ASA 5540是否支持3000个并发IPsec连接?

10

作为新项目的一部分,我们要求在Cisco ASA 5540防火墙上终止大约3000个IPsec连接。根据规范,该平台支持的最大IPsec对等体为5000,因此应该没有问题。

问题是,如果所有 3000个远程站点都尝试立即建立IPsec连接,将会发生什么?例如,如果上游交换机死亡。它可能不是一次全部,而是取决于计时器,它可能在一个非常小的窗口内,可能是10秒左右。在资源方面,ASA是否可以应对所有传入连接?可能发生的最坏情况是什么?

我了解可能需要调整威胁检测的阈值。ASA除了终止IPsec连接外不会做太多事情。没有NAT,没有检查。它将参与LAN端的OSPF,尽管将总结所有远程站点网络。

cisco-asa  vpn  ipsec 
斯蒂芬·拉多瓦诺维奇
source
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。
罗恩·莫平

Answers:

7

在总部的DC中,我们有一个双100 Mbps Internet网关路由器(这是WAN的瓶颈)。一次中断后,我们已经有500-700个站点重新连接,没有任何问题-轻松地全天候维护2800个位置。规格说它总共可以支持5000个,只要确保您还订购了正确的内存+ CPU规格,就可以拥有更多的内存。

根据我的经验,瓶颈将是您的WAN连接。

网友
source
站点是在您的路由器还是在Cisco ASA上终止的?路由器的反应可能不同于ASA,软件也有所不同。不管怎样,您知道这500-700个站点一次连接时使用了多少带宽吗?
Stefan Radovanovici
2
Stefan- WAN Edge ---检查点防火墙--- ASA 5540 SHA-AES-256,根据Solar Winds NPM,这2分钟平均为10.9 Mbps入口和11.2 Mbps出口。
AjNetEng
很好的信息,谢谢。我可以推断出3000个站点的带宽峰值。您是否有机会监视了这2分钟的ASA CPU峰值?
Stefan Radovanovici
1

事实证明,ASA可以毫无问题地支持所有传入连接。这需要一段时间,因为它不能同时处理所有这些对象,但最终所有远程设备都可以连接。

斯蒂芬·拉多瓦诺维奇
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.