W ramach nowego projektu musimy zakończyć około 3000 połączeń IPsec na zaporze Cisco ASA 5540. Zgodnie ze specyfikacją maksymalna liczba peerów IPsec obsługiwanych przez tę platformę wynosi 5000, więc nie powinno być problemu.
Pytanie brzmi: co się stanie, jeśli WSZYSTKIE zdalne witryny 3000 spróbują naraz nawiązać połączenie IPsec? Na przykład, jeśli zginą przełączniki (przełączniki). Może to nie być wszystko naraz, ale w zależności od timerów może znajdować się w bardzo małym oknie, może około 10 sekund. Czy ASA poradzi sobie ze wszystkimi połączeniami przychodzącymi pod względem zasobów? Co najgorszego może się zdarzyć?
Rozumiem, że progi wykrywania zagrożeń mogą wymagać dostosowania. ASA nie zrobi wiele poza zakończeniem połączeń IPsec. Nie będzie NAT, nie będzie inspekcji. Będzie uczestniczyć w OSPF po stronie LAN, wszystkie sieci zdalnych stron zostaną jednak podsumowane.
Odpowiedzi:
W centrali naszej centrali mamy podwójny router 100 Mbps Internet Gateway Router (to nasza szyjka butelki dla sieci WAN). Mieliśmy 500-700 stron połączonych natychmiast po awarii bez problemu - z łatwością utrzymując 2800 lokalizacji przez cały czas. Specyfikacja mówi, że może obsłużyć 5000 łącznie, po prostu upewnij się, że zamówiłeś odpowiednią pamięć + specyfikację procesora, więcej pamięci niż cokolwiek innego.
Z mojego doświadczenia wynika, że szyjka butelki będzie połączeniem WAN.
źródło
Okazuje się, że ASA może bez problemu obsługiwać wszystkie połączenia przychodzące. Trwa to chwilę, ponieważ nie można przetworzyć wszystkich jednocześnie, ale ostatecznie wszystkie piloty łączą się.
źródło