今天碰到一个奇怪的现象,深信服AC对接锐捷交换机做跨三层取MAC,怎么都获取不到。
一、坑1:交换机不回应snmp报文
1.1 排查锐捷交换机配置
配置上看着没有问题,重新配置了community
1.2 查看snmp报文是否通畅
我的笔记本是win10系统,安装了iReasoning MIB Brower。
直接打开该软件,载入RFC1213-MIB,随便点击一个OID,进行get,且在PC上用wireshark抓包
发现只有get-request,但是交换机没有回应。
1.3 排查交换机
这时候怀疑到交换机上了,进行了各种排查
排查是否被ACL拦截
排查snmp-agent是否有问题
等等。。。。
最后实在没办法,从锐捷官网联系了售后工程师,这里不得不吐槽,锐捷的售后工程师真的很不给力。
每次提问问题,都要等待至少1分钟才会回复,要过去交换机配置,让我按照手册上的配置。
最后又重新配置了snmp,还是没有回报。
售后工程师也没有办法了,要我做个镜像口抓流量。
1.4 重启交换机
根据多年的经验,应该是锐捷交换机的系统或者说snmp进程出现了问题。
按照"万事重启一把过"的原则,我直接联系现场同事协调时间(由于客户现场很多人已经认证出现了问题),保存配置,在中午午休的时间申请了10分钟的窗口,对交换机进行了重启。
1.5 恢复正常
交换机重启之后,我用iReasoning MIB Brower测试,一把过,直接读取到了信息。
二、坑2:深信服AC对接锐捷交换机
2.1 获取锐捷交换机私有MIB文件
因为snmp已经恢复正常,所以就登陆AC配置OID,其中需要IP和MAC的OID,我从官网直接搜索锐捷交换机OID,搜到这个链接
注意,这里是个巨坑。
链接中OID
所以我只好联系售后去要MIB文件
售后工程师给了我一个表格
最后我将OID梳理出来:
IP OID:.1.3.6.1.2.1.4.20
MAC OID:.1.3.6.1.4.1.4881.1.1.10.2.22.1.1.5.1.2
使用软件测试,的确能获取到
2.2 配置深信服AC
有了OID,赶紧填到深信服AC里面,结果获取不到MAC地址。
折腾了老半天(客户一直有人反映上网时弹出认证)。
最后我发现在AC的填充框旁边有一个提示:
抱着尝试的心态,我将这些提示的OID输入了进去。
结果全部认出来了!
此时,客户瞬间恢复了平静,网络全部恢复了。