Como parte de um novo projeto, temos o requisito de encerrar cerca de 3000 conexões IPsec em um firewall Cisco ASA 5540. De acordo com as especificações, o máximo de IPsec Peers suportado por esta plataforma é de 5000, portanto não deve haver um problema.
A questão é o que acontece se todos os sites remotos do ALL 3000 tentarem estabelecer a conexão IPsec de uma só vez? Por exemplo, se os comutadores a montante morrerem. Pode não ser tudo de uma vez, mas, dependendo dos temporizadores, pode estar dentro de uma janela muito pequena, talvez 10 segundos ou mais. O ASA lidará com todas as conexões de entrada, em termos de recursos? Qual o pior que pode acontecer ?
Entendo que os limites para a detecção de ameaças talvez precisem ser ajustados. O ASA não fará muito além de terminar as conexões IPsec. Não haverá NAT, nem inspeção. Ele participará do OSPF no lado da LAN, embora todas as redes de sites remotos sejam resumidas.