2GFI中不同IP的SNMP轮询应答与4GFI比较

简介

本文档介绍当简单网络监控协议(SNMP)在6200交换矩阵互联(FI)上行走或接到与6454 FI相比时的不同行为。状态防火墙可以阻止对FI 6200中虚拟IP(VIP)的SNMP传送的物理IP响应，而在6454 FI中未发现问题。

先决条件

要求

Cisco 建议您了解以下主题：

• SNMP Walk Tool（SNMP行走工具）安装在与Unified Computing System Manager(UCSM)Domain连接的服务器上。
• 6248 FI和6454 FI

使用的组件

本文档中的信息基于以下软件和硬件版本：

• SNMP Walk Tool（SNMP行走工具）安装在与Unified Computing System Manager(UCSM)Domain连接的服务器上。
• 6248 FI，带UCSM固件4.0(4e)
• 6454 FI，带UCSM固件4.0(4f)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

相关产品

本文档也可用于以下硬件和软件版本：

• 任何第三方SNMP漫游或轮询软件
• 6296 FI

背景信息

FI和SNMP收集器/Walk服务器之间的防火墙可以设置为状态检测，这意味着当从某个IP地址发送请求时，仅允许从同一IP地址发送响应。交换矩阵互联使用主FI响应的虚拟IP(VIP)。如果请求VIP的SNMP Get或Walk，则防火墙的状态检测可能会阻止第二代FI中的SNMP应答，如6248，就像在该型号中一样，如果应答来自主FI的物理IP，则防火墙会阻止该应答。具有状态检测的防火墙仅允许来自目标IP的应答，因此数据包会被阻止。在测试第4代FI（如6454）应答中，VIP或物理IP（如果它们是目标IP）将应答请求的IP。

第2代FI（如6248和6296）的解决方法是将主要FI的物理IP作为目标，或者修改防火墙规则，以允许来自FI的物理IP（如果对VIP发出请求）的应答。

当VIP是SNMP轮询时，测试输出显示6200和6400 FI的不同行为

FI 6248，带UCSM固件4.0.4e

SNMP Walk Server命令行输出：

[SNMP Walk Server]$ snmpwalk -c 'xxx' 172.16.0.52 <<< SNMP Walk of the Physical IP of FI
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply
[SNMP Walk Server]$ snmpwalk -c 'xxx' 172.16.0.53 <<< SNMP Walk of the Virtual IP
snmpwalk: Timeout <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Network Error

FI数据包捕获：

FI-B(nxos)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0
Capturing on eth0
2020-01-06 11:44:00.739413 10.0.45.154 -> 172.16.0.52 SNMP get-request <<< SNMP Walk of the Physical IP of FI
2020-01-06 11:44:01.274570 172.16.0.52 -> 10.0.45.154 SNMP report <<<<<<<< FI replies with Physical IP of Primary FI

FI-B(nxos)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0
Capturing on eth0
2020-01-06 11:44:50.886972 10.0.45.154 -> 172.16.0.53 SNMP get-request <<< SNMP Walk of the Virtual IP
2020-01-06 11:44:50.887350 172.16.0.52 -> 10.0.45.154 SNMP report <<<<<<<< FI Replies with the IP of the Primary FI Physical IP Stateful Firewall may block this reply
2020-01-06 11:44:51.886878 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:51.887223 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:52.887808 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:52.888161 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:53.888741 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:53.889087 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:54.889477 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:54.889816 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:55.890280 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:55.890623 172.16.0.52 -> 10.0.45.154 SNMP report

带UCSM固件4.0.4d的FI 6454

SNMP Walk Server命令行输出：

[SNMP Walk Server]$ snmpwalk -c 'fgING$df' 172.16.0.94 <<< SNMP Walk of the Physical IP of FI
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply
[SNMP Walk Server]$ snmpwalk -c 'fgING$df' 172.16.0.93 <<< SNMP Walk of the Virtual IP
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply

FI数据包捕获：

stha99u11-B(nx-os)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0

Capturing on mgmt0
2020-01-06 12:01:31.866959 10.0.45.154 -> 172.16.0.94 SNMP get-request <<< SNMP Walk of the Physical IP of FI
2020-01-06 12:01:31.868620 172.16.0.94 -> 10.0.45.154 SNMP report 1.3.6.1.6.3.15.1.1.4.0 <<< FI replies from Physical IP no issues with Stateful Firewall
2020-01-06 12:01:47.647205 10.0.45.154 -> 172.16.0.93 SNMP get-request <<< SNMP Walk of the Virtual IP
2020-01-06 12:01:47.648800 172.16.0.93 -> 10.0.45.154 SNMP report 1.3.6.1.6.3.15.1.1.4.0 <<< FI replies from IP of Virtual IP no issues with Stateful Firewall

相关信息

• Cisco UCS Manager系统监控指南，版本4.0
• 技术支持和文档 - Cisco Systems