思科ASA 5505 – 需要更多的站点到站点VPN

我在同一地点使用Cisco ASA 5505 50用户防火墙。 在这个位置的系统正在监测附加的远程站点(也运行Pix或ASA设备),我已经build立了站点到站点的隧道,但是在当前的许可scheme下已经达到了硬件限制。 ASA 5505型号仅限于10个IPsec隧道。

我很好奇我的select。 理想情况下,我想能够处理15-20个连接。 从研究来看,我似乎可以添加一个额外的Security Plus许可证,以扩展到25个VPN隧道。 另一种select似乎正在转向思科ASA 5510。

鉴于我在科罗拉多有less量的系统,正在转移到ASA 5510只是为了获得额外的VPNfunction矫枉过正? 将ASA 5505升级到25-VPN选项有什么缺点(硬件/性能等)? 还有其他的select我错过了吗?

如果你能想象到你可能需要超过25条隧道的情况,那么去5510。 如果从长远来看不能维持你的需求,那么没有必要把5505安全加许可证投入额外的钱。

也就是说,如果15-20是您所需要的,那么获得许可证升级的成本效益会更高。

思科对设备的限制是相当随意的; 他们与ASA的性能限制几乎没有关系,一切都是由于存在大量虚假屏障来迫使你使用更昂贵的设备。 我不希望5505有任何性能问题,直到你达到100mb的接口饱和度。

升级到5510仅用于VPN隧道是矫枉过正,是的。

然而,您将来可能会有一些select,只有ASA5510及以上版本才能支持:

  • 状态故障切换(主动/主动或主动/被动,后者变得非常stream行)
  • 5510上的连接数为125.000,而5505上的连接数为25.000
  • networking吞吐量的3倍。 也许你想在ASA上添加另一个networking/ vlan,而VLAN内的速度需要比100mbit / s快一点? 我已经有好几次了
  • 内容安全,防恶意软件,防病毒等(SSM模块)
  • Etherchannel支持 – 如果您使用堆叠交换机(如3750)作为主干,则非常有用
  • 双风扇的散热效果要好得多。 这对你来说可能是相当重要的,取决于这些运行的环境。

我希望这可以帮助你,虽然我知道价格差异很大。

如果你不介意交换设备的讨价还价,那么我会说5510.但是如果你因为取下任何东西而被罚款,那么升级许可证也可以。 不要把这个想法扔进这个想法,但是如果你正在寻找另一个可能的故障转移,你可以使用一些Cisco 2800路由器来做DMVPN。 dynamic路由,每个站点到站点(如果需要),但只是在我的2便士下降

我会很想把钱投入5510.请看这里的模型比较: http : //www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

请注意,模型之间存在实际的硬件差异。 我的5505有一个Geode 500 MHz CPU,而我的5510有一个Pentium 4 Celeron 1600 MHz CPU。

20个活动的VPN隧道将会非常难以推动CPU,并且在100Mb接口本身已满之前它可能会最大限度地在5505上。 很大程度上取决于您通过隧道发送多less数据,以及它们是3DES还是AES(AES更具CPU效率)。