将访客 vNIC 更改为 VMXNet3，无法对 Cisco ASA 设备执行 SNMP

Question

这里让人头疼。要么我发现了 Windows 和/或 VMware 错误，要么我错过了一些非常简单的东西。[剧透 - 这非常简单。]

我们的 VMware 环境是 ESXI 5.5。我们有一个 Windows 2012 R2 VM（名为 BOS-NETMON），它不能再对 Cisco ASA 设备（v2 或 v3）进行 SNMP 查询。

这台机器运行 SolarWinds Orion，它和 Paessler SNMPTEST 等独立工具都不起作用。当前监控的所有其他设备继续响应来自此访客的 SNMP - 我们有 Cisco IOS、Meraki、Exagrid、APC/Schneider - 一切正常。从该访客连接到 ASA 时，所有其他允许的协议（SSH、HTTPS、ICMP）都可以工作。

当我们将来宾从 E1000e vNIC 硬件切换到 VMXNet3 时，问题就开始了。在此之前，它工作了几年。

• 运行 ASDM 日志记录窗口，它甚至看不到来自 BOS-NETMON 的尝试的 SNMP 连接。编辑 - 这是因为我在 ASA 上没有正确的日志记录设置。
• 在 BOS-NETMON 上运行 Wireshark，它显示 SNMP 查询出去，没有注册来自 ASA 的响应。
  • 我已经从另一个 VMXNet3 来宾测试了 SNMP，它也无法针对 ASA 查询 SNMP，但可以针对非 ASA Cisco 设备。编辑 - 这似乎不是真的。要么我测试错了，要么它最近开始工作。无论哪种方式，具有 VMXNet3 NIC 的另一台主机都可以针对这些 ASA 之一查询 SNMP。
• 我已经使用 E1000e vNIC 测试了来自访客的 SNMP，它成功地针对 ASA 查询了 SNMP。
• 4/5 的目标 ASA 不在同一站点，因此这不应该是 ARP 问题 - 如果是，其他非 SNMP 协议将受到影响。

进一步编辑：我有成功和不成功的 SNMP 会话的 ASDM 调试信息。我猜下一步将是数据包捕获。

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161

Answer 1

从该来宾连接到 ASA 时，所有其他允许的协议（SSH、HTTPS、ICMP）均有效。

您是否在 ASA 上打开了 snmp 调试以便可以看到它的想法？

debug snmp
logging buffered debug
logging asdm debug

更换vNIC后，监控盒的IP是否发生变化？您是否使用 SNMP ACL？