Unterstützt ASA 5540 3000 gleichzeitige IPSec-Verbindungen?

10

Im Rahmen eines neuen Projekts müssen ca. 3000 IPSec-Verbindungen auf einer Cisco ASA 5540-Firewall beendet werden. Gemäß den Spezifikationen beträgt die maximale Anzahl von IPSec-Peers, die diese Plattform unterstützt, 5000, sodass kein Problem auftreten sollte.

Die Frage ist, was passiert, wenn ALLE 3000 Remote-Standorte gleichzeitig versuchen, die IPSec-Verbindung herzustellen? Zum Beispiel, wenn die vorgelagerten Schalter sterben. Es ist möglicherweise nicht alles auf einmal, aber je nach Timer kann es sich innerhalb eines sehr kleinen Fensters befinden, vielleicht 10 Sekunden oder so. Wird die ASA alle eingehenden Verbindungen ressourcenmäßig bewältigen? Was ist das Schlimmste, was passieren kann?

Ich verstehe, dass die Schwellenwerte für die Erkennung von Bedrohungen möglicherweise angepasst werden müssen. Der ASA wird nicht viel tun, außer die IPSec-Verbindungen zu beenden. Es wird kein NAT geben, keine Inspektion. Es wird auf der LAN-Seite an OSPF teilnehmen, alle Remote-Site-Netzwerke werden jedoch zusammengefasst.

Stefan Radovanovici
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

7

Im DC unseres Hauptsitzes haben wir einen doppelten 100-Mbit / s-Internet-Gateway-Router (das ist unser Flaschenhals für das WAN). Wir haben 500-700 Standorte nach einem Ausfall ohne Probleme sofort wieder verbinden lassen - und damit problemlos 2800 Standorte in Vollzeit erhalten. Die Spezifikationen sagen, dass es insgesamt 5000 unterstützen kann. Stellen Sie einfach sicher, dass Sie auch die richtigen Speicher- und CPU-Spezifikationen bestellen, mehr Speicher als alles andere.

Ihr Flaschenhals wird meiner Erfahrung nach Ihre WAN-Verbindung sein.

AjNetEng
quelle
Wurden die Sites auf Ihrem Router oder auf einem Cisco ASA beendet? Ein Router reagiert möglicherweise anders als ein ASA, die Software ist anders. Und unabhängig davon, wissen Sie, wie viel Bandbreite diese 500-700 Standorte verwendet haben, als sie alle gleichzeitig verbunden waren?
Stefan Radovanovici
2
Stefan-WAN Edge --- Checkpoint Firewall --- ASA 5540 SHA-AES-256, pro Solar Winds NPM betragen die 2 Minuten durchschnittlich 10,9 Mbit / s Ingress und 11,2 Mbit / s Egress.
AjNetEng
Das sind ausgezeichnete Informationen, danke. Ich kann die Bandbreitenspitze für 3000 Standorte extrapolieren. Haben Sie zufällig die ASA-CPU-Spitze für diese 2 Minuten überwacht?
Stefan Radovanovici
1

Es stellt sich heraus, dass der ASA alle eingehenden Verbindungen ohne Probleme unterstützen kann. Es dauert eine Weile, da nicht alle gleichzeitig verarbeitet werden können, aber schließlich alle Fernbedienungen eine Verbindung herstellen.

Stefan Radovanovici
quelle