Site-to-Site IPSec VPN na platformě Cisco: snadné bezpečné připojení poboček

Bezpečná komunikace mezi pobočkami je dnes standardem v každé seriózní infrastruktuře. Pokud spravujete síť s více lokalitami a chcete zajistit důvěrné a ověřené spojení, Site-to-Site IPSec VPN je nezbytnou součástí vašeho arzenálu. V tomto článku si podrobně vysvětlíme, jak nakonfigurovat Site-to-Site VPN mezi dvěma zařízeními Cisco – nejčastěji ASA firewally nebo směrovači – s důrazem na praktické pochopení.

Co je to IPSec VPN a proč je důležitá?

IPSec VPN (Internet Protocol Security Virtual Private Network) umožňuje bezpečný přenos dat přes nedůvěryhodné sítě, nejčastěji přes internet. Pomocí šifrování a autentizace zajistí, že data mezi dvěma pobočkami nebudou čitelná pro třetí strany.

Site-to-Site vs. Remote Access VPN

• Site-to-Site VPN: Trvalé spojení mezi dvěma lokalitami (např. pobočka A ↔ pobočka B).
• Remote Access VPN: Připojení jednoho klienta (notebook, mobil) k síti centrální organizace.

V tomto článku se zaměříme na řešení Site-to-Site.

Kroky konfigurace IPSec VPN na Cisco ASA nebo směrovači

Následující kroky odpovídají praktickému postupu z laboratoří kurzu COS:

1. Definování ACL pro zajímavý provoz

Nejprve definujeme, který provoz má být tunelován (např. LAN pobočky A ↔ LAN pobočky B):

access-list VPN-ACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

2. Vytvoření transform setu

Transform set definuje způsob šifrování a autentizace:

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

3. Vytvoření crypto mapy

crypto map VPN-MAP 10 match address VPN-ACL
crypto map VPN-MAP 10 set peer 203.0.113.1
crypto map VPN-MAP 10 set transform-set VPN-SET
crypto map VPN-MAP interface outside

4. Konfigurace ISAKMP (IKE fáze 1)

crypto isakmp policy 10
 encryption aes
 hash sha
 authentication pre-share
 group 2
 lifetime 86400

crypto isakmp key cisco123 address 203.0.113.1

5. Přiřazení mapy k rozhraní

Crypto mapa musí být připojena k externímu rozhraní (např. „outside“):

crypto map VPN-MAP interface outside

6. Ověření a testování VPN tunelu

• Ping mezi koncovými zařízeními
• Příkaz: show crypto isakmp sa – stav fáze 1
• Příkaz: show crypto ipsec sa – počet zašifrovaných/dešifrovaných paketů

Nejčastější chyby při konfiguraci

Začátečníci se často setkají s následujícími problémy:

1. Zapomenuté přiřazení crypto mapy k rozhraní
2. Nesoulad v nastavení kryptomap na obou stranách (šifra, hash, lifetime)
3. ACL definující zajímavý provoz je příliš úzká nebo naopak zahrnuje nevhodné podsítě

Rozšířené možnosti: dynamické Site-to-Site VPN

V případě, že na straně jedné pobočky neznáte veřejnou IP adresu (např. dynamicky přidělovaná), můžete použít tzv. „Dynamic crypto map“:

crypto dynamic-map DYN-VPN 10 set transform-set VPN-SET
crypto map VPN-MAP 65535 ipsec-isakmp dynamic DYN-VPN

Tento přístup je vhodný zejména pro menší pobočky bez statické IP adresy.

IPSec VPN a bezpečnostní politika organizace

VPN by měla být součástí širší bezpečnostní strategie. Důležité je pravidelně rotovat předsdílené klíče, monitorovat statistiky tunelu a používat silné šifrovací algoritmy (např. AES-256).

Závěr

Site-to-Site VPN je základním stavebním prvkem při propojování firemních lokalit. Správně nakonfigurované spojení zajistí nejen bezpečný přenos dat, ale i vyšší spolehlivost sítě. Díky kurzům jako COS se tuto technologii naučíte rychle a prakticky. Pokud chcete získat superschopnost chránit Cisco síť, přihlaste se ještě dnes.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz COS - Hrdý majitel nové superschopnosti: Ochránce Cisco sítě