从 VMware Cloud Director 10.2.2 开始,可以为 SNMP v3 配置 VMware Cloud Director 设备。为 SNMP v3 配置 SNMP 代理时,该代理支持轮询并提供更强的安全性,包括加密身份验证和加密。
为 SNMP v3 配置
VMware Cloud Director 设备包括三部分。
- 配置 SNMP 引擎 ID
- 配置 SNMP 身份验证和隐私协议
- 配置 SNMP 用户
每个 SNMP v3 代理都具有一个引擎 ID 作为其唯一标识符。引擎 ID 与哈希函数配合使用可生成用于对 SNMP v3 消息进行身份验证和加密的本地化密钥。如果在启用 SNMP 代理之前未指定引擎 ID,则启用独立 SNMP 代理时,VMware Cloud Director 会生成一个引擎 ID。
要确保用户的身份,您可以使用 身份验证。隐私允许对 SNMP v3 消息进行加密以确保数据的保密性。隐私协议提供比 SNMP v1 和 v2c(使用社区字符串确保安全性)更高的安全性级别。身份验证和隐私都是可选项。但是,如果您打算启用隐私,则必须启用身份验证。
身份验证和隐私协议的默认值为 none。
您最多可配置五个有权访问 SNMP v3 信息的用户。用户名长度不得超过 32 个字符。在配置用户时,您可以根据用户的身份验证和隐私密码以及 SNMP 代理的引擎 ID 生成身份验证和隐私哈希值。配置用户后,如果更改引擎 ID、身份验证协议或隐私协议,则会使用户无效,您必须进行重新配置。
前提条件
如果要配置 SNMP 身份验证和隐私协议,请确认您知道计划配置的每个用户的身份验证和隐私密码。密码长度必须至少为八个字符。
过程
- 以具有管理特权的用户身份登录到设备 shell。
- 运行 vicfg-snmp --engineid 命令以配置目标。
例如,运行以下命令:
vicfg-snmp --engineid 80001f8880167b18238d613d6000000000
其中,80001f8880167b18238d613d6000000000 是 ID,一个介于 5 到 32 个字符之间的十六进制字符串。
- (可选) 要配置身份验证协议,请运行 vicfg-snmp --authentication 命令
例如,运行以下命令:
vicfg-snmp --authentication protocol
其中,
protocol 必须是
none(表示无身份验证)、
SHA1、
SHA256、
SHA384 或
SHA512。例如,如果要将身份验证协议设置为 SHA512,必须运行以下命令。
vicfg-snmp --authentication SHA512
- (可选) 要配置隐私协议,请运行 vicfg-snmp --privacy 命令。
例如,运行以下命令:
vicfg-snmp --privacy protocol
其中,
protocol 必须是
none(表示无隐私)、
AES128、
AES192 或
AES256。例如,如果要将隐私协议设置为
AES128,则必须运行以下命令。
vicfg-snmp --privacy AES128
- 如果您正在使用身份验证和/或隐私,要为用户生成身份验证和隐私哈希值,请运行以下命令。
vicfg-snmp --hashkey authentication-password privacy-password
您必须输入 authentication-password 和/或 privacy-password,具体取决于您的身份验证和隐私设置。密码长度必须至少为八个字符。记下 authentication-password 和 privacy-password,因为设置 SNMP 客户端时会需要这些值。该命令的输出包括身份验证本地化密钥和隐私本地化密钥信息。
- 通过运行以下命令配置一个或多个用户。
您可以指定多个用户,以逗号分隔列表的形式添加这些用户即可。最多可以配置五个用户。
vicfg-snmp --users userid/authhash/privhash/security
命令中的参数如下所示。
参数 |
描述 |
userid |
替换为用户名。 |
authhash |
替换为身份验证本地化密钥。 |
privhash |
替换为隐私本地化密钥。 |
model |
替换成为该用户启用的安全级别,可以为 auth(表示仅身份验证)、priv(表示身份验证和隐私)或 none(表示无身份验证或隐私)。 |
例如,如果要配置无安全性设置的用户,可以运行:
vicfg-snmp --users vcd-snmp-user/-/-/none
如果要配置具有授权哈希的用户,可以运行:
vicfg-snmp --users vcd-snmp-user/225e07958d3c6af615588db17d61986e69fb7a71/-/auth
如果要配置具有授权哈希和隐私哈希的用户,可以运行:
vicfg-snmp --users vcd-snmp-user/225e07958d3c6af615588db17d61986e69fb7a71/da1057af05f67a25a09265a9a2bedb53/priv
- (可选) 如果要删除一个或多个用户,请重复步骤 6,并输入新的用户详细信息。
再次运行
vicfg-snmp --users
将覆盖之前的任何设置。
- 运行以下命令,启用 SNMP。