Manualshelf

TMS zl Management and Configuration Guide ST.1.1.100430

ManualsBrandsHP ManualsComputer AccessoriesHP ProCurve Switch xl Access Controller Module
11121314151617181920
14
7 Virtual Private 1etworks
Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-6
IPsec Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-9
IPsec Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-9
IPsec Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-9
Tunnel Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-9
Transport Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-10
Authentication and Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . 7-11
IPsec Security Associations (SAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11
Defining an SA Manually . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-12
Defining an SA Using IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-13
IKE version 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-13
IKE Phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-13
IKE Phase 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-18
XAUTH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-20
IKE Mode Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-20
Advanced IPsec Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-22
IP Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-22
Anti-Replay Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-22
Extended Sequence Number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-23
Re-key on Sequence Number Overflow . . . . . . . . . . . . . . . . . . . . . . . 7-23
Persistent Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-23
Fragmentation Before IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-23
The Copying of Values from the Original IP Header . . . . . . . . . . . . 7-24
Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-24
NAT Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-25
How NAT Traversal Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-26
Maximum Segment Size (MSS) for TCP Connections . . . . . . . . . . . . . . . 7-27
Configure an IPsec Client-to-Site VP1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-28
Create an IKE Policy for a Client-to-Site VPN . . . . . . . . . . . . . . . . . . . . . 7-29
Install Certificates for IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-37
Install Certificates Manually . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-37
Install Certificates Using SCEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-47