Monitorizando un Cisco CSS 11503

Esta mañana me han pasado un marroncillo con un balanceador de cisco, no había tocado uno de estos cacharros en la vida así que, tocaba investigar un poco.

El caso es el siguiente:
El balanceador esta detrás de dos catalyst, que están en distintos CPD’s, estos enganchan con 1 firewall (1 solo) que a su vez engancha con la red por donde me conecto yo (y el resto) para administrar los equipos, mas o menos (simplificado al máximo) es así.

problema cisco css

Es un poco raro, pero bueno, ya estaba así y yo solo entraba de lado a mirarlo así que…
Buscando un poco como mirarlo encontré varios documentos:
Packet Tracking on the CSS, para hacer debug de paquetes, yo no conseguí que me funcionara del todo bien, pero bueno, ahi esta.
Enabling Web Management and Maintenance on the CSS 11000: Para poner la interface gráfica, tampoco me funciono, pero bueno…
Configuring Simple Network Management Protocol (SNMP): Pues eso mismo.
El caso era que, por alguna razón que no he conseguido averiguar, desde la red de administración se podía llegar al balanceador por icmp y tcp (ssh) pero los paquetes snmp no iban. Traceando hasta donde podía (el firewall) se ve que los paquetes pasan y llegan al equipo (desde una lan local el snmp funcionaba bien y no tenia puestas ACL’s).
Lo raro es que, las conexiones tcp funcionaban bien, yo podía conectarme por telnet (si, todavía hay gente que lo sigue usando), el ping también funcionaba y el snmp no.
Con el packet tracer ese cutre conseguí comprobar que los paquetes llegaban bien al equipo y que este contestaba, pero esas respuestas no llegaban a su destino.
Tiene pinta de que o bien alguno de los switches del core (por el balanceo raro que nadie supo contarme como iba) o bien el firewall (un cisco ASA) estaban tirando los paquetes. Me inclino mas hacia los switches (al firewall no le llegaban los paquetes).
El caso es que, si en vez de preguntar por la vlan de administración preguntabas por la de producción (que pasa por los mismos equipos) todo funcionaba bien.
Tampoco tenia mucho tiempo, asi que, la cutre-solución valia, pero se me quedan muchas preguntas…
¿Como podría debbugear esos paquetes en los cores? (en caso de que me dejaran) (ojo que son paquetes UDP).
¿Porque desde una vlan funciona y desde la otra no?. Todas comparten infraestructura (mismos equipos, mismos gateways)
¿Donde c*****s se están quedando esos pobres paquetes?.
En fin, otro día seguiré mirando a ver…Creo que necesito leer algo mas sobre estos cacharros.

Comments are closed.