L'ASA 5540 prendra-t-il en charge 3000 connexions IPsec simultanées?

10

Dans le cadre d'un nouveau projet, nous devons mettre fin à environ 3000 connexions IPsec sur un pare-feu Cisco ASA 5540. Selon les spécifications, le nombre maximal de pairs IPsec pris en charge par cette plate-forme est de 5 000, il ne devrait donc pas y avoir de problème.

La question est de savoir ce qui se passe si TOUS les 3000 sites distants tentent d'établir la connexion IPsec à la fois? Par exemple, si le ou les commutateurs en amont meurent. Ce n'est peut-être pas tout à la fois, mais selon les minuteries, cela peut être dans une très petite fenêtre, peut-être 10 secondes environ. L'ASA gérera-t-elle toutes les connexions entrantes, en termes de ressources? Quel est le pire qui puisse arriver?

Je comprends que les seuils de détection des menaces pourraient devoir être ajustés. L'ASA ne fera pas grand-chose en plus de mettre fin aux connexions IPsec. Il n'y aura ni NAT, ni inspection. Il participera à OSPF du côté LAN, tous les réseaux de sites distants seront cependant résumés.

Stefan Radovanovici
la source
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

7

Dans le DC de notre siège, nous avons un double routeur de passerelle Internet 100 Mbps (c'est notre goulot d'étranglement pour le WAN). Nous avons eu 500 à 700 sites se reconnecter après une panne à la fois sans problème - soutenant facilement 2800 emplacements à temps plein. Les spécifications disent qu'il peut prendre en charge 5000 au total, assurez-vous simplement de commander les bonnes spécifications Mémoire + CPU, plus de mémoire qu'autre chose.

Votre goulot d'étranglement sera votre connexion WAN d'après mon expérience.

AjNetEng
la source
Les sites ont-ils été terminés sur votre routeur ou sur un Cisco ASA? Un routeur peut réagir différemment d'un ASA, le logiciel est différent. Et malgré cela, savez-vous combien de bande passante ces 500 à 700 sites ont utilisé lorsqu'ils se sont connectés en même temps?
Stefan Radovanovici
2
Stefan- WAN Edge --- Checkpoint Firewall --- ASA 5540 SHA-AES-256, par Solar Winds NPM, les 2 minutes en moyenne 10,9 Mbps Ingress et 11,2 Mbps Egress.
AjNetEng
Ce sont d'excellentes informations, merci. Je peux extrapoler le pic de bande passante pour 3000 sites. Avez-vous par hasard surveillé le pic du processeur ASA pendant ces 2 minutes?
Stefan Radovanovici
1

Il s'avère que l'ASA peut prendre en charge toutes les connexions entrantes sans problème. Cela prend un certain temps, car il ne peut pas les traiter tous en même temps, mais finalement toutes les télécommandes se connectent.

Stefan Radovanovici
la source