網際網路通訊協定安全性 (IPsec) 可確保進出主機的 IP 通訊安全性。ESXi 主機支援使用 IPv6 的 IPsec。

ESXi 主機上設定 IPsec 時,可對傳入和傳出封包啟用驗證和加密。對 IP 流量進行加密的時間和方式,取決於如何設定系統的安全性關聯和安全性原則。

安全性關聯可判定系統對流量進行加密的方式。在建立安全性關聯時,可指定安全性關聯的來源和目的地、加密參數以及名稱。

安全性原則可判定系統應對流量進行加密的時間。安全性原則包含來源和目的地資訊、要加密之流量的通訊協定和方向、模式 (transport 或 tunnel) 以及要使用的安全性關聯。

列出可用的安全性關聯

ESXi可提供可供安全性原則使用的所有安全性關聯的清單。該清單包含使用者建立的安全性關聯,以及 VMkernel 使用網際網路金鑰交換安裝的任何安全性關聯。

可以使用 esxcli命令取得可用安全性關聯的清單。

程序

  • 在命令提示字元處,輸入命令 esxcli network ip ipsec sa list

結果

ESXi將顯示所有可用安全性關聯的清單。

新增 IPsec 安全性關聯

新增安全性關聯來指定關聯 IP 流量的加密參數。

可以使用 esxcli命令新增安全性關聯。

程序

  • 在命令提示字元下,使用下面一或多個選項輸入命令 esxcli network ip ipsec sa add
    選項 說明
    --sa-source= 來源位址 必要。指定來源位址。
    --sa-destination= 目的地位址 必要。指定目的地位址。
    --sa-mode= 模式 必要。指定模式 transporttunnel
    --sa-spi= 安全性參數索引 必要。指定安全性參數索引。安全性參數索引識別主機的安全性關聯。它必須是一個首碼為 0x 的十六進位值。所建立的每個安全性關聯都必須具有通訊協定和安全性參數索引的唯一組合。
    --encryption-algorithm= 加密演算法 必要。使用以下其中一個參數指定加密演算法。
    • 3des-cbc
    • aes128-cbc
    • null(表示不提供任何加密)
    --encryption-key= 加密金鑰 在指定加密演算法時為必要項。指定加密金鑰。可以使用 0x 首碼輸入 ASCII 文字或十六進位形式的金鑰。
    --integrity-algorithm= 驗證演算法 必要。指定驗證演算法 hmac-sha1hmac-sha2-256
    --integrity-key= 驗證金鑰 必要。指定驗證金鑰。可以使用 0x 首碼輸入 ASCII 文字或十六進位形式的金鑰。
    --sa-name= 名稱 必要。提供安全性關聯名稱。

範例: 新安全性關聯命令

為方便讀取,下面的範例包含額外的換行符。

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

移除 IPsec 安全性關聯

您可以使用 ESXCLI 命令移除安全性關聯。

必要條件

確認要使用的安全性關聯目前未在使用。如果嘗試移除正在使用的安全性關聯,則移除作業將失敗。

程序

  • 在命令提示字元中,輸入命令 esxcli network ip ipsec sa remove --sa-name security_association_name

列出可用的 IPsec 安全性原則

您可以使用 ESXCLI 命令列出可用的安全性原則。

程序

  • 在命令提示字元中,輸入命令 esxcli network ip ipsec sp list

結果

主機將顯示所有可用安全性原則的清單。

建立 IPSec 安全性原則

建立安全性原則,可以判定何時使用在安全性關聯中設定的驗證和加密參數。您可以使用 ESXCLI 命令新增安全性原則。

必要條件

在建立安全性原則之前,可按新增 IPsec 安全性關聯中所述,新增具有適當的驗證和加密參數的安全性關聯。

程序

  • 在命令提示字元下輸入命令 esxcli network ip ipsec sp add ,並使用下列一或多個選項。
    選項 說明
    --sp-source= 來源位址 必要。指定來源 IP 位址和首碼長度。
    --sp-destination= 目的地位址 必要。指定目的地位址和首碼長度。
    --source-port= 連接埠 必要。指定來源連接埠。來源連接埠必須是介於 0 和 65535 之間的一個數字。
    --destination-port= 連接埠 必要。指定目的地連接埠。來源連接埠必須是介於 0 和 65535 之間的一個數字。
    --upper-layer-protocol= 通訊協定 使用下列參數之一指定上層通訊協定。
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= 方向 使用 inout 指定要監控流量的方向。
    --action= 動作 使用下列參數之一指定在出現具有指定參數的流量時要採取的動作。
    • none:不採取任何動作。
    • discard不允許資料進出。
    • ipsec:使用安全性關聯中提供的驗證和加密資訊來判定資料是否來自受信任的來源。
    --sp-mode= 模式 指定模式 tunneltransport
    --sa-name= 安全性關聯名稱 必要。為要使用的安全性原則提供安全性關聯名稱。
    --sp-name= 名稱 必要。請為安全性原則提供名稱。

範例: 新安全性原則命令

為了方便閱讀,下列範例包含額外的分行符號。

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

移除 IPsec 安全性原則

您可以使用 ESXCLI 命令從 ESXi主機移除安全性原則。

必要條件

確認要使用的安全性原則目前未在使用。如果嘗試移除正在使用的安全性原則,則移除作業將失敗。

程序

  • 在命令提示字元中,輸入命令 esxcli network ip ipsec sp remove --sa-name security policy name
    若要移除所有安全性原則,請輸入命令 esxcli network ip ipsec sp remove --remove-all