ゲストvNICをVMXNet3に変更し、CiscoASAデバイスに対してSNMPを実行できない

ここでヘッドスクラッチャーを手に入れました。 WindowsやVMwareのバグを見つけたか、非常に単純なものを見逃しました。 [ネタバレ-それは途方もなく単純でした。]

VMware環境はESXI5.5です。 Cisco ASAデバイス（v2またはv3）のSNMPクエリを実行できなくなったWindows 2012 R2 VM（BOS-NETMONという名前））があります。

このマシンはSolarWindsOrionを実行しますが、それもPaesslerSNMPTESTのようなスタンドアロンツールも機能しません。現在監視されている他のすべてのデバイスは、このゲストからのSNMPに引き続き応答します（Cisco IOS、Meraki、Exagrid、APC/Schneiderがあります）。すべて問題ありません。このゲストからASAに接続すると、他のすべての許可されたプロトコル（SSH、HTTPS、ICMP）が機能します。

この問題は、ゲストをE1000evNICハードウェアからVMXNet3に切り替えたときに始まりました。それ以前は、2、3年は問題なく動作していました。

• ASDMロギングウィンドウを実行すると、BOS-NETMONから試行されたSNMP接続も表示されません。編集-これは、ASAに適切なロギング設定がなかったためです。
• BOS-NETMONでWiresharkを実行すると、SNMPクエリが送信され、ASAからの応答が登録されないことが示されます。
  • 別のVMXNet3ゲストからのSNMPをテストしましたが、ASAに対するSNMPのクエリにも失敗しますが、ASA以外のCiscoデバイスに対しては機能します。編集-これは真実ではないようです。テストを間違えたか、最近動作し始めました。いずれにせよ、VMXNet3 NICを持つ別のホストは、これらのASAの1つに対してSNMPを照会できます。
• E1000e vNICを使用してゲストからのSNMPをテストしましたが、ASAに対してSNMPを正常に照会しました。
• ターゲットASAの4/5は同じサイトにないため、ARPの問題ではないはずです。問題がある場合は、他の非SNMPプロトコルが影響を受けます。

さらに編集：成功したSNMPセッションと失敗したSNMPセッションのASDMデバッグ情報があります。次のステップはパケットキャプチャだと思います。

6   Mar 12 2018 16:30:26    302015  10.50.100.177   63809   10.10.99.10 161 Built inbound UDP connection 610885144 for Inside_Interface:10.50.100.177/63809 (10.50.100.177/63809) to identity:10.10.99.10/161 (10.10.99.10/161)

7   Mar 12 2018 16:30:26    710005  10.50.100.152   49588   10.10.99.10 161 UDP request discarded from 10.50.100.152/49588 to Inside_Interface:10.10.99.10/161