ゲスト vNIC を VMXNet3 に変更しましたが、Cisco ASA デバイスに対して SNMP を実行できません

頭を悩ませる問題があります。Windows または VMware のバグを見つけたか、または驚くほど単純なことを見逃したかのどちらかです。[ネタバレ - 驚くほど単純でした。]

当社の VMware 環境は ESXI 5.5 です。Windows 2012 R2 VM (BOS-NETMON という名前) がありますが、Cisco ASA デバイス (v2 または v3) の SNMP クエリを実行できなくなりました。

このマシンは SolarWinds Orion を実行していますが、これも Paessler SNMPTEST などのスタンドアロン ツールも動作しません。現在監視されている他のすべてのデバイスは、このゲストからの SNMP に応答し続けます (Cisco IOS、Meraki、Exagrid、APC/Schneider を使用していますが、すべて正常です)。許可されている他のすべてのプロトコル (SSH、HTTPS、ICMP) は、このゲストから ASA に接続するときに動作します。

問題は、ゲストを E1000e vNIC ハードウェアから VMXNet3 に切り替えたときに発生しました。それ以前は、数年間は正常に動作していました。

• ASDM ログ ウィンドウを実行しても、BOS-NETMON からの SNMP 接続の試行さえ表示されません。編集 - これは、ASA で適切なログ設定が行われていなかったためです。
• BOS-NETMON で Wireshark を実行すると、SNMP クエリが送信されていることが示されますが、ASA からの応答は登録されません。
  • 別の VMXNet3 ゲストから SNMP をテストしたところ、ASA に対しても SNMP をクエリできませんでしたが、ASA 以外の Cisco デバイスに対しては機能しました。編集 - これは正しくないようです。テストが間違っていたか、最近機能し始めたかのどちらかです。いずれにしても、VMXNet3 NIC を備えた別のホストは、これらの ASA の 1 つに対して SNMP をクエリできます。
• E1000e vNIC を搭載したゲストから SNMP をテストしたところ、ASA に対して SNMP を正常にクエリできました。
• ターゲット ASA の 4/5 は同じサイトにないため、ARP の問題ではないはずです。ARP の問題である場合は、他の非 SNMP プロトコルが影響を受けることになります。

さらに編集: 成功した SNMP セッションと失敗した SNMP セッションの ASDM デバッグ情報があります。次のステップはパケット キャプチャになると思います。

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161