보안 연결에 설정되어 있는 인증 및 암호화 매개 변수를 사용할 시점을 판단하기 위해 보안 정책을 생성합니다. ESXCLI 명령을 사용하여 보안 정책을 추가할 수 있습니다.

사전 요구 사항

보안 정책을 생성하기 전에 IPsec 보안 연결 추가에 설명되어 있는 대로 적절한 인증 및 암호화 매개 변수가 설정된 보안 연결을 추가합니다.

프로시저

  • 명령 프롬프트에서 다음 옵션을 하나 이상 포함하여 esxcli network ip ipsec sp add 명령을 입력합니다.
    옵션 설명
    --sp-source= source address 필수. 소스 IP 주소와 접두사 길이를 지정합니다.
    --sp-destination= destination address 필수. 대상 주소 및 접두사 길이를 지정합니다.
    --source-port= port 필수. 소스 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다.
    --destination-port= port 필수. 대상 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다.
    --upper-layer-protocol= protocol 다음 매개 변수 중 하나를 사용하여 상위 계층 프로토콜을 지정합니다.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction in 또는 out을 사용하여 트래픽을 모니터링할 방향을 지정합니다.
    --action= action 지정한 매개 변수를 사용하는 트래픽을 발견했을 때 수행할 작업을 지정합니다. 다음 매개 변수 중 하나를 사용할 수 있습니다.
    • none: 어떤 작업도 수행하지 않습니다.
    • discard: 데이터 수신 및 송신을 허용하지 않습니다.
    • ipsec: 보안 연결에 제공되는 인증 및 암호화 정보를 사용하여 데이터가 신뢰할 수 있는 소스에서 제공되었는지 확인합니다.
    --sp-mode= mode tunnel 또는 transport으로 모드를 지정합니다.
    --sa-name=security association name 필수. 보안 정책에 사용할 보안 연결의 이름을 제공합니다.
    --sp-name=name 필수. 보안 정책에 대한 이름을 제공합니다.

예: 새 보안 정책 명령

다음 예제에서는 가독성을 높이기 위해 추가로 줄 바꿈이 포함됩니다.

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1