セキュリティ アソシエーションを追加して、関連する IP トラフィックの暗号化パラメータを指定します。
セキュリティ アソシエーションは、esxcliを使用して追加できます。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sa add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。
オプション 説明 --sa-source= source address 必須。ソース アドレスを指定します。 --sa-destination= destination address 必須。ターゲット アドレスを指定します。 --sa-mode= mode 必須。transportか tunnel の、どちらかのモードを指定します。 --sa-spi= security parameter index 必須。セキュリティ パラメータ インデックスを指定します。セキュリティ パラメータ インデックスは、ホストへのセキュリティ アソシエーションを識別します。0x のプリフィックスを付けた 16 進数である必要があります。作成するセキュリティ アソシエーションは、それぞれプロトコルとセキュリティ パラメータ インデックスの組み合わせが一意である必要があります。 --encryption-algorithm= encryption algorithm 必須。次のパラメータの 1 つを使用して、暗号化アルゴリズムを指定します。 - 3des-cbc
- aes128-cbc
- null(暗号化なし)
--encryption-key= encryption key 暗号化アルゴリズムの指定時に必須。暗号化キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。 --integrity-algorithm= authentication algorithm 必須。認証アルゴリズムとして、hmac-sha1か hmac-sha2-256 のどちらかを指定します。 --integrity-key= authentication key 必須。認証キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。 --sa-name=name 必須。セキュリティ アソシエーションの名前を入力します。
例: 新規セキュリティ アソシエーション コマンド
次の例は、わかりやすいように余分な改行が挿入されています。
esxcli network ip ipsec sa add --sa-source 3ffe:501:ffff:0::a --sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001 --sa-mode transport --sa-spi 0x1000 --encryption-algorithm 3des-cbc --encryption-key 0x6970763672656164796c6f676f336465736362636f757432 --integrity-algorithm hmac-sha1 --integrity-key 0x6970763672656164796c6f67736861316f757432 --sa-name sa1
