创建安全策略可以确定何时使用在安全关联中设置的身份验证和加密参数。可以使用 ESXCLI 命令添加安全策略。
前提条件
在创建安全策略之前,可按添加 IPsec 安全关联中所述,添加具有相应身份验证和加密参数的安全关联。
过程
- ♦ 在命令提示符下输入命令 esxcli network ip ipsec sp add 并使用下列一个或多个选项。
选项 描述 --sp-source = 源地址 必需。指定源 IP 地址和前缀长度。 --sp-destination = 目标地址 必需。指定目标地址和前缀长度。 --source-port = 端口 必需。指定源端口。源端口号必须是介于 0 和 65535 之间的一个数字。 --destination-port = 端口 必需。指定目标端口。源端口号必须是介于 0 和 65535 之间的一个数字。 --upper-layer-protocol = 协议 使用以下参数之一指定上层协议。 - tcp
- udp
- icmp6
- any
--flow-direction = 方向 使用 in 或 out 指定要监控流量的方向。 --action = 操作 使用以下参数之一指定在遇到具有指定参数的流量时要采取的操作。 - none:不采取任何操作。
- discard:不允许数据进出。
- ipsec:使用安全关联中提供的身份验证和加密信息来确定数据是否来自受信任的源。
--sp-mode = 模式 指定模式 tunnel 或 transport。 --sa-name = 安全关联名称 必需。为要使用的安全策略提供安全关联名称。 --sp-name = 名称 必需。请提供一个安全策略名称。
示例: 新安全策略命令
为了方便阅读,下面的示例包含额外的换行符。
esxcli network ip ipsec add --sp-source=2001:db8:1::/64 --sp-destination=2002:db8:1::/64 --source-port=23 --destination-port=25 --upper-layer-protocol=tcp --flow-direction=out --action=ipsec --sp-mode=transport --sa-name=sa1 --sp-name=sp1
