Cree una directiva de seguridad para determinar cuándo se debe utilizar el conjunto de parámetros de autenticación y cifrado en una asociación de seguridad. Puede agregar una directiva de seguridad mediante el comando ESXCLI de vSphere CLI.

Requisitos

Antes de crear una directiva de seguridad, agregue una asociación de seguridad con los parámetros de autenticación y cifrado adecuados, tal como se describe en Agregar una asociación de seguridad IPsec.

Procedimiento

En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sp add con una o más de las siguientes opciones.

Opción

Descripción

--sp-source= source address

Requerido. Especifique la dirección IP de origen y la longitud del prefijo.

--sp-destination= destination address

Requerido. Especifique la dirección de destino y la longitud del prefijo.

--source-port= port

Requerido. Especifique el puerto de origen. El puerto de origen debe ser un número entre 0 y 65535.

--destination-port= port

Requerido. Especifique el puerto de destino. El puerto de origen debe ser un número entre 0 y 65535.

--upper-layer-protocol= protocol

Especifique el protocolo de capa superior mediante uno de los siguientes parámetros.

  • tcp

  • udp

  • icmp6

  • any

--flow-direction= direction

Especifique la dirección en la que desea supervisar el tráfico mediante in o out.

--action= action

Utilice los siguientes parámetros para especificar la acción que se debe realizar cuando se encuentra tráfico con los parámetros especificados.

  • none: no realice ninguna acción.

  • discard: no permita la entrada o salida de datos.

  • ipsec: utilice la información de autenticación y cifrado proporcionada en la asociación de seguridad para determinar si los datos provienen de un origen confiable.

--sp-mode= mode

Especifique el modo, ya sea tunnel o transport.

--sa-name=security association name

Requerido. Proporcione el nombre de la asociación de seguridad para la directiva de seguridad que se va a utilizar.

--sp-name=name

Requerido. Proporcione un nombre para la directiva de seguridad.

Nuevo comando de directiva de seguridad

En el siguiente ejemplo se incluyen saltos de línea adicionales para facilitar la lectura.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1