect pm_inside-outside
    class type inspect cm_voice_control_traffic
     inspect 
     service-policy sip pm_sip_allow-violations
    class type inspect cm_tunnel_inside_inspect_all
     inspect
    class class-default
     drop log

2. Отказываемся от инспектирования. Как следствие, pass необходимо в обоих направлениях
   

   class-map type inspect match-any cm_voice_control_traffic
    match protocol sip
    match protocol sip-tls
   
   policy-map type inspect pm_inside-outside
    class type inspect cm_voice_control_traffic
     pass
    class type inspect cm_users_internet_access
     inspect
    class class-default
     drop log
   
   policy-map type inspect pm_outside-inside
    class type inspect cm_voice_control_traffic
     pass
    class class-default
     drop