Al configurar el agente SNMP de ESXi para SNMPv3, el agente admite el envío de notificaciones (capturas e informes) y la recepción de solicitudes de GET, GETBULK y GETNEXT. Además, SNMPv3 proporciona una seguridad más sólida que vSNMPv1 o vSNMPv2c, incluido el cifrado y la autenticación de claves.

El informe es una notificación que el remitente reenvía hasta tres veces o hasta que el destinatario confirme la notificación.

Configurar el identificador de motor de SNMP

Todos los agentes SNMP v3 tienen un identificador de motor que sirve como identificador único del agente. El identificador de motor se utiliza con una función de hash para generar claves para la autenticación y cifrado de mensajes de SNMP v3.

Si no se especifica un identificador de motor, al habilitar el agente de SNMP, se generará un identificador de motor automáticamente.

Si ejecuta comandos ESXCLI por medio de ESXCLI, debe proporcionar opciones de conexión que especifiquen el host de destino y las credenciales de inicio de sesión. Si utiliza comandos ESXCLI directamente en un host mediante ESXi Shell, puede usar los comandos en la forma en que se proporcionan, sin especificar opciones de conexión. Para obtener más información sobre las opciones de conexión, consulte Conceptos y ejemplos de ESXCLI.

Requisitos previos

Configure el agente SNMP de ESXi mediante los comandos ESXCLI. Consulte Introducción a ESXCLI para obtener más información sobre cómo usar ESXCLI.

Procedimiento

  • Ejecute el comando esxcli system snmp set con la opción --engineid para configurar el identificador de motor de SNMP.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp set --engineid id
    Aquí, el valor id corresponde al identificador de motor y debe ser una cadena hexadecimal de entre 5 y 32 caracteres.

Configurar los protocolos de autenticación y privacidad de SNMP

SNMPv3 admite, opcionalmente, protocolos de autenticación y privacidad.

La autenticación se utiliza para asegurar la identidad de los usuarios. La privacidad permite cifrar los mensajes de SNMP v3 para garantizar la confidencialidad de los datos. Estos protocolos proporcionan un mayor nivel de seguridad que SNMPv1 y vSNMPv2c, los cuales emplean cadenas de comunidad para la seguridad.

Tanto la autenticación como la privacidad son opcionales. No obstante, debe habilitar la autenticación para activar la privacidad.

Los protocolos de autenticación y privacidad de SNMPv3 son funciones con licencia de vSphere y es posible que no estén disponibles en algunas ediciones de vSphere.

Si ejecuta comandos ESXCLI por medio de ESXCLI, debe proporcionar opciones de conexión que especifiquen el host de destino y las credenciales de inicio de sesión. Si utiliza comandos ESXCLI directamente en un host mediante ESXi Shell, puede usar los comandos en la forma en que se proporcionan, sin especificar opciones de conexión. Para obtener más información sobre las opciones de conexión, consulte Conceptos y ejemplos de ESXCLI.

Requisitos previos

Configure el agente SNMP de ESXi mediante los comandos ESXCLI. Consulte Introducción a ESXCLI para obtener más información sobre cómo usar ESXCLI.

Procedimiento

  1. (opcional) Ejecute el comando esxcli system snmp set con la opción --authentication para configurar la autenticación.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp set --authentication protocol
    Aquí, el protocolo debe ser none (para no configurar autenticación) o SHA1.
  2. (opcional) Ejecute el comando esxcli system snmp set con la opción --privacy para configurar la privacidad.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp set --privacy protocol
    Aquí, el protocol debe ser none (para no configurar privacidad) o AES128.

Configurar usuarios de SNMP

Puede configurar un máximo de 5 usuarios que pueden acceder a la información de SNMP v3. Los nombres de usuario no pueden tener más de 32 caracteres.

Al configurar un usuario, se generan valores hash de autenticación y privacidad en las contraseñas de autenticación y privacidad del usuario y el identificador de motor del agente de SNMP. Si cambia el identificador de motor, el protocolo de autenticación o el protocolo de privacidad después de configurar los usuarios, estos dejarán de ser válidos y será necesario volver a configurarlos.

Si ejecuta comandos ESXCLI por medio de ESXCLI, debe proporcionar opciones de conexión que especifiquen el host de destino y las credenciales de inicio de sesión. Si utiliza comandos ESXCLI directamente en un host mediante ESXi Shell, puede usar los comandos en la forma en que se proporcionan, sin especificar opciones de conexión. Para obtener más información sobre las opciones de conexión, consulte Conceptos y ejemplos de ESXCLI.

Requisitos previos

  • Compruebe si configuró los protocolos de autenticación y privacidad antes de configurar usuarios.
  • Asegúrese de conocer las contraseñas de autenticación y privacidad de cada usuario que piensa configurar. Las contraseñas deben tener 7 caracteres como mínimo. Almacene las contraseñas en archivos en el sistema host.

  • Configure el agente SNMP de ESXi mediante los comandos ESXCLI. Consulte Introducción a ESXCLI para obtener más información sobre cómo usar ESXCLI.

Procedimiento

  1. Si usa autenticación o privacidad, obtenga los valores hash de autenticación y privacidad correspondientes del usuario; para ello, ejecute el comando esxcli system snmp hash con las marcas --auth-hash y --priv-hash.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp hash --auth-hash secret1 --priv-hash secret2
    Aquí, secret1 es la ruta de acceso al archivo que contiene la contraseña de autenticación del usuario y secret2 es la ruta de acceso al archivo que contiene la contraseña de privacidad del usuario.

    Como alternativa, puede transmitir la marca --raw-secret y especificar las contraseñas directamente en la línea de comandos.

    Por ejemplo, puede ejecutar el siguiente comando: 
    esxcli system snmp hash --auth-hash authsecret --priv-hash privsecret --raw-secret
    La salida producida puede ser la siguiente: 
    Authhash: 08248c6eb8b333e75a29ca0af06b224faa7d22d6
Privhash: 232ba5cbe8c55b8f979455d3c9ca8b48812adb97
    Se muestran los valores hash de privacidad y autenticación.
  2. Configure el usuario ejecutando el comando esxcli system snmp set con la marca --user.
    Por ejemplo, puede ejecutar el siguiente comando: 
    esxcli system snmp set --user userid/authhash/privhash/security
    El comando admite los siguientes parámetros:
    Parámetro Descripción
    userid El nombre de usuario.
    authhash El valor hash de autenticación.
    privhash El valor hash de privacidad.
    seguridad El nivel de seguridad habilitado para ese usuario, que puede ser auth (para configurar solamente autenticación), priv (para configurar autenticación y privacidad) o none (para no configurar autenticación ni privacidad).
    Por ejemplo, ejecute el comando si desea configurar user1 para acceso con autenticación y privacidad: 
    esxcli system snmp set --user user1/08248c6eb8b333e75a29ca0af06b224faa7d22d6/
232ba5cbe8c55b8f979455d3c9ca8b48812adb97/priv
    Debe ejecutar el siguiente comando si desea configurar user2 para acceso sin autenticación ni privacidad: 
    esxcli system snmp set --user user2/-/-/none
  3. (opcional) Pruebe la configuración del usuario mediante el siguiente comando: 
    esxcli system snmp test --user username --auth-hash secret1 --priv-hash secret2
    Si la configuración es correcta, este comando devuelve el siguiente mensaje: "El usuario username se validó correctamente con el identificador de motor y el nivel de seguridad: protocols". Aquí, protocols indica los protocolos de seguridad configurados.

Configurar destinos de SNMP v3

Configure destinos de SNMP v3 para permitir al agente de SNMP de ESXi enviar capturas e informes de SNMP v3.

SNMP v3 permite el envío de capturas e informes. Un mensaje de informe es un tipo de mensaje que el remitente reenvía un máximo de tres veces. El remitente espera 5 segundos entre cada intento, a menos que el destinatario confirme el mensaje.

Puede configurar un máximo de tres destinos de SNMP v3, además de un máximo de tres destinos de SNMP v1/v2c.

Para configurar un destino, debe especificar un nombre de host o una dirección IP del sistema que recibe las capturas o los informes, además de un nombre de usuario, un nivel de seguridad y si se enviarán capturas o informes. El nivel de seguridad puede ser none (para no configurar seguridad), auth (para configurar solamente autenticación) o priv (para configurar autenticación y privacidad).

Si ejecuta comandos ESXCLI por medio de ESXCLI, debe proporcionar opciones de conexión que especifiquen el host de destino y las credenciales de inicio de sesión. Si utiliza comandos ESXCLI directamente en un host mediante ESXi Shell, puede usar los comandos en la forma en que se proporcionan, sin especificar opciones de conexión. Para obtener más información sobre las opciones de conexión, consulte Conceptos y ejemplos de ESXCLI.

Requisitos previos

  • Asegúrese de que los usuarios que acceden a las capturas o los informes estén configurados como usuarios de SNMP tanto para el sistema de administración de destino como para el agente de SNMP de ESXi.

  • Si va a configurar informes, necesitará el identificador de motor para el agente de SNMP en el sistema remoto que recibe el mensaje de informe.

  • Configure el agente SNMP de ESXi mediante los comandos ESXCLI. Consulte Introducción a ESXCLI para obtener más información sobre cómo usar ESXCLI.

Procedimiento

  1. (opcional) Si va a configurar informes, configure los usuarios remotos ejecutando el comando esxcli system snmp set con la opción --remote-users.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp set --remote-users userid/auth-protocol/auth-hash/priv-protocol/priv-hash/engine-id
    El comando admite los siguientes parámetros:
    Parámetro Descripción
    userid El nombre de usuario.
    auth-protocol El protocolo de autenticación, none (para no configurar autenticación) o SHA1.
    auth-hash El hash de autenticación o - si el protocolo de autenticación es ninguno.
    priv-protocol El protocolo de privacidad, AES128 o none.
    priv-hash El protocolo hash de privacidad o - si el protocolo de privacidad es none.
    engine-id El identificador de motor del agente de SNMP en el sistema remoto que recibe el mensaje de informe.
  2. Ejecute el comando esxcli system snmp set con la opción --v3targets.
    Por ejemplo, ejecute el siguiente comando: 
    esxcli system snmp set --v3targets hostname@port/userid/secLevel/message-type
    Los parámetros del comando son los siguientes:
    Parámetro Descripción
    hostname El nombre de host o la dirección IP del sistema de administración que recibe las capturas o los informes.
    port El puerto del sistema de administración que recibe las capturas o los informes. Si no especifica un puerto, se utiliza el puerto predeterminado 162.
    userid El nombre de usuario.
    secLevel El nivel de autenticación y privacidad configurado. Utilice auth si solo configuró autenticación, priv si configuró autenticación y privacidad, y none si no configuró ninguna de las dos.
    message-type El tipo de mensajes que recibe el sistema de administración. Use trap o inform.
  3. (opcional) Si el agente SNMP de ESXi no está habilitado, ejecute el siguiente comando: 
    esxcli system snmp set --enable true
  4. (opcional) Envíe una notificación de prueba para comprobar que el agente esté configurado correctamente; para ello, ejecute el comando esxcli system snmp test.
    El agente envía una notificación de warmStart al destino configurado.