某设备出现up/down误告警的一种情况分析

无

某客户日常维护，发现设备A出现端口up/down告警，而实际上设备端口这段时间没有出现状态变化。设备侧采集日志等也证明无端口变化的 trap报文发出。

问题告警的内容如下：

1、收集告警日志分析，发现收到的trap源IP与设备的管理IP不一致。

2020-07-28 16:17:00.847 [DEBUG (0)] [THREAD(14696)] [CTrapProcessorTask::convertPduToTrapData] Get Trap from [地址A]

2020-07-28 16:17:00.847 [DEBUG (0)] [THREAD(14696)] [CTrapProcessorTask::convertPduToTrapData] Fainal Trap source: [地址B]

2、收集抓包分析。确认收到的trap源IP为地址A。过滤条件可以写为snmp.value.oid contains 1.3.6.1.6.3.1.1.5。这里 1.3.6.1.6.3.1.1.5是接口down的trap oid。截图略。

3、原因分析。

接口down时，设备会发送oid为 1.3.6.1.6.3.1.1.5的trap报文。服务器侧通过报文的源IP判断，这个trap归属于哪一个设备。

此问题中，trap源IP为A，与设备管理地址B，并不一样。为何告警会归属于设备B咧。原因是设备B上有一个接口IP为A。服务器根据trap源IP，关联出来的设备就是B。

但是设备B前文已经提到了，没有发送过trap。那么源IP为A的trap从哪儿来的。经过排查，发现现网中有另一个设备C，其接口上也存在IP A，且指定为trap源IP。设备C是trap的真正来源。

4、总结。

所以问题原因为，设备C，发送源IP为A的接口down trap给可网管。网管通过IP A，反查匹配。匹配到了设备B上。使得网管上出现设备B的误告警。

1、一个网络中，不应出现IP重复的情况。建议调整IP规划，避免IP冲突。

2、设备C上修改配置，不要配置冲突IP为trap源IP。