iMC EPS与扫描器联动无法实现SNMP阻断问题排查

被扫描端点与网络设备直连，且与扫描器网络可达。

随着物联时代的发展，时刻都会有新的端点（笔记本电脑、智能手机和平板电脑，各种形式和规模的IP物联网设备，服务器）加入网络。这些设备会增大网络的受攻击范围，并且许多安全设备都无法感知。

 iMC EPS即鹰视系统是物联时代的准入系统，可以对PC终端、哑终端（摄像头、IP电话、门禁等）、网络设备、服务器等接入网络及时感知，并进行持续监控。可以精准识别接入网络的端点、设备的类型及详细信息，还可以对非法接入的端点、设备主动阻断。 

阻断的方式根据其实现原理分为两类： 1、EPS与EIA联动方式控制准入； 2、EPS与扫描器联动通过SNMP方式控制准入。 

本案例主要讲述iMC EPS与扫描器联动通过SNMP方式控制终端准入方案中，出现无法阻断问题的排查。

故障定位思路：

1.检查iMC EPS所在服务器的硬件性能信息符合要求规范，iMC部署中各个组件与PLAT、扫描器的适配关系是否满足版本说明书的适配要求，然后保证iMC监控代理中jserver.exe进程、相关组件的业务进程正常和EPS扫描器的服务正常启动。

2.检查扫描器状态是否正常，扫描任务配置的条件是否满足要求。

3.需要确认端点详细信息中是否正常学习到上连设备的IP和接口信息，若未正常学习到该信息，需要确认设备命令行和对应的mib节点中是否能正常获取到MAC地址表情况

1、iMC服务器安装部署规范检查

服务器性能是保证iMC认证系统稳定运行的基本要素，所以排查问题是首先需要确认服务器软硬件配置情况。 请对照《智能管理中心（iMC）部署和硬件配置方案》查询这套iMC服务器的业务量是否符合配置要求。该配置方案是我们推荐的运行iMC最基本的部署要求。 (1) 对照《方案》检查服务器CPU、内存、硬盘等是否合乎规格，如果扫描的端点数量大、扫描的实时性要求高，是否根据《方案》要求将组件分布式部署在性能良好的服务器上。 重点需要检查内存占用是否过高，内存大小是否满足《方案》计算出的要求，操作系统是否是高性能的x64版本。

2、检查iMC部署中版本适配关系

iMC中各个业务组件与平台有依赖关系，部分业务组件之间也有依赖关系，各个业务组件版本与平台版本有一定的适配关系，针对这一问题在EPS组件的版本说明书中有明确的适配要求。以iMC EPS 7.3 E0601版本为例，其版本说明书中明确要求适配的PLAT版本为iMC PLAT 7.3 E0506P09以及其后续版本。

3、检查相关进程是否正常启动

iMC EPS组件包含前台和后台以及扫描器三部分，其中前台进程为jserver，后台进程为epsserver，如图所示服务器侧进行正常启动。

EPS扫描器侧服务正常启动，如下图所示。

4、扫描器状态和配置检查

登录扫描器所在的操作系统，按照步骤3确认扫描器服务正常启动后，在iMC EPS服务器侧检查扫描器的状态信息。

扫描器状态栏显示扫描器的状态，若确认扫描器服务器已经启动，iMC EPS侧扫描器状态始终为离线，则需要检查如下信息：

1)扫描器到iMC EPS所在服务器的网络通信情况。 确认扫描器到iMC EPS之间的网络可达，若扫描器与iMC EPS之间涉及防火墙等设备时需要注意放通对应端口，其中iMC EPS使用端口UDP 6060，扫描器使用端口为UDP 12000。

 2)扫描器与iMC EPS之间的共享密钥配置一致。 在【用户】|【端点探测管理】|【系统管理】|【系统参数】中，配置“共享密钥”的值。

5、扫描任务配置检查

扫描任务基于其实现原理的不同，分为两种类型：

 1)基于IP网段方式的扫描

     即扫描的对象为IP网段，此时扫描器需要逐个探测网段中每个IP的通断情况和端点信息。配置任务时仅需要输入网段信息，扫描前需要进行自动发现，使用这种方式扫描时速度相对较慢，不能跨网段获取端点的MAC地址信息，也无法获取端点的上连设备IP和端口情况。

 2)基于网关方式的扫描 

    即扫描的对象为终端的网关设备，此时需要在配置扫描任务前，将端点所有上连设备以及网关信息纳管至iMC EPS组件中，并在配置扫描任务时选择对应的上连设备和网关设备。扫描器通过获取设备的ARP等表项信息获取端点信息，使用这种方式扫描时速度相对较快，可以识别端点的MAC地址信息，也可以根据设备的表项获取端点的上连设备IP和端口，从而实现在判断该端点非法时，将端点的上联口shut down，阻断其接入至网络中。

本文重点检查基于网关方式的扫描，在【用户】|【端点探测管理】|【扫描配置】|【扫描器管理】中，点击“网关信息”，确认端点上连设备和端点网关设备均纳管至其中。

同时需要确认网络设备的类型与实际组网一致，SNMP参数配置正确。

在配置扫描任务时，注意选择对应的网关设备和上连设备的信息。如下图所示，检查扫描IP网关/IP网段列表的配置情况，注意不允许出现仅配置IP网段的情况。

6、端点详细信息学习情况检查

确认上述基础检查条件配置正常后，需要检查端点详细信息中设备上连设备的IP和端口学习情况，即在【用户】|【端点探测管理】|【所有端点】中搜索该端点的IP或MAC地址信息，点击端点的IP地址查看端点详细信息。在端点详细信息中确认接入交换机IP和接入交换机端口信息是否正常学习。

7、设备学习情况检查

在设备侧确认ARP表项和MAC地址表学习情况，是否包含当前端点的IP地址。

iMC EPS在获取设备ARP表项的同时，还会获取设备的MAC地址表学习情况。由于设备版本不同，iMC EPS获取设备MAC地址表时使用的mib节点也不相同，以iMC EPS E0602版本为例，iMC EPS产品会先后获取的设备的1.3.6.1.2.1.17.7.1. 2.2.1.2节点和1.3.6.1.2.1.17.4.3.1.2节点，确认通过该节点能否正常获取设备的表项信息。 iMC PLAT有足够授权时，可以将该网关设备和端点上连交换机设备纳管至iMC PLAT中，配置与EPS相同的SNMP参数，在iMC PLAT前台页面右上角直接搜索设备IP，点击设备IP进入设备详细信息页面。并单击“mib管理”。

在弹出的页面中找到OID为1.3.6.1.2.1.17.4.3.1.2，然后鼠标右键选择walk该节点。此时右侧会出现改节点的返回值。如下图所示，该节点未返回任何信息，则表示当前无法从设备的该节点获取到设备的MAC地址学习情况。

类似地，找到OID为1.3.6.1.2.1.17.7.1. 2.2.1.2的节点，确认该节点的返回值情况。