f5networks.f5_modules.bigip_ipsec_policy 模块 – 在 BIG-IP 上管理 IPSec 策略

注意

此模块是 f5networks.f5_modules 集合 (版本 1.32.1) 的一部分。

如果您正在使用 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install f5networks.f5_modules

要在剧本中使用它,请指定: f5networks.f5_modules.bigip_ipsec_policy

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 管理 BIG-IP 设备上的 IPSec 策略。

参数

参数

注释

auth_algorithm

字符串

指定用于 IKE 身份验证的算法。

选项

  • "sha1"

  • "sha256"

  • "sha384"

  • "sha512"

  • "aes-gcm128"

  • "aes-gcm192"

  • "aes-gcm256"

  • "aes-gmac128"

  • "aes-gmac192"

  • "aes-gmac256"

description

字符串

策略描述

encrypt_algorithm

字符串

指定用于 IKE 加密的算法。

选项

  • "none"

  • "3des"

  • "aes128"

  • "aes192"

  • "aes256"

  • "aes-gmac256"

  • "aes-gmac192"

  • "aes-gmac128"

  • "aes-gcm256"

  • "aes-gcm192"

  • "aes-gcm256"

  • "aes-gcm128"

ipcomp

字符串

指定是否使用 IPComp 封装。

none 时,表示禁用 IPComp。

deflate 时,表示启用 IPComp 并使用 Deflate 压缩算法。

选项

  • "none"

  • "null"

  • "deflate"

ipv4_interface

布尔值

modeinterface 时,指示是否应使用 IPv4 any 地址。默认情况下,当 modeinterface 时,BIG-IP 假定隧道地址为 any6 地址。

此选项仅在 mode 设置为 interface 时生效。

选项

  • false

  • true

kb_lifetime

整数

指定 IKE 安全关联(以千字节为单位)过期之前的时间长度。

lifetime

整数

指定 IKE 安全关联过期之前的时间长度(以分钟为单位)。

mode

字符串

指定处理模式。

transport 时,指定一种仅封装有效负载的模式(添加 ESP 头、尾和身份验证标签)。

tunnel 时,指定一种包含报头和有效负载封装的模式(除了添加 ESP 头、尾和身份验证标签之外,还添加新的 IP 报头)。如果您选择此选项,还必须为 IPsec 隧道的本地和远程端点提供 IP 地址。

isession 时,指定通过 IPsec 隧道使用 iSession。要使用此选项,还必须在用户界面的“加速”部分中使用 IPsec 配置 iSession 端点。

interface 时,指定 IPsec 策略可用于网络接口的隧道配置文件中。

选项

  • "transport"

  • "interface"

  • "isession"

  • "tunnel"

name

字符串 / 必填

指定 IPSec 策略的名称。

partition

字符串

用于管理资源的设备分区。

默认值: "Common"

perfect_forward_secrecy

字符串

指定用于 IKE 阶段 2 协商的 Diffie-Hellman 组。

选项

  • "none"

  • "modp768"

  • "modp1024"

  • "modp1536"

  • "modp2048"

  • "modp3072"

  • "modp4096"

  • "modp6144"

  • "modp8192"

protocol

字符串

指定 IPsec 协议。

选项包括 ESP(封装安全协议)或 AH(身份验证报头)。

选项

  • "esp"

  • "ah"

provider

字典

f5networks.f5_modules 1.0.0 中新增

包含连接详细信息的字典对象。

auth_provider

字符串

配置身份验证提供程序以从远程设备获取身份验证令牌。

此选项在使用 BIG-IQ 设备时非常有用。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

您可以通过设置环境变量 F5_TELEMETRY_OFF 来省略此选项。

以前使用的变量 F5_TEEM 已弃用,因为其名称令人困惑。

选项

  • false ← (默认)

  • true

password

别名:pass,pwd

字符串 / 必填

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

您可以通过设置环境变量 F5_PASSWORD 来省略此选项。

server

字符串 / 必填

BIG-IP 主机或 BIG-IQ 主机。

可以通过设置环境变量F5_SERVER来省略此选项。

server_port

整数

BIG-IP服务器端口。

可以通过设置环境变量F5_SERVER_PORT来省略此选项。

默认值: 443

timeout

整数

指定与网络设备通信的超时时间(秒),用于连接或发送命令。如果在操作完成前超时,模块将报错。

transport

字符串

配置连接到远程设备时使用的传输连接。

选项

  • "rest" ← (默认)

user

字符串 / 必填

连接到BIG-IP或BIG-IQ的用户名。此用户必须具有设备上的管理员权限。

可以通过设置环境变量F5_USER来省略此选项。

validate_certs

布尔值

如果为no,则不验证SSL证书。仅在使用自签名证书的个人控制站点上使用此选项。

可以通过设置环境变量F5_VALIDATE_CERTS来省略此选项。

选项

  • false

  • true ← (默认)

route_domain

整数

mode设置为interface时,指定路由域。

state

字符串

present时,确保资源存在。

absent时,确保资源被移除。

选项

  • "present" ← (默认)

  • "absent"

tunnel_local_address

字符串

指定IPsec隧道的本地端点IP地址。

此参数仅在modetunnel时有效。

tunnel_remote_address

字符串

指定IPsec隧道的远程端点IP地址。

此参数仅在modetunnel时有效。

备注

注意

  • 有关使用Ansible管理F5网络设备的更多信息,请参见 https://ansible.org.cn/integrations/networks/f5

  • 需要BIG-IP软件版本 >= 12。

  • F5模块仅操作F5产品的运行配置。为了确保BIG-IP特定配置持久保存到磁盘,请务必包含至少一个使用f5networks.f5_modules.bigip_config模块保存运行配置的任务。请参考该模块的文档以了解保存运行配置的正确用法。

示例

- name: Create a IPSec policy
  bigip_ipsec_policy:
    name: policy1
    mode: tunnel
    tunnel_local_address: 1.1.1.1
    tunnel_remote_address: 2.2.2.
    auth_algorithm: sha1
    encrypt_algorithm: 3des
    protocol: esp
    perfect_forward_secrecy: modp1024
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值

常见的返回值已在此处记录,以下是此模块独有的字段

Key

描述

auth_algorithm

字符串

新的IKE Phase 2身份验证算法值。

返回值: changed

示例: "sha512"

description

字符串

新的描述值。

返回值: changed

示例: "My policy"

encrypt_algorithm

字符串

新的IKE Phase 2加密算法值。

返回值: changed

示例: "aes256"

ipcomp

字符串

新的IKE Phase 2 IPComp值。

返回值: changed

示例: "deflate"

kb_lifetime

整数

新的IKE Phase 2 KB生命周期值。

返回值: changed

示例: 0

lifetime

整数

新的IKE Phase 2生命周期值。

返回值: changed

示例: 1440

mode

字符串

新的模式值。

返回值: changed

示例: "tunnel"

perfect_forward_secrecy

字符串

新的IKE Phase 2完全前向保密值。

返回值: changed

示例: "modp2048"

protocol

字符串

新的IPsec协议值。

返回值: changed

示例: "ah"

route_domain

整数

隧道模式下的新路由域值。

返回值: changed

示例: 2

tunnel_local_address

字符串

新的隧道本地地址值。

返回值: changed

示例: "1.2.2.1"

tunnel_remote_address

字符串

新的隧道远程地址值。

返回值: changed

示例: "2.1.1.2"

作者

  • Tim Rupp (@caphrim007)

  • Wojciech Wypior (@wojtek0806)