Descripción
Este artículo proporciona la configuración del agente SNMP de FortiGate para que el administrador SNMP obtenga información de estado de la unidad FortiGate y para que la unidad FortiGate envíe trampas al administrador SNMP.
Solución
Para configurar el acceso SNMP – GUI:
1) Vaya a Red -> Interfaces
2) Elija una interfaz a la que se conecte un administrador SNMP y seleccione ‘Editar’
3) En Acceso administrativo, seleccione ‘SNMP’
4) Seleccione ‘Aceptar’
Nota: La configuración de los hosts de confianza se aplica a la mayoría de las formas de acceso administrativo, incluidos HTTPS, SSH y SNMP.
Cuando se identifica un host de confianza para una cuenta de administrador, FortiOS acepta el inicio de sesión de ese administrador solo desde uno de los hosts de confianza. Se descarta un inicio de sesión, incluso con las credenciales adecuadas, desde un host que no es de confianza.
Para configurar el agente SNMP – GUI:
1) Vaya a Sistema -> SNMP
2) Seleccione ‘Habilitar’ para el Agente SNMP
3) Ingrese un nombre descriptivo para el agente
4) Ingrese la ubicación de la unidad FortiGate
5) Ingrese un contacto o administrador para el agente SNMP o la unidad FortiGate
6) Seleccione ‘Aplicar’
Para agregar una comunidad SNMP v1/v2c – GUI:
1) Vaya a Sistema -> SNMP
2) En el área SNMP v1/v2c, seleccione ‘Crear nuevo’
5) Seleccione la interfaz si el administrador de SNMP no está en la misma subred que la unidad FortiGate
6) Ingrese el número de puerto que los administradores de SNMP en esta comunidad usan para las consultas SNMP v1 y SNMP v2c para recibir información de configuración de la unidad FortiGate.
Seleccione la casilla de verificación Habilitar para activar consultas para cada versión de SNMP
7) Ingrese los números de puerto local y remoto que la unidad FortiGate usa para enviar trampas SNMP v1 y SNMP v2c a los administradores de SNMP en esta comunidad
8) Seleccione la casilla de verificación Habilitar para activar trampas para cada versión de SNMP
9) Seleccione ‘Aceptar’
Para agregar una comunidad SNMP v3 – GUI:
1) Vaya a Sistema -> SNMP
2) En el área SNMP v3, seleccione ‘Crear nuevo’
3) Ingrese un nombre de usuario
4) Seleccione un nivel de seguridad y los algoritmos de autorización asociados
5) Ingrese la dirección IP de los administradores de SNMP del host de notificaciones que pueden usar la configuración en esta comunidad SNMP para monitorear la unidad FortiGate
6) Ingrese el número de puerto que usan los administradores de SNMP en esta comunidad para recibir información de configuración de la unidad FortiGate.
Seleccione la casilla de verificación Habilitar para activar consultas para cada versión de SNMP
7) Seleccione la casilla de verificación Habilitar para activar trampas
8) Seleccione ‘Aceptar’
Hay dos tipos de archivos MIB disponibles para las unidades FortiGate: Fortinet MIB y FortiGate Core MIB.
Vaya a Sistema -> SNMP y seleccione ‘Descargar archivo MIB SNMP de FortiGate’ y ‘Descargar archivo MIB de Fortinet Core’.
Configure el administrador SNMP para recibir trampas de la unidad FortiGate.
Si las unidades están en HA.
Cada unidad en el clúster envía sus propias trampas y el administrador puede consultar ambas unidades.
El puerto de administración de HA dedicado debe estar habilitado en la configuración de HA.
Nota.
La interfaz ha-management debe borrarse de todas las configuraciones y referencias (p. ej., rutas, servidor DHCP, políticas…) – ‘Ref’ debe ser 0. De lo contrario, ‘mgmt1’ no se presentará como una interfaz para elegir.
5.2 y 5.4:
# config system ha
set ha-mgmt-status enable
set ha-mgmt-interface «mgmt1»
set ha-mgmt-interface-gateway xxxx
end
# config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interfaz «interfazX»
establecer puerta de enlace xxxx
siguiente
final
final
desde 5.6:
la configuración ‘ha-direct’ debe estar habilitada en la configuración de SNMP
Para SNMPv3:
#config system snmp community
edit 1
# config hosts
edit 1
establece ha-direct enable
next
next
end
#config system snmp user
edit 1
establece ha-direct enable
next
next
end
Para SNMPv3:
para la resolución de problemas, recopile los siguientes comandos de depuración que emiten
Putty1:
#diagnose debug application snmpd -1
#diagnose debug consola timestamp enable
Masilla2:
#diagnosticar paquete sniffer cualquier «puerto 161 o puerto 162» 6 0 a
KB de notas internas para la versión anterior: https://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD36608
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!