El protocolo Internet Protocol Security (IPsec) protege las comunicaciones de IP que recibe y envía un host. Los hosts ESXi admiten IPsec con IPv6.

Al configurar IPsec en un host ESXi, se habilita la autenticación y el cifrado de paquetes entrantes y salientes. El momento y el modo en que el tráfico de IP se cifra dependen de la configuración de las asociaciones de seguridad del sistema y de las directivas de seguridad.

Una asociación de seguridad determina el modo en que el sistema cifra el tráfico. Al crear una asociación de seguridad, se especifican el origen y el destino, los parámetros de cifrado y un nombre para la asociación de seguridad.

Una directiva de seguridad determina el momento en el que el sistema debe cifrar el tráfico. La directiva de seguridad incluye la información del origen y destino, el protocolo y la dirección del tráfico que se va a cifrar, el modo (transporte o túnel) y la asociación de seguridad que se deben utilizar.

Enumerar las asociaciones de seguridad disponibles en hosts ESXi

ESXi puede proporcionar una lista de todas las asociaciones de seguridad disponibles que pueden usar las directivas de seguridad. La lista incluye tanto las asociaciones de seguridad creadas por el usuario como las asociaciones de seguridad que haya instalado el VMkernel con el intercambio de claves por red.

Puede obtener una lista de las asociaciones de seguridad disponibles usando el comando esxcli.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sa list.

Resultados

ESXi muestra una lista de todas las asociaciones de seguridad disponibles.

Agregar una asociación de seguridad de IPsec a un host ESXi

Agregue una asociación de seguridad a fin de especificar parámetros de cifrado para el tráfico de IP asociado.

Puede agregar una asociación de seguridad mediante el comando esxcli.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sa add con una o más de las siguientes opciones.
    Opción Descripción
    --sa-source= source address Requerido. Especifique la dirección de origen.
    --sa-destination= destination address Requerido. Especifique la dirección de destino.
    --sa-mode= mode Requerido. Especifique el modo, ya sea transport o tunnel.
    --sa-spi= security parameter index Requerido. Especifique el índice de parámetros de seguridad. El índice de parámetros de seguridad identifica la asociación de seguridad con el host. Debe ser un número hexadecimal con un prefijo 0x. Cada asociación de seguridad que cree debe tener una combinación única de protocolo e índice de parámetros de seguridad.
    --encryption-algorithm= encryption algorithm Requerido. Especifique el algoritmo de cifrado mediante uno de los siguientes parámetros.
    • 3des-cbc
    • aes128-cbc
    • null (no proporciona cifrado)
    --encryption-key= encryption key Requerido al especificar un algoritmo de cifrado. Especifique la clave de cifrado. Puede introducir claves como texto ASCII o un número hexadecimal con un prefijo 0x.
    --integrity-algorithm= authentication algorithm Requerido. Especifique el algoritmo de autenticación, ya sea hmac-sha1 o hmac-sha2-256.
    --integrity-key= authentication key Requerido. Especifique la clave de autenticación. Puede introducir claves como texto ASCII o un número hexadecimal con un prefijo 0x.
    --sa-name=name Requerido. Proporcione un nombre para la asociación de seguridad.

Ejemplo: Nuevo comando de asociación de seguridad

El siguiente ejemplo contiene saltos de línea adicionales para facilitar la lectura. 

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

Quitar una asociación de seguridad de IPsec de un host ESXi

Una asociación de seguridad se puede eliminar usando el comando ESXCLI.

Requisitos previos

Compruebe que la asociación de seguridad que desea utilizar no esté en uso. Si intenta eliminar una asociación de seguridad en uso, la operación de eliminación generará errores.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sa remove --sa-name security_association_name.

Enumerar las directivas de seguridad de IPsec disponibles en un host ESXi

Las directivas de seguridad disponibles se pueden mostrar con el comando ESXCLI.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sp list.

Resultados

El host muestra una lista de todas las directivas de seguridad disponibles.

Crear una directiva de seguridad de IPSec en un host ESXi

Cree una directiva de seguridad para determinar cuándo se debe utilizar el conjunto de parámetros de autenticación y cifrado en una asociación de seguridad. Puede agregar una directiva de seguridad mediante el comando ESXCLI.

Requisitos previos

Antes de crear una directiva de seguridad, agregue una asociación de seguridad con los parámetros de autenticación y cifrado adecuados, tal como se describe en Agregar una asociación de seguridad de IPsec a un host ESXi.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sp add con una o más de las siguientes opciones.
    Opción Descripción
    --sp-source= source address Requerido. Especifique la dirección IP de origen y la longitud del prefijo.
    --sp-destination= destination address Requerido. Especifique la dirección de destino y la longitud del prefijo.
    --source-port= port Requerido. Especifique el puerto de origen. El puerto de origen debe ser un número entre 0 y 65535.
    --destination-port= port Requerido. Especifique el puerto de destino. El puerto de origen debe ser un número entre 0 y 65535.
    --upper-layer-protocol= protocol Especifique el protocolo de capa superior mediante uno de los siguientes parámetros.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction Especifique la dirección en la que desea supervisar el tráfico mediante in o out.
    --action= action Utilice los siguientes parámetros para especificar la acción que se debe realizar cuando se encuentra tráfico con los parámetros especificados.
    • none: no realice ninguna acción.
    • discard: no permita la entrada o salida de datos.
    • ipsec: utilice la información de autenticación y cifrado proporcionada en la asociación de seguridad para determinar si los datos provienen de un origen confiable.
    --sp-mode= mode Especifique el modo, ya sea tunnel o transport.
    --sa-name=security association name Requerido. Proporcione el nombre de la asociación de seguridad para la directiva de seguridad que se va a utilizar.
    --sp-name=name Requerido. Proporcione un nombre para la directiva de seguridad.

Ejemplo: Nuevo comando de directiva de seguridad

En el siguiente ejemplo se incluyen saltos de línea adicionales para facilitar la lectura. 

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

Quitar una directiva de seguridad de IPsec de un host ESXi

Una directiva de seguridad se puede eliminar del host ESXi usando el comando ESXCLI.

Requisitos previos

Compruebe que la directiva de seguridad que desea utilizar no esté en uso. Si intenta eliminar una directiva de seguridad en uso, la operación de eliminación generará errores.

Procedimiento

  • En el símbolo del sistema, introduzca el comando esxcli network ip ipsec sp remove --sa-name security policy name.
    Para eliminar todas las directivas de seguridad, introduzca el comando esxcli network ip ipsec sp remove --remove-all.