В рамках нового проекта у нас есть требование разорвать около 3000 соединений IPsec на брандмауэре Cisco ASA 5540. Согласно спецификации, максимальное количество IPsec Peers, поддерживаемых этой платформой, составляет 5000, поэтому проблем быть не должно.
Вопрос в том, что произойдет, если ВСЕ 3000 удаленных сайтов попытаются установить соединение IPsec сразу? Например, если вышестоящий коммутатор (ы) умирает. Это может быть не все сразу, но в зависимости от таймеров, это может быть в очень маленьком окне, может быть, 10 секунд или около того. Будет ли ASA справляться со всеми входящими соединениями с точки зрения ресурсов? Что самое худшее, что может случиться?
Я понимаю, что пороги обнаружения угроз могут быть скорректированы. ASA не будет делать ничего, кроме завершения соединений IPsec. Там не будет ни NAT, ни осмотра. Он будет участвовать в OSPF на стороне локальной сети, хотя все сети удаленных сайтов будут обобщены.