Изменил гостевой vNIC на VMXNet3, не могу использовать SNMP для устройств Cisco ASA

tag-icon tag-icon vmware-esxi snmp
Изменил гостевой vNIC на VMXNet3, не могу использовать SNMP для устройств Cisco ASA

Тут у меня затылок сломался. Либо я нашел ошибку Windows и/или VMware, либо я пропустил что-то невероятно простое. [Спойлер - это было невероятно просто.]

Наша среда VMware — ESXI 5.5. У нас есть виртуальная машина Windows 2012 R2 (с именем BOS-NETMON), которая больше не может делать запросы SNMP устройств Cisco ASA (v2 или v3).

На этой машине работает SolarWinds Orion, и ни он, ни автономные инструменты, такие как Paessler SNMPTEST, не работают. Все остальные отслеживаемые в настоящее время устройства продолжают отвечать на SNMP от этого гостя — у нас есть Cisco IOS, Meraki, Exagrid, APC/Schneider — все в порядке. Все остальные разрешенные протоколы (SSH, HTTPS, ICMP) работают при подключении к ASA от этого гостя.

Проблема началась, когда мы переключили гостя с оборудования E1000e vNIC на VMXNet3. До этого пару лет все работало нормально.

  • Запустив окно ведения журнала ASDM, я даже не увидел попытку подключения SNMP от BOS-NETMON. EDIT - Это произошло потому, что у меня не были правильные настройки ведения журнала на ASA.
  • Запустив Wireshark на BOS-NETMON, вы увидите, что запросы SNMP исходят, но не регистрирует ответы от ASA.
    • Я протестировал SNMP с другого гостя VMXNet3, он также не может запросить SNMP против ASA, но работает против устройств Cisco, отличных от ASA. EDIT - это, похоже, не так. Либо я неправильно протестировал, либо он недавно начал работать. В любом случае, другой хост с сетевым адаптером VMXNet3 может запросить SNMP против одного из этих ASA.
  • Я протестировал SNMP из гостевой системы с помощью E1000e vNIC, и он успешно отправляет запросы SNMP на ASA.
  • 4/5 целевых ASA не находятся на одном сайте, поэтому это не должно быть проблемой ARP. А если бы это было так, то были бы затронуты другие протоколы, не относящиеся к SNMP.

Дальнейшее редактирование: У меня есть отладочная информация ASDM для успешного и неудачного сеанса SNMP. Следующим шагом будет захват пакетов, я полагаю.

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161

решение1

Все остальные разрешенные протоколы (SSH, HTTPS, ICMP) работают при подключении к ASA из этого гостя.

Включили ли вы отладку SNMP на ASA, чтобы увидеть, о чем он думает?

debug snmp
logging buffered debug
logging asdm debug

Изменился ли IP-адрес блока мониторинга при смене vNIC? Используете ли вы SNMP ACL?

Связанный контент