¿ASA 5540 admitirá 3000 conexiones IPsec simultáneas?

10

Como parte de un nuevo proyecto, tenemos el requisito de terminar alrededor de 3000 conexiones IPsec en un firewall Cisco ASA 5540. De acuerdo con las especificaciones, el IPsec Peers máximo que admite esta plataforma es 5000, por lo que no debería haber ningún problema.

La pregunta es ¿qué sucede si TODOS los sitios remotos 3000 intentan establecer la conexión IPsec a la vez? Por ejemplo, si los interruptores aguas arriba mueren. Puede que no sea todo a la vez, pero dependiendo de los temporizadores, podría estar dentro de una ventana muy pequeña, tal vez 10 segundos más o menos. ¿El ASA hará frente a todas las conexiones entrantes, en cuanto a recursos? ¿Qué es lo peor que puede pasar?

Entiendo que los umbrales para la detección de amenazas podrían tener que ajustarse. El ASA no hará mucho más que terminar las conexiones IPsec. No habrá NAT, no habrá inspección. Participará en OSPF en el lado de LAN, aunque se resumirán todas las redes de sitios remotos.

Stefan Radovanovici
fuente
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

7

En nuestra sede central de DC, tenemos un enrutador dual de puerta de enlace a Internet de 100 Mbps (ese es nuestro cuello de botella para la WAN). Hemos tenido 500-700 sitios conectados nuevamente después de una interrupción sin problemas, lo que permite mantener fácilmente 2800 ubicaciones a tiempo completo. Las especificaciones dicen que puede admitir 5000 en total, solo asegúrese de pedir las especificaciones correctas de Memoria + CPU, más memoria que cualquier otra cosa.

Su cuello de botella será su conexión WAN desde mi experiencia.

AjNetEng
fuente
¿Se terminaron los sitios en su enrutador o en un ASA de Cisco? Un enrutador puede reaccionar de manera diferente a un ASA, el software es diferente. E independientemente de eso, ¿sabe cuánto ancho de banda usaron esos 500-700 sitios cuando se conectaron todos a la vez?
Stefan Radovanovici
2
Stefan- WAN Edge --- Checkpoint Firewall --- ASA 5540 SHA-AES-256, por Solar Winds NPM, el promedio de 2 minutos es 10.9 Mbps de entrada y 11.2 Mbps de salida.
AjNetEng
Esa es una excelente información, gracias. Puedo extrapolar el pico de ancho de banda para 3000 sitios. ¿Por casualidad ha monitoreado el pico de CPU ASA durante esos 2 minutos?
Stefan Radovanovici
1

Resulta que el ASA puede admitir todas las conexiones entrantes sin problemas. Lleva un tiempo, ya que no puede procesarlos todos al mismo tiempo, pero eventualmente todos los controles remotos se conectan.

Stefan Radovanovici
fuente