Fortinet商品など
FortiGateのSNMPの設定について
FortiGate(FortiOS)には、ネットワーク監視や管理システム(Zabbix、PRTG、Nagiosなど)から監視情報を取得するための SNMP(Simple Network Management Protocol)機能 が搭載されています。
ここでは、FortiOS公式CLI仕様と実運用でのベストプラクティスに基づいた、正確な設定方法を解説します。
SNMP設定の全体像
FortiGateでSNMPを利用する際は、以下の項目を段階的に設定します。
| 構成項目 | 内容 |
|---|---|
| SNMPエージェント | FortiGateがSNMP要求に応答するための基本設定 |
| SNMPバージョン | v1 / v2c / v3 を選択(v3は暗号化・認証対応) |
| コミュニティ or ユーザ | v1/v2cではcommunity string、v3ではユーザ認証情報 |
| アクセス許可 | SNMPクエリを許可するインターフェースと送信元IP |
| トラップ送信 | 監視サーバへアラート(trap)を送信 |
| MIB / OID | 取得可能な監視項目の管理情報ベース |
設定上の重要ポイント(精査済み)
SNMPエージェントの有効化箇所
SNMPを有効化する設定は config system snmp sysinfo 配下で行います。
この中で set status enable を指定し、連絡先・設置場所などの情報を設定します。
config system snmp sysinfo
set status enable
set contact-info "admin@example.com"
set location "Tokyo-DC"
end
インターフェース側でSNMP通信を許可
SNMPは、通信を受け付けるインターフェースで allowaccess snmp が有効になっている必要があります。
忘れるとポーリング要求を受け付けません。
config system interface
edit "port1"
set allowaccess ping https ssh snmp
next
end
v1 / v2c コミュニティ設定
v1/v2cは「コミュニティ(community)」で認証します。
ホスト(監視サーバ)を登録する際は config hosts セクションを使用し、インターフェースとIPを明示します。
config system snmp community
edit 1
set name "readonly-v2c"
set query-v2c-status enable
set events cpu-high mem-low log-full
config hosts
edit 1
set interface "port1"
set ip 192.0.2.10 255.255.255.255
set host-type query
next
edit 2
set interface "port1"
set ip 192.0.2.20 255.255.255.255
set host-type trap
next
end
next
end
補足
host-type query:SNMPポーリング許可host-type trap:トラップ送信先set events:トラップ対象イベント(例:CPU高負荷、メモリ低下、ログ領域満杯など)
SNMP v3 設定(AuthPriv例)
SNMPv3は強固な認証・暗号化を備えています。
CLI上では config system snmp user ブロックで設定します。
queries enable を忘れずに有効化しましょう。
config system snmp user
edit "snmpv3user01"
set status enable
set security-level auth-priv
set auth-proto sha256
set auth-pwd "AuthPass#2025"
set priv-proto aes256
set priv-pwd "PrivPass#2025"
set queries enable
set query-port 161
set notify-hosts 192.0.2.20
set events cpu-high mem-low log-full
next
end
ポイント
- v3では
notify-hostsがトラップ送信先の設定になります。- ポーリングを許可する送信元IPは、Local-in policy で制御します。
Local-in Policyによるポーリング元制御(v3で推奨)
config firewall local-in-policy
edit 1
set intf "port1"
set srcaddr "NMS-192.0.2.10"
set dstaddr "all"
set action accept
set service "SNMP"
set schedule "always"
next
end
これにより、特定のNMS(ネットワーク監視サーバ)IPのみがFortiGateへSNMPアクセス可能となります。
VDOM・高度設定オプション
- VDOM環境
管理VDOM以外からのSNMPクエリを許可する場合は
config system snmp sysinfo内でset non-mgmt-vdom-query enableを設定。 - エンジンID設定(SNMPv3専用)
v3トラップに必要な場合はset engine-id-type textとset engine-id <string>を指定。 - MIB View(FortiOS 7.2以降)
SNMPで参照可能なOIDをサブツリー単位で制限可能。
セキュリティ要件のある環境での情報露出を抑制できます。
動作確認の手順
疎通確認
ping <FortiGate管理IP>
v2cでの確認
snmpwalk -v2c -c readonly-v2c <FortiGate-IP> 1.3.6.1.2.1.1.1.0
v3での確認(AuthPriv)
snmpwalk -v3 -l authPriv -u snmpv3user01 \
-a SHA -A 'AuthPass#2025' -x AES -X 'PrivPass#2025' \
<FortiGate-IP> 1.3.6.1.2.1.1
トラップテスト
トラップ受信サーバ(UDP 162)を起動し、FortiGate側でログ満杯・CPU高負荷イベントを発生させて受信可否を確認。
よくある設定ミスと対策
| 問題 | 原因 | 対処法 |
|---|---|---|
| SNMPが応答しない | allowaccess snmp 無効 |
インターフェース設定でSNMPを許可 |
| トラップが届かない | host-type trap未設定、ポート遮断 | config hostsでtrap定義+UDP162許可確認 |
| v3接続エラー | 認証情報や暗号方式不一致 | security-level / auth-proto / priv-protoを確認 |
| VDOM環境で監視不可 | non_mgmt_vdom_query未設定 | 管理VDOM設定を見直す |
| OID取得制限 | MIB Viewが制限中 | MIB Viewを確認または無効化 |
GUIから設定する場合の手順
- System → SNMP
SNMPエージェントを有効化、contact / location を設定。 - New Community / New User
v1/v2cまたはv3の設定を追加。 - Network → Interfaces
SNMPアクセスを許可するインターフェースで「SNMP」にチェック。 - Apply / Save
設定を保存し、有効化。
まとめ
FortiGateでのSNMP設定は、CLIで行うとより確実で柔軟です。
ポイントは以下の3つです。
config system snmp sysinfoで有効化すること- インターフェースで
allowaccess snmpを忘れないこと - v3では
notify-hostsと Local-in policy の併用が必須
これらを押さえれば、FortiGateを安定して監視システムに統合できます。
以上、FortiGateのSNMPの設定についてでした。
最後までお読みいただき、あありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
