Vmware-Esxi

將訪客 vNIC 更改為 VMXNet3,無法針對 Cisco ASA 設備執行 SNMP

  • March 13, 2018

這裡有一個令人頭疼的問題。要麼我發現了 Windows 和/或 VMware 錯誤,要麼我錯過了一些非常簡單的東西。

$$ Spoiler - it was stupendously simple. $$ 我們的 VMware 環境是 ESXI 5.5。我們有一個 Windows 2012 R2 虛擬機(名為 BOS-NETMON),它不能再對 Cisco ASA 設備(v2 或 v3)進行 SNMP 查詢。

這台機器執行 SolarWinds Orion,但它和 Paessler SNMPTEST 等獨立工具都不起作用。所有其他目前受監控的設備繼續響應來自該訪客的 SNMP - 我們有 Cisco IOS、Meraki、Exagrid、APC/Schneider - 一切正常。從該訪客連接到 ASA 時,所有其他允許的協議(SSH、HTTPS、ICMP)都可以工作。

當我們將客戶機從 E1000e vNIC 硬體切換到 VMXNet3 時,問題就開始了。在此之前,它工作了幾年。

  • 執行 ASDM 日誌記錄視窗,它甚至看不到來自 BOS-NETMON 的嘗試 SNMP 連接。編輯 - 這是因為我在 ASA 上沒有正確的日誌記錄設置。

  • 在 BOS-NETMON 上執行 Wireshark,它顯示 SNMP 查詢發出,不註冊來自 ASA 的響應。

    • 我已經從另一個 VMXNet3 來賓測試了 SNMP,它也無法針對 ASA 查詢 SNMP,但可以針對非 ASA Cisco 設備工作。編輯 - 這似乎不是真的。要麼我測試錯了,要麼它最近開始工作。無論哪種方式,具有 VMXNet3 NIC 的另一台主機都可以針對其中一個 ASA 查詢 SNMP。
  • 我已經使用 E1000e vNIC 測試了來自來賓的 SNMP,它成功地針對 ASA 查詢 SNMP。

  • 4/5 的目標 ASA 不在同一個站點,因此它不應該是 ARP 問題 - 如果是,其他非 SNMP 協議將受到影響。

進一步編輯:我有成功和不成功的 SNMP 會話的 ASDM 調試資訊。我猜下一步將是數據包擷取。

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161

從該訪客連接到 ASA 時,所有其他允許的協議(SSH、HTTPS、ICMP)都可以工作。

您是否在 ASA 上打開了 snmp 調試,以便查看它的想法?

debug snmp
logging buffered debug
logging asdm debug

換vNIC的時候監控箱的IP有變化嗎?您是否使用 SNMP ACL?

引用自:https://serverfault.com/questions/901268