ASA 5540は3000の同時IPsec接続をサポートしますか?

10

新しいプロジェクトの一環として、Cisco ASA 5540ファイアウォールで約3000のIPsec接続を終了する必要があります。仕様によると、このプラットフォームがサポートするIPsecピアの最大数は5000であるため、問題はありません。

問題は、3000のリモートサイトすべてが一度にIPsec接続を確立しようとするとどうなるかです。たとえば、アップストリームスイッチが停止した場合です。一度にすべてではないかもしれませんが、タイマーによっては、10秒程度の非常に小さなウィンドウ内にある可能性があります。ASAは、リソースの観点から、すべての着信接続に対応しますか?起こりうる最悪の事態は何ですか?

脅威検出のしきい値を調整する必要があることを理解しています。ASAは、IPsec接続を終了する以外には何もしません。NATも検査もありません。LAN側のOSPFに参加しますが、すべてのリモートサイトネットワークが要約されます。

cisco-asa  vpn  ipsec 
ステファン・ラドバノビッチ
ソース
何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:

7

私たちの本社のDCには、デュアル100 Mbpsインターネットゲートウェイルーターがあります(これがWANのボトルネックです)。500〜700のサイトが停止後すぐに問題なく接続され、2800の場所をフルタイムで簡単に維持できました。スペックは、それが合計5000をサポートできると言います、ちょうどあなたが他の何よりも多くのメモリよりも適切なメモリ+ CPUスペックも注文することを確認してください。

私の経験では、ボトルネックはWAN接続になります。

AjNetEng
ソース
ルーターまたはCisco ASAでサイトが終端されていましたか?ルータはASAとは異なる反応をする場合があり、ソフトウェアは異なります。それとは関係なく、500〜700のサイトが一度に接続したときに使用した帯域幅を知っていますか。
Stefan Radovanovici
2
ステファン-WANエッジ---チェックポイントファイアウォール--- ASA 5540 SHA-AES-256、ソーラーウィンズNPMあたり、2分間の平均は10.9 Mbpsの入力と11.2 Mbpsの出力です。
AjNetEng 2013年
それは素晴らしい情報です、ありがとう。3000サイトの帯域幅スパイクを推定できます。たまたま、この2分間のASA CPUスパイクを監視しましたか?
Stefan Radovanovici
1

ASAはすべての着信接続を問題なくサポートできることがわかりました。すべてを同時に処理することはできないため、しばらく時間がかかりますが、最終的にはすべてのリモートが接続されます。

ステファン・ラドバノビッチ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.