Packetfence 阻断网络环境

Packetfence 阻断网络环境

我是开源网络访问控制解决方案的新手封包防护

我目前正在远程诊断 Packetfence 日志文件。

直到 3 月 5 日至 6 日左右,使用 Packetfence 时网络似乎运行顺畅。现在,当启动 Packetfence 服务时,目标上的网络停止工作。

有 50 多个交换机和 500 多台 PC 和设备访问网络,因此除了查看日志文件之外,无法通过其他方式诊断此问题。

日志文件中的一些错误:

  • Mar 05 17:14:34 pfsetvlan(22) ERROR: error creating SNMP v2c read connection to 172.17.250.19: No response from remote host '172.17.250.19' (pf::SNMP::connectRead)

  • ERROR: could not convert dot1dBasePort into ifIndex in any VLAN. Setting trapType to unknown (pf::SNMP::Cisco::parseTrap)

  • Mar 06 08:41:01 pfsetvlan(5) INFO: mac trap received on 172.17.250.90 ifindex 11 which is uplink and we don't manage uplinks (pf::vlan::doWeActOnThisTrap)

  • INFO: doWeActOnThisTrap returns false. Stop mac handling (main::handleTrap)

  • Mar 06 08:41:04 pfdhcplistener(3617) INFO: could not resolve 172.17.4.120 to mac in ARP table (pf::iplog::ip2macinarp)

 

  1. 为什么会出现这些错误信息?
  2. 我该怎么做才能继续寻找该问题?

答案1

第一个错误是您应该关注的。PacketFence 中的大多数操作都需要正确的 SNMP 访问,如果无法创建正确的读取连接,则会将故障传播到其他组件。

您可以使用以下方法排除 SNMP 读取故障:

/usr/local/pf/bin/pfcmd_vlan -switch 10.0.0.15 -getAlias -ifIndex 12 -verbose 4

您也可以直接使用 snmpwalk 进行故障排除:

snmpwalk -v 2c -c <community> 10.0.0.15 IF-MIB::ifAlias

最可能的原因:

  • 交换机上配置了错误的 SNMP 读/写团体
  • PacketFence 的 switches.conf 中配置了错误的 SNMP 读/写社区
  • 没有到交换机管理 IP(在 switches.conf 中配置的 IP)的路由
  • PacketFence 和交换机之间的防火墙阻止流量

注意:错误的团体字符串将表现得就像您无法访问交换机一样。这就是 SNMP 的设计方式。

相关内容