Dans le cadre d'un nouveau projet, nous devons mettre fin à environ 3000 connexions IPsec sur un pare-feu Cisco ASA 5540. Selon les spécifications, le nombre maximal de pairs IPsec pris en charge par cette plate-forme est de 5 000, il ne devrait donc pas y avoir de problème.
La question est de savoir ce qui se passe si TOUS les 3000 sites distants tentent d'établir la connexion IPsec à la fois? Par exemple, si le ou les commutateurs en amont meurent. Ce n'est peut-être pas tout à la fois, mais selon les minuteries, cela peut être dans une très petite fenêtre, peut-être 10 secondes environ. L'ASA gérera-t-elle toutes les connexions entrantes, en termes de ressources? Quel est le pire qui puisse arriver?
Je comprends que les seuils de détection des menaces pourraient devoir être ajustés. L'ASA ne fera pas grand-chose en plus de mettre fin aux connexions IPsec. Il n'y aura ni NAT, ni inspection. Il participera à OSPF du côté LAN, tous les réseaux de sites distants seront cependant résumés.
Réponses:
Dans le DC de notre siège, nous avons un double routeur de passerelle Internet 100 Mbps (c'est notre goulot d'étranglement pour le WAN). Nous avons eu 500 à 700 sites se reconnecter après une panne à la fois sans problème - soutenant facilement 2800 emplacements à temps plein. Les spécifications disent qu'il peut prendre en charge 5000 au total, assurez-vous simplement de commander les bonnes spécifications Mémoire + CPU, plus de mémoire qu'autre chose.
Votre goulot d'étranglement sera votre connexion WAN d'après mon expérience.
la source
Il s'avère que l'ASA peut prendre en charge toutes les connexions entrantes sans problème. Cela prend un certain temps, car il ne peut pas les traiter tous en même temps, mais finalement toutes les télécommandes se connectent.
la source