Cree una directiva de seguridad para determinar cuándo se debe utilizar el conjunto de parámetros de autenticación y cifrado en una asociación de seguridad. Puede agregar una directiva de seguridad mediante el comando ESXCLI de vSphere CLI.

Requisitos previos

Antes de crear una directiva de seguridad, agregue una asociación de seguridad con los parámetros de autenticación y cifrado adecuados, tal como se describe en Agregar una asociación de seguridad IPsec.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sp add con una o más de las siguientes opciones.
    Opción Descripción
    --sp-source= source address Requerido. Especifique la dirección IP de origen y la longitud del prefijo.
    --sp-destination= destination address Requerido. Especifique la dirección de destino y la longitud del prefijo.
    --source-port= port Requerido. Especifique el puerto de origen. El puerto de origen debe ser un número entre 0 y 65535.
    --destination-port= port Requerido. Especifique el puerto de destino. El puerto de origen debe ser un número entre 0 y 65535.
    --upper-layer-protocol= protocol Especifique el protocolo de capa superior mediante uno de los siguientes parámetros.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction Especifique la dirección en la que desea supervisar el tráfico mediante in o out.
    --action= action Utilice los siguientes parámetros para especificar la acción que se debe realizar cuando se encuentra tráfico con los parámetros especificados.
    • none: no realice ninguna acción.
    • discard: no permita la entrada o salida de datos.
    • ipsec: utilice la información de autenticación y cifrado proporcionada en la asociación de seguridad para determinar si los datos provienen de un origen confiable.
    --sp-mode= mode Especifique el modo, ya sea tunnel o transport.
    --sa-name=security association name Requerido. Proporcione el nombre de la asociación de seguridad para la directiva de seguridad que se va a utilizar.
    --sp-name=name Requerido. Proporcione un nombre para la directiva de seguridad.

Ejemplo: Nuevo comando de directiva de seguridad

En el siguiente ejemplo se incluyen saltos de línea adicionales para facilitar la lectura.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1