Manualshelf

HP TMS zl Module Security Administrator's Guide

ManualsBrandsHP ManualsComputer AccessoriesHP ProCurve Switch xl Access Controller Module
171172173174175176177178179180
4-1
4
Configuring a VPN on the HP TMS zl Module
Contents
VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-6
Synchronizing TMS Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-6
Find Your Configuration Instructions . . . . . . . . . . . . . . . . . . . . . . . . . . 4-9
IPsec VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-9
IPsec Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
IPsec Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
Transport Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-11
Authentication and Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . 4-11
IPsec Security Associations (SAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-12
Defining an SA Manually . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-13
Defining an SA Using IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-13
IKE version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14
IKE Phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14
IKE Phase 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-18
XAUTH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
IKE Mode Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
Advanced IPsec Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-21
IP Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
Anti-Replay Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
Extended Sequence Number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
Re-key on Sequence Number Overflow . . . . . . . . . . . . . . . . . . . . 4-23
Persistent Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
Fragmentation Before IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
The Copying of Values from the Original IP Header . . . . . . . . . . 4-23
Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-24
NAT Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-24
How NAT Traversal Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-26
Maximum Segment Size (MSS) for TCP Connections . . . . . . . . . . . . 4-26
Configure an IPsec Client-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . . 4-27
Create Named Objects for the VPN (Optional) . . . . . . . . . . . . . . . . . . 4-28