Sebagai bagian dari proyek baru, kami memiliki persyaratan untuk mengakhiri sekitar 3000 koneksi IPsec pada firewall ASA 5540 Cisco. Menurut spesifikasi, IPsec Peers maksimum yang didukung oleh platform ini adalah 5000 jadi seharusnya tidak ada masalah.
Pertanyaannya adalah apa yang terjadi jika SEMUA 3000 situs jauh mencoba membuat koneksi IPsec sekaligus? Misalnya jika sakelar hulu mati. Mungkin tidak sekaligus tetapi tergantung pada penghitung waktu, mungkin dalam jendela yang sangat kecil, mungkin 10 detik atau lebih. Akankah ASA mengatasi semua koneksi yang masuk, sumber daya bijaksana? Apa hal terburuk yang bisa terjadi?
Saya mengerti bahwa ambang batas untuk deteksi ancaman mungkin harus disesuaikan. ASA tidak akan berbuat banyak selain memutuskan koneksi IPsec. Tidak akan ada NAT, tidak ada inspeksi. Ini akan berpartisipasi dalam OSPF di sisi LAN, semua jaringan situs jarak jauh akan dirangkum.
Jawaban:
Di DC HQ kami, kami memiliki Router Internet Gateway ganda 100 Mbps (itu adalah leher botol kami untuk WAN). Kami memiliki 500-700 situs terhubung kembali setelah pemadaman sekaligus tanpa masalah - dengan mudah mempertahankan 2800 lokasi penuh waktu. Spesifikasi mengatakan dapat mendukung 5000 total, pastikan Anda memesan memori + CPU yang tepat juga, lebih banyak memori daripada yang lain.
Leher botol Anda akan menjadi koneksi WAN Anda dari pengalaman saya.
sumber
Ternyata ASA dapat mendukung semua koneksi yang masuk tanpa masalah. Butuh beberapa saat, karena tidak dapat memproses semuanya secara bersamaan, tetapi akhirnya semua remote terhubung.
sumber