O ASA 5540 suportará 3000 conexões IPsec simultâneas?

10

Como parte de um novo projeto, temos o requisito de encerrar cerca de 3000 conexões IPsec em um firewall Cisco ASA 5540. De acordo com as especificações, o máximo de IPsec Peers suportado por esta plataforma é de 5000, portanto não deve haver um problema.

A questão é o que acontece se todos os sites remotos do ALL 3000 tentarem estabelecer a conexão IPsec de uma só vez? Por exemplo, se os comutadores a montante morrerem. Pode não ser tudo de uma vez, mas, dependendo dos temporizadores, pode estar dentro de uma janela muito pequena, talvez 10 segundos ou mais. O ASA lidará com todas as conexões de entrada, em termos de recursos? Qual o pior que pode acontecer ?

Entendo que os limites para a detecção de ameaças talvez precisem ser ajustados. O ASA não fará muito além de terminar as conexões IPsec. Não haverá NAT, nem inspeção. Ele participará do OSPF no lado da LAN, embora todas as redes de sites remotos sejam resumidas.

Stefan Radovanovici
fonte
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

7

No CD do nosso QG, temos um roteador de gateway de Internet de 100 Mbps (esse é o gargalo da WAN). Tivemos 500-700 sites conectados novamente após uma interrupção ao mesmo tempo, sem problemas - mantendo facilmente 2800 locais em tempo integral. As especificações dizem que ele pode suportar 5000 no total, apenas certifique-se de solicitar as especificações corretas de Memória + CPU, mais memória do que qualquer outra coisa.

Seu gargalo será sua conexão WAN de acordo com a minha experiência.

AjNetEng
fonte
Os sites foram finalizados no seu roteador ou no Cisco ASA? Um roteador pode reagir diferente de um ASA, o software é diferente. E, independentemente disso, você sabe quanta largura de banda esses 500-700 sites usaram quando se conectaram todos de uma vez?
Stefan Radovanovici
2
Stefan- WAN Edge --- Firewall do ponto de verificação --- ASA 5540 SHA-AES-256, por NPM de ventos solares, os 2 minutos em média 10,9 Mbps de entrada e 11,2 Mbps de saída.
AjNetEng
Essa é uma informação excelente, obrigado. Eu posso extrapolar o pico de largura de banda para 3000 sites. Você, por acaso, monitorou o pico da CPU do ASA por esses 2 minutos?
Stefan Radovanovici
1

Acontece que o ASA pode suportar todas as conexões recebidas sem problema. Demora um pouco, pois não pode processar todos eles ao mesmo tempo, mas eventualmente todos os controles remotos se conectam.

Stefan Radovanovici
fonte