Wenn Sie den ESXi SNMP-Agenten für SNMPv3 konfigurieren, unterstützt der Agent das Senden von Benachrichtigungen (Traps und Informs) und das Empfangen von GET-, GETBULK- und GETNEXT-Anforderungen. SNMPv3 bietet zudem eine höhere Sicherheit als SNMPv1 oder SNMPv2c, einschließlich der Schlüsselauthentifizierung und -verschlüsselung.

Inform ist eine Benachrichtigung, die der Absender bis zu drei Mal erneut sendet, bis der Empfänger die Benachrichtigung bestätigt.

Konfigurieren der SNMP-Engine-ID

Jeder SNMP v3-Agent verfügt über eine Engine-ID, die als eindeutiger Bezeichner für den Agenten dient. Die Engine-ID wird mit einer Hashing-Funktion verwendet, um Schlüssel für die Authentifizierung und Verschlüsselung der SNMP v3-Meldungen zu generieren.

Wenn Sie keine Engine-ID angeben, bevor Sie den SNMP-Agenten aktivieren, wird automatisch eine Engine-ID generiert.

Wenn Sie ESXCLI-Befehle über ESXCLI ausführen, müssen Sie die Verbindungsoptionen angeben. Diese legen den Zielhost und die Anmeldedaten fest. Wenn Sie die ESXCLI-Befehle über die ESXi Shell direkt auf dem Host ausführen, ist die Angabe der Verbindungsoptionen nicht erforderlich. Weitere Informationen zu den Verbindungsoptionen finden Sie unter ESXCLI – Konzepte und Beispiele.

Voraussetzungen

Konfigurieren Sie den ESXi-SNMP-Agenten mithilfe der ESXCLI-Befehle. Weitere Informationen zur Verwendung von ESXCLI finden Sie unter Erste Schritte mit ESXCLI.

Prozedur

  • Führen Sie den Befehl esxcli system snmp set mit der Option --engineid aus, um die SNMP-Engine-ID zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --engineid id
    Hier ist id die Engine-ID. Es muss sich um eine hexadezimale Zeichenfolge mit 5 bis 32 Zeichen handeln.

Konfigurieren der SNMP-Authentifizierung und der Datenschutzprotokolle

SNMPv3 unterstützt optional die Authentifizierungs- und Datenschutzprotokolle.

Die Authentifizierung dient dem Sicherstellen der Identität der Benutzer. Der Datenschutz ermöglicht die Verschlüsselung von SNMP v3-Nachrichten, um die Vertraulichkeit der Daten sicherzustellen. Diese Protokolle bieten ein höheres Maß an Sicherheit als mit SNMPv1 und SNMPv2c, die dazu Community-Strings verwenden.

Sowohl die Authentifizierung als auch der Datenschutz sind optional. Allerdings müssen Sie die Authentifizierung aktivieren, um den Datenschutz aktivieren zu können.

Die Authentifizierungs- und Datenschutzprotokolle von SNMPv3 sind lizenzierte vSphere-Funktionen und stehen in einigen vSphere-Editionen möglicherweise nicht zur Verfügung.

Wenn Sie ESXCLI-Befehle über ESXCLI ausführen, müssen Sie die Verbindungsoptionen angeben. Diese legen den Zielhost und die Anmeldedaten fest. Wenn Sie die ESXCLI-Befehle über die ESXi Shell direkt auf dem Host ausführen, ist die Angabe der Verbindungsoptionen nicht erforderlich. Weitere Informationen zu den Verbindungsoptionen finden Sie unter ESXCLI – Konzepte und Beispiele.

Voraussetzungen

Konfigurieren Sie den ESXi-SNMP-Agenten mithilfe der ESXCLI-Befehle. Weitere Informationen zur Verwendung von ESXCLI finden Sie unter Erste Schritte mit ESXCLI.

Prozedur

  1. (Optional) Verwenden Sie den Befehl esxcli system snmp set mit der Option --authentication, um die Authentifizierung zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --authentication protocol
    Für protocol müssen Sie hier none (keine Authentifizierung) oder SHA1 angeben.
  2. (Optional) Verwenden Sie den Befehl esxcli system snmp set mit der Option --privacy, um den Datenschutz zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --privacy protocol
    Für protocol müssen Sie hier none (kein Datenschutz) oder AES128 angeben.

Konfigurieren der SNMP-Benutzer

Sie können bis zu 5 Benutzer konfigurieren, die auf die SNMP v3-Informationen zugreifen können. Benutzernamen dürfen nicht länger als 32 Zeichen sein.

Bei der Konfiguration eines Benutzers generieren Sie Hash-Werte für Authentifizierung und Datenschutz auf Basis der Authentifizierungs- und Datenschutzkennwörter des Benutzers und der Engine-ID des SNMP-Agent. Wenn Sie die Engine-ID, das Authentifizierungsprotokoll oder das Datenschutzprotokoll nach dem Konfigurieren der Benutzer ändern, sind die Benutzer nicht mehr gültig und müssen neu konfiguriert werden.

Wenn Sie ESXCLI-Befehle über ESXCLI ausführen, müssen Sie die Verbindungsoptionen angeben. Diese legen den Zielhost und die Anmeldedaten fest. Wenn Sie die ESXCLI-Befehle über die ESXi Shell direkt auf dem Host ausführen, ist die Angabe der Verbindungsoptionen nicht erforderlich. Weitere Informationen zu den Verbindungsoptionen finden Sie unter ESXCLI – Konzepte und Beispiele.

Voraussetzungen

  • Vergewissern Sie sich, dass Sie die Authentifizierungs- und Datenschutzprotokolle konfiguriert haben, bevor Sie Benutzer konfigurieren.
  • Prüfen Sie, ob Sie die Authentifizierungs- und Datenschutzkennwörter für jeden Benutzer kennen, den Sie konfigurieren möchten. Die Kennwörter müssen mindestens sieben Zeichen lang sein. Speichern Sie diese Kennwörter in Dateien auf dem Hostsystem.

  • Konfigurieren Sie den ESXi-SNMP-Agenten mithilfe der ESXCLI-Befehle. Weitere Informationen zur Verwendung von ESXCLI finden Sie unter Erste Schritte mit ESXCLI.

Prozedur

  1. Wenn Sie Authentifizierung oder Datenschutz verwenden, rufen Sie die Hash-Werte für Authentifizierung und Datenschutz des Benutzers mit dem Befehl esxcli system snmp hash und den Flags --auth-hash und --priv-hash ab.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp hash --auth-hash secret1 --priv-hash secret2
    Hier ist secret1 der Pfad zu der Datei, die das Kennwort für die Benutzerauthentifizierung enthält, und secret2 der Pfad zu der Datei, die das Kennwort für den Datenschutz des Benutzers enthält.

    Sie können auch das Flag --raw-secret verwenden und die Kennwörter direkt in die Befehlszeile eingeben.

    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp hash --auth-hash authsecret --priv-hash privsecret --raw-secret
    Die Ausgabe kann wie folgt lauten: 
    Authhash: 08248c6eb8b333e75a29ca0af06b224faa7d22d6
Privhash: 232ba5cbe8c55b8f979455d3c9ca8b48812adb97
    Die Hash-Werte für die Authentifizierung und den Datenschutz werden angezeigt.
  2. Konfigurieren Sie den Benutzer mit dem Befehl esxcli system snmp set und dem Flag --user.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --user userid/authhash/privhash/security
    Der Befehl akzeptiert die folgenden Parameter:
    Parameter Beschreibung
    userid Der Benutzername.
    authhash Der Hash-Wert für die Authentifizierung
    privhash Der Hash-Wert für den Datenschutz
    security Die Stufe der für diesen Benutzer aktivierten Sicherheit. Mögliche Werte sind auth (nur Authentifizierung), priv (Authentifizierung und Datenschutz) und none (keine Authentifizierung und kein Datenschutz).
    Führen Sie beispielsweise folgenden Befehl aus, um user1 für den Zugriff mit Authentifizierung und Datenschutz zu konfigurieren: 
    esxcli system snmp set --user user1/08248c6eb8b333e75a29ca0af06b224faa7d22d6/
232ba5cbe8c55b8f979455d3c9ca8b48812adb97/priv
    Um user2 für den Zugriff ohne Authentifizierung oder Datenschutz zu konfigurieren, müssen Sie folgenden Befehl verwenden. 
    esxcli system snmp set --user user2/-/-/none
  3. (Optional) Testen Sie die Benutzerkonfiguration mit dem folgenden Befehl: 
    esxcli system snmp test --user username --auth-hash secret1 --priv-hash secret2
    Wenn die Konfiguration korrekt ist, wird durch diesen Befehl die folgende Meldung ausgegeben: „User username validated correctly using engine id and security level: protocols“. protocols gibt hier die konfigurierten Sicherheitsprotokolle an.

Konfigurieren der SNMP v3-Ziele

Konfigurieren Sie SNMP v3-Ziele, damit der ESXi-SNMP-Agent SNMP v3-Traps und -Informs senden kann.

SNMP v3 ermöglicht das Senden von Traps und Informs. Eine Inform-Meldung ist eine Meldung darüber, dass der Absender maximal drei Mal neu sendet. Der Absender wartet zwischen jedem Versuch fünf Sekunden, es sei denn, die Meldung wird vom Empfänger bestätigt.

Sie können zusätzlich zu einem Maximum von drei SNMP v1/v2c-Zielen maximal bis zu drei SNMP v3-Ziele konfigurieren.

Um ein Ziel zu konfigurieren, müssen Sie Folgendes angeben: einen Hostnamen oder eine IP-Adresse des Systems, das die Traps oder Informs empfängt, einen Benutzernamen, eine Sicherheitsstufe und ob Traps oder Informs gesendet werden sollen. Die Sicherheitsstufe kann none (keine Sicherheit), auth (nur Authentifizierung), oder priv (Authentifizierung und Datenschutz) sein.

Wenn Sie ESXCLI-Befehle über ESXCLI ausführen, müssen Sie die Verbindungsoptionen angeben. Diese legen den Zielhost und die Anmeldedaten fest. Wenn Sie die ESXCLI-Befehle über die ESXi Shell direkt auf dem Host ausführen, ist die Angabe der Verbindungsoptionen nicht erforderlich. Weitere Informationen zu den Verbindungsoptionen finden Sie unter ESXCLI – Konzepte und Beispiele.

Voraussetzungen

  • Stellen Sie sicher, dass die Benutzer, die auf die Traps oder Informs zugreifen, sowohl für den ESXi-SNMP-Agent als auch für das Zielverwaltungssystem als SNMP-Benutzer konfiguriert sind.

  • Wenn Sie Informs konfigurieren, benötigen Sie die Engine-ID für den SNMP-Agent auf dem Remotesystem, das die Inform-Meldung empfängt.

  • Konfigurieren Sie den ESXi-SNMP-Agenten mithilfe der ESXCLI-Befehle. Weitere Informationen zur Verwendung von ESXCLI finden Sie unter Erste Schritte mit ESXCLI.

Prozedur

  1. (Optional) Wenn Sie Informs konfigurieren, konfigurieren Sie die Remotebenutzer, indem Sie den Befehl esxcli system snmp set mit der Option --remote-users ausführen.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --remote-users userid/auth-protocol/auth-hash/priv-protocol/priv-hash/engine-id
    Der Befehl akzeptiert die folgenden Parameter:
    Parameter Beschreibung
    userid Der Benutzername.
    auth-protocol Das Authentifizierungsprotokoll, none (keine Authentifizierung) oder SHA1.
    auth-hash Das Authentifizierungs-Hash bzw. -, wenn das Authentifizierungsprotokoll none ist.
    priv-protocol Das Datenschutzprotokoll, AES128 oder none.
    priv-hash Das Datenschutz-Hash bzw. -, wenn das Datenschutzprotokoll none ist.
    engine-id Die Engine-ID des SNMP-Agents auf dem Remotesystem, das die Inform-Meldung erhält.
  2. Führen Sie den Befehl esxcli system snmp set mit der Option --v3targets aus.
    Führen Sie beispielsweise folgenden Befehl aus: 
    esxcli system snmp set --v3targets hostname@port/userid/secLevel/message-type
    Der Befehl umfasst die folgenden Parameter.
    Parameter Beschreibung
    hostname Der Hostname oder die IP-Adresse des Verwaltungssystems, das die Traps oder Informs erhält.
    port Der Port des Verwaltungssystems, das die Traps oder Informs erhält. Wenn Sie keinen Port angeben, wird der Standardport 162 verwendet.
    userid Der Benutzername.
    secLevel Die Authentifizierungsebene und der Datenschutz, die Sie konfiguriert haben. Verwenden Sie auth, wenn Sie nur die Authentifizierung konfiguriert haben, priv, wenn Sie die Authentifizierung und den Datenschutz konfiguriert haben, und none, wenn Sie keine der beiden Optionen konfiguriert haben.
    message-type Der Typ der vom Verwaltungssystem empfangenen Meldungen. Verwenden Sie trap oder inform.
  3. (Optional) Führen Sie den folgenden Befehl aus, falls der ESXi-SNMP-Agent nicht aktiviert ist: 
    esxcli system snmp set --enable true
  4. (Optional) Senden Sie eine Testbenachrichtigung, um sicherzustellen, dass der Agent richtig konfiguriert ist, indem Sie den Befehl esxcli system snmp test ausführen.
    Der Agent sendet eine warmStart-Benachrichtigung an das konfigurierte Ziel.