Ajoutez une association de sécurité pour définir des paramètres de chiffrement pour le trafic IP associé.

Pourquoi et quand exécuter cette tâche

Vous pouvez ajouter une association de sécurité avec la commande vSphere CLI esxcli.

Procédure

Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sa add avec une ou plusieurs des options suivantes.

Option

Description

--sa-source= source address

Requis. Spécifiez l'adresse source.

--sa-destination= destination address

Requis. Spécifiez l'adresse de destination.

--sa-mode= mode

Requis. Spécifiez le mode, soit transport ou tunnel.

--sa-spi= security parameter index

Requis. Spécifiez l'index des paramètres de sécurité. Celui-ci identifie l'association de sécurité à l'hôte. Ce doit être un hexadécimal avec un préfixe 0x. Chaque association de sécurité que vous créez doit disposer d'une combinaison unique de protocole et d'index de paramètres de sécurité.

--encryption-algorithm= encryption algorithm

Requis. Spécifiez l'algorithme de chiffrement à l'aide d'un des paramètres suivants.

  • 3des-cbc

  • aes128-cbc

  • null ( n'assure aucun chiffrage)

--encryption-key= encryption key

Requise lorsque vous spécifiez un algorithme de chiffrement. Spécifiez la clé de chiffrement. Vous pouvez entrer des clés en tant que texte ASCII ou en tant qu'hexadécimal avec un préfixe 0x.

--integrity-algorithm= authentication algorithm

Requis. Spécifiez l'algorithme d'authentification, soit hmac-sha1 ou hmac-sha2-256.

--integrity-key= authentication key

Requis. Spécifiez la clé d'authentification. Vous pouvez entrer des clés en tant que texte ASCII ou en tant qu'hexadécimal avec un préfixe 0x.

--sa-name=name

Requis. Indiquez un nom pour l'association de sécurité.

Commande de nouvelle association de sécurité

L'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1