Manualshelf

HP TMS zl Module Security Administrator's Guide

ManualsBrandsHP ManualsComputer AccessoriesHP ProCurve Switch xl Access Controller Module
12345678910
iv
Contents
IPsec Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
Transport Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-11
Authentication and Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . 4-11
IPsec Security Associations (SAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-12
Defining an SA Manually . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-13
Defining an SA Using IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-13
IKE version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14
IKE Phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14
IKE Phase 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-18
XAUTH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
IKE Mode Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
Advanced IPsec Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-21
IP Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
Anti-Replay Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
Extended Sequence Number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
Re-key on Sequence Number Overflow . . . . . . . . . . . . . . . . . . . . 4-23
Persistent Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
Fragmentation Before IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
The Copying of Values from the Original IP Header . . . . . . . . . . 4-23
Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-24
NAT Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-24
How NAT Traversal Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-26
Maximum Segment Size (MSS) for TCP Connections . . . . . . . . . . . . 4-26
Configure an IPsec Client-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . . 4-27
Create Named Objects for the VPN (Optional) . . . . . . . . . . . . . . . . . . 4-28
Configure IKE and IPsec Settings Using the Deploy
IPsec Remote-Access VPN Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-30
Typical Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-32
Custom Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-48
Configure IKE and IPsec Setting Using the Manage IPsec Wizard . . 4-68
Create an IKE Policy for a Client-to-Site VPN . . . . . . . . . . . . . . . 4-69
Create an IPsec Proposal for a Client-to-Site VPN . . . . . . . . . . . 4-82
Create an IPsec Policy for a Client-to-Site VPN . . . . . . . . . . . . . . 4-88
Create Access Policies for IPsec Client-to-Site VPNs . . . . . . . . . . . . 4-102
Verify Routes for a Client-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . 4-104
Configuring an IPsec Site-to-Site VPN with IKE . . . . . . . . . . . . . . . 4-106