我是开源网络访问控制解决方案的新手封包防护。
我目前正在远程诊断 Packetfence 日志文件。
直到 3 月 5 日至 6 日左右,使用 Packetfence 时网络似乎运行顺畅。现在,当启动 Packetfence 服务时,目标上的网络停止工作。
有 50 多个交换机和 500 多台 PC 和设备访问网络,因此除了查看日志文件之外,无法通过其他方式诊断此问题。
日志文件中的一些错误:
Mar 05 17:14:34 pfsetvlan(22) ERROR: error creating SNMP v2c read connection to 172.17.250.19: No response from remote host '172.17.250.19' (pf::SNMP::connectRead)ERROR: could not convert dot1dBasePort into ifIndex in any VLAN. Setting trapType to unknown (pf::SNMP::Cisco::parseTrap)Mar 06 08:41:01 pfsetvlan(5) INFO: mac trap received on 172.17.250.90 ifindex 11 which is uplink and we don't manage uplinks (pf::vlan::doWeActOnThisTrap)INFO: doWeActOnThisTrap returns false. Stop mac handling (main::handleTrap)Mar 06 08:41:04 pfdhcplistener(3617) INFO: could not resolve 172.17.4.120 to mac in ARP table (pf::iplog::ip2macinarp)
- 为什么会出现这些错误信息?
- 我该怎么做才能继续寻找该问题?
答案1
第一个错误是您应该关注的。PacketFence 中的大多数操作都需要正确的 SNMP 访问,如果无法创建正确的读取连接,则会将故障传播到其他组件。
您可以使用以下方法排除 SNMP 读取故障:
/usr/local/pf/bin/pfcmd_vlan -switch 10.0.0.15 -getAlias -ifIndex 12 -verbose 4
您也可以直接使用 snmpwalk 进行故障排除:
snmpwalk -v 2c -c <community> 10.0.0.15 IF-MIB::ifAlias
最可能的原因:
- 交换机上配置了错误的 SNMP 读/写团体
- PacketFence 的 switches.conf 中配置了错误的 SNMP 读/写社区
- 没有到交换机管理 IP(在 switches.conf 中配置的 IP)的路由
- PacketFence 和交换机之间的防火墙阻止流量
注意:错误的团体字符串将表现得就像您无法访问交换机一样。这就是 SNMP 的设计方式。