Чи буде ASA 5540 підтримувати 3000 одночасних підключень IPsec?


10

В рамках нового проекту у нас є вимога припинити близько 3000 підключень IPsec на брандмауері Cisco ASA 5540. Відповідно до специфікацій, максимальна кількість IPsec Peers, яку підтримує ця платформа, становить 5000, тому не повинно виникнути проблем.

Питання полягає в тому, що станеться, якщо ВСІ 3000 віддалених сайтів спробують встановити IPsec-з'єднання відразу? Наприклад, якщо вимикачі на верхньому потоці загинуть. Це може бути не все відразу, але залежно від таймерів, це може бути в дуже маленькому вікні, можливо, 10 секунд або близько того. Чи впорається ASA з усіма вхідними з'єднаннями, ресурсом розумним? Що найгірше, що може статися?

Я розумію, що пороги виявлення загрози, можливо, доведеться коригувати. ASA не зробить багато чого, крім припинення з'єднання IPsec. Не буде НАТ, не буде інспекції. Він буде брати участь в OSPF на стороні локальної мережі, проте всі мережі віддалених сайтів будуть узагальнені.


Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:


7

У нашому постійному штаті постійного струму ми маємо подвійний маршрутизатор Інтернет-шлюзу 100 Мбіт / с (це наша шийка пляшки для WAN). У нас 500-700 сайтів підключилися після відключення відразу, без жодних проблем - легко підтримуючи 2800 місць на повний робочий день. Спеціалізація каже, що вона може підтримувати 5000, просто переконайтеся, що ви замовляєте правильні характеристики пам'яті + процесор, більше пам'яті, ніж усе інше.

З мого досвіду ваша шийка пляшки стане вашим WAN-з'єднанням.


Чи було закрито сайти на вашому маршрутизаторі чи на Cisco ASA? Маршрутизатор може реагувати інакше, ніж ASA, програмне забезпечення інше. І незважаючи на це, чи знаєте ви, яка пропускна здатність використовуються 500-700 сайтів, коли вони підключили всі відразу?
Стефан Радовановичі

2
Стефан-WAN Edge --- Брандмауер контрольної точки --- ASA 5540 SHA-AES-256, за NPM сонячних вітрів, 2 хвилини в середньому становлять 10,9 Мбіт / с і виходять 11,2 Мбіт / с.
AjNetEng

Це відмінна інформація, дякую. Я можу екстраполювати стрибок пропускної здатності на 3000 сайтів. Ви випадково стежили за спайком процесора ASA за ці 2 хвилини?
Стефан Радовановичі

1

Виявляється, ASA може без проблем підтримувати всі вхідні з'єднання. Мине певний час, оскільки він не може обробити їх одночасно, але з часом всі віддалені з'єднання.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.