Si has desplegado un clúster de FortiGate, tarde o temprano vas a necesitar monitorizarlo. No solo para comprobar que todo está funcionando correctamente, sino también para adelantarte a posibles problemas antes de que impacten en el servicio.
En este punto, hay dos enfoques bastante claros:
- Monitorizar el clúster como si fuera un único dispositivo
- Monitorizar cada nodo de forma independiente
El primer enfoque es el más sencillo de implementar, pero también el más limitado. Al tratar el clúster como una única entidad, pierdes visibilidad sobre el estado real de cada equipo: uso de CPU, memoria, interfaces o incluso fallos puntuales en un nodo concreto.
Por eso, en entornos donde necesitas un mayor nivel de control (producción, alta disponibilidad real, etc.), lo más recomendable es monitorizar cada nodo por separado.
Y aquí es donde entra en juego SNMP.
¿Qué es SNMP?
SNMP (Simple Network Management Protocol) es un protocolo estándar utilizado para monitorizar y gestionar dispositivos de red como firewalls, switches, routers o servidores.
Su funcionamiento es bastante sencillo: un sistema de monitorización (como Zabbix, PRTG o Nagios) consulta periódicamente a los dispositivos para obtener información sobre su estado.
Esta información puede incluir, entre otras cosas:
- Uso de CPU y memoria
- Estado de interfaces
- Tráfico de red
- Temperatura del equipo
- Eventos y alertas
Todo esto se obtiene a través de identificadores llamados OIDs (Object Identifiers), que permiten acceder a métricas concretas dentro del dispositivo.
¿Cuántas versiones de SNMP existen?
Actualmente existen tres versiones principales de SNMP:
- SNMPv1
Fue la primera versión del protocolo. Es muy básica y apenas incluye mecanismos de seguridad.
Utiliza cadenas de comunidad (community strings) en texto plano, lo que la hace poco recomendable hoy en día.
- SNMPv2c
Es una evolución de la versión anterior, con mejoras en rendimiento y gestión de errores.
Sigue utilizando community strings en texto plano, por lo que, aunque es más eficiente, mantiene limitaciones en seguridad.
- SNMPv3
Es la versión más actual y la recomendada en entornos profesionales.
Introduce mejoras clave en seguridad:
- Autenticación (usuario y contraseña)
- Cifrado de la comunicación
- Control de acceso
Gracias a esto, evita problemas como el envío de credenciales en claro o accesos no autorizados.
Comparativa de versiones SNMP
| Versión | Seguridad | Autenticación | Cifrado | Uso recomendado |
| SNMPv1 | Muy baja | Community string | No | Obsoleto |
| SNMPv2 | Baja | Community string | No | Solo en redes controladas |
| SNMPv3 | Alta | Usuario y contraseña | Sí | Entornos profesionales |
Como se puede ver, SNMPv3 es la única versión que incorpora mecanismos de seguridad robustos, por lo que es la opción recomendada en cualquier entorno de producción.
Configuración SNMP en FortiGate
- SNMPv1 / SNMPv2c
config system snmp sysinfo
set status enable
set description "FGT-LAB"
set append-index enable
end
config system snmp community
edit 1
set name "COMUNIDAD_SNMP"
config hosts
edit 1
set ip 192.168.100.150/32
next
end
next
end- SNMPv3
config system snmp sysinfo
set status enable
set description "FGT-LAB"
set append-index enable
end
config system snmp user
edit "SNMP_USER"
set notify-hosts 192.168.100.150
set security-level auth-priv
set auth-proto sha256
set auth-pwd PASSWORD
set priv-proto aes256
set priv-pwd PASSWORD
next
endConfiguración SNMP en clúster HA
Para poder monitorizar cada nodo de forma independiente dentro del clúster, es necesario habilitar el acceso directo a cada unidad:
config system snmp user
edit "SNMP_USER"
set ha-direct enable
next
endEste ajuste es clave, ya que permite que el sistema de monitorización consulte directamente cada nodo, en lugar de quedarse únicamente con la IP virtual del clúster.
Conclusión
Si quieres monitorizar correctamente un clúster de FortiGate, SNMP es una herramienta fundamental.
Aunque puedes optar por monitorizar el clúster como un todo, si realmente necesitas visibilidad y control, lo más adecuado es tratar cada nodo de forma independiente, apoyándote en SNMPv3 para garantizar la seguridad de la monitorización.