セキュリティ ポリシーを作成して、セキュリティ アソシエーションで設定されている認証と暗号化のパラメータを使用するタイミングを指定します。セキュリティ ポリシーは、ESXCLI コマンドを使用して追加できます。

前提条件

セキュリティ ポリシーを作成する前に、IPsec セキュリティ アソシエーションの追加の説明に従って、適切な認証と暗号化のパラメータを指定してセキュリティ アソシエーションを追加します。

手順

  • コマンド プロンプトで、esxcli network ip ipsec sp add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。
    オプション 説明
    --sp-source= source address 必須。ソース IP アドレスとプリフィックスの長さを指定します。
    --sp-destination= destination address 必須。ターゲット IP アドレスとプリフィックスの長さを指定します。
    --source-port= port 必須。ソース ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。
    --destination-port= port 必須。ターゲット ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。
    --upper-layer-protocol= protocol 次のパラメータのいずれかを使用して、上位レイヤー プロトコルを指定します。
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction inまたは out を使用して、トラフィックを監視する方向を指定します。
    --action= action 次のいずれかのパラメータを使用して、指定したパラメータを持つトラフィックが検出されたときの処理を指定します。
    • none: 何も処理を行いません。
    • discard: データの送受信を許可しません。
    • ipsec: セキュリティ アソシエーションで指定されている認証と暗号化の情報を使用して、データが信頼できるソースから送信されたものかどうかを判別します。
    --sp-mode= mode tunneltransport の、どちらかのモードを指定します。
    --sa-name=security association name 必須。使用するセキュリティ ポリシーのセキュリティ アソシエーションの名前を入力します。
    --sp-name=name 必須。セキュリティ ポリシーの名前を入力します。

例: 新規セキュリティ ポリシー コマンド

次の例は、わかりやすいように余分な改行が挿入されています。 

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1