添加安全关联以指定关联的 IP 流量的加密参数。

可以使用 esxcli 命令添加安全关联。

过程

  • 在命令提示符下输入命令 esxcli network ip ipsec sa add 并使用下列一个或多个选项。
    选项 描述
    --sa-source = 源地址 必需。指定源地址。
    --sa-destination = 目标地址 必需。指定目标地址。
    --sa-mode = 模式 必需。指定模式 transporttunnel
    --sa-spi = 安全参数索引 必需。指定安全参数索引。安全参数索引标识与主机的安全关联。它必须是一个十六进制数并带有 0x 前缀。所创建的每个安全关联都必须具有协议和安全参数索引的唯一组合。
    --encryption-algorithm = 加密算法 必需。使用以下参数之一指定加密算法。
    • 3des-cbc
    • aes128-cbc
    • null(不提供任何加密)
    --encryption-key = 加密密钥 在指定加密算法时为必填项。指定加密密钥。可以使用 0x 前缀输入 ASCII 文本或十六进制形式的密钥。
    --integrity-algorithm = 身份验证算法 必需。指定身份验证算法 hmac-sha1hmac-sha2-256
    --integrity-key = 身份验证密钥 必需。指定身份验证密钥。可以使用 0x 前缀输入 ASCII 文本或十六进制形式的密钥。
    --sa-name = 名称 必需。提供一个安全关联名称。

示例: 新安全关联命令

为了方便阅读,下面的示例包含额外的换行符。

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1