Erstellen Sie eine Sicherheitsrichtlinie, um festzulegen, wann die in einer Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsparameter verwendet werden sollen. Sie können eine Sicherheitsrichtlinie mithilfe des ESXCLI-Befehls hinzufügen.

Voraussetzungen

Fügen Sie vor dem Erstellen einer Sicherheitsrichtlinie eine Sicherheitsverbindung mit den entsprechenden Authentifizierungs- und Verschlüsselungsparametern hinzu, wie unter Hinzufügen einer IPsec-Sicherheitsverbindung beschrieben.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp add zusammen mit einer oder mehreren der nachfolgenden Optionen ein.
    Option Beschreibung
    --sp-source= Quelladresse Erforderlich. Geben Sie Quell-IP-Adresse und die Präfixlänge an.
    --sp-destination= Zieladresse Erforderlich. Geben Sie Zieladresse und die Präfixlänge an.
    --source-port= Port Erforderlich. Geben Sie den Quellport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
    --destination-port= Port Erforderlich. Geben Sie den Zielport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
    --upper-layer-protocol= Protokoll Verwenden Sie einen der folgenden Parameter, um das Protokoll für höhere Schichten anzugeben.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= Richtung Wählen Sie als Richtung, in der Sie den Datenverkehr überwachen möchten, entweder in oder out aus.
    --action= Aktion Geben Sie mithilfe eines der folgenden Parameters die Aktion an, die ausgeführt werden soll, wenn auf Datenverkehr mit den angegebenen Parametern gestoßen wird.
    • none: Keine Aktion ausführen.
    • discard: Keinen ein- oder ausgehenden Datenverkehr zulassen.
    • ipsec: Die in der Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsinformationen verwenden, um zu ermitteln, ob die Daten aus einer vertrauenswürdigen Quelle stammen.
    --sp-mode= Modus Geben Sie als Modus entweder tunnel oder transport an.
    --sa-name=Name der Sicherheitsverbindung Erforderlich. Geben Sie den Namen der Sicherheitsverbindung an, die die Sicherheitsrichtlinie verwenden soll.
    --sp-name=Name Erforderlich. Geben Sie einen Namen für die Sicherheitsrichtlinie an.

Beispiel: Befehl für eine neue Sicherheitsrichtlinie

Im folgenden Beispiel wurden Zeilenumbrüche hinzugefügt, um die Lesbarkeit zu verbessern. 

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1