2011 FortiGate (SNMP) [Bu dökümanda SNMP metodunu kullanarak FortiGate cihazlarındaki trafik, cpu, ram, session vb. bilgilerin nasıl anlık takip edileceği anlatılmıştır.] v400-build0482-rev.01 RZK Mühendislik ve Bilgisayar Sistemleri 0
FortiGate (SNMP) Datasheet SNMP nedir? "Simple Network Management Protocol"'ün kısaltmasıdır. "Basit Ağ Yönetimi Protokolü" adı verilen bu teknoloji, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar. SNMP, ağ cihazlarında yönetimsel bilgi alışverişinin sağlanması için oluşturulmuş bir uygulama katmanı protokolüdür. TCP/IP protokolünün bir parçası olan SNMP; ağ yöneticilerinin ağ performansını arttırması, ağ problemlerini bulup çözmesi ve ağlardaki genişleme için planlama yapabilmesine olanak sağlar. Günümüzde kullanımda olan 3 tane SNMP sürümü mevcuttur. 3. sürüm SNMP'ye pek çok güvenlik özelliği getirmiştir. MIB ler hiyerarşik bir yapıda kayıtlı tutulan bilgi koleksiyonudur. SNMP de belirli bir değişkenin değerine ulaşmak için evrensel olarak belirlenmiş bu koleksiyonun ilgili birimi kullanılır. Örneğin bir cihazın üreticisi tarafından atanan cihaz açıklaması için 1.3.6.1.2.1.2 birimindeki bilgiye ulaşmak gerekir. Ağaç yapısında bu rakamların karşılığı iso. identified-organization. Dod. internet. mgmt. mib-2. description değerine karşılık gelmektedir. SNMP büyük ve uzaktan yönetilme zorunluluğu doğan ağ cihazlarının tek bir merkezden gözlenmesi ve ayarlanmasına olanak sağlar. Sunucular, routerlar, modemler ve kişisel bilgisayarlar gibi ağı oluşturan tüm birimlerde birer SNMP ajanı bulunabilir. Bunlar Ağ Yönetim Sisteminin çalıştığı birime istek üzerine çalıştırdıkları hizmetlerle ilgili bilgileri sağlayabilecekleri gibi oluşan herhangi bir acil durumu da bu sisteme bildirip sorundan en hızlı şekilde haberdar edilmesini sağlayabilirler. Güvenlik açıklarından dolayı güvenliği sağlanmamış ağlarda kullanımı hâlâ bir tehdit olduğundan SNMP kişisel ağlarda pek fazla uygulama bulamamıştır. Her ne kadar üçüncü sürümde güvenliği sağlayıcı bazı önlemler alınmış olsa bile kullanımı artmamıştır. Örnekte kullanılan sistem : v4.0 MR3 Patch 2 build 0482 FortiGate (SNMP) v400-build0482-rev.01 1
FortiGate SNMP Ayarları Öncelikle FortiGate cihazımızın SNMP özelliğini açmamız ve gerekli ayarları yapılandırmamız gerekiyor. SNMP Agent seçeneğini Enable ediyoruz. SNMP v1/v2c bölümünde Create New butonuna basıyoruz. NOT : SNMP v3 bölümünü SNMP bağlantımızı güvenli ve şifreli yapmak istersek açabiliriz. Community Name alanına public yazıyoruz. Hosts bölümüne FortiGate cihazımıza SNMP izni vereceğimiz istasyonların IP adreslerini girmemiz gerekiyor. Böylece sadece bu IP adresleri, belirlenen Interface üzerinden SNMP bağlantısı yapabilecektir. SNMP ile ulaşacağımız portun SNMP erişimini aşağıdaki gibi açmanız gerekiyor. FortiGate (SNMP) v400-build0482-rev.01 2
MRTG Sisteminin Windows İşletim Sistemine Kurulumu ve Ayarları MRTG yazılımı Perl altyapısını kullandığından öncelikle bilgisayarınıza Active Perl yazılımını kurmanız gerekmektedir. http://www.activestate.com/activeperl/downloads adresinden işletim sisteminize uygun olan Active Perl yazılımını indirip kurunuz. FortiGate (SNMP) v400-build0482-rev.01 3
MRTG yazılımını sitesinden (http://oss.oetiker.ch/mrtg/pub/mrtg-2.17.2.zip) indirerek zip dosyası içeriğini c:\mrtg klasörüne açın. Daha sonra c:\mrtg\bin klasörünün doğru bir şekilde açıldığından emin olunuz. Bilgisayarınızı restart ediniz. (Aşağıdaki adımlara başlamadan önce mutlaka yapınız.) Restart işleminden sonra komut satırından c:\mrtg\bin altında perl mrtg komutunu çalıştırınız. Karşınıza aşağıdaki gibi bir sonuç çıkıyorsa Active Perl kurulumu sorunsuz tamamlanmış demektir. MRTG yazılımının sürekli olarak çalışması için Windows Servislerine eklememiz gerekiyor. Bunun için srvany.exe ve instsrv.exe dosyalarına ihtiyacımız olacak. Windows Server 2003 Resource Kit Tools paketini kurmanız gerekmektedir. ( http://www.microsoft.com/download/en/details.aspx?id=17657 ) FortiGate (SNMP) v400-build0482-rev.01 4
c:\program Files\Windows Resource Kits\Tools dizini altındaki srvany.exe ve instsrv.exe dosyalarını c:\mrtg\bin klasörüne kopyalayınız. c:\mrtg\bin klasörü içinde mrtg.reg isimli bir text tabanlı dosya oluşturup içine aşağıdaki satırları kopyalayınız ve kaydediniz. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRTG\Parameters] "Application"="c:\\Perl\\bin\\wperl.exe" "AppParameters"="c:\\mrtg\\bin\\mrtg --logging mrtg.log c:\\mrtg\\bin\\my_mrtg.cfg" "AppDirectory"="c:\\mrtg\\bin\\" Şimdiki adımda MRTG servisinin Windows servislerine eklenmesini uygulayacağız. Komut satırından c:\mrtg\bin klasörü altında iken aşağıdaki komutları sırasıyla çalıştırınız. instsrv MRTG c:\mrtg\bin\srvany.exe regedit /s mrtg.reg FortiGate (SNMP) v400-build0482-rev.01 5
Windows Servisleri listesine MRTG isimli servis otomatik çalışacak şekilde eklenmiştir. Son olarak MRTG konfigürasyon dosyamızı oluşturarak, SNMP ile FortiGate üzerinden bilgileri alacağız. Komut satırında c:\mrtg\bin klasörüne geçiniz. Aşağıdaki komutu kullanarak konfigürasyon dosyasının oluşmasını sağlayınız. Oluşan my_mrtg.cfg dosyasını editörde açınız. Kırmızı seçili olan satırları ekleyiniz, mavi seçili olan satırları değiştiriniz. Mavi satırların başındaki # işaretini siliniz. c:\mrtg klasörü altında www klasörü açınız. FortiGate (SNMP) v400-build0482-rev.01 6
Yine komut satırında aşağıdaki komutu çalıştırınız. Böylece web portalının ana sayfası oluşturulmuş olacaktır. Son olarak MRTG servisini başlatınız. c:\mrtg\www klasörü altındaki index.htm dosyasını internet gezgininde açınız. FortiGate (SNMP) v400-build0482-rev.01 7
Grafiklerden herhangi birine tıklarsanız açılan sayfada günlük, haftalık ve yıllık trafik şemalarını görebilirsiniz. Örnekte wan1 internet bacağındaki aktif trafik bilgisi görünmektedir. FortiGate komut satırındaki SNMP debug çıktısı. FortiGate (SNMP) v400-build0482-rev.01 8
PRTG Sisteminin Windows İşletim Sistemine Kurulumu ve Ayarları PRTG yönetim istasyonu, MRTG ye göre windows sistemine daha kolay kurulan ve ayarlarının otomatik olarak yapıldığı sistemdir. Öncelikle PRTG Network Monitor programını http://www.paessler.com/prtg/download adresinden indiriniz ve kurunuz. (Not : Freeware sürümü indirmelisiniz. Diğer sürümler trial olduğundan kısıtlı sürümlerdir.) FortiGate (SNMP) v400-build0482-rev.01 9
Ayrıca FortiGate için MIB ve Core-MIB dosyalarını support.fortinet.com portalından hesabınıza bağlanarak, FortiGate cihazınızda kurulu olan firmware e uygun dosyaları indirmelisiniz. ( FortiGate/v4.00/CoreMIB/FORTINET-CORE-MIB.mib) ( FortiGate/v4.00/4.0MR3/MR3_Patch_1/MIB/FORTINET-FORTIGATE-MIB.mib) MIB kütüphanesini PRTG sistemine uygun hale getirmek için MIB Importer programını indiriniz ve kurunuz. ( http://www.paessler.com/download/mibimporter ) MIB Importer kurulduktan sonra programı açınız ve FORTINET-FORTIGATE-MIB.mib dosyasını Import ediniz. Şekilde gösterilen 2 satırı Ctrl+X ile listeden siliniz. Daha sonra File>Save As ile farklı kaydederek dosyayı c:\program Files\PRTG Network Monitor\snmplibs klasörü altına fortiosmib adıyla kaydediniz.(not : Eğer bu 2 parametre silinmezse cihaza SNMP ile erişirken aktif olarak kaç adet oturum[session] var ise o sayı kadar sensör açacaktır. Bu da çoğu zaman problemlere ve kilitlenmelere yol açmaktadır.) FortiGate (SNMP) v400-build0482-rev.01 10
Login Name : prtgadmin Password : prtgadmin yazarak portala giriş yapınız. FortiGate (SNMP) v400-build0482-rev.01 11
Add Sensor menüsünden Create a new Device seçeneğini seçiniz. Add Device sayfasında Create a new group seçiniz. Add Group sayfasında 1st group seçip Continue butonuna basınız. FortiGate (SNMP) v400-build0482-rev.01 12
Group Name alanına My Group ismini verip Continue butonuna basınız. Açılan pencerede Add Device linkine basınız. FortiGate (SNMP) v400-build0482-rev.01 13
Açılan pencerede Device Name ve SNMP yapacağınız FortiGate IP adresini giriniz. Inherit Credentials for SNMP Devices sekmesi içinde SNMP Version v2c seçiniz. Community String public olarak kalacaktır. Continue butonuna basarak işlemi bitiriniz. Gelen sayfada Add Sensor linkine tıklayarak ve aşağıdaki yönergeleri takip ederek gerekli sensörleri ekleyiniz. FortiGate (SNMP) v400-build0482-rev.01 14
Sensör listelerinden SNMP Traffic seçimini Add This butonuna tıklayarak ekleyiniz. Gelen listeden monitör etmek istediğiniz portları seçip Continue butonuna basınız. FortiGate (SNMP) v400-build0482-rev.01 15
Şekilde görüldüğü gibi 3 adet port listeye eklendi ve monitör edilmeye başlandı. Her sensörün içine girerek Live Data sekmesine tıkladığınızda ekrandaki gibi verileri hem grafik hem de tablo olarak görebilirsiniz. FortiGate (SNMP) v400-build0482-rev.01 16
Ana sayfadan Local probe altındaki Core Health, Probe Health ve System Health sensörlerini silemezsiniz. Programla varsayılan gelen bu 3 sensörün dışında kalan sensörleri sağ tıklayarak silebilirsiniz. Böylece toplam 7 sensör ekleyebilirsiniz. Çünkü freeware olan bu sürüm 10 sensör desteklemektedir. FortiGate cihazının altından Add Sensor butonuna basınız. FortiGate (SNMP) v400-build0482-rev.01 17
Sensör listelerinden SNMP Library seçimini Add This butonuna tıklayarak ekleyiniz. Kütüphane listesinden Fortiosmib.oidlib dosyasını seçip Ok butonuna basınız. FortiGate (SNMP) v400-build0482-rev.01 18
Gelen liste FortiGate in MIB kütüphanesidir. Birçok bilgiye buradan seçerek ulaşabilirsiniz. Örneğimizde CPU, RAM ve oturum(session) sayısı bilgilerini ekleyelim. Sonuçta hem Traffic SNMP hem de Library sonuçlarını aynı cihaz altında birleştirerek sonuçları monitör ve analiz edebilirsiniz. FortiGate (SNMP) v400-build0482-rev.01 19
Ek Kaynaklar : http://tr.wikipedia.org/wiki/snmp http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-system-admin-40-mr3.pdf http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-cli-40-mr3.pdf http://oss.oetiker.ch/mrtg/ http://www.paessler.com/prtg http://www.activestate.com/activeperl RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2-4 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 FortiGate (SNMP) v400-build0482-rev.01 20