FortiGate で SNMP 設定をする手順を説明します。
想定ネットワーク構成
以下のネットワーク構成を想定します。
FortiGateについて
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.0.6 build0272 (GA)
要件
- FortiGateと監視サーバの間でSNMP通信(ポーリング、トラップ)をできるようにする
- SNMP v1/v2cを使用する
- コミュニティ名は hogehoge とする
SNMP設定の手順
GUIで設定する場合の手順
[システム]→[SNMP]の画面にて、[システム情報]欄の[SNMPエージェント]をONにします。
その後、[SNMP v1/v2]の[新規作成]をクリックします。
新規SNMPコミュニティ画面にて、以下の通り設定します。
- コミュニティ名 → hogehoge(監視サーバ側の設定と同じコミュニティ名にする)
- ホスト
- IPアドレス → 10.1.10.3(監視サーバのIPアドレス)
- ホストタイプ → クエリを受け入れトラップを送信する
- その他 → 以下画像の通り(デフォルト値)
画面下側の続きにはSNMPイベントの項目がありますが、今回はデフォルト値のままとしますが、必要に応じて調整してください。
一通り設定できたら、OKボタンをクリックしてください。
その後、SNMP設定の画面で[SNMP v1/v2c]欄に設定したコミュニティ名が追加されていることを確認し、画面下部の適用をクリックします。
以上でSNMP設定は完了です。
インターフェースの設定
監視サーバ側のインターフェース intarnal1 について、インターフェースの管理アクセス設定でSNMP通信を許可するよう設定をしておいてください。
CLIで設定する場合の手順
SNMP設定に該当するコンフィグの項目は以下の2項目です。
- config system snmp sysinfo
- config system snmp community
config system snmp sysinfo
GUI での【システム情報>SNMP エージェントの有効/無効】の設定に該当します。
設定前のコンフィグは以下の通りです。
FW01 # show system snmp sysinfo
config system snmp sysinfo
end
設定コマンドは以下の通りです。
config system snmp sysinfo
set status enable
end
設定後、以下の通りコンフィグの status が enable となっていることを確認します。
FW01 # show system snmp sysinfo
config system snmp sysinfo
set status enable
endconfig system snmp community
GUI での【SNMP v1/v2c】の設定に該当します。
設定前のコンフィグは以下の通りです。
FW01 # show system snmp community
config system snmp community
end
SNMP コミュニティを設定するコマンドは以下の通りです。
config system snmp community
edit 1
set name "hogehoge"
set status enable
config hosts
edit 1
set ip 10.1.10.3 255.255.255.255
set host-type any
next
end
set query-v1-status enable
set query-v1-port 161
set query-v2c-status enable
set query-v2c-port 161
set trap-v1-status enable
set trap-v1-lport 162
set trap-v1-rport 162
set trap-v2c-status enable
set trap-v2c-lport 162
set trap-v2c-rport 162
set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
next
end
各設定の意味は以下の通りです。
config system snmp community
edit 1 #← コミュニティのID、コミュ日設定の階層の開始
set name "hogehoge" #← コミュニティ名
set status enable #← コミュニティを有効化
config hosts #← 監視サーバの設定の階層開始
edit 1 #← 1つ目の監視サーバの設定の階層開始
set ip 10.1.10.3 255.255.255.255 #← 監視サーバのIPアドレス
set host-type any #← ホストタイプ、anyだと「クエリを受け入れてトラップを送信する」
next
end
# ここから--------クエリとトラップの有効化、ポート番号の設定
# この中の設定値はデフォルト値になっているので明示的に設定しなくてもOK
set query-v1-status enable
set query-v1-port 161
set query-v2c-status enable
set query-v2c-port 161
set trap-v1-status enable
set trap-v1-lport 162
set trap-v1-rport 162
set trap-v2c-status enable
set trap-v2c-lport 162
set trap-v2c-rport 162
# ここまで--------クエリとトラップの有効化、ポート番号の設定
# set events はSNMPイベントを指定している
# 有効化したいイベントをスペース区切りで列挙している
# デフォルト値のままの場合は明示的に設定しなくてもOK
set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
next
end
設定後の show system snmp community の内容が想定通りであることを確認します。
FW01 # show system snmp community
config system snmp community
edit 1
set name "hogehoge"
config hosts
edit 1
set ip 10.1.10.3 255.255.255.255
next
end
next
end
出力内容が少ないですが、大体の設定項目の値がデフォルト値のためです。
フルコンフィグを出力してみると以下のようになっています。
FW01 # show full-configuration system snmp community
config system snmp community
edit 1
set name "hogehoge"
set status enable
config hosts
edit 1
set source-ip 0.0.0.0
set ip 10.1.10.3 255.255.255.255
set ha-direct disable
set host-type any
next
end
set query-v1-status enable
set query-v1-port 161
set query-v2c-status enable
set query-v2c-port 161
set trap-v1-status enable
set trap-v1-lport 162
set trap-v1-rport 162
set trap-v2c-status enable
set trap-v2c-lport 162
set trap-v2c-rport 162
set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open faz-disconnect wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high
next
endインターフェースの設定
GUI での設定と同様に、internal1 インターフェースの設定にて SNMP 通信を許可するよう設定してください。
config system interface
edit "internal1"
set allowaccess ping https ssh snmp http # ← snmpを含むよう設定する
next
end動作確認
監視ソフトとして OpManager を使って動作確認してみます。
ポーリングの確認
ファームウェアバージョンが取得できていることが確認できます。
トラップの確認
FortiGateのインターフェースにてLANケーブルを抜き差ししてみます。
リンクのダウン/アップを検知していることが確認できます。
HA 構成での SNMP 設定について
HA を構成している場合は、各インターフェースの IP アドレスが HA を構成している機器間で同期されて常にアクティブ機と通信することになるため、デフォルトではスタンバイ機の監視ができません。
スタンバイ機も監視できるようにするためには、以下の手順で設定を行う必要があります。
- HA を構成する各機器で管理インターフェースを設定する
- 上で説明している SNMP 設定を実施する
- SNMP 通信を管理インターフェースにて行うための設定を実施する
上記3.の設定について説明します。
SNMP 通信を管理インターフェースにて行うための設定は CLI でのみ実施可能です。
まず、上記手順の2.まで実施後のコンフィグが以下の内容だとします。
FW01 # show system snmp community
config system snmp community
edit 1
set name "hogehoge"
config hosts
edit 1
set ip 10.1.10.3 255.255.255.255
next
end
next
end
この場合の上記3.に該当する設定を実施するためには、監視サーバについての設定をする階層で set ha-direct enable コマンドを入力します。コマンド全体では以下の通りとなります。
config system snmp community
edit 1
config hosts
edit 1
set ha-direct enable
next
end
next
end
設定後のコンフィグは以下の通りとなります。
FW01 # show system snmp community
config system snmp community
edit 1
set name "hogehoge"
config hosts
edit 1
set ip 10.1.10.3 255.255.255.255
set ha-direct enable
next
end
next
end
この設定を実施することで、管理インターフェースを使用して機器別の監視が可能となります。
―――――――――――――
次のステップ → FortiGate での Syslog サーバ設定方法
―――――――――――――
