ASA 5540 是否支持 3000 个并发 IPsec 连接?

网络工程 思科 虚拟专用网 网络安全
2021-07-12 19:25:09

作为新项目的一部分,我们需要在 Cisco ASA 5540 防火墙上终止大约 3000 个 IPsec 连接。根据规范,该平台支持的最大 IPsec Peers 是 5000,所以应该没有问题。

问题是如果所有3000 个远程站点都尝试同时建立 IPsec 连接会发生什么例如,如果上游交换机死亡。它可能不会一次全部完成,但取决于计时器,它可能在一个非常小的窗口内,可能是 10 秒左右。ASA 是否会处理所有传入连接,资源方面?可能发生的最坏情况是什么?

我知道可能需要调整威胁检测的阈值。除了终止 IPsec 连接之外,ASA 不会做太多事情。将没有 NAT,没有检查。它将在 LAN 侧参与 OSPF,但将汇总所有远程站点网络。

2个回答

在我们总部的 DC,我们有一个双 100 Mbps 互联网网关路由器(这是我们的 WAN 瓶颈)。我们已经让 500-700 个站点在一次中断后立即恢复连接,没有任何问题 - 可以轻松地全职维持 2800 个站点。规格说它总共可以支持 5000,只要确保你订购了正确的内存 + CPU 规格,内存比其他任何东西都多。

根据我的经验,您的瓶颈将是您的 WAN 连接。

事实证明,ASA 可以毫无问题地支持所有传入连接。这需要一段时间,因为它无法同时处理所有这些,但最终所有遥控器都连接。

其它你可能感兴趣的问题
上一篇设置 PIM 稀疏模式 下一篇如何创建 DOCSIS 网络