ASAv

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
psi2338
fresh
fresh
Posty: 4
Rejestracja: 21 wrz 2020, 11:23

ASAv

#1

#1 Post autor: psi2338 »

Cześć,

Mam sieć opartą na 66 oddziałach spiętych tunelami ipsec (ASY 5506) site to site a koncentratorem jest ASA 5550, niestety dochodzę do końca możliwości tego zabytku asy 5550 Maximum 3DES/AES VPN Throughput 425 Mbps. Wybór padł na FP2130 z obrazem ASY ale będę mieć za miesiąc. Wendor poratował FP2110 do czasu dostawy ale niestety jest porównywalna jeżeli chodzi o VPN Throughput 500 Mbps i nie ratuje mnie.
Ratując się dostałem licencję na ASAv30 2Gbps. Wirtualka skonfigurowana na fizycznym serwerze DELL (nie ma problemu z zasobami) licencje wgrana konfiguracja przeniesiona dodane do konfiguracji , licencje smart prawidłowo pobrane z tokena.
license smart
feature tier standard
throughput level 2G

Mam problem z Throughput jest na poziomie maks dla wszystkich 66 oddziałów na poziomie 150Mbps (testowane SYSPER oraz fizycznie pobierając duże obrazy z testowego serwera z oddziałów) , jeden odział nie jest wstanie więcej wyciągnąć niż 2Mbps, nie ma żadnych polityk QOS. Niestety nie mogę zrobić split tunelingu ze względu na to że filtrację internetu musi robić PA które jest za ASA 5550 (nie jest problemem wydajnościowym PA ma bardzo duży zapas)

Zwiększenie ruchu tunelowego jest pod kontrolą związane z przeniesieniem wszystkiego do chmury. Miał ktoś z Was styczność z ASAv i poratuje wiedzą ?

Czyli reasumując ASA 5550 max fizycznej wydajności Throughput , FP2110 max fizycznej wydajność throughput, ASAv30 2GB max 150Mbps Throughput a powinno być więcej

seba766
wannabe
wannabe
Posty: 86
Rejestracja: 19 lut 2016, 12:26

Re: ASAv

#2

#2 Post autor: seba766 »

Hej,
pamiętaj, że to 2G to w odpowiednich warunkach wyciągniesz:
http://www.netdyninc.com/sw/swchannel/i ... 733399.pdf
I jak spojżysz na tabele na trzeciej stronie to nagle Ci się okaże że dla 3DES/AES masz maks 300M. I dodatkowo gwiazdka:

Kod: Zaznacz cały

VPN throughput and sessions count depend on the ASA device configuration and VPN traffic patterns. These elements should
be taken into consideration as part of your capacity planning
Więc wcale bym się nie zdziwił, że to jest maks dla tej platformy. Dodatkowo na cisco community widziałem, że userzy osiągali maks 10M na VPNie:
https://community.cisco.com/t5/cloud-se ... -p/4051677

lukaszbw
CCIE
CCIE
Posty: 512
Rejestracja: 23 mar 2008, 11:41

Re: ASAv

#3

#3 Post autor: lukaszbw »

Cześć,

Jeżeli chodzi o ASAv to problemem jest brak sprzętowego szyfrowania. Z moich doświadczeń od strony IPSEC czy SSL VPN nie byłem w stanie przekroczyć 200Mbps jednak nie zauważyłem problemów z wydajnością przy pojedynczej sesji (jedna mogła wysycić firewall). Dużo pomagała zmiana szyfrowania na AES-GCM z AES-CBC. Być może nowe wersje mogą wykorzystywać instrukcje AES-NI na procesorach aby odciążać szyfrownie. Kiedyś czytałem, że takie możliwości ma CSR1000V.

Firewall sprzętowe jak i wyższe routery mają w większości przypadków układy Cavium Nitrox, które odciążają szyfrowanie. Oczywiście w przypadku wirtualnego rozwiązania nie mamy tego. Dlatego leciwy 5550 okazuje się szybszy w niektórych scenariuszach. Pamiętaj, że w 5550 jest też ograniczenie magistrali PCI. Jak dasz jeden z portów na moduł SSM-4GE to możesz zoptymalizować jej zużycie.

Można się przesiąść na ASA5555-X lub 5585-X jak już rozważamy starsze konstrukcje. W porównaniu z niższymi 5500-X, 5555-X ma 2 rdzenie CPU przeznaczone na ASA i dodatkowy rdzeń na układzie szyfrującym. Generalnie do 1Gbps dobija. Powyżej tego 5585-X lub może rozważyć ASRa 1K jako hub. Nawet stary ASR1001 może wyciągnąć do 1.8Gbps z szyfrowaniem.

Trudno mi powiedzieć co cię skłoniło do wrzucenia wszędzie firewall natomiast osobiście to w wielu takich scenariuszach bardziej idę w kierunku routerów, które mają DMVPN ew. FlexVPN oraz zone based firewall. To daje ci dodatkowo połączenia spoke-spoke jak potrzebujesz. Często może to sporo odciążyć huba. ASA wtedy ląduje za hubem jak rzeczywiście potrzebuję rozbudowane polityki gdzie stateful firewall niezbyt się sprawdza na routerach.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

psi2338
fresh
fresh
Posty: 4
Rejestracja: 21 wrz 2020, 11:23

Re: ASAv

#4

#4 Post autor: psi2338 »

Panowie bardzo dziękuję za wyjaśnienia i pomoc. Kupiłem na czas dostarczenia FP Asa 5585X , jednym słowem ASAv jest to do minimalnych zadań albo do labowania :)

Obecne rozwiązanie jest zastane u obecnego pracodawcy, i będzie zmieniany ale do tego czasu muszę zagwarantować dostęp do usług

lukaszbw
CCIE
CCIE
Posty: 512
Rejestracja: 23 mar 2008, 11:41

Re: ASAv

#5

#5 Post autor: lukaszbw »

ASAv jest ok. Tylko z szyfrowaniem są ograniczenia. Trzeba dopasować narzędzie do wymagań.

Jeżeli jest ruch między spoke to generalnie bym polecał rozważyć routery na dłuższą metę i firewall za hubem już. Możemy wtedy mieć zapasowe łącza, ruch spoke-spoke omijający huba czy load balancing na 2 huby. Na ASA co prawda są już VTI i wiele rzeczy można zrobić ale ze względu na stateful firewall trzeba uważać na asymetryczny ruch.

Szkoda, że Cisco nie ma urządzeń jak Juniper SRX, które mogą połączyć funkcjonalność routera i firewall w jednym.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

ODPOWIEDZ