作为新项目的一部分,我们要求在Cisco ASA 5540防火墙上终止大约3000个IPsec连接。根据规范,该平台支持的最大IPsec对等体为5000,因此应该没有问题。

问题是,如果所有3000个远程站点都尝试一次建立IPsec连接,将会发生什么?例如,如果上游交换机死亡。它可能不是一次全部,而是取决于计时器,它可能在一个非常小的窗口内,可能是10秒左右。在资源方面,ASA是否可以应对所有传入连接?最糟糕的情况是什么?

我知道威胁检测的阈值可能需要调整。 ASA除了终止IPsec连接外不会做太多事情。没有NAT,没有检查。它将参加LAN端的OSPF,尽管将总结所有远程站点网络。

#1 楼

在总部的DC中,我们有一个双100 Mbps Internet网关路由器(这是WAN的瓶颈)。一次中断后,我们已经有500-700个站点重新连接,没有任何问题-轻松地全天候维护2800个位置。规格说它总共可以支持5000个,只需确保您还订购了正确的内存+ CPU规格即可,内存就比其他任何东西都要多。

根据我的经验,您的瓶颈将是您的WAN连接。 br />

评论


这些站点是在您的路由器还是在Cisco ASA上终止的?路由器的反应可能不同于ASA,软件也有所不同。不管怎样,您是否知道500-700个站点一次连接时使用了多少带宽?

– Stefan Radovanovici
13年5月20日在18:11



Stefan- WAN Edge --- Checkpoint防火墙--- ASA 5540 SHA-AES-256,根据Solar Winds NPM,这2分钟平均为10.9 Mbps入口和11.2 Mbps出口。

– AjNetEng
13年5月20日在18:23

很好的信息,谢谢。我可以推断出3000个站点的带宽峰值。您是否有机会监视了这2分钟的ASA CPU峰值?

– Stefan Radovanovici
13年5月20日在19:08



#2 楼

事实证明,ASA可以毫无问题地支持所有传入连接。这需要一段时间,因为它不能同时处理所有这些对象,但最终所有远程设备都可以连接。