Se cambió la vNIC invitada a VMXNet3, no se puede realizar SNMP en dispositivos Cisco ASA

tag-icon tag-icon vmware-esxi snmp
Se cambió la vNIC invitada a VMXNet3, no se puede realizar SNMP en dispositivos Cisco ASA

Tengo un rasguño en la cabeza aquí. O encontré un error de Windows y/o VMware, o me perdí algo estupendamente simple. [Spoiler: fue estupendamente simple.]

Nuestro entorno VMware es ESXI 5.5. Tenemos una máquina virtual Windows 2012 R2 (llamada BOS-NETMON) que ya no puede realizar consultas SNMP de dispositivos Cisco ASA (v2 o v3).

Esta máquina ejecuta SolarWinds Orion, y ni eso ni herramientas independientes como Paessler SNMPTEST funcionan. Todos los demás dispositivos monitoreados actualmente continúan respondiendo al SNMP de este invitado (tenemos Cisco IOS, Meraki, Exagrid, APC/Schneider), todo bien. Todos los demás protocolos permitidos (SSH, HTTPS, ICMP) funcionan cuando se conecta a los ASA desde este invitado.

El problema comenzó cuando cambiamos el invitado del hardware vNIC E1000e a VMXNet3. Antes de eso, funcionó bien durante un par de años.

  • Al ejecutar la ventana de registro de ASDM, ni siquiera ve el intento de conexión SNMP desde BOS-NETMON. EDITAR: esto se debió a que no tenía la configuración de registro correcta en el ASA.
  • Al ejecutar Wireshark en BOS-NETMON, muestra las consultas SNMP que salen, no registra respuestas de los ASA.
    • Probé SNMP de otro invitado VMXNet3; tampoco puede consultar SNMP en un ASA, pero funciona en dispositivos Cisco que no son ASA. EDITAR: esto no parece ser cierto. O hice la prueba mal o empezó a funcionar recientemente. De cualquier manera, otro host con una NIC VMXNet3 puede consultar SNMP contra uno de estos ASA.
  • Probé SNMP de un invitado con la vNIC E1000e y consultó exitosamente SNMP contra un ASA.
  • 4/5 de los ASA de destino no están en el mismo sitio, por lo que no debería ser un problema de ARP y, si lo fuera, los demás protocolos que no son SNMP se verían afectados.

Edición adicional: tengo información de depuración de ASDM para una sesión SNMP exitosa y otra fallida. Supongo que el siguiente paso será la captura de paquetes.

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161

Respuesta1

Todos los demás protocolos permitidos (SSH, HTTPS, ICMP) funcionan cuando se conecta a los ASA desde este invitado.

¿Ha activado la depuración snmp en el ASA para poder ver lo que piensa?

debug snmp
logging buffered debug
logging asdm debug

¿Cambió la IP del cuadro de monitoreo cuando cambió la vNIC? ¿Está utilizando ACL SNMP?

información relacionada