Quando si configura l'agente SNMP di ESXi per SNMPv3, l'agente supporta l'invio di notifiche (trap e informazioni) e la ricezione di richieste GET, GETBULK e GETNEXT. SNMPv3 offre inoltre una protezione più solida rispetto a SNMPv1 o SNMPv2c, inclusa l'autenticazione e la crittografia delle chiavi.

Le informazioni sono una notifica che il mittente rinvia fino a tre volte o finché il destinatario non riconosce la notifica.

Configurazione dell'ID del motore SNMP

Ogni agente SNMP v3 ha un ID motore che funge da identificatore univoco per l'agente. L'ID motore viene utilizzato con una funzione hash per generare chiavi per l'autenticazione e la crittografia dei messaggi SNMP v3.

Se non si specifica un ID motore, quando si abilita l'agente SNMP, viene generato automaticamente un ID motore.

Se si eseguono comandi ESXCLI tramite ESXCLI, è necessario fornire opzioni di connessione che specifichino l'host di destinazione e le credenziali di accesso. Se si utilizzano i comandi ESXCLI direttamente in un host utilizzando ESXi Shell, è possibile utilizzare i comandi come specificato senza specificare le opzioni di connessione. Per ulteriori informazioni sulle opzioni di connessione, vedere Concetti ed esempi di ESXCLI.

Prerequisiti

Configurare l'agente SNMP di ESXi utilizzando i comandi ESXCLI. Per ulteriori informazioni su come utilizzare ESXCLI, vedere Guida introduttiva a ESXCLI.

Procedura

  • Eseguire il comando esxcli system snmp set con l'opzione --engineid per configurare l'ID del motore SNMP.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp set --engineid id
    In questo caso, id è l'ID motore e deve essere una stringa esadecimale contenente tra 5 e 32 caratteri.

Configurazione dei protocolli di autenticazione e privacy SNMP

SNMPv3 supporta facoltativamente i protocolli di autenticazione e privacy.

L'autenticazione viene utilizzata per garantire l'identità degli utenti. La privacy consente di crittografare i messaggi SNMP v3 per garantire la riservatezza dei dati. Questi protocolli forniscono un livello di sicurezza più elevato rispetto a quello disponibile in SNMPv1 e SNMPv2c, che utilizzano stringhe della community per la sicurezza.

Autenticazione e privacy sono entrambe facoltative. Tuttavia, è necessario abilitare l'autenticazione per abilitare la privacy.

I protocolli di autenticazione e privacy SNMPv3 sono funzionalità vSphere concesse in licenza e potrebbero non essere disponibili in alcune edizioni di vSphere.

Se si eseguono comandi ESXCLI tramite ESXCLI, è necessario fornire opzioni di connessione che specifichino l'host di destinazione e le credenziali di accesso. Se si utilizzano i comandi ESXCLI direttamente in un host utilizzando ESXi Shell, è possibile utilizzare i comandi come specificato senza specificare le opzioni di connessione. Per ulteriori informazioni sulle opzioni di connessione, vedere Concetti ed esempi di ESXCLI.

Prerequisiti

Configurare l'agente SNMP di ESXi utilizzando i comandi ESXCLI. Per ulteriori informazioni su come utilizzare ESXCLI, vedere Guida introduttiva a ESXCLI.

Procedura

  1. (Facoltativo) Eseguire il comando esxcli system snmp set con l'opzione --authentication per configurare l'autenticazione.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp set --authentication protocol
    In questo caso, protocol deve essere none (nessuna autenticazione) o SHA1.
  2. (Facoltativo) Eseguire il comando esxcli system snmp set con l'opzione --privacy per configurare la privacy.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp set --privacy protocol
    In questo caso, protocol deve essere none (senza privacy) o AES128.

Configurazione di utenti SNMP

È possibile configurare fino a 5 utenti che possono accedere alle informazioni di SNMP v3. I nomi utente non possono contenere più di 32 caratteri.

Durante la configurazione di un utente, si generano valori hash di autenticazione e privacy in base alle password di autenticazione e privacy dell'utente e all'ID motore dell'agente SNMP. Se si modifica l'ID motore, il protocollo di autenticazione o il protocollo della privacy dopo aver configurato gli utenti, gli utenti non sono più validi e devono essere riconfigurati.

Se si eseguono comandi ESXCLI tramite ESXCLI, è necessario fornire opzioni di connessione che specifichino l'host di destinazione e le credenziali di accesso. Se si utilizzano i comandi ESXCLI direttamente in un host utilizzando ESXi Shell, è possibile utilizzare i comandi come specificato senza specificare le opzioni di connessione. Per ulteriori informazioni sulle opzioni di connessione, vedere Concetti ed esempi di ESXCLI.

Prerequisiti

  • Prima di configurare gli utenti, verificare di aver configurato i protocolli di autenticazione e privacy.
  • Assicurarsi di conoscere le password di autenticazione e privacy per ogni utente che si intende configurare. Le password devono includere almeno 7 caratteri. Archiviare tali password nei file nel sistema host.

  • Configurare l'agente SNMP di ESXi utilizzando i comandi ESXCLI. Per ulteriori informazioni su come utilizzare ESXCLI, vedere Guida introduttiva a ESXCLI.

Procedura

  1. Se si utilizza l'autenticazione o la privacy, recuperare i valori hash di autenticazione e privacy per l'utente eseguendo il comando esxcli system snmp hash con i contrassegni --auth-hash e --priv-hash.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp hash --auth-hash secret1 --priv-hash secret2
    In questo caso, secret1 è il percorso del file contenente la password di autenticazione dell'utente e secret2 è il percorso del file contenente la password della privacy dell'utente.

    In alternativa, è possibile passare il contrassegno --raw-secret e specificare le password direttamente nella riga di comando.

    Ad esempio, è possibile eseguire il comando seguente: 
    esxcli system snmp hash --auth-hash authsecret --priv-hash privsecret --raw-secret
    L'output prodotto potrebbe essere il seguente: 
    Authhash: 08248c6eb8b333e75a29ca0af06b224faa7d22d6
Privhash: 232ba5cbe8c55b8f979455d3c9ca8b48812adb97
    Vengono visualizzati i valori hash di autenticazione e privacy.
  2. Configurare l'utente eseguendo il comando esxcli system snmp set con il flag --user.
    Ad esempio, è possibile eseguire il comando seguente: 
    esxcli system snmp set --user userid/authhash/privhash/security
    Il comando accetta i seguenti parametri:
    Parametro Descrizione
    userid Il nome utente.
    authhash Valore dell'hash di autenticazione.
    privhash Valore hash della privacy.
    security Livello di sicurezza abilitato per l'utente, che può essere auth (solo per autenticazione), priv (per autenticazione e privacy) o none (per nessuna autenticazione o privacy).
    Ad esempio, eseguire il comando seguente per configurare user1 per l'accesso con autenticazione e privacy: 
    esxcli system snmp set --user user1/08248c6eb8b333e75a29ca0af06b224faa7d22d6/
232ba5cbe8c55b8f979455d3c9ca8b48812adb97/priv
    È necessario eseguire il comando seguente per configurare user2 per l'accesso senza autenticazione o privacy: 
    esxcli system snmp set --user user2/-/-/none
  3. (Facoltativo) Verificare la configurazione dell'utente eseguendo il comando seguente: 
    esxcli system snmp test --user username --auth-hash secret1 --priv-hash secret2
    Se la configurazione è corretta, questo comando restituisce il messaggio seguente: "Utente username convalidato correttamente utilizzando l'ID motore e il livello di sicurezza: protocols". In questo caso, protocols indica i protocolli di sicurezza configurati.

Configurazione delle destinazioni SNMP v3

Configurare le destinazioni SNMP v3 per consentire all'agente SNMP di ESXi di inviare trap e informazioni SNMP v3.

SNMP v3 consente di inviare trap e informazioni. Un messaggio informativo è un tipo di messaggio che il mittente reinvia al massimo tre volte. Il mittente attende 5 secondi tra un tentativo e l'altro, a meno che il messaggio non venga confermato dal destinatario.

È possibile configurare al massimo tre destinazioni SNMP v3, oltre a un massimo di tre destinazioni SNMP v1/v2c.

Per configurare una destinazione, è necessario specificare un nome host o un indirizzo IP del sistema che riceve le trap o le informazioni, un nome utente, un livello di sicurezza e se vengono inviate trap o informazioni. Il livello di sicurezza può essere none (ovvero nessuna sicurezza), auth (solo per l'autenticazione) o priv (per l'autenticazione e la privacy).

Se si eseguono comandi ESXCLI tramite ESXCLI, è necessario fornire opzioni di connessione che specifichino l'host di destinazione e le credenziali di accesso. Se si utilizzano i comandi ESXCLI direttamente in un host utilizzando ESXi Shell, è possibile utilizzare i comandi come specificato senza specificare le opzioni di connessione. Per ulteriori informazioni sulle opzioni di connessione, vedere Concetti ed esempi di ESXCLI.

Prerequisiti

  • Assicurarsi che gli utenti che accedono alle trap o alle informazioni siano configurati come utenti SNMP per l'agente SNMP di ESXi e per il sistema di gestione di destinazione.

  • Se si configurano le informazioni, è necessario l'ID motore per l'agente SNMP nel sistema remoto che riceve il messaggio informativo.

  • Configurare l'agente SNMP di ESXi utilizzando i comandi ESXCLI. Per ulteriori informazioni su come utilizzare ESXCLI, vedere Guida introduttiva a ESXCLI.

Procedura

  1. (Facoltativo) Se si configurano le informazioni, configurare gli utenti remoti eseguendo il comando esxcli system snmp set con l'opzione --remote-users.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp set --remote-users userid/auth-protocol/auth-hash/priv-protocol/priv-hash/engine-id
    Il comando accetta i seguenti parametri:
    Parametro Descrizione
    userid Il nome utente.
    auth-protocol Protocollo di autenticazione: none (nessuna autenticazione) o SHA1.
    auth-hash Hash di autenticazione o - se il protocollo di autenticazione è none.
    priv-protocol Protocollo della privacy, AES128 o none.
    priv-hash Hash della privacy o - se il protocollo della privacy è none.
    engine-id ID motore dell'agente SNMP nel sistema remoto che riceve il messaggio informativo.
  2. Eseguire il comando esxcli system snmp set con l'opzione --v3targets.
    Ad esempio, eseguire il comando seguente: 
    esxcli system snmp set --v3targets hostname@port/userid/secLevel/message-type
    I parametri del comando sono i seguenti.
    Parametro Descrizione
    hostname Nome host o indirizzo IP del sistema di gestione che riceve le trap o le informazioni.
    port Porta nel sistema di gestione che riceve le trap o le informazioni. Se non si specifica alcuna porta, viene utilizzata la porta predefinita 162.
    userid Il nome utente.
    secLevel Livello di autenticazione e privacy configurato. Utilizzare auth se è stata configurata solo l'autenticazione, priv se sono state configurate sia l'autenticazione sia la privacy e none se non è stata configurata alcuna delle due opzioni.
    message-type Il tipo dei messaggi ricevuti dal sistema di gestione. Utilizzare trap o inform.
  3. (Facoltativo) Se l'agente SNMP di ESXi non è abilitato, eseguire il comando seguente: 
    esxcli system snmp set --enable true
  4. (Facoltativo) Inviare una notifica di prova per verificare che l'agente sia configurato correttamente eseguendo il comando esxcli system snmp test.
    L'agente invia una notifica warmStart alla destinazione configurata.