建立安全性原則,可以判定何時使用在安全性關聯中設定的驗證和加密參數。

開始之前

在建立安全性原則之前,可按新增安全性關聯中所述,新增具有適當的驗證和加密參數的安全性關聯。

執行這項作業的原因和時機

您可以使用 esxcli vSphere CLI 命令新增安全性原則。

程序

在命令提示字元下輸入命令 esxcli network ip ipsec sp add ,並使用下列一或多個選項。

選項

說明

--sp-source= 來源位址

必要。指定來源 IP 位址和首碼長度。

--sp-destination= 目的地位址

必要。指定目的地位址和首碼長度。

--source-port= 連接埠

必要。指定來源連接埠。來源連接埠必須是介於 0 和 65535 之間的一個數字。

--destination-port= 連接埠

必要。指定目的地連接埠。來源連接埠必須是介於 0 和 65535 之間的一個數字。

--upper-layer-protocol= 通訊協定

使用下列參數之一指定上層通訊協定。

  • tcp

  • udp

  • icmp6

  • 任何

--flow-direction= 方向

使用 inout 指定要監控流量的方向。

--action= 動作

使用下列參數之一指定在出現具有指定參數的流量時要採取的動作。

  • none:不採取任何動作

  • discard:不允許資料進出。

  • ipsec:使用安全性關聯中提供的驗證和加密資訊來判定資料是否來自受信任的來源。

--sp-mode= 模式

指定模式 tunneltransport

--sa-name= 安全性關聯名稱

必要。為要使用的安全性原則提供安全性關聯名稱。

--sp-name= 名稱

必要。請為安全性原則提供名稱。

新安全性原則命令

為了方便閱讀,下列範例包含額外的分行符號。

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1