Re: [cisco-ttl] Cisco VPN Client Auto connect

From: Serhat Erkan <serhaterkan_at_....>
Date: Mon, 20 Aug 2007 15:56:34 +0300


Uygulumanın özelliğini bilemiyorum ama 3000 tane client'ı VPN ile merkeze bağlamak yerine SSL tabanlı uygulama gerçekleştirmek hem 3bin bayinin VPN install işiyle uğraşmaktan daha kolay hemde daha sonraki operasyon açısından kolay olduğu kanaatindeyim. Bu durumda SSL hızlandırıcılı Load Balancerler , yada aynı ASA'da SSLVPN işinizi görebilir..

Ama illaki VPN client ile yapacağım diyorsanız ancak ASA 5550 sizin işinizi görecektir. Yada 2 adet 5540 alarak VPN LB yapılabilir (daha mantıklı).

Ancak her iki çözümde de 3000 kullanıcının anlık bağlantısından çok, ilk bağlantı esnasındaki yarattıları trafikleri daha önemli. Keza buradaki performansları hakkında halka açık bir belge bulamadım. Saniyede 20 tünel açabildiğini düşünürseniz, diyelimki her sabah bu işlem tekrarlansa tünellerin oluşması 3000/20=1500sn/60=25dk gibi bir zaman alır.Tabii bu esnada kullanıcıların teker teker defalarca bağlanmak isteyecekler bir süre sonrada bıkıp bunu bırakacaklardır.

Serhat Erkan

On 8/20/07, serhat aslan <serhataslan22_at_yahoo.com> wrote:
>
> Merhaba,
>
> 3000 baglantiyi ASA'larda sonlandirmak yerine eger vpn client
> kullanacaksaniz, vpn concentratorlarda (sanirim bu cihazlar end-of-sales
> durumuna girmis olabilir -emin degilim) yada Cisco'nun campus networkleri
> icin onerdikleri cihazlardan, vpn hizlandirici kartli ve yedekli
> olanlarindan almanizi oneririm.
>
> VPN baglantisinin devamli kalmasinin iyi bir sey oldugunu dusunmuyorum. Bu
> hem cihaza belli bir yuk getirir, hemde uclarda istenmeyen trafiklerin
> akisindaki trafik fazlasiyla artar. Bu normal durumlarda belki bir sorun
> teskil etmeyebilir ama network tabanli worm/virus ataklarinda bu durum
> kendisini gosterebilir.
> Soyle dusunun min. kisi basina trafik 0,064 megabit x 3000 -> sabahlari
> 192mbps bir trafigi + yaklasikda 10000 kadar sezonu kaldirabilmesi gereken
> bir sistemde asiri bir yuk diger kullanicilarida hemen etkiler.
>
> Auto connect ozelli icin kullanicinin bir kere basmasi yeterli oluyor. Bir
> tur "keepalive" mekanizmasi icin degilde kullanicin normal olarak kullanmasi
> icin:
> "http://www.mersinc.org/files/filedownload.aspx?id=23&table=DownloadFile"
> ->pdf dosyasi,
>
> Varsayim olarak soyleyebilecegim sey 3000 tane kullanicinin hattin gidip
> gitmediginin anlasilmasi HUP sistemlerine ping yoluyla gerceklesicekse(en
> cok kullanilan keepalive methodlarindan birisi), bu HUP sistemlerinde bir
> yerden sonra yine yuk getirebilir. Cunku varsayilan calisan yapidaki sisteme
> her bir pc bu yolla ping paketi gondermesi demek dusuk duzeyde D.o.Sseklinde adlandirilabilinir. Hattin kullanilmasi degilde, HUP olarak
> konumlandirilan sistemin karsidaki tum sistemlere 3000 tane farkli paket
> olusturup gondermesinden dolayi performans kaybina sebep olucaktir.
>
> kolay gelsin,
> Serhat Aslan
>
> sertan sencel <ssencel_at_yahoo.com <ssencel%40yahoo.com>> wrote: Arkadaşlar
> merhaba
> Yaklaşık 3000 bayilik bir alt yapının planlamasını yapmaktayız.
> Tüm bayiler Cisco vpn client ile merkezde bulunan Cisco ASA serisi
> firewall lara bağlanacak. Ancak yaptığımız testlerde gördüğümüz kadarı ile
> Cisco vpn client bağlantı koptuğunda otomatik olarak yeniden bağlanmıyor.
> Mutlaka manuel bir müdahale gerekiyor.
> Bunu aşmanın bir yolu var mıdır ? Auto connect özelliğini visual basic
> scriptler ile çözebiliyoruz ancak bunu Cisco vpn client ile yapmak
> operasyonel olarak çok daha mantıklı görünüyor. Bir fikri olan varsa ve
> paylaşırsa memnun oluruz.
>
>
> Sertan ŞENCEL
>
>
> ---------------------------------
> Choose the right car based on your needs. Check out Yahoo! Autos new Car
> Finder tool.
>
> [Non-text portions of this message have been removed]
>
>
>
>
>
> ---------------------------------
> Fussy? Opinionated? Impossible to please? Perfect. Join Yahoo!'s user
> panel and lay it on us.
>
> [Non-text portions of this message have been removed]
>
>
>

[Non-text portions of this message have been removed]

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/cisco-ttl/

<*> Your email settings:
    Individual Email | Traditional

<*> To change settings online go to:
    http://groups.yahoo.com/group/cisco-ttl/join
    (Yahoo! ID required)

<*> To change settings via email:
    mailto:cisco-ttl-digest_at_yahoogroups.com 
    mailto:cisco-ttl-fullfeatured_at_yahoogroups.com

<*> To unsubscribe from this group, send an email to:
    cisco-ttl-unsubscribe_at_yahoogroups.com

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/
 
Received on Wed Aug 22 2007 - 20:39:43 CEST

This archive was generated by hypermail 2.2.0 : Wed Aug 22 2007 - 20:39:44 CEST