Internet Protocol Security (IPsec) sichert die von einem Host ausgehende und bei diesem eingehende IP-Kommunikation. ESXi-Hosts unterstützen IPsec mit IPv6.

Wenn Sie IPsec auf einem ESXi-Host einrichten, aktivieren Sie die Authentifizierung und Verschlüsselung ein- und ausgehender Pakete. Wann und wie der IP-Datenverkehr verschlüsselt wird, hängt davon ab, wie Sie die Sicherheitsverbindungen und -richtlinien des Systems einrichten.

Eine Sicherheitsverbindung bestimmt, wie das System den Datenverkehr verschlüsselt. Beim Erstellen einer Sicherheitsverbindung geben Sie Quelle und Ziel, Verschlüsselungsparameter und einen Namen für die Sicherheitsverbindung an.

Eine Sicherheitsrichtlinie legt fest, wann das System den Datenverkehr verschlüsseln soll. Die Sicherheitsrichtlinie enthält Informationen zu Quelle und Ziel, Protokoll und Richtung des zu verschlüsselnden Datenverkehrs, dem Modus (Transport oder Tunnel) und der zu verwendenden Sicherheitsverbindung.

Auflisten der verfügbaren Sicherheitsverbindungen

ESXi kann eine Liste aller Sicherheitsverbindungen zur Verfügung stellen, die zur Verwendung durch Sicherheitsrichtlinien verfügbar sind. Die Liste enthält sowohl die vom Benutzer erstellten Sicherheitsverbindungen als auch die Sicherheitsverbindungen, die der VMkernel mithilfe von Internet Key Exchange installiert hat.

Sie können mithilfe des Befehls esxcli eine Liste der verfügbaren Sicherheitsverbindungen abrufen.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa list ein.

Ergebnisse

ESXi zeigt eine Liste aller verfügbaren Sicherheitsverbindungen an.

Hinzufügen einer IPsec-Sicherheitsverbindung

Fügen Sie eine Sicherheitsverbindung hinzu, um Verschlüsselungsparameter für den zugeordneten IP-Datenverkehr festzulegen.

Sie können eine Sicherheitsverbindung mithilfe des Befehls esxcli hinzufügen.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa add zusammen mit einer oder mehreren der nachfolgenden Optionen ein.
    Option Beschreibung
    --sa-source= Quelladresse Erforderlich. Geben Sie die Quelladresse an.
    --sa-destination= Zieladresse Erforderlich. Geben Sie die Zieladresse an.
    --sa-mode= Modus Erforderlich. Geben Sie als Modus entweder transport oder tunnel an.
    --sa-spi= Sicherheitsparameter-Index Erforderlich. Geben Sie den Sicherheitsparameter-Index an. Der Sicherheitsparameter-Index identifiziert die Sicherheitsverbindung dem Host gegenüber. Er muss eine Hexadezimalzahl mit dem Präfix 0x sein. Jede von Ihnen erstellte Sicherheitsverbindung muss eine eindeutige Kombination aus Protokoll und Sicherheitsparameter-Index besitzen.
    --encryption-algorithm= Verschlüsselungsalgorithmus Erforderlich. Verwenden Sie einen der folgenden Parameter, um den Verschlüsselungsalgorithmus anzugeben.
    • 3des-cbc
    • aes128-cbc
    • null (bietet keine Verschlüsselung)
    --encryption-key= Verschlüsselungsschlüssel Erforderlich, wenn Sie einen Verschlüsselungsalgorithmus angeben. Geben Sie den Verschlüsselungsschlüssel an. Sie können Schlüssel als ASCII-Text oder als Hexadezimalzahl mit dem Präfix 0x eingeben.
    --integrity-algorithm= Authentifizierungsalgorithmus Erforderlich. Geben Sie den Authentifizierungsalgorithmus an: hmac-sha1 oder hmac-sha2-256.
    --integrity-key= Authentifizierungsschlüssel Erforderlich. Geben Sie den Authentifizierungsschlüssel an. Sie können Schlüssel als ASCII-Text oder als Hexadezimalzahl mit dem Präfix 0x eingeben.
    --sa-name=Name Erforderlich. Geben Sie einen Namen für die Sicherheitsverbindung an.

Beispiel: Befehl für eine neue Sicherheitsverbindung

Im folgenden Beispiel wurden Zeilenumbrüche hinzugefügt, um die Lesbarkeit zu verbessern.

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

Entfernen einer IPsec-Sicherheitsverbindung

Sie können eine Sicherheitsverbindung mithilfe des ESXCLI-Befehls entfernen.

Voraussetzungen

Stellen Sie sicher, dass die gewünschte Sicherheitsverbindung zurzeit nicht verwendet wird. Wenn Sie versuchen, eine Sicherheitsverbindung zu entfernen, die gerade verwendet wird, schlägt der Entfernungsvorgang fehl.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sa remove --sa-name security_association_name ein.

Auflisten der verfügbaren IPsec-Sicherheitsrichtlinien

Die verfügbaren Sicherheitsrichtlinien können Sie mit dem Befehl ESXCLI auflisten.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp list ein.

Ergebnisse

Der Host zeigt eine Liste aller verfügbaren Sicherheitsrichtlinien an.

Erstellen einer IPsec-Sicherheitsrichtlinie

Erstellen Sie eine Sicherheitsrichtlinie, um festzulegen, wann die in einer Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsparameter verwendet werden sollen. Sie können eine Sicherheitsrichtlinie mithilfe des ESXCLI-Befehls hinzufügen.

Voraussetzungen

Fügen Sie vor dem Erstellen einer Sicherheitsrichtlinie eine Sicherheitsverbindung mit den entsprechenden Authentifizierungs- und Verschlüsselungsparametern hinzu, wie unter Hinzufügen einer IPsec-Sicherheitsverbindung beschrieben.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp add zusammen mit einer oder mehreren der nachfolgenden Optionen ein.
    Option Beschreibung
    --sp-source= Quelladresse Erforderlich. Geben Sie Quell-IP-Adresse und die Präfixlänge an.
    --sp-destination= Zieladresse Erforderlich. Geben Sie Zieladresse und die Präfixlänge an.
    --source-port= Port Erforderlich. Geben Sie den Quellport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
    --destination-port= Port Erforderlich. Geben Sie den Zielport an. Der Quellport muss eine Zahl zwischen 0 und 65535 sein.
    --upper-layer-protocol= Protokoll Verwenden Sie einen der folgenden Parameter, um das Protokoll für höhere Schichten anzugeben.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= Richtung Wählen Sie als Richtung, in der Sie den Datenverkehr überwachen möchten, entweder in oder out aus.
    --action= Aktion Geben Sie mithilfe eines der folgenden Parameters die Aktion an, die ausgeführt werden soll, wenn auf Datenverkehr mit den angegebenen Parametern gestoßen wird.
    • none: Keine Aktion ausführen.
    • discard: Keinen ein- oder ausgehenden Datenverkehr zulassen.
    • ipsec: Die in der Sicherheitsverbindung angegebenen Authentifizierungs- und Verschlüsselungsinformationen verwenden, um zu ermitteln, ob die Daten aus einer vertrauenswürdigen Quelle stammen.
    --sp-mode= Modus Geben Sie als Modus entweder tunnel oder transport an.
    --sa-name=Name der Sicherheitsverbindung Erforderlich. Geben Sie den Namen der Sicherheitsverbindung an, die die Sicherheitsrichtlinie verwenden soll.
    --sp-name=Name Erforderlich. Geben Sie einen Namen für die Sicherheitsrichtlinie an.

Beispiel: Befehl für eine neue Sicherheitsrichtlinie

Im folgenden Beispiel wurden Zeilenumbrüche hinzugefügt, um die Lesbarkeit zu verbessern.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

Entfernen einer IPsec-Sicherheitsrichtlinie

Sie können eine Sicherheitsrichtlinie mithilfe des ESXCLI-Befehls vom ESXi-Host entfernen.

Voraussetzungen

Stellen Sie sicher, dass die gewünschte Sicherheitsrichtlinie zurzeit nicht verwendet wird. Wenn Sie versuchen, eine Sicherheitsrichtlinie zu entfernen, die gerade verwendet wird, schlägt der Entfernungsvorgang fehl.

Prozedur

  • Geben Sie an der Eingabeaufforderung den Befehl esxcli network ip ipsec sp remove --sa-name Name der Sicherheitsrichtlinie ein.
    Um alle Sicherheitsrichtlinien zu entfernen, geben Sie den Befehl esxcli network ip ipsec sp remove --remove-all ein.