はじめに
マルチコンテキストモードにおいて、Port-channelなどの冗長Interfaceの構成を組む場合、物理interface の down/up はSNMPのTrapが送出されません。Port-channel のinterfaceが切断した場合のみ送出されるようになります。
これはASAの現行の実装となっております。マルチモードのシステムコンテキストでは"snmp-server enable traps"をサポートしていないためです。
本動作に関して、以下の機能拡張のリクエストを公開しておりますので、改修されるまでトラッキングしていただきますようお願いいたします。尚、本不具合は9.*でも影響を受けます。
CSCts39220
ENH: Obtaining physical interface stats via SNMP for multi-context ASA
ワークアラウンド
ワークアラウンドとして、SYSLOGのTrap機能を利用し、インターフェイスのダウン/アップを示す特定のログが出力されるとTrapを送出することが期待できます。
1.ADMIN-CONTEXTで、SNMP SYSLOG TRAPを有効化
snmp-server enable traps syslog
logging enable |
2.ADMIN-CONTEXTで、インターフェイスDown/Upを示すログメッセージである411001〜411004を、Errorレベル(LogLevel = 3)に設定します。
logging message 411001 level 3
logging message 411002 level 3
logging message 411003 level 3
logging message 411004 level 3 |
3.ADMIN-CONTEXTで、SNMP SYSLOGトラップを行うログレベルを、Errorレベル以上に指定します。
上記の設定で、Portchannle構成のG0/2のinterfaceを抜線すると以下のようなTrapが送出されることが期待できます。
sysUpTimeInstance = Timeticks: (309500) 0:51:35.00
TRAP種別 = OID: enterprises.9.9.41.2.0.1
enterprises.9.9.41.1.2.3.1.2.0 = STRING: "23"
enterprises.9.9.41.1.2.3.1.3.0 = INTEGER: 4
enterprises.9.9.41.1.2.3.1.4.0 = STRING: "Syslog_Trap"
enterprises.9.9.41.1.2.3.1.5.0 = STRING: "<187>Feb 24 2017 19:22:23: %ASA-3-411001: Line protocol on Interface GigabitEthernet0/2, changed state to up"
enterprises.9.9.41.1.2.3.1.6.0 = Timeticks: (309500) 0:51:35.00 |
参考情報
