Là một phần của dự án mới, chúng tôi có yêu cầu chấm dứt khoảng 3000 kết nối IPsec trên tường lửa Cisco ASA 5540. Theo thông số kỹ thuật, IPsec tối đa ngang hàng mà nền tảng này hỗ trợ là 5000 nên không có vấn đề gì.
Câu hỏi là điều gì xảy ra nếu TẤT CẢ 3000 trang web từ xa cố gắng thiết lập kết nối IPsec cùng một lúc? Ví dụ: nếu công tắc ngược dòng (es) chết. Nó có thể không phải là tất cả cùng một lúc nhưng tùy thuộc vào bộ tính giờ, nó có thể nằm trong một cửa sổ rất nhỏ, có thể là 10 giây hoặc lâu hơn. ASA sẽ đối phó với tất cả các kết nối đến, tài nguyên khôn ngoan? Sự tồi tệ nhất có thể xảy ra là gì ?
Tôi hiểu rằng các ngưỡng phát hiện mối đe dọa có thể phải được điều chỉnh. ASA sẽ không làm được gì nhiều ngoài việc chấm dứt các kết nối IPsec. Sẽ không có NAT, không có kiểm tra. Nó sẽ tham gia vào OSPF ở phía mạng LAN, tất cả các mạng trang web từ xa sẽ được tóm tắt.