Cisco ASA - 终止超过 5000 个 IPSec VPN 连接

网络工程 思科 思科 虚拟专用网 网络安全
2021-07-12 09:12:43

我们有一个项目需要终止大量 IPSec VPN 对等点。目前,我们使用带有 VPN Premium 许可证的 Cisco ASA 5555-X 设备。

我们目前终止了大约 2000 个 IPSec VPN 连接,但我们正在全面部署,每年我们会获得大约 2000 个新对等点。根据 Cisco 网站,该平台的 VPN 对等点的最大数量为 5000。

所有连接的带宽都非常低,我们不会在 ASA 上使用任何花哨的功能。CPU使用率低于2%,内存使用率低于25%。从技术上讲,我很确定我们可以轻松支持 6000 个连接,资源方面。许可证是另一个问题。

有没有办法扩展 ASA 5555-X 的许可证以支持超过 5000 个 IPSec VPN 对等点?

另一种选择是进入下一个级别,ASA 5585-X,它支持多达 10000 个 VPN 对等点,但价格相当昂贵。添加另一个 ASA 5555-X 也可以,但这不是很好的可扩展性,并且会使整个设置更加复杂。

我还有什么其他选择可以终止 5000 多个 IPSec VPN 对等点?在保持可扩展性的同时,其他人在如此大规模的项目中使用什么?

最好的问候,斯蒂芬

2个回答

您可以向您的合作伙伴询问 CTMP,并以 5555-X 换取 5585-X 的更好定价(更深的折扣)。另一种选择(因为集群不支持远程 VPN)是在一组 ASA 前面有一些负载平衡器来完成拆分负载的艰苦工作。

有没有办法扩展 ASA 5555-X 的许可证以支持超过 5000 个 IPSec VPN 对等点?

否。这是 5555-X 平台的许可限制。只有 Cisco 可以更改该“硬”限制。(当有更昂贵的“升级”时,他们为什么会这样做)

我还有什么选择...

非思科技术。(检查点、pfsense 等)如果不是购物问题,很难提出这个问题。什么 VPN 集中器/防火墙可以处理超过 5000 个对等点?

其它你可能感兴趣的问题
上一篇检测 2G/3G/4G 设备 下一篇Cisco ASA 上的 SSD 状态