Créez une règle de sécurité pour déterminer le moment auquel utiliser les paramètres d'authentification et de chiffrement définis dans une association de sécurité. Vous pouvez ajouter une stratégie de sécurité à l'aide de la commande ESXCLI.
Conditions préalables
Avant de créer une règle de sécurité, ajoutez une association de sécurité comportant les paramètres d'authentification et de chiffrement appropriés décrits dans Ajouter une association de sécurité IPsec.
Procédure
- ♦ Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sp add avec une ou plusieurs des options suivantes.
Option Description --sp-source= source address Requis. Spécifiez l'adresse IP source et la longueur du préfixe. --sp-destination= destination address Requis. Spécifiez l'adresse de destination et la longueur du préfixe. --source-port= port Requis. Spécifiez le port source. Le port source doit être un nombre compris entre 0 et 65 535. --destination-port= port Requis. Spécifiez le port de destination. Le port source doit être un nombre compris entre 0 et 65 535. --upper-layer-protocol= protocol Spécifiez le protocole de couche supérieure à l'aide d'un des paramètres suivants. - tcp
- udp
- icmp6
- any
--flow-direction= direction Spécifiez la direction dans laquelle vous souhaitez surveiller le trafic à l'aide de in ou out. --action= action Définissez l'action à prendre lorsque le trafic avec les paramètres spécifiés est rencontré à l'aide des paramètres suivants. - none : Ne faites rien.
- discard : Ne permettez pas l'entrée ou la sortie de données.
- ipsec : Utilisez les informations d'authentification et de chiffrement fournies dans l'association de sécurité pour déterminer si les données proviennent d'une source de confiance.
--sp-mode= mode Spécifiez le mode, soit tunnel ou transport. --sa-name=security association name Requis. Indiquez le nom de l'association de sécurité pour la règle de sécurité à utiliser. --sp-name=name Requis. Indiquez un nom pour la règle de sécurité.
Exemple : Commande de nouvelle règle de sécurité
L'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.
esxcli network ip ipsec add --sp-source=2001:db8:1::/64 --sp-destination=2002:db8:1::/64 --source-port=23 --destination-port=25 --upper-layer-protocol=tcp --flow-direction=out --action=ipsec --sp-mode=transport --sa-name=sa1 --sp-name=sp1