Будет ли ASA 5540 поддерживать 3000 одновременных соединений IPsec?

10

В рамках нового проекта у нас есть требование разорвать около 3000 соединений IPsec на брандмауэре Cisco ASA 5540. Согласно спецификации, максимальное количество IPsec Peers, поддерживаемых этой платформой, составляет 5000, поэтому проблем быть не должно.

Вопрос в том, что произойдет, если ВСЕ 3000 удаленных сайтов попытаются установить соединение IPsec сразу? Например, если вышестоящий коммутатор (ы) умирает. Это может быть не все сразу, но в зависимости от таймеров, это может быть в очень маленьком окне, может быть, 10 секунд или около того. Будет ли ASA справляться со всеми входящими соединениями с точки зрения ресурсов? Что самое худшее, что может случиться?

Я понимаю, что пороги обнаружения угроз могут быть скорректированы. ASA не будет делать ничего, кроме завершения соединений IPsec. Там не будет ни NAT, ни осмотра. Он будет участвовать в OSPF на стороне локальной сети, хотя все сети удаленных сайтов будут обобщены.

Стефан Радованович
источник
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

7

В нашем главном офисе у нас есть двойной маршрутизатор 100 Мбит / с для интернет-шлюза (это наше узкое место для глобальной сети). У нас было 500-700 сайтов, которые снова подключались сразу после сбоя без проблем - легко поддерживали 2800 мест в течение всего рабочего дня. В спецификации говорится, что он может поддерживать до 5000, просто убедитесь, что вы заказали правильные спецификации Memory + CPU, больше памяти, чем все остальное.

По моему опыту, ваша горловина будет вашим WAN-соединением.

AjNetEng
источник
Были ли сайты завершены на вашем маршрутизаторе или на Cisco ASA? Маршрутизатор может реагировать иначе, чем ASA, программное обеспечение отличается. И независимо от этого, знаете ли вы, какую пропускную способность использовали эти 500-700 сайтов при одновременном подключении?
Стефан Радованович
2
Stefan-WAN Edge --- межсетевой экран Checkpoint --- ASA 5540 SHA-AES-256, в соответствии с NPM солнечного ветра, 2 минуты в среднем на входе 10,9 Мбит / с и на выходе 11,2 Мбит / с.
AjNetEng
Это отличная информация, спасибо. Я могу экстраполировать скачок пропускной способности для 3000 сайтов. Вы случайно не наблюдали всплеск процессора ASA в течение этих 2 минут?
Стефан Радованович
1

Оказывается, ASA может поддерживать все входящие соединения без проблем. Это занимает некоторое время, поскольку он не может обрабатывать их все одновременно, но в конечном итоге все пульты подключаются.

Стефан Радованович
источник