Чи буде ASA 5540 підтримувати 3000 одночасних підключень IPsec?

В рамках нового проекту у нас є вимога припинити близько 3000 підключень IPsec на брандмауері Cisco ASA 5540. Відповідно до специфікацій, максимальна кількість IPsec Peers, яку підтримує ця платформа, становить 5000, тому не повинно виникнути проблем.

Питання полягає в тому, що станеться, якщо ВСІ 3000 віддалених сайтів спробують встановити IPsec-з'єднання відразу? Наприклад, якщо вимикачі на верхньому потоці загинуть. Це може бути не все відразу, але залежно від таймерів, це може бути в дуже маленькому вікні, можливо, 10 секунд або близько того. Чи впорається ASA з усіма вхідними з'єднаннями, ресурсом розумним? Що найгірше, що може статися?

Я розумію, що пороги виявлення загрози, можливо, доведеться коригувати. ASA не зробить багато чого, крім припинення з'єднання IPsec. Не буде НАТ, не буде інспекції. Він буде брати участь в OSPF на стороні локальної мережі, проте всі мережі віддалених сайтів будуть узагальнені.

У нашому постійному штаті постійного струму ми маємо подвійний маршрутизатор Інтернет-шлюзу 100 Мбіт / с (це наша шийка пляшки для WAN). У нас 500-700 сайтів підключилися після відключення відразу, без жодних проблем - легко підтримуючи 2800 місць на повний робочий день. Спеціалізація каже, що вона може підтримувати 5000, просто переконайтеся, що ви замовляєте правильні характеристики пам'яті + процесор, більше пам'яті, ніж усе інше.

З мого досвіду ваша шийка пляшки стане вашим WAN-з'єднанням.

Виявляється, ASA може без проблем підтримувати всі вхідні з'єднання. Мине певний час, оскільки він не може обробити їх одночасно, але з часом всі віддалені з'єднання.