Soms kan het noodzakelijk zijn om een specifieke interface op een FortiSwitch te monitoren met een tool als Zabbix, Cacti of Nagios. Daarvoor moet vaak gebruik gemaakt worden van het SNMP protocol om de interface-counters op te halen. Bij een FortiSwitch die wordt gemanaged door een FortiGate firewall, is dat wat lastiger omdat SNMP standaard niet aan staat. Hoe kan je dit dan aanpassen?
Fortilink subnet aanpassen
Bij een standaard installatie van de firewall met een fortilink interface, wordt het Fortilink IP adres ingesteld op een 169.254.x.x adres. Dit zal aangepast moeten worden naar een intern adres, bijvoorbeeld een 192.168.x.x adres. Hierbij moet ook de DHCP scope worden aangepast, zodat de FortiSwitch een nieuw IP krijgt.
DHCP reserveringen maken
De FortiSwitches die via de Fortilink zijn gekoppeld hebben nu een nieuw DHCP adres gekregen. Om er voor te zorgen dat deze switches niet van IP adres veranderen, is het aan te raden om de actieve lease om te zetten naar een reservering. Dit kan eenvoudig door in het dashboard / network de DHCP widget te selecteren, daar de bewuste leases van de switches op te zoeken en die vervolgens om te zetten naar een reservering.
Firewall policy maken
De volgende stap, is het aanmaken van een firewall policy regel die SNMP en ping doorlaat vanuit het segment waar de monitoring server staat, naar de fortilink interface. Normaal gesproken is dit niet toegestaan, want de fortilink is niet in de destination interface te selecteren. Dit is op te lossen op twee manieren: De firewall policy volledig in de CLI aanmaken, of eerst via de web interface aanmaken naar een andere interface, en die vervolgens met “edit in CLI” aan te passen naar de destination interface fortilink.
config firewall policy
edit 0
set name “Fortilink monitoring”
set srcintf “port1”
set dstintf “fortilink”
set action accept
set srcaddr “all”
set dstaddr “all”
set schedule “always”
set service “ALL”
set logtraffic disable
set nat enable
next
end
Switchcontroller instellingen
Op de firewall is het mogelijk om de standaard SNMP instellingen voor de switches te configureren:
config switch-controller snmp-sysinfo
set status enable
end
config switch-controller snmp-community
edit 1
set name “public”
next
end
In plaats van de snmp community string “public” kan natuurlijk ook SNMPv3 worden ingesteld met authenticatie en encryptie:
config switch-controller snmp-user
edit “voorbeeld”
set security-level auth-priv
set auth-pwd kies-een-mooi-password
set priv-pwd kies-een-mooie-sleutel
set auth-proto sha1
set priv-proto aes128
next
end
De switch heeft het management (dhcp) IP adres meestal op de “internal” interface staan, maar daar staat SNMP standaard niet bij. Daarom moet deze local-access nog worden aangepast om SNMP er bij te plaatsen.
config switch-controller security-policy local-access
edit “default”
set mgmt-allowaccess https ping ssh snmp
set internal-allowaccess https ping ssh snmp
next
end
Dit zou voldoende moeten zijn om de switches met SNMP uit te lezen in de monitoring tool.
