Wenn Sie den SNMP-Agenten für SNMP v3 konfigurieren, unterstützt der Agent das Senden von Traps. SNMP v3 bietet zudem eine höhere Sicherheit als v1 und v2c, einschließlich der kryptographischen Authentifizierung und Verschlüsselung.

SNMP v3-Berichte werden nicht unterstützt. vCenter Server unterstützt nur Benachrichtigungen wie v1/v2c-Traps und v3-Traps mit allen Sicherheitsstufen.

Konfigurieren der Engine-ID für SNMP

Jeder SNMP v3-Agent verfügt über eine Engine-ID, die als eindeutiger Bezeichner für den Agent dient. Die Engine-ID wird mit einer Hashing-Funktion verwendet, um lokalisierte Schlüssel für die Authentifizierung und Verschlüsselung der SNMP v3-Meldungen zu generieren.

Wenn Sie keine Engine-ID angeben, bevor Sie den SNMP-Agenten aktivieren, wird eine Engine-ID generiert, wenn Sie den eigenständigen SNMP-Agenten aktivieren.

Prozedur

  1. Greifen Sie auf die Appliance-Shell zu und melden Sie sich als Benutzer mit Administrator- oder Superadministratorrolle an.
    Der Standardbenutzer mit der Superadministratorrolle ist „root“.
  2. Führen Sie den snmp.set --engineid-Befehl aus, um das Ziel zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.set --engineid 80001adc040102030405060708091011
    wobei der Wert in hexadezimale Ziffern aufgeteilt werden kann
    80:00:1a:dc:04:24:17:e2:02:b8:61:3f:54:00:00:00:00

    und wie folgt dekodiert werden kann:

    80: -- RFC 3411-Codierung gilt als High-Bit '10000000' 0x80 und die niedrigeren 7 Bits 0 sind Teil der Unternehmens-ID.

    00:1a:dc -- Rest der Unternehmens-ID, der von VMware analysierte Wert ist, 1a:dc hexadezimal (6876 in dezimal).

    04: -- Typ der Engine-ID gemäß RFC 3411, Seite 42. Wird hier „4“ angegeben, gibt dies an, dass verbleibende Oktette in Text übersetzt werden können.

    0102030405060708091011 -- Vom Operator angegebener Text in Hexadezimalzeichen codiert.

Konfigurieren der SNMP-Authentifizierung und der Datenschutzprotokolle

SNMP v3 unterstützt optional die Authentifizierungs- und Datenschutzprotokolle.

Die Authentifizierung dient dem Sicherstellen der Identität der Benutzer. Der Datenschutz ermöglicht die Verschlüsselung von SNMP v3-Nachrichten, um die Vertraulichkeit der Daten sicherzustellen. Die Datenschutzprotokolle bieten ein höheres Maß an Sicherheit als SNMP v1 und v2c, die dazu Community-Strings verwenden.

Sowohl die Authentifizierung als auch der Datenschutz sind optional. Allerdings müssen Sie die Authentifizierung aktivieren, um den Datenschutz aktivieren zu können.

Die Authentifizierungs- und Datenschutzprotokolle von SNMP v3 sind lizenzierte vSphere-Funktionen und stehen in einigen vSphere-Editionen möglicherweise nicht zur Verfügung.

Prozedur

  1. Greifen Sie auf die Appliance-Shell zu und melden Sie sich als Benutzer mit Administrator- oder Superadministratorrolle an.
    Der Standardbenutzer mit der Superadministratorrolle ist „root“.
  2. (Optional) Führen Sie den snmp.set --authentication-Befehl aus, um die Authentifizierung zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.set --authentication protocol
    Hier muss protocol entweder none (keine Authentifizierung), SHA1 oder MD5 sein.
  3. (Optional) Führen Sie den snmp.set --privacy-Befehl aus, um das Datenschutzprotokoll zu konfigurieren.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.set --privacy protocol
    Hier muss protocol entweder none (kein Datenschutz) oder AES128 sein.

Konfigurieren der SNMP-Benutzer

Sie können bis zu fünf Benutzer konfigurieren, die auf die SNMP v3-Informationen zugreifen können. Benutzernamen dürfen nicht länger als 32 Zeichen sein.

Im Rahmen der Konfiguration eines Benutzers generieren Sie Hash-Werte für die Authentifizierung und den Datenschutz auf Basis der Kennwörter des Benutzers für die Authentifizierung und den Datenschutz und der Engine-ID des SNMP-Agenten. Wenn Sie die Engine-ID, das Authentifizierungsprotokoll oder das Datenschutzprotokoll nach dem Konfigurieren der Benutzer ändern, sind die Benutzer nicht mehr gültig und müssen neu konfiguriert werden.

Voraussetzungen

  • Vergewissern Sie sich, dass Sie die Authentifizierungs- und Datenschutzprotokolle konfiguriert haben, bevor Sie Benutzer konfigurieren.
  • Prüfen Sie, ob Sie die Authentifizierungs- und Datenschutzkennwörter für jeden Benutzer kennen, den Sie konfigurieren möchten. Kennwörter müssen mindestens acht Zeichen lang sein. Speichern Sie diese Kennwörter in Dateien auf dem Hostsystem.

Prozedur

  1. Greifen Sie auf die Appliance-Shell zu und melden Sie sich als Benutzer mit Administrator- oder Superadministratorrolle an.
    Der Standardbenutzer mit der Superadministratorrolle ist „root“.
  2. Wenn Sie Authentifizierung oder Datenschutz verwenden, rufen Sie die Hash-Werte für Authentifizierung und Datenschutz für den Benutzer ab, indem Sie den Befehl snmp.hash --auth_hash --priv_hash ausführen.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.hash  --auth_hash secret1 --priv_hash secret2
    Hier ist secret1 der Pfad zu der Datei, die das Kennwort für die Benutzerauthentifizierung enthält, und secret2 der Pfad zu der Datei, die das Kennwort für den Datenschutz des Benutzers enthält. Alternativ dazu können Sie das Flag --raw_secret angeben und den booleschen Parameter auf true setzen.
    Die Hash-Werte für die Authentifizierung und den Datenschutz werden angezeigt.
  3. Konfigurieren Sie den Benutzer, indem Sie snmp.set --user ausführen.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.set --user userid/authhash/privhash/security
    Der Befehl umfasst die folgenden Parameter.
    Parameter Beschreibung
    userid Ersetzen Sie diesen Platzhalter durch den Benutzernamen.
    authhash Ersetzen Sie diesen Platzhalter durch den Hash-Wert für die Authentifizierung.
    privhash Ersetzen Sie diesen Platzhalter durch den Hash-Wert für den Datenschutz.
    security Ersetzen Sie dies durch die Stufe der für diesen Benutzer aktivierten Sicherheit, die auth (nur für Authentifizierung), priv (für Authentifizierung und Datenschutz) oder none (keine Authentifizierung und kein Datenschutz) sein kann.

Konfigurieren der SNMP v3-Ziele

Konfigurieren Sie SNMP v3-Ziele, damit der SNMP-Agent SNMP v3-Traps senden kann.

Sie können zusätzlich zu einem Maximum von drei SNMP v1- oder v2c-Zielen maximal bis zu drei SNMP v3-Ziele konfigurieren.

Um ein Ziel zu konfigurieren, müssen Sie Folgendes angeben: einen Hostnamen oder eine IP-Adresse des Systems, das die Traps empfängt, einen Benutzernamen, eine Sicherheitsstufe und ob Traps gesendet werden sollen. Die Sicherheitsstufe kann none (keine Sicherheit), auth (nur Authentifizierung) oder priv (Authentifizierung und Datenschutz) sein.

Prozedur

  1. Greifen Sie auf die Appliance-Shell zu und melden Sie sich als Benutzer mit Administrator- oder Superadministratorrolle an.
    Der Standardbenutzer mit der Superadministratorrolle ist „root“.
  2. Führen Sie den Befehl snmp.set --v3targets aus, um das SNMP v3-Ziel einzurichten.
    Führen Sie beispielsweise folgenden Befehl aus:
    snmp.set --v3targets hostname@port/userid/secLevel/trap
    Der Befehl umfasst die folgenden Parameter.
    Parameter Beschreibung
    hostname Ersetzen Sie diesen Platzhalter durch den Hostnamen oder die IP-Adresse des Verwaltungssystems, das die Traps erhält.
    port Ersetzen Sie diesen Platzhalter durch den Port des Verwaltungssystems, das die Traps erhält. Wenn Sie keinen Port angeben, wird der Standardport 161 verwendet.
    userid Ersetzen Sie „Benutzer-ID“ durch den Benutzernamen.
    secLevel Ersetzen Sie diesen Platzhalter entweder durch none, auth oder priv, um die Ebene der Authentifizierung und des Datenschutzes anzugeben, die Sie konfiguriert haben. Verwenden Sie auth, wenn Sie nur die Authentifizierung konfiguriert haben, priv, wenn Sie die Authentifizierung und den Datenschutz konfiguriert haben, und none, wenn Sie keine der beiden Optionen konfiguriert haben.
  3. (Optional) Wenn der SNMP-Agent nicht aktiviert ist, können Sie ihn durch Ausführen des Befehls snmp.enable aktivieren.
  4. (Optional) Um ein Test-Trap zu senden, um sicherzustellen, dass der Agent richtig konfiguriert ist, führen Sie den Befehl snmp.test aus.
    Der Agent sendet eine warmStart-Trap an das konfigurierte Ziel.