將訪客 vNIC 更改為 VMXNet3,無法針對 Cisco ASA 設備執行 SNMP
這裡有一個令人頭疼的問題。要麼我發現了 Windows 和/或 VMware 錯誤,要麼我錯過了一些非常簡單的東西。
$$ Spoiler - it was stupendously simple. $$ 我們的 VMware 環境是 ESXI 5.5。我們有一個 Windows 2012 R2 虛擬機(名為 BOS-NETMON),它不能再對 Cisco ASA 設備(v2 或 v3)進行 SNMP 查詢。
這台機器執行 SolarWinds Orion,但它和 Paessler SNMPTEST 等獨立工具都不起作用。所有其他目前受監控的設備繼續響應來自該訪客的 SNMP - 我們有 Cisco IOS、Meraki、Exagrid、APC/Schneider - 一切正常。從該訪客連接到 ASA 時,所有其他允許的協議(SSH、HTTPS、ICMP)都可以工作。
當我們將客戶機從 E1000e vNIC 硬體切換到 VMXNet3 時,問題就開始了。在此之前,它工作了幾年。
執行 ASDM 日誌記錄視窗,它甚至看不到來自 BOS-NETMON 的嘗試 SNMP 連接。編輯 - 這是因為我在 ASA 上沒有正確的日誌記錄設置。
在 BOS-NETMON 上執行 Wireshark,它顯示 SNMP 查詢發出,不註冊來自 ASA 的響應。
- 我已經從另一個 VMXNet3 來賓測試了 SNMP,它也無法針對 ASA 查詢 SNMP,但可以針對非 ASA Cisco 設備工作。編輯 - 這似乎不是真的。要麼我測試錯了,要麼它最近開始工作。無論哪種方式,具有 VMXNet3 NIC 的另一台主機都可以針對其中一個 ASA 查詢 SNMP。
我已經使用 E1000e vNIC 測試了來自來賓的 SNMP,它成功地針對 ASA 查詢 SNMP。
4/5 的目標 ASA 不在同一個站點,因此它不應該是 ARP 問題 - 如果是,其他非 SNMP 協議將受到影響。
進一步編輯:我有成功和不成功的 SNMP 會話的 ASDM 調試資訊。我猜下一步將是數據包擷取。
6 Mar 12 2018 16:30:26 302015 10.50.100.177 63809 10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161) 7 Mar 12 2018 16:30:26 710005 10.50.100.152 49588 10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161
從該訪客連接到 ASA 時,所有其他允許的協議(SSH、HTTPS、ICMP)都可以工作。
您是否在 ASA 上打開了 snmp 調試,以便查看它的想法?
debug snmp logging buffered debug logging asdm debug
換vNIC的時候監控箱的IP有變化嗎?您是否使用 SNMP ACL?