Im Rahmen eines neuen Projekts müssen ca. 3000 IPSec-Verbindungen auf einer Cisco ASA 5540-Firewall beendet werden. Gemäß den Spezifikationen beträgt die maximale Anzahl von IPSec-Peers, die diese Plattform unterstützt, 5000, sodass kein Problem auftreten sollte.
Die Frage ist, was passiert, wenn ALLE 3000 Remote-Standorte gleichzeitig versuchen, die IPSec-Verbindung herzustellen? Zum Beispiel, wenn die vorgelagerten Schalter sterben. Es ist möglicherweise nicht alles auf einmal, aber je nach Timer kann es sich innerhalb eines sehr kleinen Fensters befinden, vielleicht 10 Sekunden oder so. Wird die ASA alle eingehenden Verbindungen ressourcenmäßig bewältigen? Was ist das Schlimmste, was passieren kann?
Ich verstehe, dass die Schwellenwerte für die Erkennung von Bedrohungen möglicherweise angepasst werden müssen. Der ASA wird nicht viel tun, außer die IPSec-Verbindungen zu beenden. Es wird kein NAT geben, keine Inspektion. Es wird auf der LAN-Seite an OSPF teilnehmen, alle Remote-Site-Netzwerke werden jedoch zusammengefasst.
Antworten:
Im DC unseres Hauptsitzes haben wir einen doppelten 100-Mbit / s-Internet-Gateway-Router (das ist unser Flaschenhals für das WAN). Wir haben 500-700 Standorte nach einem Ausfall ohne Probleme sofort wieder verbinden lassen - und damit problemlos 2800 Standorte in Vollzeit erhalten. Die Spezifikationen sagen, dass es insgesamt 5000 unterstützen kann. Stellen Sie einfach sicher, dass Sie auch die richtigen Speicher- und CPU-Spezifikationen bestellen, mehr Speicher als alles andere.
Ihr Flaschenhals wird meiner Erfahrung nach Ihre WAN-Verbindung sein.
quelle
Es stellt sich heraus, dass der ASA alle eingehenden Verbindungen ohne Probleme unterstützen kann. Es dauert eine Weile, da nicht alle gleichzeitig verarbeitet werden können, aber schließlich alle Fernbedienungen eine Verbindung herstellen.
quelle