f5networks.f5_modules.bigip_ipsec_policy 模块 – 在 BIG-IP 上管理 IPSec 策略

注意

此模块是 f5networks.f5_modules 集合(版本 1.32.1)的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install f5networks.f5_modules

要在 playbook 中使用它,请指定:f5networks.f5_modules.bigip_ipsec_policy

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 在 BIG-IP 设备上管理 IPSec 策略。

参数

参数

注释

auth_algorithm

字符串

指定用于 IKE 身份验证的算法。

选择

  • "sha1"

  • "sha256"

  • "sha384"

  • "sha512"

  • "aes-gcm128"

  • "aes-gcm192"

  • "aes-gcm256"

  • "aes-gmac128"

  • "aes-gmac192"

  • "aes-gmac256"

description

字符串

策略的描述

encrypt_algorithm

字符串

指定用于 IKE 加密的算法。

选择

  • "none"

  • "3des"

  • "aes128"

  • "aes192"

  • "aes256"

  • "aes-gmac256"

  • "aes-gmac192"

  • "aes-gmac128"

  • "aes-gcm256"

  • "aes-gcm192"

  • "aes-gcm256"

  • "aes-gcm128"

ipcomp

字符串

指定是否使用 IPComp 封装。

none 时,指定禁用 IPComp。

deflate 时,指定启用 IPComp 并使用 Deflate 压缩算法。

选择

  • "none"

  • "null"

  • "deflate"

ipv4_interface

布尔值

modeinterface 时,指示是否应使用 IPv4 any 地址。默认情况下,当 modeinterface 时,BIG-IP 假定隧道地址为 any6 地址。

此选项仅在 mode 设置为 interface 时生效。

选择

  • false

  • true

kb_lifetime

整数

指定 IKE 安全关联(以千字节为单位)过期之前的时长。

lifetime

整数

指定 IKE 安全关联(以分钟为单位)过期之前的时长。

mode

字符串

指定处理模式。

transport 时,指定一种仅封装负载的模式(添加 ESP 标头、尾部和身份验证标签)。

tunnel 时,指定一种包含标头以及负载的封装模式(添加新的 IP 标头,除了添加 ESP 标头、尾部和身份验证标签之外)。如果选择此选项,则还必须为 IPsec 隧道的本地和远程端点提供 IP 地址。

isession 时,指定在 IPsec 隧道上使用 iSession。要使用此选项,还必须在用户界面的“加速”部分使用 IPsec 配置 iSession 端点。

interface 时,指定 IPsec 策略可以在网络接口的隧道配置文件中使用。

选择

  • "transport"

  • "interface"

  • "isession"

  • "tunnel"

name

字符串 / 必需

指定 IPSec 策略的名称。

partition

字符串

用于管理资源的设备分区。

默认: "Common"

perfect_forward_secrecy

字符串

指定用于 IKE 第 2 阶段协商的 Diffie-Hellman 组。

选择

  • "none"

  • "modp768"

  • "modp1024"

  • "modp1536"

  • "modp2048"

  • "modp3072"

  • "modp4096"

  • "modp6144"

  • "modp8192"

protocol

字符串

指定 IPsec 协议。

选项包括 ESP(封装安全协议)或 AH(身份验证标头)。

选择

  • "esp"

  • "ah"

provider

字典

在 f5networks.f5_modules 1.0.0 中添加

包含连接详细信息的字典对象。

auth_provider

字符串

配置身份验证提供程序以从远程设备获取身份验证令牌。

此选项在与 BIG-IQ 设备一起工作时真正使用。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

您可以通过设置环境变量 F5_TELEMETRY_OFF 来省略此选项。

先前使用的变量 F5_TEEM 已弃用,因为其名称令人困惑。

选择

  • false ←(默认)

  • true

password

别名:pass、pwd

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

您可以通过设置环境变量 F5_PASSWORD 来省略此选项。

server

字符串 / 必需

BIG-IP 主机或 BIG-IQ 主机。

您可以通过设置环境变量 F5_SERVER 来省略此选项。

server_port

整数

BIG-IP 服务器端口。

您可以通过设置环境变量 F5_SERVER_PORT 来省略此选项。

默认: 443

timeout

整数

指定与网络设备通信以进行连接或发送命令的超时时间(以秒为单位)。如果在操作完成之前超过超时时间,则模块将出错。

transport

字符串

配置连接到远程设备时要使用的传输连接。

选择

  • "rest" ←(默认)

user

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理权限。

您可以通过设置环境变量 F5_USER 来省略此选项。

validate_certs

布尔值

如果为 no,则不验证 SSL 证书。仅在个人控制的站点上使用自签名证书时才使用此选项。

您可以通过设置环境变量 F5_VALIDATE_CERTS 来省略此选项。

选择

  • false

  • true ← (默认)

route_domain

整数

当为 mode 设置选择 interface 时,指定路由域。

state

字符串

当为 present 时,确保资源存在。

当为 absent 时,确保资源被移除。

选择

  • "present" ← (默认)

  • "absent"

tunnel_local_address

字符串

指定 IPsec 隧道的本地端点 IP 地址。

此参数仅当 modetunnel 时有效。

tunnel_remote_address

字符串

指定 IPsec 隧道的远程端点 IP 地址。

此参数仅当 modetunnel 时有效。

备注

注意

  • 有关使用 Ansible 管理 F5 Networks 设备的更多信息,请参阅 https://ansible.org.cn/integrations/networks/f5

  • 需要 BIG-IP 软件版本 >= 12。

  • F5 模块仅操作 F5 产品的运行配置。要确保 BIG-IP 的特定配置持久保存到磁盘,请务必包含至少一个使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关正确使用该模块保存运行配置的信息,请参阅该模块的文档。

示例

- name: Create a IPSec policy
  bigip_ipsec_policy:
    name: policy1
    mode: tunnel
    tunnel_local_address: 1.1.1.1
    tunnel_remote_address: 2.2.2.
    auth_algorithm: sha1
    encrypt_algorithm: 3des
    protocol: esp
    perfect_forward_secrecy: modp1024
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值

通用返回值记录在此处:此处,以下是此模块特有的字段

描述

auth_algorithm

字符串

新的 IKE Phase 2 身份验证算法值。

返回: changed

示例: "sha512"

description

字符串

新的描述值。

返回: changed

示例: "My policy"

encrypt_algorithm

字符串

新的 IKE Phase 2 加密算法值。

返回: changed

示例: "aes256"

ipcomp

字符串

新的 IKE Phase 2 IPComp 值。

返回: changed

示例: "deflate"

kb_lifetime

整数

新的 IKE Phase 2 KB Lifetime 值。

返回: changed

示例: 0

lifetime

整数

新的 IKE Phase 2 Lifetime 值。

返回: changed

示例: 1440

mode

字符串

新的模式值。

返回: changed

示例: "tunnel"

perfect_forward_secrecy

字符串

新的 IKE Phase 2 Perfect Forward Secrecy 值。

返回: changed

示例: "modp2048"

protocol

字符串

新的 IPsec 协议值。

返回: changed

示例: "ah"

route_domain

整数

隧道模式下的新路由域值。

返回: changed

示例: 2

tunnel_local_address

字符串

新的隧道本地地址值。

返回: changed

示例: "1.2.2.1"

tunnel_remote_address

字符串

新的隧道远程地址值。

返回: changed

示例: "2.1.1.2"

作者

  • Tim Rupp (@caphrim007)

  • Wojciech Wypior (@wojtek0806)