Gast-vNIC auf VMXNet3 geändert, SNMP gegen Cisco ASA-Geräte nicht möglich

tag-icon tag-icon vmware-esxi snmp
Gast-vNIC auf VMXNet3 geändert, SNMP gegen Cisco ASA-Geräte nicht möglich

Ich bin hier ratlos. Entweder habe ich einen Windows- und/oder VMware-Fehler gefunden, oder ich habe etwas unglaublich Einfaches übersehen. [Spoiler – es war unglaublich einfach.]

Unsere VMware-Umgebung ist ESXI 5.5. Wir haben eine Windows 2012 R2-VM (mit dem Namen BOS-NETMON), die keine SNMP-Abfragen von Cisco ASA-Geräten (v2 oder v3) mehr durchführen kann.

Auf dieser Maschine läuft SolarWinds Orion, und weder das noch eigenständige Tools wie Paessler SNMPTEST funktionieren. Alle anderen derzeit überwachten Geräte reagieren weiterhin auf SNMP von diesem Gast – wir haben Cisco IOS, Meraki, Exagrid, APC/Schneider – alles einwandfrei. Alle anderen zulässigen Protokolle (SSH, HTTPS, ICMP) funktionieren bei der Verbindung mit den ASAs von diesem Gast aus.

Das Problem begann, als wir den Gast von der E1000e vNIC-Hardware auf VMXNet3 umstellten. Davor funktionierte es einige Jahre lang einwandfrei.

  • Beim Ausführen des ASDM-Protokollierungsfensters wird der SNMP-Verbindungsversuch von BOS-NETMON nicht einmal angezeigt. BEARBEITEN – Das lag daran, dass ich auf der ASA nicht die richtigen Protokollierungseinstellungen hatte.
  • Beim Ausführen von Wireshark auf BOS-NETMON werden die ausgehenden SNMP-Abfragen angezeigt, es werden jedoch keine Antworten von den ASAs registriert.
    • Ich habe SNMP von einem anderen VMXNet3-Gast aus getestet. Auch hier schlägt die SNMP-Abfrage gegen eine ASA fehl, funktioniert aber gegen Nicht-ASA-Cisco-Geräte. EDIT – das scheint nicht zu stimmen. Entweder habe ich falsch getestet oder es funktioniert seit Kurzem. So oder so kann ein anderer Host mit einer VMXNet3-NIC SNMP gegen eine dieser ASAs abfragen.
  • Ich habe SNMP von einem Gast mit dem E1000e vNIC getestet und es hat SNMP erfolgreich bei einem ASA abgefragt.
  • 4/5 der Ziel-ASAs befinden sich nicht am selben Standort, es sollte sich also nicht um ein ARP-Problem handeln – und wenn doch, wären die anderen Nicht-SNMP-Protokolle betroffen.

Weitere Bearbeitung: Ich habe ASDM-Debuginformationen für eine erfolgreiche und eine erfolglose SNMP-Sitzung. Der nächste Schritt wird, denke ich, eine Paketerfassung sein.

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161

Antwort1

Alle anderen zulässigen Protokolle (SSH, HTTPS, ICMP) funktionieren, wenn von diesem Gast aus eine Verbindung zu den ASAs hergestellt wird.

Haben Sie das SNMP-Debugging auf der ASA aktiviert, damit Sie sehen können, was sie denkt?

debug snmp
logging buffered debug
logging asdm debug

Hat sich die IP der Überwachungsbox geändert, als Sie die vNIC geändert haben? Verwenden Sie SNMP-ACLs?

verwandte Informationen