ASA 5540 supporterà 3000 connessioni IPsec simultanee?

10

Come parte di un nuovo progetto, abbiamo l'obbligo di terminare circa 3000 connessioni IPsec su un firewall Cisco ASA 5540. Secondo le specifiche, il numero massimo di peer IPsec supportati da questa piattaforma è 5000, quindi non dovrebbero esserci problemi.

La domanda è: cosa succede se TUTTI i 3000 siti remoti provano a stabilire la connessione IPsec contemporaneamente? Ad esempio se gli interruttori a monte muoiono. Potrebbe non essere tutto in una volta ma a seconda dei timer, potrebbe trovarsi in una finestra molto piccola, forse circa 10 secondi. L'ASA riuscirà a far fronte a tutte le connessioni in entrata, per quanto riguarda le risorse? Qual è il peggio che può succedere?

Comprendo che le soglie per il rilevamento delle minacce potrebbero dover essere adeguate. L'ASA non farà altro che interrompere le connessioni IPsec. Non ci sarà NAT, nessuna ispezione. Parteciperà a OSPF sul lato LAN, tuttavia tutte le reti di siti remoti verranno riassunte.

cisco-asa  vpn  ipsec 
Stefan Radovanovici
fonte
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

7

Nel DC del nostro quartier generale, abbiamo un doppio router gateway Internet da 100 Mbps (questo è il nostro collo di bottiglia per la WAN). Abbiamo avuto 500-700 siti che si riconnettono subito dopo un'interruzione senza alcun problema, supportando facilmente 2800 posizioni a tempo pieno. Le specifiche dicono che può supportare un totale di 5000, assicurati di ordinare anche le specifiche Memory + CPU giuste, più memoria di ogni altra cosa.

Il collo della tua bottiglia sarà la tua connessione WAN per mia esperienza.

AjNetEng
fonte
I siti sono stati chiusi sul router o su un Cisco ASA? Un router potrebbe reagire in modo diverso rispetto a un ASA, il software è diverso. E a prescindere da ciò, sai quanta larghezza di banda hanno usato quei 500-700 siti quando si sono collegati tutti in una volta?
Stefan Radovanovici,
2
Stefan- WAN Edge --- Checkpoint Firewall --- ASA 5540 SHA-AES-256, per Solar Winds NPM, i 2 minuti hanno una media di 10,9 Mbps in ingresso e 11,2 Mbps in uscita.
AjNetEng
Questa è un'ottima informazione, grazie. Posso estrapolare il picco di larghezza di banda per 3000 siti. Hai per caso monitorato il picco della CPU ASA per quei 2 minuti?
Stefan Radovanovici,
1

Si scopre che l'ASA può supportare tutte le connessioni in entrata senza problemi. Ci vuole un po 'di tempo, poiché non è in grado di elaborarli tutti contemporaneamente, ma alla fine tutti i telecomandi si collegano.

Stefan Radovanovici
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.