В рамках нового проекту у нас є вимога припинити близько 3000 підключень IPsec на брандмауері Cisco ASA 5540. Відповідно до специфікацій, максимальна кількість IPsec Peers, яку підтримує ця платформа, становить 5000, тому не повинно виникнути проблем.
Питання полягає в тому, що станеться, якщо ВСІ 3000 віддалених сайтів спробують встановити IPsec-з'єднання відразу? Наприклад, якщо вимикачі на верхньому потоці загинуть. Це може бути не все відразу, але залежно від таймерів, це може бути в дуже маленькому вікні, можливо, 10 секунд або близько того. Чи впорається ASA з усіма вхідними з'єднаннями, ресурсом розумним? Що найгірше, що може статися?
Я розумію, що пороги виявлення загрози, можливо, доведеться коригувати. ASA не зробить багато чого, крім припинення з'єднання IPsec. Не буде НАТ, не буде інспекції. Він буде брати участь в OSPF на стороні локальної мережі, проте всі мережі віддалених сайтів будуть узагальнені.