La sécurité du protocole Internet (IPsec) sécurise les communications IP provenant de et arrivant sur l'hôte. Les hôtes ESXi prennent en charge IPsec utilisant IPv6.

Lorsque vous configurez IPsec sur un hôte ESXi, vous activez l'authentification et le chiffrement des paquets entrants et sortants. Le moment et la manière dont le trafic IP est chiffré dépendent de la façon dont vous avez configuré les associations de sécurité et les règles de sécurité du système.

Une association de sécurité détermine la manière dont le système chiffre le trafic. Lorsque vous créez une association de sécurité, vous indiquez la source et la destination, les paramètres de chiffrement et le nom de l'association de sécurité.

Une stratégie de sécurité détermine à quel moment le système doit chiffrer le trafic. La stratégie de sécurité comprend les informations de source et de destination, le protocole et la direction du trafic à chiffrer, le mode (transport ou tunnel) et l'association de sécurité à utiliser.

Répertorier les associations de sécurité disponibles sur les hôtes ESXi

ESXi peut fournir une liste de toutes les associations de sécurité disponibles pour l'utilisation par les règles de sécurité. Cette liste inclut les associations de sécurité créées par l'utilisateur et les associations de sécurité que VMkernel a installées à l'aide d'Internet Key Exchange.

Vous pouvez obtenir une liste des associations de sécurité disponibles à l'aide de la commande esxcli.

Procédure

  • Dans l'invite de commande, entrez la commande esxcli network ip ipsec sa list.

Résultats

ESXi affiche une liste de toutes les associations de sécurité disponibles.

Ajouter une association de sécurité IPsec à un hôte ESXi

Ajoutez une association de sécurité pour définir des paramètres de chiffrement pour le trafic IP associé.

Vous pouvez ajouter une association de sécurité à l'aide de la commande esxcli.

Procédure

  • Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sa add avec une ou plusieurs des options suivantes.
    Option Description
    --sa-source= source address Requis. Spécifiez l'adresse source.
    --sa-destination= destination address Requis. Spécifiez l'adresse de destination.
    --sa-mode= mode Requis. Spécifiez le mode, soit transport ou tunnel.
    --sa-spi= security parameter index Requis. Spécifiez l'index des paramètres de sécurité. Celui-ci identifie l'association de sécurité à l'hôte. Ce doit être un hexadécimal avec un préfixe 0x. Chaque association de sécurité que vous créez doit disposer d'une combinaison unique de protocole et d'index de paramètres de sécurité.
    --encryption-algorithm= encryption algorithm Requis. Spécifiez l'algorithme de chiffrement à l'aide d'un des paramètres suivants.
    • 3des-cbc
    • aes128-cbc
    • null ( n'assure aucun chiffrage)
    --encryption-key= encryption key Requise lorsque vous spécifiez un algorithme de chiffrement. Spécifiez la clé de chiffrement. Vous pouvez entrer des clés en tant que texte ASCII ou en tant qu'hexadécimal avec un préfixe 0x.
    --integrity-algorithm= authentication algorithm Requis. Spécifiez l'algorithme d'authentification, soit hmac-sha1 ou hmac-sha2-256.
    --integrity-key= authentication key Requis. Spécifiez la clé d'authentification. Vous pouvez entrer des clés en tant que texte ASCII ou en tant qu'hexadécimal avec un préfixe 0x.
    --sa-name=name Requis. Indiquez un nom pour l'association de sécurité.

Exemple : Commande de nouvelle association de sécurité

L'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

Supprimer une association de sécurité IPsec d'un hôte ESXi

Vous pouvez supprimer une association de sécurité à l'aide de la commande ESXCLI.

Conditions préalables

Vérifiez que l'association de sécurité que vous souhaitez employer n'est pas actuellement utilisée. Si vous essayez de supprimer une association de sécurité en cours d'utilisation, l'opération de suppression échoue.

Procédure

  • À la suite de l'invite de commande, entrez la commande esxcli network ip ipsec sa remove --sa-namesecurity_association_name.

Répertorier les stratégies de sécurité IPsec disponibles sur un hôte ESXi

Vous pouvez ajouter une stratégie de sécurité disponible à l'aide de la commande ESXCLI.

Procédure

  • Dans l'invite de commande, entrez la commande esxcli network ip ipsec sp list.

Résultats

L'hôte affiche une liste de toutes les règles de sécurité disponibles.

Créer une stratégie de sécurité IPSec sur un hôte ESXi

Créez une règle de sécurité pour déterminer le moment auquel utiliser les paramètres d'authentification et de chiffrement définis dans une association de sécurité. Vous pouvez ajouter une stratégie de sécurité à l'aide de la commande ESXCLI.

Conditions préalables

Avant de créer une règle de sécurité, ajoutez une association de sécurité comportant les paramètres d'authentification et de chiffrement appropriés décrits dans Ajouter une association de sécurité IPsec à un hôte ESXi.

Procédure

  • Dans l'invite de commande, saisissez la commande esxcli network ip ipsec sp add avec une ou plusieurs des options suivantes.
    Option Description
    --sp-source= source address Requis. Spécifiez l'adresse IP source et la longueur du préfixe.
    --sp-destination= destination address Requis. Spécifiez l'adresse de destination et la longueur du préfixe.
    --source-port= port Requis. Spécifiez le port source. Le port source doit être un nombre compris entre 0 et 65 535.
    --destination-port= port Requis. Spécifiez le port de destination. Le port source doit être un nombre compris entre 0 et 65 535.
    --upper-layer-protocol= protocol Spécifiez le protocole de couche supérieure à l'aide d'un des paramètres suivants.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction Spécifiez la direction dans laquelle vous souhaitez surveiller le trafic à l'aide de in ou out.
    --action= action Définissez l'action à prendre lorsque le trafic avec les paramètres spécifiés est rencontré à l'aide des paramètres suivants.
    • none : Ne faites rien.
    • discard : Ne permettez pas l'entrée ou la sortie de données.
    • ipsec : Utilisez les informations d'authentification et de chiffrement fournies dans l'association de sécurité pour déterminer si les données proviennent d'une source de confiance.
    --sp-mode= mode Spécifiez le mode, soit tunnel ou transport.
    --sa-name=security association name Requis. Indiquez le nom de l'association de sécurité pour la règle de sécurité à utiliser.
    --sp-name=name Requis. Indiquez un nom pour la règle de sécurité.

Exemple : Commande de nouvelle règle de sécurité

L'exemple suivant contient des sauts de ligne supplémentaires pour des raisons de lisibilité.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

Supprimer une stratégie de sécurité IPsec d'un hôte ESXi

Vous pouvez supprimer une stratégie de sécurité de l'hôte ESXi à l'aide de la commande ESXCLI.

Conditions préalables

Vérifiez que la stratégie de sécurité que vous souhaitez utiliser n'est pas actuellement utilisée. Si vous essayez de supprimer une règle de sécurité en cours d'utilisation, l'opération de suppression échoue.

Procédure

  • Dans l'invite de commande, entrez la commande esxcli network ip ipsec sp remove --sa-name security policy name.
    Pour supprimer toutes les règles de sécurité, entrez la commande esxcli network ip ipsec sp remove --remove-all.