添加安全关联以指定关联的 IP 流量的加密参数。
可以使用 esxcli 命令添加安全关联。
过程
- ♦ 在命令提示符下输入命令 esxcli network ip ipsec sa add 并使用下列一个或多个选项。
选项 描述 --sa-source = 源地址 必需。指定源地址。 --sa-destination = 目标地址 必需。指定目标地址。 --sa-mode = 模式 必需。指定模式 transport 或 tunnel。 --sa-spi = 安全参数索引 必需。指定安全参数索引。安全参数索引标识与主机的安全关联。它必须是一个十六进制数并带有 0x 前缀。所创建的每个安全关联都必须具有协议和安全参数索引的唯一组合。 --encryption-algorithm = 加密算法 必需。使用以下参数之一指定加密算法。 - 3des-cbc
- aes128-cbc
- null(不提供任何加密)
--encryption-key = 加密密钥 在指定加密算法时为必填项。指定加密密钥。可以使用 0x 前缀输入 ASCII 文本或十六进制形式的密钥。 --integrity-algorithm = 身份验证算法 必需。指定身份验证算法 hmac-sha1 或 hmac-sha2-256。 --integrity-key = 身份验证密钥 必需。指定身份验证密钥。可以使用 0x 前缀输入 ASCII 文本或十六进制形式的密钥。 --sa-name = 名称 必需。提供一个安全关联名称。
示例: 新安全关联命令
为了方便阅读,下面的示例包含额外的换行符。
esxcli network ip ipsec sa add --sa-source 3ffe:501:ffff:0::a --sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001 --sa-mode transport --sa-spi 0x1000 --encryption-algorithm 3des-cbc --encryption-key 0x6970763672656164796c6f676f336465736362636f757432 --integrity-algorithm hmac-sha1 --integrity-key 0x6970763672656164796c6f67736861316f757432 --sa-name sa1