В рамках нового проекта у нас есть требование разорвать около 3000 соединений IPsec на брандмауэре Cisco ASA 5540. Согласно спецификации, максимальное количество IPsec Peers, поддерживаемых этой платформой, составляет 5000, поэтому проблем быть не должно.
Вопрос в том, что произойдет, если ВСЕ 3000 удаленных сайтов попытаются установить соединение IPsec сразу? Например, если вышестоящий коммутатор (ы) умирает. Это может быть не все сразу, но в зависимости от таймеров, это может быть в очень маленьком окне, может быть, 10 секунд или около того. Будет ли ASA справляться со всеми входящими соединениями с точки зрения ресурсов? Что самое худшее, что может случиться?
Я понимаю, что пороги обнаружения угроз могут быть скорректированы. ASA не будет делать ничего, кроме завершения соединений IPsec. Там не будет ни NAT, ни осмотра. Он будет участвовать в OSPF на стороне локальной сети, хотя все сети удаленных сайтов будут обобщены.
Ответы:
В нашем главном офисе у нас есть двойной маршрутизатор 100 Мбит / с для интернет-шлюза (это наше узкое место для глобальной сети). У нас было 500-700 сайтов, которые снова подключались сразу после сбоя без проблем - легко поддерживали 2800 мест в течение всего рабочего дня. В спецификации говорится, что он может поддерживать до 5000, просто убедитесь, что вы заказали правильные спецификации Memory + CPU, больше памяти, чем все остальное.
По моему опыту, ваша горловина будет вашим WAN-соединением.
источник
Оказывается, ASA может поддерживать все входящие соединения без проблем. Это занимает некоторое время, поскольку он не может обрабатывать их все одновременно, но в конечном итоге все пульты подключаются.
источник