问题是,如果所有3000个远程站点都尝试一次建立IPsec连接,将会发生什么?例如,如果上游交换机死亡。它可能不是一次全部,而是取决于计时器,它可能在一个非常小的窗口内,可能是10秒左右。在资源方面,ASA是否可以应对所有传入连接?最糟糕的情况是什么?
我知道威胁检测的阈值可能需要调整。 ASA除了终止IPsec连接外不会做太多事情。没有NAT,没有检查。它将参加LAN端的OSPF,尽管将总结所有远程站点网络。
#1 楼
在总部的DC中,我们有一个双100 Mbps Internet网关路由器(这是WAN的瓶颈)。一次中断后,我们已经有500-700个站点重新连接,没有任何问题-轻松地全天候维护2800个位置。规格说它总共可以支持5000个,只需确保您还订购了正确的内存+ CPU规格即可,内存就比其他任何东西都要多。根据我的经验,您的瓶颈将是您的WAN连接。 br />
评论
这些站点是在您的路由器还是在Cisco ASA上终止的?路由器的反应可能不同于ASA,软件也有所不同。不管怎样,您是否知道500-700个站点一次连接时使用了多少带宽?
– Stefan Radovanovici
13年5月20日在18:11
Stefan- WAN Edge --- Checkpoint防火墙--- ASA 5540 SHA-AES-256,根据Solar Winds NPM,这2分钟平均为10.9 Mbps入口和11.2 Mbps出口。
– AjNetEng
13年5月20日在18:23
很好的信息,谢谢。我可以推断出3000个站点的带宽峰值。您是否有机会监视了这2分钟的ASA CPU峰值?
– Stefan Radovanovici
13年5月20日在19:08