セキュリティ アソシエーションを追加して、関連する IP トラフィックの暗号化パラメータを指定します。

このタスクについて

セキュリティ アソシエーションは、vSphere CLI コマンドの esxcli を使用して追加できます。

手順

コマンド プロンプトで、esxcli network ip ipsec sa add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。

オプション

説明

--sa-source= source address

必須。ソース アドレスを指定します。

--sa-destination= destination address

必須。ターゲット アドレスを指定します。

--sa-mode= mode

必須。transporttunnel 、どちらかのモードを指定します。

--sa-spi= security parameter index

必須。セキュリティ パラメータ インデックスを指定します。セキュリティ パラメータ インデックスは、ホストへのセキュリティ アソシエーションを識別します。0x のプリフィックスを付けた 16 進数である必要があります。作成するセキュリティ アソシエーションは、それぞれプロトコルとセキュリティ パラメータ インデックスの組み合わせが一意である必要があります。

--encryption-algorithm= encryption algorithm

必須。次のパラメータの 1 つを使用して、暗号化アルゴリズムを指定します。

  • 3des-cbc

  • aes128-cbc

  • null

    null を指定すると暗号化しません。

--encryption-key= encryption key

暗号化アルゴリズムの指定時に必須。暗号化キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。

--integrity-algorithm= authentication algorithm

必須。認証アルゴリズムとして、hmac-sha1hmac-sha2-256 のどちらかを指定します。

--integrity-key= authentication key

必須。認証キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。

--sa-name=name

必須。セキュリティ アソシエーションの名前を入力します。

新規セキュリティ アソシエーション コマンド

次の例は、わかりやすいように余分な改行が挿入されています。

esxcli network ip ipsec sa add --sa-source 3ffe:501:ffff:0::a --sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001 --sa-mode transport --sa-spi 0x1000 --encryption-algorithm 3des-cbc --encryption-key 0x6970763672656164796c6f676f336465736362636f757432 --integrity-algorithm hmac-sha1 --integrity-key 0x6970763672656164796c6f67736861316f757432 --sa-name sa1