ASA 5540 sẽ hỗ trợ 3000 kết nối IPsec đồng thời?

Là một phần của dự án mới, chúng tôi có yêu cầu chấm dứt khoảng 3000 kết nối IPsec trên tường lửa Cisco ASA 5540. Theo thông số kỹ thuật, IPsec tối đa ngang hàng mà nền tảng này hỗ trợ là 5000 nên không có vấn đề gì.

Câu hỏi là điều gì xảy ra nếu TẤT CẢ 3000 trang web từ xa cố gắng thiết lập kết nối IPsec cùng một lúc? Ví dụ: nếu công tắc ngược dòng (es) chết. Nó có thể không phải là tất cả cùng một lúc nhưng tùy thuộc vào bộ tính giờ, nó có thể nằm trong một cửa sổ rất nhỏ, có thể là 10 giây hoặc lâu hơn. ASA sẽ đối phó với tất cả các kết nối đến, tài nguyên khôn ngoan? Sự tồi tệ nhất có thể xảy ra là gì ?

Tôi hiểu rằng các ngưỡng phát hiện mối đe dọa có thể phải được điều chỉnh. ASA sẽ không làm được gì nhiều ngoài việc chấm dứt các kết nối IPsec. Sẽ không có NAT, không có kiểm tra. Nó sẽ tham gia vào OSPF ở phía mạng LAN, tất cả các mạng trang web từ xa sẽ được tóm tắt.

Trong DC của HQ, chúng tôi có Bộ định tuyến Cổng Internet 100 Mbps kép (đó là cổ chai của chúng tôi cho mạng LAN). Chúng tôi đã có 500-700 trang web kết nối trở lại sau khi ngừng hoạt động cùng một lúc mà không có vấn đề gì - dễ dàng duy trì 2800 địa điểm toàn thời gian. Thông số kỹ thuật cho biết nó có thể hỗ trợ tổng cộng 5000, chỉ cần đảm bảo bạn đặt đúng thông số Bộ nhớ + CPU, nhiều bộ nhớ hơn bất kỳ thứ gì khác.

Cổ chai của bạn sẽ là kết nối mạng WAN của bạn từ kinh nghiệm của tôi.

Nó chỉ ra rằng ASA có thể hỗ trợ tất cả các kết nối đến mà không có vấn đề. Phải mất một lúc, vì nó không thể xử lý tất cả chúng cùng một lúc, nhưng cuối cùng tất cả các điều khiển từ xa kết nối.