Cisco终止5000多个IPSec VPN连接。

Question

我们有一个项目，我们需要终止大量的IPSec节点。目前，我们正在使用思科ASA 5555-X设备与VPN高级许可证。

目前我们终止了大约2000 IPSec的连接，但是我们正在全面部署，并且每年有大约2000个新的对等点。据思科网站称，使用该平台的VPN对等点的最高数量为5000台。

所有连接都是非常低带宽的，我们在ASA上不使用任何花哨的特性。CPU使用率小于2%，内存使用率小于25%。从技术上讲，我很确定我们可以很容易地支持6000个连接，从资源的角度来看。执照是另一个问题。

是否有任何方法可以扩展ASSA5555-X的许可证以支持5000多个IPSec对等点？

另一种选择是进入下一个级别，ASA 5585-X，它支持高达10000的VPN对等点，但这是相当昂贵的。添加另一个ASA 5555-X也可以工作，但这不是很好的可伸缩性，并且会使整个设置更加复杂。

对于终止5000+ IPSec VPN对等点，我还有其他选择吗？在如此大规模的项目中，其他人在保持事物可伸缩性的同时使用什么呢？

向你问好，斯特凡

Answer 1

你可以问你的合作伙伴CTMP，并获得更好的价格(更深的折扣) 5585-X，以换取您的5555-X。另一种选择(因为集群不支持远程VPN)是在一组ASA前面设置一些负载均衡器来完成分配负载的艰苦工作。

Answer 2

是否有任何方法可以扩展ASSA5555-X的许可证以支持5000多个IPSec对等点？

不是的。这是对5555-X平台的许可限制。只有思科才能改变这个“硬”限制。(当有更昂贵的“升级”时，他们为什么会这么做呢？)

我还有别的选择..。

非思科技术。(检查站、警戒线等)在没有购物问题的情况下，很难问这个问题。(哪个VPN集中器/防火墙能够处理5000多个对等点？)