基于Fortinet MIB实现设备资产管理完整方案

基于Fortinet MIB实现设备资产管理完整方案

借助 FORTINET-CORE-MIB （飞塔通用）与 FORTINET-FORTIGATE-MIB （FortiGate专属），结合SNMP协议可自动化完成飞塔设备资产发现、信息采集、台账建立、状态巡检、生命周期管理 全流程资产管理。下文分前置准备、核心流程、字段采集、工具实操、批量运维、台账落地、排错、最佳实践八大模块讲解，适配单设备、批量园区/数据中心场景。

一、前置准备工作

1. 理解核心MIB与资产对应关系

两份MIB是资产数据的数据源，Fortinet企业根OID为1.3.6.1.4.1.12356（IANA分配），关键资产字段均基于此分支：

• FORTINET-CORE-MIB：全系列飞塔设备通用资产（序列号、管理语言、管理员账号、基础告警），是所有产品线的基础依赖库。
• FORTINET-FORTIGATE-MIB：FortiGate防火墙专属资产（设备型号、固件版本、VDOM、硬件配置、模块信息），仅适用于防火墙设备。

加载顺序要求：优先加载 FORTINET-CORE-MIB，再加载 FORTINET-FORTIGATE-MIB，否则会出现OID解析失败。

2. 下载匹配的MIB文件

需下载与设备固件版本、型号匹配的MIB，三种获取方式：

1. 设备Web界面直下（推荐）
   登录FortiGate → 系统(System) > SNMP，页面底部找到MIB下载入口，直接导出两个核心MIB文件。
2. Fortinet支持门户
   登录Fortinet Support，根据设备型号+固件版本检索对应MIB包下载。
3. 离线固件提取
   无外网环境时，解压设备固件镜像，从文件目录中提取MIB文本文件。

3. 设备端SNMP基础配置（必配）

所有待纳管Fortinet设备需开启SNMP代理，推荐SNMPv3（安全性最高），老旧网管可临时用SNMPv2c，禁止使用SNMPv1。

（1）SNMPv3 配置（生产环境首选）

config system snmp
    set status enable                  # 开启SNMP总开关
    config community
        edit "asset-monitor"          # 自定义SNMP组名
            set v3-status enable
            set v3-username FortiAsset
            set v3-auth-alg sha1      # 认证算法
            set v3-auth-pwd 密码123456
            set v3-priv-alg aes       # 加密算法
            set v3-priv-pwd 密码789012
            set hosts 网管服务器IP/32  # 仅允许网管IP访问（安全加固）
        next
    end
end

（2）SNMPv2c 配置（临时兼容）

config system snmp
    set status enable
    config community
        edit "public"
            set name 资产团体字       # 自定义团体名，不要使用默认public
            set hosts 网管服务器IP/32
        next
    end
end

关键加固：限制hosts仅允许资产管理服务器IP访问，避免SNMP探测泄露资产信息。

4. 部署资产管理工具

根据规模选择工具，分为单设备调试工具 和批量运维平台两类：

场景	推荐工具	用途
单设备调试、OID查询	iReasoning MIB Browser、Paessler SNMP Tester	解析MIB、单点验证字段、查看OID值
小规模（<50台）	Net-SNMP（snmpwalk/snmpget）	命令行批量采集、脚本导出
中大规模（>50台）	Zabbix、Prometheus+Grafana、ManageEngine	自动发现、定时采集、台账可视化、告警
专业资产系统	自研台账、ITSM平台（对接SNMP接口）	资产入库、变更、生命周期管理

二、核心资产管理流程（全链路）

整体流程分为 MIB加载 → 设备发现 → 资产字段采集 → 数据清洗 → 台账入库 → 定期巡检 → 资产变更审计 7步，形成闭环。

步骤1：网管工具加载MIB文件

以主流工具为例：

1. iReasoning MIB Browser
   打开软件 → File > Load MIBs，先选中FORTINET-CORE-MIB，再选中FORTINET-FORTIGATE-MIB加载，加载完成后左侧MIB树会展示Fortinet全分支。

2. Net-SNMP（Linux）
   将两个MIB文件放入/usr/share/snmp/mibs目录，修改/etc/snmp/snmp.conf添加配置：

   mibs +ALL                # 加载所有MIB
   defVersion 2c            # 默认SNMP版本（按需修改）

   执行snmptranslate验证OID解析是否正常。

3. Zabbix/Prometheus
   将MIB文件上传至平台MIB目录，重启SNMP服务，确保平台可识别Fortinet私有OID。

步骤2：网络内自动发现Fortinet设备

通过SNMP全网扫描，自动定位所有开启SNMP的飞塔设备，避免人工录入遗漏。

1. 命令行发现（Net-SNMP）
   扫描指定网段（示例：192.168.1.0/24），读取标准sysName（设备名称）判断存活设备：

   # SNMPv2c 扫描网段
   snmpwalk -v2c -c 团体字 192.168.1.1-254 1.3.6.1.2.1.1.5

2. Zabbix自动发现（企业级）
   创建发现规则 ：

   • IP范围：填写全网设备网段；
   • 检查项：SNMPv2c/SNMPv3，绑定sysName（OID:1.3.6.1.2.1.1.5）；
   • 发现动作：自动添加主机、关联Fortinet资产模板。

3. 识别设备类型：结合MIB树分支，区分FortiGate、FortiSwitch、FortiAP等不同产品线。

步骤3：采集核心资产字段（关键OID对照表）

结合两份MIB定义，梳理必备资产字段 、对应OID、数据含义，分为基础资产、硬件资产、系统资产、管理资产、业务资产五大类，所有OID均可从MIB文件中溯源。

1. 基础标识资产（必选，唯一标识设备）

资产字段	所属MIB	节点名称	完整OID	说明
设备序列号	FORTINET-CORE-MIB	fnSysSerial	1.3.6.1.4.1.12356.100.1.1.1	设备唯一资产编号，等同于硬件序列号，资产主键
设备名称	标准MIB	sysName	1.3.6.1.2.1.1.5	设备主机名
设备描述	标准MIB	sysDescr	1.3.6.1.2.1.1.1	包含型号、固件摘要
设备型号	FORTINET-FORTIGATE-MIB	fgModel	1.3.6.1.4.1.12356.101.1	FortiGate全型号分支（物理机/虚拟机/云机）

2. 系统&版本资产（固件与特征库）

资产字段	所属MIB	节点名称	完整OID
固件版本	FORTINET-FORTIGATE-MIB	fgSysVersion	1.3.6.1.4.1.12356.101.4.1.1
病毒库版本	FORTINET-FORTIGATE-MIB	fgSysVersionAv	1.3.6.1.4.1.12356.101.4.2.1
IPS特征库版本	FORTINET-FORTIGATE-MIB	fgSysVersionIps	1.3.6.1.4.1.12356.101.4.2.2
设备运行时长	标准MIB	sysUpTime	1.3.6.1.2.1.1.3
上次重启原因	FORTINET-FORTIGATE-MIB	fgSysRebootReason	1.3.6.1.4.1.12356.101.4.1.23

3. 硬件资产（硬件配置&状态）

资产字段	所属MIB	节点名称	完整OID
总内存容量	FORTINET-FORTIGATE-MIB	fgSysMemCapacity	1.3.6.1.4.1.12356.101.4.1.5
总磁盘容量	FORTINET-FORTIGATE-MIB	fgSysDiskCapacity	1.3.6.1.4.1.1.12356.101.4.1.7
CPU使用率	FORTINET-FORTIGATE-MIB	fgSysCpuUsage	1.3.6.1.4.1.12356.101.4.1.3
内存使用率	FORTINET-FORTIGATE-MIB	fgSysMemUsage	1.3.6.1.4.1.12356.101.4.1.4
风扇/电源状态	FORTINET-CORE-MIB	fnTrapFanFailure/fnTrapPowerSupply	陷阱告警（硬件故障资产巡检）

4. 管理&账号资产（安全审计类资产）

资产字段	所属MIB	节点名称	说明
管理语言	FORTINET-CORE-MIB	fnMgmtLanguage	设备Web/CLI界面语言
管理员数量	FORTINET-CORE-MIB	fnAdminNumber	设备管理员账号总数
管理员列表	FORTINET-CORE-MIB	fnAdminTable	账号名、允许登录IP/掩码（审计资产）
在线管理员	FORTINET-FORTIGATE-MIB	fgAdminLoggedInTable	在线用户、登录地址、登录时间（动态资产）

5. 业务资产（防火墙专属）

资产字段	说明
VDOM数量/状态	虚拟域数量、运行模式（NAT/透明）、HA角色
活跃会话数	整机并发会话，反映设备负载
VPN隧道数	IPsec/SSL VPN在线隧道数量
接口列表	接口名称、状态、带宽（端口资产）

步骤4：数据采集实操（命令行示例）

以 Net-SNMP 为例，提供常用采集命令，可直接写入脚本批量导出数据。

1. 单设备读取序列号（资产主键）

# SNMPv2c 格式
snmpget -v2c -c 团体字 设备IP 1.3.6.1.4.1.12356.100.1.1.0

# SNMPv3 格式
snmpget -v3 -u FortiAsset -l authPriv -a sha1 -A 认证密码 -x aes -X 加密密码 设备IP 1.3.6.1.4.1.12356.100.1.1.0

2. 批量读取网段设备序列号+固件版本

# 遍历192.168.1.0/24，采集序列号、固件版本，输出到文本
snmpwalk -v2c -c 团体字 192.168.1.1-254 1.3.6.1.4.1.12356.100.1.1 > asset_serial.txt
snmpwalk -v2c -c 团体字 192.168.1.1-254 1.3.6.1.4.1.12356.101.4.1.1 > asset_firmware.txt

3. 导出管理员账号表（审计用）

snmpwalk -v2c -c 团体字 设备IP 1.3.6.1.4.1.12356.100.1.2.100.2

步骤5：数据清洗与台账入库

1. 数据清洗
   对采集的原始数据去重、过滤无效IP、解析OID对应的文本内容（如将数字状态转为"启用/故障"）。
2. 建立资产台账
   推荐台账字段（结合运维、审计、生命周期需求）： 设备IP、设备主机名、序列号（主键）、设备型号、固件版本、病毒库版本、内存/磁盘、上线时间、位置、负责人、SNMP状态、硬件状态、最近重启时间。
3. 入库方式
   • 小规模：将清洗后数据导入Excel/WPS手工台账；
   • 中大规模：对接ITSM、CMDB系统，通过API自动同步SNMP采集数据。

步骤6：定期巡检与资产状态更新

利用MIB对应的SNMP Trap告警+定时采集，实现资产动态监控：

1. 静态资产更新：每周定时采集固件、特征库版本，记录版本变更（版本升级台账）；
2. 动态资产巡检：每日采集CPU、内存、接口状态、在线用户；
3. 硬件故障告警：订阅FORTINET-CORE-MIB中的硬件Trap（风扇、电源、高温、磁盘满），硬件资产异常实时告警。

步骤7：资产变更审计

当设备固件升级、账号变更、IP修改、硬件扩容时，通过MIB采集数据对比历史台账，自动识别变更：

• 账号变更：对比fnAdminTable前后数据；
• IP变更：监控fnTrapIpChange陷阱（接口IP变更告警）；
• 固件升级：对比fgSysVersion版本号。

三、批量自动化资产方案（企业级）

针对数百台飞塔设备的大型网络，基于 Zabbix + MIB + 自动发现 实现全自动化资产管理：

1. 模板制作
   在Zabbix中创建Fortinet资产模板，绑定上述所有资产OID，设置采集周期（静态资产1天，动态资产5分钟）。
2. 网络发现规则
   配置多网段发现，自动发现设备并关联资产模板。
3. 报表与导出
   利用Zabbix报表功能，一键导出全资产清单、版本统计、硬件状态报表，支持按位置/型号筛选。
4. 告警联动
   硬件故障、版本过低、非法管理员登录时，触发邮件/短信告警。

四、常见问题与排错

1. MIB加载后OID无法解析

• 原因：MIB加载顺序错误、MIB版本与设备固件不匹配；
• 解决：严格先加载FORTINET-CORE-MIB，再加载业务MIB；重新下载对应固件版本的MIB文件。

2. SNMP采集超时/无数据

1. 检查设备SNMP开关、团体字/用户名密码；
2. 检查设备hosts访问限制，是否放行网管IP；
3. 网络策略：防火墙是否放行UDP 161端口（SNMP默认端口）。

3. 部分资产字段读取为空

• 原因：设备型号不支持该OID（如低端机型无磁盘传感器）、权限不足；
• 解决：对照MIB文档确认字段适配机型，检查SNMP账号只读权限。

4. Trap告警收不到

• 检查设备SNMP Trap配置，填写正确网管服务器IP；
• 网管服务器放行UDP 162 Trap端口。

五、资产管理最佳实践

1. 安全优先 ：生产环境统一使用 SNMPv3，禁用SNMPv1/v2c，严格限制SNMP访问IP；
2. MIB版本对齐：设备固件升级后，同步更新网管侧MIB文件，避免解析异常；
3. 资产分级：核心设备（数据中心防火墙）缩短采集周期，分支设备延长周期；
4. 双备份：SNMP自动台账 + 手工纸质台账双重备份，防止系统故障丢失资产数据；
5. 定期审计：每月基于MIB采集的管理员账号、登录日志做安全审计。

六、总结

Fortinet MIB是飞塔设备原生资产数据源 ，依托标准SNMP协议可实现零代理、自动化资产管理，核心价值：

1. 依托fnSysSerial等唯一字段，保证资产身份准确，杜绝手工录入错误；
2. 全维度采集硬件、固件、账号、业务数据，覆盖资产静态信息与动态状态；
3. 结合SNMP Trap实现硬件故障、配置变更实时审计，延伸资产运维能力；
4. 兼容命令行、商用网管、CMDB等各类平台，适配不同规模网络。

整套方案无需额外部署插件，仅利用设备自带SNMP与MIB即可落地，是飞塔网络设备资产管理的标准方案。