HP ProCurve Secure Router 7203 dl, ProCurve Secure Router 7102 dl Advanced Management And Configuration Manual

ProCurve Secure Router

7000dl Series

Advanced Management and Configuration Guide

December 2005

J04_01

This document contains proprietary information, w hi ch is protected by copyright. No par t of th is document may be photocopied, reproduced, or translated into another language without the prior written consent of Hew lett-Packar d .

Publication Number

5991-3822 December 200 5

Applicable Products

ProCurve Secure Router 7102 dl (J8752A) ProCurve Secure Router 7203 dl (J8753A)

Trademark Credit s

Microsoft, Windows, Windows NT, and Windows XP are U.S. registered trademarks of Microsoft Corporation.

Disclaimer

The information contained in this document is subject to change without notice.

HEWLETT -P ACKARD COMPANY MAKES NO WARRANTY OF ANY KIND WITH REGARD TO THIS MATERIAL, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PAR TICULAR PURPOSE. Hewlett-Packard shall not be liable for errors contained herein or for incidental or consequential damages in connection with the furni s hi ng, performance, or use of this material.

The only warranties for HP products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be c onst rue d as constituting an additional warranty. HP shall not be liable for technical or editorial errors or omissions contained herein.

Hewlett-Packard assumes no responsibility for the use or reliability of its software on eq ui pment that is not furnished by Hewlett-Packard.

Warranty

See the Customer Support/Warranty booklet included with the product.

A copy of the specific warranty terms applicable to your HewlettPackard products and replacement parts can be obtained from your HP Sales and Service Office or authorized dealer.

Hewlett-Packard Company 8000 Foothills Boulevard Roseville, California 95747 http://www.procurve.com/

Contents

1 Overview

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1

Using This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-3

Understanding Command Syntax Statements . . . . . . . . . . . . . . . . . . . . 1-4

CLI Prompt Convention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-4

Observing the IP Address Convention . . . . . . . . . . . . . . . . . . . . . . 1-5

Interface Numbering Convention . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5

Quick Start Sections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-6

Obtaining Additional Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-6

Downloading Software Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7

Interface Management Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9

CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9

Web Browser Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9

Accessing the Web Browser Interface . . . . . . . . . . . . . . . . . . . . . . . . . 1-10

Using the ProCurve Web Browser Interface . . . . . . . . . . . . . . . . 1-11

CLI Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-12

Help Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-12

CLI Help Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-12

Editing Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-13

Basic Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-14

no . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-14

do . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-14

exit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-15

File Management Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-15

copy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-15

erase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-18

write . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-18

autosynch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-19

iii

Troubleshooting Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-19

reload in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-19

show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-20

show tech . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-20

safe-mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-21

Managing Configuration Files Using a Text Editor . . . . . . . . . . . . . . . . . . 1-24

Using Error Messages to Repair a Configuration . . . . . . . . . . . . . . . . 1-24

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-27

Accessing the Secure Router OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-27

Configuring the Enable Mode Password . . . . . . . . . . . . . . . . . . . . . . . 1-28

Configuring the Ethernet Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-28

Configuring Telnet Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-29

Configuring SSH Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-29

Configuring HTTP Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-30

2 Increasing Bandwidth

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-2

Configuring MLPPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-3

PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4

MLPPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-5

LCP Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-5

MLPPP Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-5

MLPPP Configuration Concerns . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-6

Enabling MLPPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-6

Binding Multiple Carrier Lines to a PPP Interface . . . . . . . . . . . . . . . . 2-6

Configuring MLFR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8

Enabling MLFR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-9

Binding Multiple Carrier Lines to a Frame Relay Interface . . . . . . . . 2-10

Configuring the Bundle ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-11

Troubleshooting Multilinks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-12

Standard Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-12

Physical Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-12

Data Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-12

Troubleshooting MLPPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-15

MRRU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-15

ED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-16

Troubleshooting MLFR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-16

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-19

MLPPP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-20

MLFR Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-21

3 Configuring Backup WAN Connections

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-1

Backing Up Primary WAN Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-5

Analog Backup Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-5

ISDN-Backup Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-6

BRI ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-7

Electrical Specifications for BRI ISDN . . . . . . . . . . . . . . . . . . . . . . 3-9

Backup Modules for the ProCurve Secure Router . . . . . . . . . . . . . . . . 3-9

Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-10

Data Link Layer Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-11

Determining a Backup Method . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-11

Using Demand Routing for Backup Connections . . . . . . . . . . . . . . . . 3-12

Using Persistent Backup Connections . . . . . . . . . . . . . . . . . . . . . . . . . 3-14

Comparing Demand Routing and Persistent Backup Connections . 3-14

Configuring Demand Routing for Backup Connections . . . . . . . . . . . . . . 3-17

Define the Traffic That Triggers the Connection . . . . . . . . . . . . . . . . 3-18

Specifying a Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18

Defining the Source and Destination Addresses . . . . . . . . . . . . . 3-19

Configuring the Demand Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-20

Creating the Demand Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-21

Configuring an IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22

Matching the Interesting Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-23

Specifying the connect-mode Option . . . . . . . . . . . . . . . . . . . . . . 3-26

Associating a Resource Pool with the Demand Interface . . . . . . 3-27

Defining a Connect Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-27

Specify the Order in Which Connect Sequences Are Used . . . . . 3-29

Configure the Number of Connect Sequence Attempts . . . . . . . 3-30

Configure the connect-sequence interface-recovery Option . . . 3-30

Understanding How the connect-sequence Commands Work . . 3-32

Configuring the idle-timeout Option . . . . . . . . . . . . . . . . . . . . . . . 3-34

Configuring the fast-idle Option . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-35

Defining the caller-number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-36

Defining the called-number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-36

Configuring the Hold Queue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-36

Configuring the BRI or Modem Interface . . . . . . . . . . . . . . . . . . . . . . . 3-37

Accessing the BRI or Modem Interface . . . . . . . . . . . . . . . . . . . . . 3-38

Configuring the ISDN Signaling (Switch) Type . . . . . . . . . . . . . . 3-38

Configuring an LDN for ISDN BRI S/T Modules . . . . . . . . . . . . . 3-39

Configuring a SPID and LDN for ISDN BRI U Modules . . . . . . . 3-40

Setting the Country for the Modem Interface . . . . . . . . . . . . . . . 3-40

Assigning BRI or Modem Interface to the Resource Pool . . . . . 3-41

Activating the Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-41

Caller ID Options for ISDN BRI Backup Modules (Optional) . . 3-42

Configuring a Floating Static Route for the Demand Interface . . . . . 3-42

Configuring PPP Authentication for an ISDN Connection . . . . . . . . 3-43

Enabling PPP Authentication for All Demand Interfaces . . . . . . 3-43

Configuring PAP Authentication for a Demand Interface . . . . . 3-44

Configuring CHAP Authentication for a Demand Interface . . . . 3-44

Configuring the Username and Password That the Router

Expects to Receive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-44

Example of Demand Routing with PAP Authentication for a

Backup Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-45

Configuring Peer IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-46

Setting the MTU for Demand Interfaces . . . . . . . . . . . . . . . . . . . . . . . 3-46

Configuring a Persistent Backup Connection . . . . . . . . . . . . . . . . . . . . . . . 3-47

Configuring the Physical Interface for a Persistent Backup

Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-47

Configuring a BRI Interface (ISDN Only) . . . . . . . . . . . . . . . . . . . 3-47

Configuring a Modem Interface (Analog Only) . . . . . . . . . . . . . . 3-51

Using the Modem for Console Dial-In . . . . . . . . . . . . . . . . . . . . . . 3-53

Replacing Incoming Caller ID for BRI and Modem Interfaces . . . . . 3-53

Configuring a Logical Interface for a Persistent Backup

Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-54

Creating a Backup PPP Interface . . . . . . . . . . . . . . . . . . . . . . . . . . 3-55

Activating the Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-55

Setting an IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-56

Enabling PPP Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-56

Configuring Persistent Backup Settings for a Primary

Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-58

Accessing the Primary Connection’s Logical Interface . . . . . . . . 3-58

Setting the Backup Call Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-59

Adding a Number to a Backup Dial List . . . . . . . . . . . . . . . . . . . . 3-63

Controlling When a Backup Connection Can Be Established . . 3-64

Setting Backup Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-66

Configuring a Floating Static Route for a Persistent Backup

Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-67

Configuring Persistent Backup for Multiple Connections . . . . . . . . . 3-69

Viewing Backup Configurations and Troubleshooting Backup

Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-70

Viewing Information about BRI and Modem Interfaces and

Troubleshooting Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-70

Viewing the Status and Configuration of Backup Interfaces . . . 3-71

Viewing Information about Demand Routing and Troubleshooting

Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-75

Viewing the Status of the Demand Interface . . . . . . . . . . . . . . . . 3-75

Viewing a Summary of Information about the Demand

Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-77

Viewing Demand Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-78

Viewing the Resource Pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-78

Show the Running-Config for the Demand Interface . . . . . . . . . 3-79

Troubleshooting Demand Routing . . . . . . . . . . . . . . . . . . . . . . . . 3-79

Checking the Demand Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-79

Checking the ACL That Defines the Interesting Traffic . . . . . . . 3-80

Troubleshooting the Backup Connection . . . . . . . . . . . . . . . . . . . 3-81

Test Calls for ISDN Lines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-83

Troubleshooting PPP for a Demand Routing Backup

Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-84

vii

Viewing Information about Persistent Backup Connections and

Troubleshooting Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-84

Viewing Backup Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-85

Viewing the Backup PPP Interface . . . . . . . . . . . . . . . . . . . . . . . . 3-87

Monitoring the Dial-Up Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-87

Troubleshooting Persistent Backup Connections . . . . . . . . . . . . . . . 3-89

Standard Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-89

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-94

Configuring Demand Routing for Backup Connections . . . . . . . . . . . 3-94

Configuring a Persistent Backup Connection . . . . . . . . . . . . . . . . . . 3-101

Backing up a Connection with an ISDN BRI S/T Backup Module . 3-105

Backing up a Connection with an Analog Module . . . . . . . . . . . . . . 3-107

4 ProCurve Secure Router OS Firewall—Protecting the

Internal, Trusted Network

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-3

Advantages of an Integrated Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-3

Stateful-Inspection Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-4

Packet-Filtering Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-4

Circuit-level Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5

Application-level Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-7

Attack Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-9

SYN-flood Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10

WinNuke Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-11

Reflexive Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-12

Event Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-12

viii

Configuring Attack Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14

Enabling the Secure Router OS Firewall . . . . . . . . . . . . . . . . . . . . . . . 4-14

Enabling and Disabling Optional Attack Checks . . . . . . . . . . . . . . . . 4-15

Checking Reflexive Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-16

Configuring Stealth Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-17

Configuring ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-18

Enabling the FTP ALG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-19

Enabling the H.323 ALG for Voice and Videoconferencing . . . . . . . . 4-19

Enabling the SIP ALG for Voice over IP . . . . . . . . . . . . . . . . . . . . . . . . 4-19

Enabling the PPTP ALG for VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20

Enabling Firewall Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20

Configuring Timeouts for Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-21

Setting the Timeout for a Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-21

Setting Timeouts for Specific TCP and UDP Applications . . . . . . . . 4-22

Configuring Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23

Specifying the Priority Level for Logged Events . . . . . . . . . . . . . . . . . 4-24

Specifying How Many Attacks Generate a Log . . . . . . . . . . . . . . . . . . 4-26

Specifying How Many Policy Matches Generate a Log . . . . . . . . . . . 4-26

Forwarding Logs to a Syslog Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-27

Forwarding Logs to an Email Address . . . . . . . . . . . . . . . . . . . . . . . . . 4-29

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-31

5 Applying Access Control to Router Interfaces

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-1

Access Control for Interfaces on the ProCurve Secure Router . . . . . . . . . 5-3

Access Control Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-4

Using ACLs Alone to Configure Access Control . . . . . . . . . . . . . . . . . . . . . 5-5

Configure ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-6

ACL Entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-6

Types of ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-6

Creating an ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-8

Creating a Standard ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-8

Creating an Extended ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-11

Entry Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-15

Adding a Descriptive Tag to an ACL . . . . . . . . . . . . . . . . . . . . . . . 5-17

Editing an Existing ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-17

Deleting an Existing ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-18

Applying the ACL to an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-18

Selecting the Packet and Controlling the Action . . . . . . . . . . . . . 5-19

Controlling FTP, HTTP, and Telnet Access to the Router . . . . . . . . . 5-21

Restricting FTP Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-21

Restricting HTTP Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-21

Restricting Telnet Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-22

Examples of Applying ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-23

Using ACPs to Control Access to Router Interfaces . . . . . . . . . . . . . . . . . 5-25

Enable the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-25

Configure ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26

Types of ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26

Creating an ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-28

Creating a Standard ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-28

Creating an Extended ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-31

Configure ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-34

Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-34

Selector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-35

Creating an ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-35

Creating Entries in the ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-36

Editing ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-36

Deleting an ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-36

Assigning the ACP to an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-37

Using the reload Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-37

Processing ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-38

ACP Action Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-41

Traffic Flow through Interfaces with ACPs . . . . . . . . . . . . . . . . . . . . . 5-43

Inbound Interface Has an ACP; Outbound Interface Does

Not Have an ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-44

Inbound Interface Has an ACP; Outbound Interface Has

a Different ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-44

Inbound Interface Does Not Have an ACP; Outbound

Interface Has an ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-45

Traffic in and out Through a Single Interface . . . . . . . . . . . . . . . 5-46

Examples of ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-46

Viewing ACLs and ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-49

Displaying ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-50

Displaying ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-51

Viewing Access Policy Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-52

Viewing Access Policy Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-53

Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-54

show Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-54

Monitoring Packets Matched to an ACP . . . . . . . . . . . . . . . . . . . . . . . 5-54

Clearing Existing Policy Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-54

Clear ACL Counters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-56

Debug ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-56

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-57

Enabling the Built-in Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-58

Configuring an ACL and Applying It Directly to an Interface . . . . . . 5-58

Configuring ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-60

6 Configuring Network Address Translation

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-1

NAT Services on the ProCurve Secure Router . . . . . . . . . . . . . . . . . . . . . . . 6-2

Many-to-One NAT for Outbound Traffic . . . . . . . . . . . . . . . . . . . . . . . . 6-2

Using NAT with PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-3

One-to-One NAT for Inbound Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5

One-to-One NAT with Port Translation . . . . . . . . . . . . . . . . . . . . . . . . . 6-6

Configuring NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-7

Enabling the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-8

Configuring an ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-8

Types of ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-9

Configuring an ACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-13

Configuring Many-to-One NAT for Outbound Traffic . . . . . . . . . 6-13

Configuring One-to-One NAT for Inbound Traffic . . . . . . . . . . . . 6-14

Configuring One-to-One NAT with Port Translation . . . . . . . . . . 6-14

Assigning the ACP to an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-15

Viewing ACLs and ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-16

Displaying ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-17

Displaying ACPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-17

Viewing Access Policy Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-18

Viewing Access Policy Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-19

Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-20

Monitoring Packets Matched to an ACP . . . . . . . . . . . . . . . . . . . . . . . 6-20

Clearing Existing Policy Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-21

Clearing ACL Counters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-22

Debugging ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-23

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-24

Using the CLI to Configure Many-to-One NAT . . . . . . . . . . . . . . . . . . 6-24

Using the CLI to Configure One-to-One NAT . . . . . . . . . . . . . . . . . . . . 6-26

7 Setting Up Quality of Service

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-4

Evaluating Traffic on Your Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-4

QoS Mechanisms on the ProCurve Secure Router . . . . . . . . . . . . . . . . 7-5

ToS Field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-6

First In, First Out . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-10

WFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11

CBWFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11

LLQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11

FRF.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-12

QoS Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-12

xii

Configuring WFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-14

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-14

Conversations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-14

Weight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-15

Shortcomings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-15

Packet Marking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-16

Enabling WFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-17

Setting the Queue Size . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-18

Configuring CBWFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-18

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-18

Configuring Classes for CBWFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-19

Creating a QoS Map Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-20

Defining a Class . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-20

Allocating Bandwidth to a Class . . . . . . . . . . . . . . . . . . . . . . . . . . 7-26

Assigning the QoS Map to an Interface . . . . . . . . . . . . . . . . . . . . . 7-28

Special Considerations for CBWFQ with Multilinks . . . . . . . . . . . . . 7-28

CBWFQ Example Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-29

Configuring LLQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-31

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-31

Determining Bandwidth for the Queue . . . . . . . . . . . . . . . . . . . . . . . . 7-31

Determining Bandwidth for VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . 7-32

Determining Bandwidth for Video Streaming . . . . . . . . . . . . . . . 7-35

Placing Traffic in a Low-Latency Queue . . . . . . . . . . . . . . . . . . . . . . . 7-36

Creating a QoS Map Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-36

Selecting the Traffic to Be Placed in the Low-Latency Queue . . 7-36

Setting the Bandwidth Guaranteed the Queue . . . . . . . . . . . . . . . 7-41

Marking Low Latency Packets with a ToS Value . . . . . . . . . . . . . 7-42

Assigning the QoS Map to an Interface . . . . . . . . . . . . . . . . . . . . . 7-42

Marking Packets with a ToS value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-43

Creating a QoS Map Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-44

Selecting the Traffic to Be Marked . . . . . . . . . . . . . . . . . . . . . . . . 7-44

Setting the ToS Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-48

Assigning the QoS Map to an Interface . . . . . . . . . . . . . . . . . . . . . 7-49

Example Packet Marking Configuration . . . . . . . . . . . . . . . . . . . . 7-49

Configuring Rate Limiting for Frame Relay . . . . . . . . . . . . . . . . . . . . . . . . 7-50

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-50

Rate Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-50

FRF.12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-51

Configuring Rate Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-52

Setting the Committed Burst Rate . . . . . . . . . . . . . . . . . . . . . . . . . 7-52

Setting the Excessive Burst Rate . . . . . . . . . . . . . . . . . . . . . . . . . . 7-53

Configuring Frame Relay Fragmentation . . . . . . . . . . . . . . . . . . . . . . . 7-54

Example Frame Relay QoS Configuration . . . . . . . . . . . . . . . . . . . . . . 7-54

xiii

Configuring QoS for Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-55

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-55

Rate Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-55

Configuring Rate Limiting on an Ethernet Interface . . . . . . . . . . . . . 7-56

Configuring QoS Policies on an Ethernet Interface . . . . . . . . . . . . . . 7-56

Example: Configuring QoS for VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-57

Enabling Application-Level Gateways for Applications with

Special Needs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-58

Enabling SIP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-59

Defining VoIP Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-60

Determining the Required Bandwidth . . . . . . . . . . . . . . . . . . . . . . . . . 7-61

Marking Signaling Traffic for Special Treatment . . . . . . . . . . . . . . . . 7-62

Configuring Frame Relay Rate Limiting . . . . . . . . . . . . . . . . . . . . . . . . 7-63

Monitoring QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-64

Viewing QoS Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-65

Managing Queues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-66

Troubleshooting Common Configuration Problems . . . . . . . . . . . . . 7-67

A Map Becoming Inactive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-67

An Ethernet Interface Refusing to Take a QoS-Policy . . . . . . . . 7-68

xiv

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-68

Configuring WFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-68

Configuring CBWFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-69

Configuring a Low-Latency Queue . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-71

Marking Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-72

Configuring Frame Relay Fragmentation . . . . . . . . . . . . . . . . . . . . . . . 7-73

Configuring QoS on an Ethernet Interface . . . . . . . . . . . . . . . . . . . . . 7-73

8 Virtual Private Networks

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4

VPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4

IP Security (IPSec) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4

IPSec Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-5

Hash and Encryption Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6

IPSec VPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7

Security Associations (SAs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7

IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-8

VPN Overlay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-13

Physical Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-14

Configuring a VPN Using IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-15

Configuring IPSec with IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-15

Configuring IPSec with Manual Keying . . . . . . . . . . . . . . . . . . . . . 8-19

How the ProCurve Secure Router Processes IKE Policies

and Crypto Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-20

Configuration Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23

Enabling Crypto Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23

Configuring IKE Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23

Peer ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-24

Initiate and Response Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26

Attribute Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-28

Enabling NAT-Traversal (NAT-T) for a Client-to-Site VPN . . . . 8-31

Configuring a Peer’s Remote ID and Preshared Key . . . . . . . . . . . . . 8-32

Site-to-Site Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-33

Client-to-Site Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-34

Configuring a Remote ID List for a VPN that Uses Digital

Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-34

Mapping the Remote ID to an IKE Policy and Crypto

Map Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-35

Defining Traffic Allowed over the VPN Tunnel . . . . . . . . . . . . . . . . . . 8-35

Restricting Specified Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-36

Permitting Local and Remote Networks . . . . . . . . . . . . . . . . . . . . 8-37

Applying the ACL to a Crypto Map . . . . . . . . . . . . . . . . . . . . . . . . 8-38

Example Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-39

Enabling Router Traffic to Servers at a Remote

VPN Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-39

Configuring IPSec SA Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-40

Transform Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-40

Crypto Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-42

Applying a Crypto Map to an Interface . . . . . . . . . . . . . . . . . . . . . . . . . 8-46

Granting Remote Users a Private Network Address with IKE

Mode Config (Required for Client-to-Site VPNs) . . . . . . . . . . . . . . . . 8-47

IKE Mode Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-47

Configuring an IKE Client Configuration Pool . . . . . . . . . . . . . . . 8-48

Applying the Pool to an IKE Policy . . . . . . . . . . . . . . . . . . . . . . . . 8-49

Using Extended Authentication (Xauth) (Optional) . . . . . . . . . . . . . . 8-49

Configuring an Xauth Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-50

Configuring an Xauth Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-53

Using Digital Certificates (Optional) . . . . . . . . . . . . . . . . . . . . . . . . . . 8-54

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-54

Obtaining Digital Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-57

Managing Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-61

Configuring a VPN using IPSec with Manual Keying . . . . . . . . . . . . . 8-64

Configuring the Transform Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-65

Configuring Crypto Maps for Manual IPSec . . . . . . . . . . . . . . . . . 8-67

Example Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-69

xvi

Monitoring a VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-70

Troubleshooting a VPN That Uses IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 8-73

Tools and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-73

Troubleshooting Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-74

Checking WAN Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-75

Determining the Source of the Problem: Permitting All

Traffic in a VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-75

Monitoring the IKE Process using Debug Commands . . . . . . . . 8-76

Comparing VPN Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-80

Returning VPN Policies to Their Defaults . . . . . . . . . . . . . . . . . . . 8-86

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-88

Configuring a Site-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-90

Configuring a Client-to-Site VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-94

Obtaining Digital Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-100

9 Configuring a Tunnel with Generic Routing Encapsulation

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2

GRE Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2

Advantages and Disadvantages of GRE . . . . . . . . . . . . . . . . . . . . . . . . . 9-3

Configuring GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4

Creating the Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4

Configuring the Tunnel’s Source and Destination and IP Address . . . 9-4

Configuring the Tunnel Source . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-5

Configuring the Tunnel Destination . . . . . . . . . . . . . . . . . . . . . . . . 9-6

Configuring the Tunnel’s IP Address . . . . . . . . . . . . . . . . . . . . . . . . 9-7

Configuring the Tunnel Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-7

Specifying Tunnel Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-7

Sending Routing Updates over the Tunnel . . . . . . . . . . . . . . . . . . . 9-8

Sending Multicasts over the Tunnel . . . . . . . . . . . . . . . . . . . . . . . . 9-9

Sending all Traffic to a Network over the Tunnel . . . . . . . . . . . . 9-10

Filtering Traffic that Arrives on the Tunnel . . . . . . . . . . . . . . . . . 9-11

Enabling Checksum Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-12

Troubleshooting GRE Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-13

The Tunnel Goes Down . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-13

The Router Does Not Receive Traffic through the Tunnel . . . . . . . . 9-14

The Router Does Not Receive Routing Updates . . . . . . . . . . . . . . . . . 9-14

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-15

10 Configuring Multicast Support for a Stub Network

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-2

Multicast Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-2

IP Multicasting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-3

Multicast Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-4

Host Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-4

xvii

IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-5

IGMP Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-6

IGMP Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-6

Multicast Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-7

IGMP Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-8

Configuring IGMP Proxy for Multicast Stub Routing Support . . . . . . . . 10-10

Enabling IP Multicast Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-11

Setting the Multicast Helper Address . . . . . . . . . . . . . . . . . . . . . . . . . 10-11

Determining Which Interfaces are Downstream and

Which Upstream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-12

Configuring a Downstream Interface . . . . . . . . . . . . . . . . . . . . . . . . . 10-13

Configuring an IGMP Multicast Agent . . . . . . . . . . . . . . . . . . . . . 10-13

Enabling IGMP Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-14

Enabling Multicast Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . 10-14

Configuring an Upstream Interface . . . . . . . . . . . . . . . . . . . . . . . . . . 10-15

Tunneling Multicast Traffic through the Internet . . . . . . . . . . . . . . . 10-15

Adding the Router Stack to a Multicast Group . . . . . . . . . . . . . . . . . 10-16

Altering IGMP Query Intervals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-16

Troubleshooting Multicast Stub Routing and IGMP . . . . . . . . . . . . . . . . 10-19

Strategies and Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-19

Procedure for Troubleshooting Multicast Stub Routing . . . . . . . . . 10-20

xviii

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-23

11 Configuring Multicast Support with PIM-SM

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3

Multicast Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-4

RP Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-4

SP Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-5

Multicast Routing Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-6

Joining a Shared or RP Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-8

Switching from an RP to an SP Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-9

RPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-9

Edge Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-12

A Source’s DR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-14

Building RP and SP Trees When the Source Begins

Multicasting First . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-15

A Source Begins Multicasting Before Any Hosts Join

Its Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-15

A Host Joins a Group After Routers Have Already

Switched to an SP Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-16

RP Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-17

PIM-SM Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-18

Join/Prune Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-18

Bootstrap Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-26

Hellos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-26

Asserts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-26

Configuring PIM-SM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-28

Enabling PIM-SM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-29

Configuring a Static RP Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-30

Specifying Static RPs that Support All Groups . . . . . . . . . . . . . 11-31

Specifying a Static RP for a Specific Group . . . . . . . . . . . . . . . . 11-31

Specifying When the Router Switches to the SP Tree . . . . . . . . . . . 11-35

Forcing the Router to Use the RP Tree Permanently . . . . . . . . . . . . 11-36

Changing an Interface’s DR Priority . . . . . . . . . . . . . . . . . . . . . . . . . . 11-36

Changing PIM-SM Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-37

Join/Prune Period . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-38

Hello Timer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-39

Override and Propagation Delay Timers . . . . . . . . . . . . . . . . . . . 11-39

Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-40

Example 1: Configuring PIM-SM in a Network with

a Headquarters and Two Small Remote Sites . . . . . . . . . . . . . . 11-40

Example 2: Configuring Specific RPs to Support

Specific Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-45

xix

Troubleshooting PIM-SM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-48

Monitoring the Multicast Routing Table . . . . . . . . . . . . . . . . . . . . . . . 11-48

Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-49

First Line of a Multicast Routing Table Entry . . . . . . . . . . . . . . 11-50

Incoming Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-52

Outgoing Interface List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-53

Viewing PIM-SM Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-54

PIM-SM Troubleshooting Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-56

Troubleshooting an Edge Router . . . . . . . . . . . . . . . . . . . . . . . . . 11-56

Troubleshooting A Router in Conjunction with Its PIM

Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-61

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-68

12 Link Layer Discovery Protocol

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-2

LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-2

LLDP Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-3

Viewing LLDP Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-4

Viewing LLDP Neighbor Information . . . . . . . . . . . . . . . . . . . . . . . . . . 12-5

Viewing Local LLDP Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-8

Viewing Real-Time LLDP Messages: debug lldp Commands . . . . . . . 12-9

Viewing LLDP Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-11

Configuring LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-12

Preventing an Interface from Sending Certain LLDP Messages . . . 12-12

Preventing an Interface from Receiving LLDP Messages . . . . . . . . 12-14

Altering LLDP Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-14

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-15

13 IP Routing—Configuring RIP, OSPF, BGP, and PBR

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-6

Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-6

Dynamic Routing Protocols Supported on the ProCurve Secure

Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-7

How Routing Protocols Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-7

Advantages and Disadvantages of Routing Protocols . . . . . . . . 13-10

Load Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-11

Configuring RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-12

RIP Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-12

RIP Updates, v1 and v2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-13

Speeding Convergence: Split Horizon, Poison Reverse,

and Triggered Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-15

RIP Timing Intervals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-17

RIP Configuration Considerations . . . . . . . . . . . . . . . . . . . . . . . . 13-18

Selecting a RIP Version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-19

Setting a Global RIP Version . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-20

Setting RIP Versions for Particular Interfaces . . . . . . . . . . . . . . 13-20

Specifying Networks That Will Participate in RIP . . . . . . . . . . . . . . 13-21

Redistributing Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-22

Redistributing Connected Routes . . . . . . . . . . . . . . . . . . . . . . . . 13-23

Redistributing OSPF Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-24

Enabling and Disabling Route Summarization for Classful

Subnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-24

Configuring a Passive Interface: Prohibiting an Interface from

Sending Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-26

Altering RIP Intervals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-28

Configuring OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-29

LSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-30

Point-to-Point Versus Multi-Access Networks . . . . . . . . . . . . . . 13-30

Areas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-31

LSA Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-33

Route Computation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-35

OSPF Configuration Concerns . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-36

xxi

Setting the Router ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-41

Advertising Networks and Establishing OSPF Areas . . . . . . . . . . . . 13-42

Defining an OSPF Network Within an Area . . . . . . . . . . . . . . . . 13-42

Configuring Stub Areas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-43

Route Summarization (ABRs): Advertising a Link to

One Area to Routers in Another Area . . . . . . . . . . . . . . . . . . . . . 13-44

Example Configuration of OSPF Areas . . . . . . . . . . . . . . . . . . . . 13-49

Prohibiting the Advertisement of Networks . . . . . . . . . . . . . . . . . . . 13-51

Generating a Default External Route (ASBR) . . . . . . . . . . . . . . . . . . 13-51

Configuring Route Summaries for ASBRs . . . . . . . . . . . . . . . . . . . . . 13-52

Configuring Cost Calculation for a Link . . . . . . . . . . . . . . . . . . . . . . . 13-54

Redistributing Routes Discovered by Other Protocols (ASBRs) . . 13-55

Redistributing RIP Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-56

Redistributing Connected and Static Routes . . . . . . . . . . . . . . . 13-56

Configuring the Default Metric for Redistributed Routes . . . . 13-57

Changing a Router’s DR Priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-57

Altering OSPF Intervals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-58

Configuring OSPF Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-60

Example OSPF Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-61

Configuring BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-65

BGP Advantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-65

VRF and MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-66

Multihoming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-67

BGP Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-68

BGP Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-68

BGP Configuration Concerns . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-68

Enabling BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-70

Advertising Local Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-71

Setting the Router ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-72

Configuring a BGP Neighbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-72

Setting the BGP Neighbor ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-72

Specifying the Local and Remote AS . . . . . . . . . . . . . . . . . . . . . . 13-73

Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-74

Balancing Loads over Multiple Connections to the

Same Neighbor: Specifying the Source for Updates . . . . . . . . . 13-74

Balancing Loads over Connections to Different Neighbors . . . 13-76

xxii

Creating Prefix Lists: Configuring Filters for Route Exchange . . . . 13-78

Naming the List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-80

Assigning the Entry an Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-80

Discarding or Allowing Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-80

Specifying the Network Address . . . . . . . . . . . . . . . . . . . . . . . . . 13-80

Specifying the Range of Prefix Lengths . . . . . . . . . . . . . . . . . . . 13-80

Applying Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-81

Example BGP Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-81

Example Prefix List Configuration . . . . . . . . . . . . . . . . . . . . . . . 13-85

Configuring Route Maps: Creating More Complex Policies

for Route Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-86

Creating a Route Map Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-87

Configuring a Community List . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-88

Configuring an AS Path List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-89

Defining the Routes that a Router Can Advertise . . . . . . . . . . . 13-89

Placing a Route in a Community: Requesting a Neighbor

to Advertise a Route to Certain Peers Only . . . . . . . . . . . . . . . . 13-94

Prepending Private AS Numbers for Load Balancing . . . . . . . . 13-96

Setting a Multi-Exit Discriminator Metric for

Load Balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-98

Filtering Inbound Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-100

Applying Policies to Inbound Routes . . . . . . . . . . . . . . . . . . . . 13-102

Deleting Communities from a Route . . . . . . . . . . . . . . . . . . . . . 13-103

Applying a Route Map Entry to a BGP Neighbor . . . . . . . . . . . 13-104

Enabling Soft Reconfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-104

Prohibiting the Advertisement of Default Routes . . . . . . . . . . . . . . 13-104

Disabling IGP Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-105

Configuring Route Summarizations . . . . . . . . . . . . . . . . . . . . . . . . . 13-105

Setting Administrative Distance for BGP Routes . . . . . . . . . . . . . . 13-105

Altering BGP Intervals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-106

Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-106

Example 1: Baseline BGP Configuration . . . . . . . . . . . . . . . . . 13-107

Example 2: Baseline BGP Configuration for a Router that

Runs an IGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-109

Example 3: Configuring a Standard BGP Policy on a

Router That Receives Routes to Remote Private Sites . . . . . . 13-111

Example 4: Configuring BGP Policies for a Router That

Multihomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-113

xxiii

Configuring Load Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-120

Configuring Policy-Based Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-123

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-123

Configuring a Route Map for PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-125

Selecting Traffic for a Route Map Entry . . . . . . . . . . . . . . . . . . . . . . 13-126

Implementing PBR According to Source . . . . . . . . . . . . . . . . . 13-127

Implementing PBR According to Application . . . . . . . . . . . . . 13-130

Implementing PBR According to Traffic Priority . . . . . . . . . . 13-132

Implementing PBR According to Payload Size . . . . . . . . . . . . 13-135

Setting the Routing Policy in a Route Map Entry . . . . . . . . . . . . . . 13-136

Configuring Default Routes in a Route Map Entry . . . . . . . . . 13-138

Using a Route Map to Mark Packets with a QoS Value . . . . . . . . . 13-139

Setting the Don’t Fragment Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-141

Assigning a Route Map to an Interface . . . . . . . . . . . . . . . . . . . . . . . 13-142

Applying a Route Map to Router Traffic . . . . . . . . . . . . . . . . . . . . . 13-142

PBR Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-142

Routing Traffic to a Security Appliance . . . . . . . . . . . . . . . . . . 13-142

Routing Traffic to a Caching Server . . . . . . . . . . . . . . . . . . . . . 13-144

Reserving a Connection for VoIP and Video Traffic . . . . . . . . 13-145

Troubleshooting Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-146

Monitoring the Routing Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-146

Monitoring Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-149

Clearing Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-149

Troubleshooting RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-151

Router Not Receiving Routes . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-151

Other Routers Not Receiving Routes to the Local

Router’s Subnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-152

Troubleshooting OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-153

Troubleshooting an Internal Router . . . . . . . . . . . . . . . . . . . . . 13-156

Troubleshooting an ABR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-160

Troubleshooting BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-162

Strategies and Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-162

Troubleshooting a Prefix List . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-170

Troubleshooting a Route Map . . . . . . . . . . . . . . . . . . . . . . . . . . 13-171

Other Common BGP Problems . . . . . . . . . . . . . . . . . . . . . . . . . 13-172

Monitoring and Troubleshooting PBR . . . . . . . . . . . . . . . . . . . . . . . 13-173

xxiv

Quick Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-176

RIP Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-177

OSPF Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-177

Configuring an Internal Router . . . . . . . . . . . . . . . . . . . . . . . . . 13-178

Configuring an ABR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-179

Configuring an ASBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-180

Configuring BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-181

Configuring PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-182

14 Using the Web Browser Interface for Advanced

Configuration Tasks

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-1

Configuring Access to the Web Browser Interface . . . . . . . . . . . . . . . . . . 14-4

Enabling Access to the Web Browser Interface . . . . . . . . . . . . . . . . . 14-4

Managing AutoSynchTM, Files, Firmware, and Boot Software . . . . . . . . 14-5

AutoSynch™ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-5

Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-7

Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-10

Reboot Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-13

Telnet to Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-14

Enabling IP Services on the Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-15

Web Access Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-17

Increasing Bandwidth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-18

Configuring MLPPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-18

Configuring MLFR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-20

Backup Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-21

Configuring the ProCurve Secure Router OS Firewall . . . . . . . . . . . . . . 14-21

Enabling Attack Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-23

Enabling ALGs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-24

Configuring Session Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-25

Using the Firewall Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-26

Configuring Access Control from the Web Browser Interface . . . . . . . . 14-30

Filtering, or Blocking, Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-33

Allowing Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-34

xxv

Configuring NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-36

Configuring Many-to-One NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-36

Configuring One-to-One NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-37

Configuring Policies to Control Management Access to the

ProCurve Secure Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-39

Customizing Your Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-40

Changing the Order of Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-43

Assigning the Security Zone (the ACP) to an Interface . . . . . . . . . . 14-43

Configuring Quality of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-44

Configuring WFQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-45

Configuring QoS for VoIP with the QoS Wizard . . . . . . . . . . . . . . . . 14-47

Configuring LLQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-53

Configuring Packet Marking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-56

Configuring Frame Relay Fragmentation and Rate Limiting . . . . . . 14-58

Setting Up Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-59

VPN Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-60

VPN Peer Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-60

Public Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-61

Peer Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-61

Mobile VPN Peer Settings (Client-to-site VPN only) . . . . . . . . . 14-62

Extended Authentication (Client-to-site VPN only) . . . . . . . . . 14-63

Remote Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-64

Local Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-64

Authentication Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-65

Remote ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-66

Local ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-66

IKE Settings (Custom Setup Only) . . . . . . . . . . . . . . . . . . . . . . . 14-67

IPSec Settings (Custom Setup Only) . . . . . . . . . . . . . . . . . . . . . . 14-69

Confirm Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-70

VPN Peers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-72

Adding a Second Remote Site to the VPN . . . . . . . . . . . . . . . . . . 14-72

Configuring Advanced VPN Parameters . . . . . . . . . . . . . . . . . . . 14-83

Configuring IKE SA Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . 14-83

Configuring IPSec SA Parameters . . . . . . . . . . . . . . . . . . . . . . . . 14-86

Enabling Xauth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-89

xxvi

Adding Remote IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-90

Obtaining Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-93

Obtaining Certificates Manually . . . . . . . . . . . . . . . . . . . . . . . . . . 14-95

Obtaining Certificates Automatically . . . . . . . . . . . . . . . . . . . . 14-100

Setting Up Generic Routing Encapsulation (GRE) Tunnels . . . . . . . . . 14-104

Multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-108

Configuring LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-108

Setting LLDP Timers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-109

Enabling and Disabling LLDP on an Interface . . . . . . . . . . . . . . . . . 14-110

Viewing LLDP Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-111

Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-113

Configuring RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-113

Configuring OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-116

Specifying OSPF Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-117

Redistributing Routes into OSPF . . . . . . . . . . . . . . . . . . . . . . . . 14-119

Generating a Default Route (ASBR) . . . . . . . . . . . . . . . . . . . . . 14-120

Advertising Summary Routes (ASBR) . . . . . . . . . . . . . . . . . . . . 14-121

Configuring Global OSPF Parameters . . . . . . . . . . . . . . . . . . . . 14-122

Configuring OSPF Parameters for Individual Interfaces . . . . 14-124

Viewing OSPF Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14-126

A Appendix A: Example Configuration

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-2

Needs Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-2

Configuring the Physical and Data Link Layers . . . . . . . . . . . . . . . . . . . . . . A-6

Berlin Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-6

Mannheim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-10

Dublin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-15

Prague . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-17

xxvii

Configuring IP Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-20

Berlin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-21

Mannheim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-23

Dublin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-25

Prague . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-26

Configuring a Client-to-Site Virtual Private Network (VPN) . . . . . . . . . . A-27

Configuring Multicast Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-30

Berlin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-30

Mannheim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-31

Dublin and Prague . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-32

Running Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-33

Berlin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-33

Mannheim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-37

Dublin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-40

Prague . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-42

xxviii

Overview