无
某客户日常维护,发现设备A出现端口up/down告警,而实际上设备端口这段时间没有出现状态变化。设备侧采集日志等也证明无端口变化的 trap报文发出。
问题告警的内容如下:
1、收集告警日志分析,发现收到的trap源IP与设备的管理IP不一致。
2020-07-28 16:17:00.847 [DEBUG (0)] [THREAD(14696)] [CTrapProcessorTask::convertPduToTrapData] Get Trap from [地址A]
2020-07-28 16:17:00.847 [DEBUG (0)] [THREAD(14696)] [CTrapProcessorTask::convertPduToTrapData] Fainal Trap source: [地址B]
2、收集抓包分析。确认收到的trap源IP为地址A。过滤条件可以写为snmp.value.oid contains 1.3.6.1.6.3.1.1.5。这里 1.3.6.1.6.3.1.1.5是接口down的trap oid。截图略。
3、原因分析。
接口down时,设备会发送oid为 1.3.6.1.6.3.1.1.5的trap报文。服务器侧通过报文的源IP判断,这个trap归属于哪一个设备。
此问题中,trap源IP为A,与设备管理地址B,并不一样。为何告警会归属于设备B咧。原因是设备B上有一个接口IP为A。服务器根据trap源IP,关联出来的设备就是B。
但是设备B前文已经提到了,没有发送过trap。那么源IP为A的trap从哪儿来的。经过排查,发现现网中有另一个设备C,其接口上也存在IP A,且指定为trap源IP。设备C是trap的真正来源。
4、总结。
所以问题原因为,设备C,发送源IP为A的接口down trap给可网管。网管通过IP A,反查匹配。匹配到了设备B上。使得网管上出现设备B的误告警。
1、一个网络中,不应出现IP重复的情况。建议调整IP规划,避免IP冲突。
2、设备C上修改配置,不要配置冲突IP为trap源IP。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作