Inleiding
Dit document beschrijft verschillende gedrag wanneer Simple Network Monitoring Protocol (SNMP) loopt of wordt gericht op 6200 Fabric Interconnect (FI) in vergelijking met 6454 FI. Stateful Firewalls kunnen fysieke IP-reacties op SNMP-lopen van virtuele IP’s (VIP) in FI 6200 blokkeren terwijl het probleem niet in 6454 FI is gezien.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- SNMP Walk Tool geïnstalleerd op een server met connectiviteit met Unified Computing System Manager (UCSM)-domein.
- 6248 FI en 6454 FI
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- SNMP Walk Tool geïnstalleerd op een server met connectiviteit met Unified Computing System Manager (UCSM)-domein.
- 6248 FI met UCSM-firmware 4.0(4e)
- 6454 FI met UCSM-firmware 4.0(4f)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Verwante producten
Dit document kan ook met deze hardware- en softwareversies worden gebruikt:
- Elke software van een derde SNMP voor wandelen of verkiezingen
- 6296 FI
Achtergrondinformatie
Firewalls tussen FI en SNMP Collectors/Walk servers kunnen worden ingesteld voor Stateful inspection, dit betekent dat wanneer een verzoek van een bepaald IP adres wordt verzonden, de reactie slechts van dat zelfde IP adres is toegestaan. Fabric Interconnect gebruikt een virtuele IP (VIP) waarop de primaire FI reageert. Stateful inspection van de Firewall kan SNMP antwoorden in 2nd generation FI zoals 6248 blokkeren als het SNMP Get of Walk van de VIP wordt gevraagd omdat in dat model FI het antwoord afkomstig is van de fysieke IP van de Primaire FI. De firewall met stateful inspection staat slechts antwoorden van het beoogde IP toe zodat de pakketten worden geblokkeerd. Bij tests van de 4de generatie zal FI als het 6454 antwoord geven op de vraag welke IP wordt gevraagd of zal Fysieke IP antwoorden indien het de beoogde IP is.
De tijdelijke oplossing voor de tweede generatie FI, zoals de 6248 en 6296, is de fysieke IP van de Primaire FI te richten of de firewallregels te wijzigen om antwoorden van een van de fysieke IP van FI mogelijk te maken indien het VIP daarom verzoekt.
Test-uitvoer laat een ander gedrag van 6200 en 6400 FI zien wanneer VIP door SNMP wordt geladen
FI 6248 met UCSM-firmware 4.0.4e
Uitvoer van SNMP-opdracht voor bladeserver:
[SNMP Walk Server]$ snmpwalk -c 'xxx' 172.16.0.52 <<< SNMP Walk of the Physical IP of FI
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply
[SNMP Walk Server]$ snmpwalk -c 'xxx' 172.16.0.53 <<< SNMP Walk of the Virtual IP
snmpwalk: Timeout <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Network Error
FI-pakketvastlegging:
FI-B(nxos)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0
Capturing on eth0
2020-01-06 11:44:00.739413 10.0.45.154 -> 172.16.0.52 SNMP get-request <<< SNMP Walk of the Physical IP of FI
2020-01-06 11:44:01.274570 172.16.0.52 -> 10.0.45.154 SNMP report <<<<<<<< FI replies with Physical IP of Primary FI
FI-B(nxos)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0
Capturing on eth0
2020-01-06 11:44:50.886972 10.0.45.154 -> 172.16.0.53 SNMP get-request <<< SNMP Walk of the Virtual IP
2020-01-06 11:44:50.887350 172.16.0.52 -> 10.0.45.154 SNMP report <<<<<<<< FI Replies with the IP of the Primary FI Physical IP Stateful Firewall may block this reply
2020-01-06 11:44:51.886878 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:51.887223 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:52.887808 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:52.888161 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:53.888741 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:53.889087 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:54.889477 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:54.889816 172.16.0.52 -> 10.0.45.154 SNMP report
2020-01-06 11:44:55.890280 10.0.45.154 -> 172.16.0.53 SNMP get-request
2020-01-06 11:44:55.890623 172.16.0.52 -> 10.0.45.154 SNMP report
FI 6454 Series met UCSM-firmware 4.0.4d
Uitvoer van SNMP-opdracht voor bladeserver:
[SNMP Walk Server]$ snmpwalk -c 'fgING$df' 172.16.0.94 <<< SNMP Walk of the Physical IP of FI
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply
[SNMP Walk Server]$ snmpwalk -c 'fgING$df' 172.16.0.93 <<< SNMP Walk of the Virtual IP
snmpwalk: No securityName specified <<<<<<<<<<<<<<<<< No network errors so successful reply
FI-pakketvastlegging:
stha99u11-B(nx-os)# ethanalyzer local interface mgmt capture-filter "host 10.0.45.154" limit-captured-frames 0
Capturing on mgmt0
2020-01-06 12:01:31.866959 10.0.45.154 -> 172.16.0.94 SNMP get-request <<< SNMP Walk of the Physical IP of FI
2020-01-06 12:01:31.868620 172.16.0.94 -> 10.0.45.154 SNMP report 1.3.6.1.6.3.15.1.1.4.0 <<< FI replies from Physical IP no issues with Stateful Firewall
2020-01-06 12:01:47.647205 10.0.45.154 -> 172.16.0.93 SNMP get-request <<< SNMP Walk of the Virtual IP
2020-01-06 12:01:47.648800 172.16.0.93 -> 10.0.45.154 SNMP report 1.3.6.1.6.3.15.1.1.4.0 <<< FI replies from IP of Virtual IP no issues with Stateful Firewall
Gerelateerde informatie