보안 연결에 설정되어 있는 인증 및 암호화 매개 변수를 사용할 시점을 판단하기 위해 보안 정책을 생성합니다. ESXCLI 명령을 사용하여 보안 정책을 추가할 수 있습니다.
사전 요구 사항
보안 정책을 생성하기 전에 IPsec 보안 연결 추가에 설명되어 있는 대로 적절한 인증 및 암호화 매개 변수가 설정된 보안 연결을 추가합니다.
프로시저
- ♦ 명령 프롬프트에서 다음 옵션을 하나 이상 포함하여 esxcli network ip ipsec sp add 명령을 입력합니다.
옵션 설명 --sp-source= source address 필수. 소스 IP 주소와 접두사 길이를 지정합니다. --sp-destination= destination address 필수. 대상 주소 및 접두사 길이를 지정합니다. --source-port= port 필수. 소스 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다. --destination-port= port 필수. 대상 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다. --upper-layer-protocol= protocol 다음 매개 변수 중 하나를 사용하여 상위 계층 프로토콜을 지정합니다. - tcp
- udp
- icmp6
- any
--flow-direction= direction in 또는 out을 사용하여 트래픽을 모니터링할 방향을 지정합니다. --action= action 지정한 매개 변수를 사용하는 트래픽을 발견했을 때 수행할 작업을 지정합니다. 다음 매개 변수 중 하나를 사용할 수 있습니다. - none: 어떤 작업도 수행하지 않습니다.
- discard: 데이터 수신 및 송신을 허용하지 않습니다.
- ipsec: 보안 연결에 제공되는 인증 및 암호화 정보를 사용하여 데이터가 신뢰할 수 있는 소스에서 제공되었는지 확인합니다.
--sp-mode= mode tunnel 또는 transport으로 모드를 지정합니다. --sa-name=security association name 필수. 보안 정책에 사용할 보안 연결의 이름을 제공합니다. --sp-name=name 필수. 보안 정책에 대한 이름을 제공합니다.
예: 새 보안 정책 명령
다음 예제에서는 가독성을 높이기 위해 추가로 줄 바꿈이 포함됩니다.
esxcli network ip ipsec add --sp-source=2001:db8:1::/64 --sp-destination=2002:db8:1::/64 --source-port=23 --destination-port=25 --upper-layer-protocol=tcp --flow-direction=out --action=ipsec --sp-mode=transport --sa-name=sa1 --sp-name=sp1