Como parte de um novo projeto, temos o requisito de encerrar cerca de 3000 conexões IPsec em um firewall Cisco ASA 5540. De acordo com as especificações, o máximo de IPsec Peers suportado por esta plataforma é de 5000, portanto não deve haver um problema.
A questão é o que acontece se todos os sites remotos do ALL 3000 tentarem estabelecer a conexão IPsec de uma só vez? Por exemplo, se os comutadores a montante morrerem. Pode não ser tudo de uma vez, mas, dependendo dos temporizadores, pode estar dentro de uma janela muito pequena, talvez 10 segundos ou mais. O ASA lidará com todas as conexões de entrada, em termos de recursos? Qual o pior que pode acontecer ?
Entendo que os limites para a detecção de ameaças talvez precisem ser ajustados. O ASA não fará muito além de terminar as conexões IPsec. Não haverá NAT, nem inspeção. Ele participará do OSPF no lado da LAN, embora todas as redes de sites remotos sejam resumidas.
Respostas:
No CD do nosso QG, temos um roteador de gateway de Internet de 100 Mbps (esse é o gargalo da WAN). Tivemos 500-700 sites conectados novamente após uma interrupção ao mesmo tempo, sem problemas - mantendo facilmente 2800 locais em tempo integral. As especificações dizem que ele pode suportar 5000 no total, apenas certifique-se de solicitar as especificações corretas de Memória + CPU, mais memória do que qualquer outra coisa.
Seu gargalo será sua conexão WAN de acordo com a minha experiência.
fonte
Acontece que o ASA pode suportar todas as conexões recebidas sem problema. Demora um pouco, pois não pode processar todos eles ao mesmo tempo, mas eventualmente todos os controles remotos se conectam.
fonte