解决USG6300因SNMP版本不匹配导致未收到request报文问题

发布时间:  2015-07-29 浏览次数:  227 下载次数:  0
问题描述
  某局点客户使用三方网管产品管理USG6300防火墙,在USG6300设备是配置完成snmp之后可以正常向网管发送snmp trap报文,但是网管产品向防火墙发送的request报文,防火墙未收到响应。
告警信息

从debug信息来看,发送数据包正常,但没有回包。

Info: Current terminal debugging is on
<SHHC-FW-01>
*0.352129320 SHHC-FW-01 SNMP/7/INFORMSEND:
   hwCfgManEventlog InformRequest send to:10.128.141.32
   reqid:4045233583
   errorstate:0
   errorIndex:0
   udp_port:162
   send OK
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   sysUpTime.0 = 35209689
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   snmpMIBObjects.4.1.0 = 1.3.6.1.4.1.2011.6.10.2.1
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   hwCfgLogSrcCmd.126 = 1
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   hwCfgLogSrcData.126 = 3
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   hwCfgLogDesData.126 = 2
*0.352129320 SHHC-FW-01 SNMP/7/INFORMSEND:
   hwCfgManEventlog InformRequest send to:10.129.185.32
   reqid:4045233583
   errorstate:0
   errorIndex:0
   udp_port:162
   send OK
*0.352129320 SHHC-FW-01 SNMP/7/VBLIST:
   sysUpTime.0 = 35209689

处理过程

1.检查防火墙会话

[FW]display firewall session table verbose destination-port 161 source-zone untrust
15:07:05  2015/05/27
Current Total Sessions : 1
  snmp  VPN:public --> public  ID: a58f3f99b41e0151d15565dd2b
  Zone: untrust--> local  TTL: 00:02:00  Left: 00:00:11
  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:1 bytes:71
  10.129.185.32:57892-->10.188.63.254:161

有发送到防火墙的报文,没有收到回包。

2.查看包过滤设置,是设置了放行策略的

security-policy
default action permit
default policy logging
rule name snmp
  description snmp
  policy logging
  session logging
  source-zone untrust
  destination-zone local
  source-address  10.128.141.32 0
  source-address 10.129.185.32 0
rule name 3
description snmp1
   policy logging
   session logging
   source-zone local
   destination-zone untrust
   default action permit

 

3.查看USG6300的SNMP设备配置只允许使用V2版本进行访问。
#
snmp-agent
snmp-agent local-engineid 000007DB7F000001D66C18BD
snmp-agent community read   %$%$S8mr*Arr5Qd}^4TMteT,NULC%$%$ mib-view b
snmp-agent community write  %$%$"5)z"Z5WDRXCnE&UCk~<!bYP%$%$
snmp-agent sys-info contact R&D
snmp-agent sys-info version v2c
undo snmp-agent sys-info version v3
snmp-agent target-host inform address udp-domain 10.128.141.32 params securityname %$%$"S{8%|%_C$qz=;=!&QE0%ne\%$%$ v2c
snmp-agent target-host inform address udp-domain 10.129.185.32 params securityname %$%$R4c/@xHxl$\@f"#Fc`kI@LC:%$%$ v2c
snmp-agent mib-view included b std
snmp-agent trap enable lsp
snmp-agent trap enable lacp trap-name hwlacpnegotiatefailed
snmp-agent trap enable lacp trap-name hwlacptotallinkloss

4.从通信的抓包截图看,网管使用的是V1版本到设备采集数据

根因

USG6300的SNMP版本和网管上规定的版本不一致。

USG6300 上设置的是v2c 而网管上设定的是V1。

解决方案

修改USG6300 的SNMP snmp-agent sys-info version v2c 为 snmp-agent sys-info all解决问题。

建议与总结

END