게스트 vNIC를 VMXNet3으로 변경했으며 Cisco ASA 장치에 대해 SNMP를 수행할 수 없습니다.

여기에 머리를 긁는 사람이 있습니다. Windows 및/또는 VMware 버그를 발견했거나 엄청나게 간단한 것을 놓쳤습니다. [스포일러 - 엄청나게 간단했습니다.]

우리 VMware 환경은 ESXI 5.5입니다. 더 이상 Cisco ASA 장치(v2 또는 v3)의 SNMP 쿼리를 수행할 수 없는 Windows 2012 R2 VM(BOS-NETMON)이 있습니다.

이 기계는 SolarWinds Orion을 실행하며 Paessler SNMPTEST와 같은 독립형 도구도 작동하지 않습니다. 현재 모니터링되는 다른 모든 장치는 이 게스트의 SNMP에 계속 응답합니다. Cisco IOS, Meraki, Exagrid, APC/Schneider가 있습니다. 모두 괜찮습니다. 허용되는 다른 모든 프로토콜(SSH, HTTPS, ICMP)은 이 게스트에서 ASA에 연결할 때 작동합니다.

문제는 게스트를 E1000e vNIC 하드웨어에서 VMXNet3으로 전환했을 때 시작되었습니다. 그 전에는 몇 년 동안 잘 작동했습니다.

• ASDM Logging 창을 실행하면 BOS-NETMON에서 시도된 SNMP 연결도 표시되지 않습니다. 편집 - 이는 ASA에 올바른 로깅 설정이 없었기 때문입니다.
• BOS-NETMON에서 Wireshark를 실행하면 SNMP 쿼리가 나가는 것으로 표시되고 ASA의 응답은 등록되지 않습니다.
  • 다른 VMXNet3 게스트에서 SNMP를 테스트했는데 ASA에 대해 SNMP를 쿼리하는 데 실패했지만 ASA가 아닌 Cisco 장치에서는 작동합니다. 편집 - 이는 사실이 아닌 것 같습니다. 테스트를 잘못했거나 최근에 작동하기 시작했습니다. 어느 쪽이든 VMXNet3 NIC가 있는 다른 호스트는 이러한 ASA 중 하나에 대해 SNMP를 쿼리할 수 있습니다.
• E1000e vNIC를 사용하여 게스트에서 SNMP를 테스트한 결과 ASA에 대해 SNMP를 성공적으로 쿼리했습니다.
• 대상 ASA의 4/5가 동일한 사이트에 있지 않으므로 ARP 문제가 아니어야 합니다. 만약 그렇다면 다른 비SNMP 프로토콜이 영향을 받을 것입니다.

추가 편집: 성공 및 실패한 SNMP 세션에 대한 ASDM 디버그 정보가 있습니다. 다음 단계는 패킷 캡처가 될 것 같습니다.

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161