FortiGate での SNMP 設定手順(v6.0.6)

ファイアウォール(UTM)

FortiGate で SNMP 設定をする手順を説明します。

想定ネットワーク構成

以下のネットワーク構成を想定します。

FortiGateについて

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.0.6 build0272 (GA)

要件

  • FortiGateと監視サーバの間でSNMP通信(ポーリング、トラップ)をできるようにする
  • SNMP v1/v2cを使用する
  • コミュニティ名は hogehoge とする

SNMP設定の手順

GUIで設定する場合の手順

[システム]→[SNMP]の画面にて、[システム情報]欄の[SNMPエージェント]をONにします。
その後、[SNMP v1/v2]の[新規作成]をクリックします。

新規SNMPコミュニティ画面にて、以下の通り設定します。

  • コミュニティ名 → hogehoge(監視サーバ側の設定と同じコミュニティ名にする)
  • ホスト
    • IPアドレス → 10.1.10.3(監視サーバのIPアドレス)
    • ホストタイプ → クエリを受け入れトラップを送信する
  • その他 → 以下画像の通り(デフォルト値)

画面下側の続きにはSNMPイベントの項目がありますが、今回はデフォルト値のままとしますが、必要に応じて調整してください。

一通り設定できたら、OKボタンをクリックしてください。
その後、SNMP設定の画面で[SNMP v1/v2c]欄に設定したコミュニティ名が追加されていることを確認し、画面下部の適用をクリックします。

以上でSNMP設定は完了です。

インターフェースの設定

監視サーバ側のインターフェース intarnal1 について、インターフェースの管理アクセス設定でSNMP通信を許可するよう設定をしておいてください。

CLIで設定する場合の手順

SNMP設定に該当するコンフィグの項目は以下の2項目です。

  • config system snmp sysinfo
  • config system snmp community

config system snmp sysinfo

GUI での【システム情報>SNMP エージェントの有効/無効】の設定に該当します。

設定前のコンフィグは以下の通りです。

FW01 # show system snmp sysinfo
config system snmp sysinfo
end

設定コマンドは以下の通りです。

config system snmp sysinfo
    set status enable
end

設定後、以下の通りコンフィグの status が enable となっていることを確認します。

FW01 # show system snmp sysinfo
config system snmp sysinfo
    set status enable
end

config system snmp community

GUI での【SNMP v1/v2c】の設定に該当します。

設定前のコンフィグは以下の通りです。

FW01 # show system snmp community
config system snmp community
end

SNMP コミュニティを設定するコマンドは以下の通りです。

config system snmp community
    edit 1
        set name "hogehoge"
        set status enable
        config hosts
            edit 1
                set ip 10.1.10.3 255.255.255.255
                set host-type any
            next
        end
        set query-v1-status enable
        set query-v1-port 161
        set query-v2c-status enable
        set query-v2c-port 161
        set trap-v1-status enable
        set trap-v1-lport 162
        set trap-v1-rport 162
        set trap-v2c-status enable
        set trap-v2c-lport 162
        set trap-v2c-rport 162
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
    next
end

各設定の意味は以下の通りです。

config system snmp community
    edit 1 #← コミュニティのID、コミュ日設定の階層の開始
        set name "hogehoge" #← コミュニティ名
        set status enable #← コミュニティを有効化
        config hosts #← 監視サーバの設定の階層開始
            edit 1 #← 1つ目の監視サーバの設定の階層開始
                set ip 10.1.10.3 255.255.255.255 #← 監視サーバのIPアドレス
                set host-type any #← ホストタイプ、anyだと「クエリを受け入れてトラップを送信する」
            next
        end
        # ここから--------クエリとトラップの有効化、ポート番号の設定
        # この中の設定値はデフォルト値になっているので明示的に設定しなくてもOK
        set query-v1-status enable
        set query-v1-port 161
        set query-v2c-status enable
        set query-v2c-port 161
        set trap-v1-status enable
        set trap-v1-lport 162
        set trap-v1-rport 162
        set trap-v2c-status enable
        set trap-v2c-lport 162
        set trap-v2c-rport 162
        # ここまで--------クエリとトラップの有効化、ポート番号の設定
        
        # set events はSNMPイベントを指定している
        # 有効化したいイベントをスペース区切りで列挙している
        # デフォルト値のままの場合は明示的に設定しなくてもOK
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
    next
end

設定後の show system snmp community の内容が想定通りであることを確認します。

FW01 # show system snmp community
config system snmp community
    edit 1
        set name "hogehoge"
        config hosts
            edit 1
                set ip 10.1.10.3 255.255.255.255
            next
        end
    next
end

出力内容が少ないですが、大体の設定項目の値がデフォルト値のためです。
フルコンフィグを出力してみると以下のようになっています。

FW01 # show full-configuration system snmp community
config system snmp community
    edit 1
        set name "hogehoge"
        set status enable
        config hosts
            edit 1
                set source-ip 0.0.0.0
                set ip 10.1.10.3 255.255.255.255
                set ha-direct disable
                set host-type any
            next
        end
        set query-v1-status enable
        set query-v1-port 161
        set query-v2c-status enable
        set query-v2c-port 161
        set trap-v1-status enable
        set trap-v1-lport 162
        set trap-v1-rport 162
        set trap-v2c-status enable
        set trap-v2c-lport 162
        set trap-v2c-rport 162
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
    next
end

インターフェースの設定

GUI での設定と同様に、internal1 インターフェースの設定にて SNMP 通信を許可するよう設定してください。

config system interface
    edit "internal1"
        set allowaccess ping https ssh snmp http # ← snmpを含むよう設定する
    next
end

動作確認

監視ソフトとして OpManager を使って動作確認してみます。

ポーリングの確認

ファームウェアバージョンが取得できていることが確認できます。

トラップの確認

FortiGateのインターフェースにてLANケーブルを抜き差ししてみます。

リンクのダウン/アップを検知していることが確認できます。

HA 構成での SNMP 設定について

HA を構成している場合は、各インターフェースの IP アドレスが HA を構成している機器間で同期されて常にアクティブ機と通信することになるため、デフォルトではスタンバイ機の監視ができません。

スタンバイ機も監視できるようにするためには、以下の手順で設定を行う必要があります。

  1. HA を構成する各機器で管理インターフェースを設定する
  2. 上で説明している SNMP 設定を実施する
  3. SNMP 通信を管理インターフェースにて行うための設定を実施する

上記3.の設定について説明します。

SNMP 通信を管理インターフェースにて行うための設定は CLI でのみ実施可能です。

まず、上記手順の2.まで実施後のコンフィグが以下の内容だとします。

FW01 # show system snmp community
config system snmp community
    edit 1
        set name "hogehoge"
        config hosts
            edit 1
                set ip 10.1.10.3 255.255.255.255
            next
        end
    next
end

この場合の上記3.に該当する設定を実施するためには、監視サーバについての設定をする階層で set ha-direct enable コマンドを入力します。コマンド全体では以下の通りとなります。

config system snmp community
    edit 1
        config hosts
            edit 1
                set ha-direct enable
            next
        end
    next
end

設定後のコンフィグは以下の通りとなります。

FW01 # show system snmp community
config system snmp community
    edit 1
        set name "hogehoge"
        config hosts
            edit 1
                set ip 10.1.10.3 255.255.255.255
                set ha-direct enable
            next
        end
    next
end

この設定を実施することで、管理インターフェースを使用して機器別の監視が可能となります。

―――――――――――――

次のステップ → FortiGate での Syslog サーバ設定方法

―――――――――――――

タイトルとURLをコピーしました