Quando si configura l'agente SNMP per SNMP v3, l'agente supporta l'invio di trap. SNMP v3 offre inoltre una protezione più solida rispetto a v1 o v2c e include l'autenticazione crittografica e la crittografia.

Gli avvisi di SNMP v3 non sono supportati. vCenter Server supporta solo notifiche come trap v1/v2c e trap v3 con tutti i livelli di sicurezza.

Configurazione dell'ID del motore SNMP

Ogni agente SNMP v3 dispone di un ID motore, che funge da identificatore univoco per l'agente. L'ID motore viene utilizzato con una funzione hash per generare chiavi localizzate per l'autenticazione e la crittografia dei messaggi SNMP v3.

Se non si specifica un ID motore prima di abilitare l'agente SNMP, quando si abilita l'agente SNMP autonomo viene generato un ID motore.

Procedura

  1. Accedere alla shell dell'appliance ed effettuare l'accesso come utente con ruolo di amministratore o amministratore con privilegi avanzati.
    L'utente predefinito con ruolo super amministratore è root.
  2. Eseguire il comando snmp.set --engineid per configurare la destinazione.
    Ad esempio, eseguire il comando seguente: 
    snmp.set --engineid 80001adc040102030405060708091011
    in cui il valore può essere suddiviso in cifre esadecimali 
    80:00:1a:dc:04:24:17:e2:02:b8:61:3f:54:00:00:00:00

    e decodificato come:

    80: -- la codifica RFC 3411 applicata è ad alto bit "10000000" 0x80 e i 7 bit inferiori 0 fanno parte dell'ID aziendale.

    00:1a:dc -- il resto dell'ID aziendale, il valore analizzato da VMware è 1a:dc esadecimale (6876 in decimale).

    04: -- tipo di ID motore secondo RFC 3411, pagina 42. Utilizzare qui "4" per dire che gli ottetti restanti possono essere tradotti in testo.

    0102030405060708091011-- l'operatore ha specificato il testo codificato in caratteri esadecimali.

Configurazione dei protocolli di autenticazione e privacy SNMP

SNMP v3 supporta facoltativamente i protocolli di autenticazione e privacy.

L'autenticazione viene utilizzata per garantire l'identità degli utenti. La privacy consente di crittografare i messaggi SNMP v3 per garantire la riservatezza dei dati. I protocolli di privacy offrono un livello di sicurezza più elevato rispetto a quello disponibile in SNMP v1 e v2c, che utilizza stringhe della community per la sicurezza.

Autenticazione e privacy sono entrambe facoltative. Tuttavia, se si intende abilitare la privacy è necessario abilitare l'autenticazione.

I protocolli di autenticazione e privacy SNMP v3 sono funzionalità vSphere concesse in licenza e potrebbero non essere disponibili in alcune edizioni di vSphere.

Procedura

  1. Accedere alla shell dell'appliance ed effettuare l'accesso come utente con ruolo di amministratore o amministratore con privilegi avanzati.
    L'utente predefinito con ruolo super amministratore è root.
  2. (Facoltativo) Eseguire il comando snmp.set --authentication per configurare l'autenticazione.
    Ad esempio, eseguire il comando seguente: 
    snmp.set --authentication protocol
    In questo caso, protocol deve essere none, per non impostare l'autenticazione, SHA1 o MD5.
  3. (Facoltativo) Eseguire il comando snmp.set --privacy per configurare il protocollo della privacy.
    Ad esempio, eseguire il comando seguente: 
    snmp.set --privacy protocol
    In questo caso, protocol deve essere none, per non impostare la privacy, oppure AES128.

Configurazione di utenti SNMP

È possibile configurare fino a cinque utenti che possono accedere alle informazioni di SNMP v3. I nomi utente non possono contenere più di 32 caratteri.

Durante la configurazione di un utente, si generano valori hash di autenticazione e privacy in base alle password di autenticazione e privacy dell'utente e all'ID motore dell'agente SNMP. Dopo aver configurato gli utenti, se si modifica l'ID motore, il protocollo di autenticazione o il protocollo della privacy, gli utenti non sono più validi e devono essere riconfigurati.

Prerequisiti

  • Prima di configurare gli utenti, verificare di aver configurato i protocolli di autenticazione e privacy.
  • Assicurarsi di conoscere le password di autenticazione e privacy per ogni utente che si intende configurare. Le password devono includere almeno otto caratteri. Archiviare tali password nei file nel sistema host.

Procedura

  1. Accedere alla shell dell'appliance ed effettuare l'accesso come utente con ruolo di amministratore o amministratore con privilegi avanzati.
    L'utente predefinito con ruolo super amministratore è root.
  2. Se si utilizza l'autenticazione o la privacy, eseguire il comando snmp.hash --auth_hash --priv_hash per recuperare i valori hash di autenticazione e privacy per l'utente.
    Ad esempio, eseguire il comando seguente: 
    snmp.hash  --auth_hash secret1 --priv_hash secret2
    In questo caso, secret1 è il percorso del file contenente la password di autenticazione dell'utente e secret2 è il percorso del file contenente la password della privacy dell'utente. In alternativa, è possibile specificare il flag --raw_secret e impostare il parametro booleano su true.
    Vengono visualizzati i valori hash di autenticazione e privacy.
  3. Configurare l'utente eseguendo snmp.set --user.
    Ad esempio, eseguire il comando seguente: 
    snmp.set --user userid/authhash/privhash/security
    I parametri del comando sono i seguenti.
    Parametro Descrizione
    userid Sostituire con il nome utente.
    authhash Sostituire con il valore hash di autenticazione.
    privhash Sostituire con il valore hash di privacy.
    security Sostituire con il livello di sicurezza abilitato per l'utente, che può essere auth, per la sola autenticazione, priv, per l'autenticazione e la privacy o none, per non impostare né autenticazione né privacy.

Configurazione delle destinazioni SNMP v3

Configurare le destinazioni SNMP v3 per consentire all'agente SNMP di inviare trap SNMP v3.

È possibile configurare al massimo tre destinazioni SNMP v3, oltre a un massimo di tre destinazioni SNMP v1 o v2c.

Per configurare una destinazione, è necessario specificare un nome host o un indirizzo IP del sistema che riceve le trap, un nome utente, un livello di sicurezza e se inviare o meno trap. Il livello di sicurezza può essere none, per non impostare la sicurezza, auth, per la sola autenticazione o priv, per l'autenticazione e la privacy.

Procedura

  1. Accedere alla shell dell'appliance ed effettuare l'accesso come utente con ruolo di amministratore o amministratore con privilegi avanzati.
    L'utente predefinito con ruolo super amministratore è root.
  2. Eseguire il comando snmp.set --v3targets per configurare la destinazione SNMP v3.
    Ad esempio, eseguire il comando seguente: 
    snmp.set --v3targets hostname@port/userid/secLevel/trap
    I parametri del comando sono i seguenti.
    Parametro Descrizione
    hostname Sostituire con il nome host o l'indirizzo IP del sistema di gestione che riceve le trap.
    port Sostituire con la porta del sistema di gestione che riceve le trap. Se non si specifica una porta, viene utilizzata la porta predefinita 161.
    userid Sostituire con il nome utente.
    secLevel Sostituire con none, auth o priv per indicare il livello di autenticazione e privacy configurati. Utilizzare auth se è stata configurata solo l'autenticazione, priv se sono state configurate sia l'autenticazione sia la privacy e none se non è stata configurata alcuna delle due opzioni.
  3. (Facoltativo) Se l'agente SNMP non è abilitato, abilitarlo eseguendo il comando di snmp.enable.
  4. (Facoltativo) Per inviare una trap di prova per verificare che l'agente sia configurato correttamente, eseguire il comando di snmp.test.
    L'agente invia una trap warmStart alla destinazione configurata.