IPsec (インターネット プロトコル セキュリティ) は、ホストで送受信される IP 通信を保護します。ESXi ホストでは、IPv6 を使用した IPsec がサポートされています。
ESXi ホストで IPsec を設定すると、送受信されるパケットの認証と暗号化が可能になります。IP トラフィックがいつ、どのように暗号化されるかは、システムのセキュリティ アソシエーションとセキュリティ ポリシーを設定する方法によって異なります。
セキュリティ アソシエーションは、システムでのトラフィックの暗号化方法を決定します。セキュリティ アソシエーションを作成するときは、ソースとターゲット、暗号化パラメータ、およびセキュリティ アソシエーションの名前を指定します。
セキュリティ ポリシーは、システムでトラフィックを暗号化するタイミングを決定します。セキュリティ ポリシーには、ソースとターゲットの情報、プロトコルと暗号化するトラフィックの方向、モード (トランスポートまたはトンネル)、および使用するセキュリティ アソシエーションが含まれます。
ESXi ホストで使用可能なセキュリティ アソシエーションの一覧表示
ESXiでは、セキュリティ ポリシーで使用できるすべてのセキュリティ アソシエーションを一覧表示できます。この一覧には、ユーザーが作成したセキュリティ アソシエーションと、IKE (Internet Key Exchange) を使用して VMkernel がインストールしたセキュリティ アソシエーションの両方が含まれます。
手順
- ♦ コマンド プロンプトから、esxcli network ip ipsec sa list コマンドを入力します。
結果
ESXiは、使用可能なすべてのセキュリティ アソシエーションを一覧表示します。
ESXi ホストへの IPsec セキュリティ アソシエーションの追加
セキュリティ アソシエーションを追加して、関連する IP トラフィックの暗号化パラメータを指定します。
セキュリティ アソシエーションは、esxcliを使用して追加できます。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sa add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。
オプション 説明 --sa-source= source address 必須。ソース アドレスを指定します。 --sa-destination= destination address 必須。ターゲット アドレスを指定します。 --sa-mode= mode 必須。transportか tunnel の、どちらかのモードを指定します。 --sa-spi= security parameter index 必須。セキュリティ パラメータ インデックスを指定します。セキュリティ パラメータ インデックスは、ホストへのセキュリティ アソシエーションを識別します。0x のプリフィックスを付けた 16 進数である必要があります。作成するセキュリティ アソシエーションは、それぞれプロトコルとセキュリティ パラメータ インデックスの組み合わせが一意である必要があります。 --encryption-algorithm= encryption algorithm 必須。次のパラメータの 1 つを使用して、暗号化アルゴリズムを指定します。 - 3des-cbc
- aes128-cbc
- null(暗号化なし)
--encryption-key= encryption key 暗号化アルゴリズムの指定時に必須。暗号化キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。 --integrity-algorithm= authentication algorithm 必須。認証アルゴリズムとして、hmac-sha1か hmac-sha2-256 のどちらかを指定します。 --integrity-key= authentication key 必須。認証キーを指定します。キーは、ASCII テキストとして、または 0x のプリフィックスを付けた 16 進数として入力できます。 --sa-name=name 必須。セキュリティ アソシエーションの名前を入力します。
例: 新規セキュリティ アソシエーション コマンド
次の例は、わかりやすいように余分な改行が挿入されています。
esxcli network ip ipsec sa add --sa-source 3ffe:501:ffff:0::a --sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001 --sa-mode transport --sa-spi 0x1000 --encryption-algorithm 3des-cbc --encryption-key 0x6970763672656164796c6f676f336465736362636f757432 --integrity-algorithm hmac-sha1 --integrity-key 0x6970763672656164796c6f67736861316f757432 --sa-name sa1
ESXi ホストからの IPsec セキュリティ アソシエーションの削除
セキュリティ アソシエーションは、ESXCLI コマンドを使用して削除できます。
前提条件
削除するセキュリティ アソシエーションが使用中でないことを確認します。使用中のセキュリティ アソシエーションを削除しようとすると、削除に失敗します。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sa remove --sa-name security_association_name コマンドを入力します。
ESXi ホストで使用可能な IPsec セキュリティ ポリシーの一覧表示
ESXCLI コマンドを使用して、使用可能なセキュリティ ポリシーを一覧表示できます。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sp list コマンドを入力します。
結果
ホストは、使用可能なすべてのセキュリティ ポリシーを一覧表示します。
ESXi ホストでの IPSec セキュリティ ポリシーの作成
セキュリティ ポリシーを作成して、セキュリティ アソシエーションで設定されている認証と暗号化のパラメータを使用するタイミングを指定します。セキュリティ ポリシーは、ESXCLI コマンドを使用して追加できます。
前提条件
セキュリティ ポリシーを作成する前に、ESXi ホストへの IPsec セキュリティ アソシエーションの追加の説明に従って、適切な認証と暗号化のパラメータを指定してセキュリティ アソシエーションを追加します。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sp add コマンドを入力します。その際、次のオプションを 1 つ以上指定します。
オプション 説明 --sp-source= source address 必須。ソース IP アドレスとプリフィックスの長さを指定します。 --sp-destination= destination address 必須。ターゲット IP アドレスとプリフィックスの長さを指定します。 --source-port= port 必須。ソース ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。 --destination-port= port 必須。ターゲット ポートを指定します。ソース ポートは、0 ~ 65535 の数値にする必要があります。 --upper-layer-protocol= protocol 次のパラメータのいずれかを使用して、上位レイヤー プロトコルを指定します。 - tcp
- udp
- icmp6
- any
--flow-direction= direction inまたは out を使用して、トラフィックを監視する方向を指定します。 --action= action 次のいずれかのパラメータを使用して、指定したパラメータを持つトラフィックが検出されたときの処理を指定します。 - none: 何も処理を行いません。
- discard: データの送受信を許可しません。
- ipsec: セキュリティ アソシエーションで指定されている認証と暗号化の情報を使用して、データが信頼できるソースから送信されたものかどうかを判別します。
--sp-mode= mode tunnelか transport の、どちらかのモードを指定します。 --sa-name=security association name 必須。使用するセキュリティ ポリシーのセキュリティ アソシエーションの名前を入力します。 --sp-name=name 必須。セキュリティ ポリシーの名前を入力します。
例: 新規セキュリティ ポリシー コマンド
次の例は、わかりやすいように余分な改行が挿入されています。
esxcli network ip ipsec add --sp-source=2001:db8:1::/64 --sp-destination=2002:db8:1::/64 --source-port=23 --destination-port=25 --upper-layer-protocol=tcp --flow-direction=out --action=ipsec --sp-mode=transport --sa-name=sa1 --sp-name=sp1
ESXi ホストからの IPsec セキュリティ ポリシーの削除
ESXCLI コマンドを使用して、ESXiホストからセキュリティ ポリシーを削除できます。
前提条件
削除するセキュリティ ポリシーが使用中でないことを確認します。使用中のセキュリティ ポリシーを削除しようとすると、削除に失敗します。
手順
- ♦ コマンド プロンプトで、esxcli network ip ipsec sp remove --sa-name security policy name コマンドを入力します。
すべてのセキュリティ ポリシーを削除するには、 esxcli network ip ipsec sp remove --remove-all コマンドを入力します。