頭を悩ませる問題があります。Windows または VMware のバグを見つけたか、または驚くほど単純なことを見逃したかのどちらかです。[ネタバレ - 驚くほど単純でした。]
当社の VMware 環境は ESXI 5.5 です。Windows 2012 R2 VM (BOS-NETMON という名前) がありますが、Cisco ASA デバイス (v2 または v3) の SNMP クエリを実行できなくなりました。
このマシンは SolarWinds Orion を実行していますが、これも Paessler SNMPTEST などのスタンドアロン ツールも動作しません。現在監視されている他のすべてのデバイスは、このゲストからの SNMP に応答し続けます (Cisco IOS、Meraki、Exagrid、APC/Schneider を使用していますが、すべて正常です)。許可されている他のすべてのプロトコル (SSH、HTTPS、ICMP) は、このゲストから ASA に接続するときに動作します。
問題は、ゲストを E1000e vNIC ハードウェアから VMXNet3 に切り替えたときに発生しました。それ以前は、数年間は正常に動作していました。
- ASDM ログ ウィンドウを実行しても、BOS-NETMON からの SNMP 接続の試行さえ表示されません。編集 - これは、ASA で適切なログ設定が行われていなかったためです。
- BOS-NETMON で Wireshark を実行すると、SNMP クエリが送信されていることが示されますが、ASA からの応答は登録されません。
- 別の VMXNet3 ゲストから SNMP をテストしたところ、ASA に対しても SNMP をクエリできませんでしたが、ASA 以外の Cisco デバイスに対しては機能しました。編集 - これは正しくないようです。テストが間違っていたか、最近機能し始めたかのどちらかです。いずれにしても、VMXNet3 NIC を備えた別のホストは、これらの ASA の 1 つに対して SNMP をクエリできます。
- E1000e vNIC を搭載したゲストから SNMP をテストしたところ、ASA に対して SNMP を正常にクエリできました。
- ターゲット ASA の 4/5 は同じサイトにないため、ARP の問題ではないはずです。ARP の問題である場合は、他の非 SNMP プロトコルが影響を受けることになります。
さらに編集: 成功した SNMP セッションと失敗した SNMP セッションの ASDM デバッグ情報があります。次のステップはパケット キャプチャになると思います。
6 Mar 12 2018 16:30:26 302015 10.50.100.177 63809 10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)
7 Mar 12 2018 16:30:26 710005 10.50.100.152 49588 10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161
答え1
このゲストから ASA に接続する場合、許可されている他のすべてのプロトコル (SSH、HTTPS、ICMP) が機能します。
ASA で snmp デバッグをオンにして、どのように考えているかを確認しましたか?
debug snmp
logging buffered debug
logging asdm debug
vNIC を変更したときに監視ボックスの IP は変更されましたか? SNMP ACL を使用していますか?