Como parte de un nuevo proyecto, tenemos el requisito de terminar alrededor de 3000 conexiones IPsec en un firewall Cisco ASA 5540. De acuerdo con las especificaciones, el IPsec Peers máximo que admite esta plataforma es 5000, por lo que no debería haber ningún problema.
La pregunta es ¿qué sucede si TODOS los sitios remotos 3000 intentan establecer la conexión IPsec a la vez? Por ejemplo, si los interruptores aguas arriba mueren. Puede que no sea todo a la vez, pero dependiendo de los temporizadores, podría estar dentro de una ventana muy pequeña, tal vez 10 segundos más o menos. ¿El ASA hará frente a todas las conexiones entrantes, en cuanto a recursos? ¿Qué es lo peor que puede pasar?
Entiendo que los umbrales para la detección de amenazas podrían tener que ajustarse. El ASA no hará mucho más que terminar las conexiones IPsec. No habrá NAT, no habrá inspección. Participará en OSPF en el lado de LAN, aunque se resumirán todas las redes de sitios remotos.
Respuestas:
En nuestra sede central de DC, tenemos un enrutador dual de puerta de enlace a Internet de 100 Mbps (ese es nuestro cuello de botella para la WAN). Hemos tenido 500-700 sitios conectados nuevamente después de una interrupción sin problemas, lo que permite mantener fácilmente 2800 ubicaciones a tiempo completo. Las especificaciones dicen que puede admitir 5000 en total, solo asegúrese de pedir las especificaciones correctas de Memoria + CPU, más memoria que cualquier otra cosa.
Su cuello de botella será su conexión WAN desde mi experiencia.
fuente
Resulta que el ASA puede admitir todas las conexiones entrantes sin problemas. Lleva un tiempo, ya que no puede procesarlos todos al mismo tiempo, pero eventualmente todos los controles remotos se conectan.
fuente