Utilisation d’IPSec et d’un PIC ES sur un routeur M, MX ou T Series pour envoyer du trafic chiffré à un analyseur de paquets
Vous pouvez envoyer tout ou partie du trafic en toute sécurité à l’outil d’analyse des paquets à l’aide d’IPSec (une suite de protocoles connexes pour sécuriser cryptographiquement les communications au niveau de la couche paquet IP) et d’un PIC des services de chiffrement (ES). Dans ce cas, le trafic TCP est chiffré, envoyé via un tunnel IPSec et reçu par l’outil d’analyse des paquets. Pour plus d’informations sur la configuration d’IPSec sur le PIC ES, reportez-vous au Guide de l’utilisateur IPsec ou au Guide de configuration des principes de base du système Junos.
[edit]
interfaces {
es-3/1/0 {
unit 0 {
tunnel {
source 10.8.8.1;
destination 10.8.8.2;
}
family inet {
ipsec-sa sa-esp;
address 192.0.2.1/32 {
destination 192.0.2.2;
}
}
}
}
fe-3/2/1 {
unit 0 {
family inet {
address 10.8.8.1/30;
}
}
}
}
security {
ipsec {
proposal esp-sha1-3des {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
policy esp-group2 {
perfect-forward-secrecy {
keys group2;
}
proposals esp-sha1-3des;
}
security-association sa-esp {
mode tunnel;
dynamic {
ipsec-policy esp-group2;
}
}
}
ike {
proposal ike-esp {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
policy 10.8.8.2 {
mode aggressive;
proposals ike-esp;
pre-shared-key ascii-text "$ABC123";
}
}
}