セキュリティ ポリシーを作成して、セキュリティ アソシエーションで設定されている認証と暗号化のパラメータを使用するタイミングを指定します。ESXCLI vSphere CLI コマンドを使用して、セキュリティ ポリシーを追加できます。

始める前に

セキュリティ ポリシーを作成する前に、IPsec セキュリティ アソシエーションの追加 の説明に従って、適切な認証と暗号化のパラメータを指定してセキュリティ アソシエーションを追加します。

手順

コマンド プロンプトで、esxcli network ip ipsec sp add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。

オプション

説明

--sp-source= source address

必須。ソース IP アドレスとプリフィックスの長さを指定します。

--sp-destination= destination address

必須。ターゲット IP アドレスとプリフィックスの長さを指定します。

--source-port= port

必須。ソース ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。

--destination-port= port

必須。ターゲット ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。

--upper-layer-protocol= protocol

次のパラメータのいずれかを使用して、上位レイヤー プロトコルを指定します。

  • tcp

  • udp

  • icmp6

  • any

--flow-direction= direction

in または out を使用して、トラフィックを監視する方向を指定します。

--action= action

次のいずれかのパラメータを使用して、指定したパラメータを持つトラフィックが検出されたときの処理を指定します。

  • none: 何も処理を行いません。

  • discard: データの送受信を許可しません。

  • ipsec: セキュリティ アソシエーションで指定されている認証と暗号化の情報を使用して、データが信頼できるソースから送信されたものかどうかを判別します。

--sp-mode= mode

tunneltransport の、どちらかのモードを指定します。

--sa-name=security association name

必須。使用するセキュリティ ポリシーのセキュリティ アソシエーションの名前を入力します。

--sp-name=name

必須。セキュリティ ポリシーの名前を入力します。

新規セキュリティ ポリシー コマンド

次の例は、わかりやすいように余分な改行が挿入されています。

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1