Apakah ASA 5540 akan mendukung 3000 koneksi IPsec secara bersamaan?


10

Sebagai bagian dari proyek baru, kami memiliki persyaratan untuk mengakhiri sekitar 3000 koneksi IPsec pada firewall ASA 5540 Cisco. Menurut spesifikasi, IPsec Peers maksimum yang didukung oleh platform ini adalah 5000 jadi seharusnya tidak ada masalah.

Pertanyaannya adalah apa yang terjadi jika SEMUA 3000 situs jauh mencoba membuat koneksi IPsec sekaligus? Misalnya jika sakelar hulu mati. Mungkin tidak sekaligus tetapi tergantung pada penghitung waktu, mungkin dalam jendela yang sangat kecil, mungkin 10 detik atau lebih. Akankah ASA mengatasi semua koneksi yang masuk, sumber daya bijaksana? Apa hal terburuk yang bisa terjadi?

Saya mengerti bahwa ambang batas untuk deteksi ancaman mungkin harus disesuaikan. ASA tidak akan berbuat banyak selain memutuskan koneksi IPsec. Tidak akan ada NAT, tidak ada inspeksi. Ini akan berpartisipasi dalam OSPF di sisi LAN, semua jaringan situs jarak jauh akan dirangkum.


Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:


7

Di DC HQ kami, kami memiliki Router Internet Gateway ganda 100 Mbps (itu adalah leher botol kami untuk WAN). Kami memiliki 500-700 situs terhubung kembali setelah pemadaman sekaligus tanpa masalah - dengan mudah mempertahankan 2800 lokasi penuh waktu. Spesifikasi mengatakan dapat mendukung 5000 total, pastikan Anda memesan memori + CPU yang tepat juga, lebih banyak memori daripada yang lain.

Leher botol Anda akan menjadi koneksi WAN Anda dari pengalaman saya.


Apakah situs tersebut dihentikan pada router Anda atau pada Cisco ASA? Router mungkin bereaksi berbeda dari ASA, perangkat lunaknya berbeda. Dan terlepas dari itu, apakah Anda tahu berapa banyak bandwidth yang digunakan 500-700 situs saat mereka terhubung sekaligus?
Stefan Radovanovici

2
Stefan- WAN Edge --- Firewall Pos Pemeriksaan --- ASA 5540 SHA-AES-256, per NPM Angin Surya, 2 menit rata-rata 10,9 Mbps Ingress dan 11,2 Mbps Egress.
AjNetEng

Itu info yang sangat bagus, terima kasih. Saya dapat memperkirakan lonjakan bandwidth untuk 3000 situs. Pernahkah Anda memantau lonjakan ASA CPU selama 2 menit itu?
Stefan Radovanovici

1

Ternyata ASA dapat mendukung semua koneksi yang masuk tanpa masalah. Butuh beberapa saat, karena tidak dapat memproses semuanya secara bersamaan, tetapi akhirnya semua remote terhubung.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.