Вопросы Теги

Изменен гостевой vNIC на VMXNet3, не может выполнять протокол SNMP для устройств Cisco ASA

Здесь мозолят голову. Либо я нашел ошибку Windows и / или VMware, либо я пропустил что-то невероятно простое. [Спойлер - это было потрясающе просто.]

Наша среда VMware - ESXI 5.5. У нас есть виртуальная машина Windows 2012 R2 (названная BOS-NETMON), которая больше не может выполнять запросы SNMP устройств Cisco ASA (v2 или v3).

На этом компьютере работает SolarWinds Orion, и ни он, ни отдельные инструменты, такие как Paessler SNMPTEST, не работают. Все остальные контролируемые в настоящее время устройства продолжают отвечать на SNMP от этого гостя - у нас есть Cisco IOS, Meraki, Exagrid, APC / Schneider - все в порядке. Все остальные разрешенные протоколы (SSH, HTTPS, ICMP) работают при подключении к ASA от этого гостя.

Проблема началась, когда мы переключили гостя с оборудования E1000e vNIC на VMXNet3. До этого он работал нормально в течение нескольких лет.

  • Запустив окно регистрации ASDM, оно даже не видит попытки соединения SNMP от BOS-NETMON. РЕДАКТИРОВАТЬ - Это произошло потому, что у меня не было правильных настроек ведения журнала на ASA.
  • Запуск Wireshark на BOS-NETMON,
    • Я тестировал SNMP от другого гостя VMXNet3, он также не может запрашивать SNMP для ASA, но работает с устройствами Cisco, отличными от ASA. РЕДАКТИРОВАТЬ - это не похоже на правду. Либо я ошибся, либо он начал работать недавно. В любом случае другой хост с сетевым адаптером VMXNet3 может запросить SNMP для одного из этих ASA.
  • Я протестировал SNMP от гостя с E1000e vNIC, и он успешно запрашивает SNMP для ASA.
  • 4/5 из целевые ASA не находятся на том же сайте, поэтому это не должно быть проблемой ARP - а если бы это было так, то это повлияло бы на другие протоколы, не относящиеся к SNMP.

Дальнейшее редактирование: У меня есть отладочная информация ASDM для успешного и неудачного сеанса SNMP. Думаю, следующим шагом будет захват пакетов. 

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161
6
задан 13 March 2018 в 15:04
1 ответ

Все остальные разрешенные протоколы (SSH, HTTPS, ICMP) работают при подключении к ASA от этого гостя.

Включили ли вы отладку snmp на ASA, чтобы вы могли видеть, что он думает ? 

debug snmp
logging buffered debug
logging asdm debug

Изменился ли IP-адрес блока мониторинга при смене vNIC? Вы используете списки контроля доступа SNMP?

3
ответ дан 3 December 2019 в 00:37

Теги

Похожие вопросы