Fügen Sie eine Sicherheitsverbindung hinzu, um Verschlüsselungsparameter für den zugeordneten IP-Datenverkehr festzulegen.

Warum und wann dieser Vorgang ausgeführt wird

Sie können eine Sicherheitsverbindung mithilfe des vSphere-CLI-Befehls esxcli hinzufügen.

Prozedur

Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa add zusammen mit einer oder mehreren der nachfolgenden Optionen ein.

Option

Beschreibung

--sa-source= Quelladresse

Erforderlich. Geben Sie die Quelladresse an.

--sa-destination= Zieladresse

Erforderlich. Geben Sie die Zieladresse an.

--sa-mode= Modus

Erforderlich. Geben Sie als Modus entweder transport oder tunnel an.

--sa-spi= Sicherheitsparameter-Index

Erforderlich. Geben Sie den Sicherheitsparameter-Index an. Der Sicherheitsparameter-Index identifiziert die Sicherheitsverbindung dem Host gegenüber. Er muss eine Hexadezimalzahl mit dem Präfix 0x sein. Jede von Ihnen erstellte Sicherheitsverbindung muss eine eindeutige Kombination aus Protokoll und Sicherheitsparameter-Index besitzen.

--encryption-algorithm= Verschlüsselungsalgorithmus

Erforderlich. Verwenden Sie einen der folgenden Parameter, um den Verschlüsselungsalgorithmus anzugeben.

  • 3des-cbc

  • aes128-cbc

  • null (bietet keine Verschlüsselung)

--encryption-key= Verschlüsselungsschlüssel

Erforderlich, wenn Sie einen Verschlüsselungsalgorithmus angeben. Geben Sie den Verschlüsselungsschlüssel an. Sie können Schlüssel als ASCII-Text oder als Hexadezimalzahl mit dem Präfix 0x eingeben.

--integrity-algorithm= Authentifizierungsalgorithmus

Erforderlich. Geben Sie den Authentifizierungsalgorithmus an: hmac-sha1 oder hmac-sha2-256.

--integrity-key= Authentifizierungsschlüssel

Erforderlich. Geben Sie den Authentifizierungsschlüssel an. Sie können Schlüssel als ASCII-Text oder als Hexadezimalzahl mit dem Präfix 0x eingeben.

--sa-name=Name

Erforderlich. Geben Sie einen Namen für die Sicherheitsverbindung an.

Befehl für eine neue Sicherheitsverbindung

Im folgenden Beispiel wurden Zeilenumbrüche hinzugefügt, um die Lesbarkeit zu verbessern.

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1