A Segurança do Protocolo Internet (IPsec) protege as comunicações IP provenientes e que chegam a um host. Os hosts ESXi oferecem suporte a IPsec usando IPv6.

Ao configurar o IPsec em um host ESXi, você ativa a autenticação e a criptografia de pacotes de entrada e saída. Quando e como o tráfego IP é criptografado depende de como você configura as associações de segurança e as políticas de segurança do sistema.

Uma associação de segurança determina como o sistema criptografa o tráfego. Ao criar uma associação de segurança, você especifica a origem e o destino, os parâmetros de criptografia e um nome para a associação de segurança.

Uma política de segurança determina quando o sistema deve criptografar o tráfego. A política de segurança inclui informações de origem e destino, o protocolo e a direção do tráfego a serem criptografados, o modo (transporte ou túnel) e a associação de segurança a ser usada.

Listar associações de segurança disponíveis em ESXi hosts

ESXi pode fornecer uma lista de todas as associações de segurança disponíveis para uso por políticas de segurança. A lista inclui associações de segurança criadas pelo usuário e quaisquer associações de segurança que o VMkernel instalou usando o Internet Key Exchange.

Você pode obter uma lista de associações de segurança disponíveis usando o comando esxcli.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sa list.

Resultados

ESXi exibe uma lista de todas as associações de segurança disponíveis.

Adicionar uma associação de segurança IPsec a um host ESXi

Adicione uma associação de segurança para especificar parâmetros de criptografia para o tráfego IP associado.

Você pode adicionar uma associação de segurança usando o comando esxcli.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sa add com uma ou mais das seguintes opções.
    Opção Descrição
    --sa-source= endereço de origem Obrigatório. Especifique o endereço de origem.
    --sa-destination= endereço de destino Obrigatório. Especifique o endereço de destino.
    --sa-mode= modo Obrigatório. Especifique o modo, transport ou tunnel.
    --sa-spi= índice de parâmetro de segurança Obrigatório. Especifique o índice do parâmetro de segurança. O índice do parâmetro de segurança identifica a associação de segurança ao host. Deve ser um hexadecimal com um prefixo 0x. Cada associação de segurança que você cria deve ter uma combinação exclusiva de protocolo e índice de parâmetro de segurança.
    --encryption-algorithm= algoritmo de criptografia Obrigatório. Especifique o algoritmo de criptografia usando um dos seguintes parâmetros.
    • 3des-cbc
    • aes128-cbc
    • null (não fornece criptografia)
    --encryption-key= chave de criptografia Obrigatório quando você especifica um algoritmo de criptografia. Especifique a chave de criptografia. Você pode inserir chaves como texto ASCII ou como um hexadecimal com um prefixo 0x.
    --integrity-algorithm= algoritmo de autenticação Obrigatório. Especifique o algoritmo de autenticação, hmac-sha1 ou hmac-sha2-256.
    --integrity-key= chave de autenticação Obrigatório. Especifique a chave de autenticação. Você pode inserir chaves como texto ASCII ou como um hexadecimal com um prefixo 0x.
    --sa-name=nome Obrigatório. Forneça um nome para a associação de segurança.

Exemplo: Novo comando de associação de segurança

O exemplo a seguir contém quebras de linha extras para facilitar a leitura. 

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

Remover uma associação de segurança IPsec de um host ESXi

Você pode remover uma associação de segurança usando o comando ESXCLI.

Pré-requisitos

Verifique se a associação de segurança que você deseja usar não está em uso no momento. Se você tentar remover uma associação de segurança que está em uso, a operação de remoção falhará.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sa remove --sa-name security_association_name.

Listar políticas de segurança IPsec disponíveis em um host ESXi

Você pode listar as políticas de segurança disponíveis usando o comando ESXCLI.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sp list.

Resultados

O host exibe uma lista de todas as políticas de segurança disponíveis.

Criar uma política de segurança IPSec em um host ESXi

Crie uma política de segurança para determinar quando usar os parâmetros de autenticação e criptografia definidos em uma associação de segurança. Você pode adicionar uma política de segurança usando o comando ESXCLI.

Pré-requisitos

Antes de criar uma política de segurança, adicione uma associação de segurança com os parâmetros de autenticação e criptografia apropriados, conforme descrito em Adicionar uma associação de segurança IPsec a um host ESXi.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sp add com uma ou mais das seguintes opções.
    Opção Descrição
    --sp-source= endereço de origem Obrigatório. Especifique o endereço IP de origem e o comprimento do prefixo.
    --sp-destination= endereço de destino Obrigatório. Especifique o endereço de destino e o comprimento do prefixo.
    --source-port= porta Obrigatório. Especifique a porta de origem. A porta de origem deve ser um número entre 0 e 65535.
    --destination-port= porta Obrigatório. Especifique a porta de destino. A porta de origem deve ser um número entre 0 e 65535.
    --upper-layer-protocol= protocolo Especifique o protocolo da camada superior usando um dos seguintes parâmetros.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direção Especifique a direção na qual você deseja monitorar o tráfego usando in ou out.
    --action= ação Especifique a ação a ser tomada quando o tráfego com os parâmetros especificados for encontrado usando um dos seguintes parâmetros.
    • none: nenhuma ação.
    • discard: não permita a entrada ou saída de dados.
    • ipsec: use as informações de autenticação e criptografia fornecidas na associação de segurança para determinar se os dados vêm de uma fonte confiável.
    --sp-mode= modo Especifique o modo, tunnel ou transport.
    --sa-name=nome da associação de segurança Obrigatório. Forneça o nome da associação de segurança a ser usada pela política de segurança.
    --sp-name=nome Obrigatório. Forneça um nome para a política de segurança.

Exemplo: Novo comando de política de segurança

O exemplo a seguir inclui quebras de linha extras para facilitar a leitura. 

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

Remover uma política de segurança IPsec de um host ESXi

Você pode remover uma política de segurança do host ESXi usando o comando ESXCLI.

Pré-requisitos

Verifique se a política de segurança que você deseja usar não está em uso no momento. Se você tentar remover uma política de segurança que está em uso, a operação de remoção falhará.

Procedimento

  • No prompt de comando, digite o comando esxcli network ip ipsec sp remove --sa-name security policy name.
    Para remover todas as políticas de segurança, digite o comando esxcli network ip ipsec sp remove --remove-all.