Créez une règle de sécurité pour déterminer le moment auquel utiliser les paramètres d'authentification et de chiffrement définis dans une association de sécurité. Vous pouvez ajouter une stratégie de sécurité à l'aide de la commande vSphere CLI ESXCLI.

Préambules

Avant de créer une règle de sécurité, ajoutez une association de sécurité comportant les paramètres d'authentification et de chiffrement appropriés décrits dans Ajouter une association de sécurité IPsec.

Procédure

Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sp add avec une ou plusieurs des options suivantes.

Option

Description

--sp-source= source address

Requis. Spécifiez l'adresse IP source et la longueur du préfixe.

--sp-destination= destination address

Requis. Spécifiez l'adresse de destination et la longueur du préfixe.

--source-port= port

Requis. Spécifiez le port source. Le port source doit être un nombre compris entre 0 et 65 535.

--destination-port= port

Requis. Spécifiez le port de destination. Le port source doit être un nombre compris entre 0 et 65 535.

--upper-layer-protocol= protocol

Spécifiez le protocole de couche supérieure à l'aide d'un des paramètres suivants.

  • tcp

  • udp

  • icmp6

  • toutes

--flow-direction= direction

Spécifiez la direction dans laquelle vous souhaitez surveiller le trafic à l'aide de in ou out.

--action= action

Définissez l'action à prendre lorsque le trafic avec les paramètres spécifiés est rencontré à l'aide des paramètres suivants.

  • none : Ne faites rien

  • discard : Ne permettez pas l'entrée ou la sortie de données.

  • ipsec : Utilisez les informations d'authentification et de chiffrement fournies dans l'association de sécurité pour déterminer si les données proviennent d'une source de confiance.

--sp-mode= mode

Spécifiez le mode, soit tunnel ou transport.

--sa-name=security association name

Requis. Indiquez le nom de l'association de sécurité pour la règle de sécurité à utiliser.

--sp-name=name

Requis. Indiquez un nom pour la règle de sécurité.

Commande de nouvelle règle de sécurité

L'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1