Erstellen Sie eine Sicherheitsrichtlinie, um festzulegen, wann die in einer Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsparameter verwendet werden sollen.

Vorbereitungen

Fügen Sie vor dem Erstellen einer Sicherheitsrichtlinie eine Sicherheitsverbindung mit den entsprechenden Authentifizierungs- und Verschlüsselungsparametern hinzu, wie unter Hinzufügen einer Sicherheitsverbindung beschrieben.

Warum und wann dieser Vorgang ausgeführt wird

Sie können eine Sicherheitsrichtlinie mithilfe des vSphere-CLI-Befehls esxcli hinzufügen.

Prozedur

Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp add zusammen mit einer oder mehreren der nachfolgenden Optionen ein.

Option

Beschreibung

--sp-source= Quelladresse

Erforderlich. Geben Sie Quell-IP-Adresse und die Präfixlänge an.

--sp-destination= Zieladresse

Erforderlich. Geben Sie Zieladresse und die Präfixlänge an.

--source-port= Port

Erforderlich. Geben Sie den Quellport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.

--destination-port= Port

Erforderlich. Geben Sie den Zielport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.

--upper-layer-protocol= Protokoll

Verwenden Sie einen der folgenden Parameter, um das Protokoll für höhere Schichten anzugeben.

  • TCP

  • UDP

  • ICMP6

  • alle

--flow-direction= Richtung

Wählen Sie als Richtung, in der Sie den Datenverkehr überwachen möchten, entweder in oder out aus.

--action= Aktion

Geben Sie mithilfe eines der folgenden Parameters die Aktion an, die ausgeführt werden soll, wenn auf Datenverkehr mit den angegebenen Parametern gestoßen wird.

  • Keine: Keine Aktion ausführen

  • Verwerfen: Keinen ein- oder ausgehenden Datenverkehr zulassen.

  • ipsec: Die in der Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsinformationen verwenden, um zu ermitteln, ob die Daten aus einer vertrauenswürdigen Quelle stammen.

--sp-mode= Modus

Geben Sie als Modus entweder tunnel oder transport an.

--sa-name=Name der Sicherheitsverbindung

Erforderlich. Geben Sie den Namen der Sicherheitsverbindung an, die die Sicherheitsrichtlinie verwenden soll.

--sp-name=Name

Erforderlich. Geben Sie einen Namen für die Sicherheitsrichtlinie an.

Befehl für eine neue Sicherheitsrichtlinie

Im folgenden Beispiel wurden Zeilenumbrüche hinzugefügt, um die Lesbarkeit zu verbessern.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1