Re: [cisco-ttl] Cisco VPN Client Auto connect

From: serhat aslan <serhataslan22_at_....>
Date: Wed, 22 Aug 2007 15:12:01 -0700 (PDT)

merhaba,

Konular biraz ayri oldugu icin basliklar halinde not ettim,  iyi sanslar :)

Serhat Aslan  

Cisco'nun siteside (ASA 5500) VPN ve Firewall througput ve anlik sezon degerleri asagidaki gibi,

Maximum firewall throughput (Mbps) 1200 Maximum 3DES/AES VPN throughput (Mbps) 425 Maximum site-to-site and remote access VPN user sessions 5,000 Maximum SSL VPN user sessions 5,000

 Yani sadece vpn sonlandirici olarak kullanicaksa, vpn cikis degeri istenilen duzeyi fazlasiyla kurtarir ama firewall ozellikleri aktif edilirse, bu degerler onemli olcude azalabilir. Bu azalma konusunda net bir fikrim yok, daha dogrusu elimde herhangi bir veri yada test sonucu yok, genel manada utm/firewall cihazlarinin performans kriterlerini dusunerek soyluyorum.

 Burdaki session(sezon) degerlendirmesini tunnel (tunnel, connected-users) kurulumuyla ile ilgili ibare kullanmadigindan dolayi, nat(PAT) tablosundakine benzer bir sezon olarak varsayarsam Ayni anda 5000 tane sezona destek verebilmeleri icin bazi limitler var mesala telnet icin sistem bir sezon acabilirken, bir web-browserin http trafigi icin birden fazla sezon acilabilmekte, bu ister istemez 3000 aktif kullanici dusunulurse rahatlikla bu rakamlarin uzerine cikilabilinir. Bu durumun genel olarak sorun cikartabilecegi yerler, kimi devlet daireleri ve ona bagli calisan yerler icin yillin belli donemleri yada ayin belli donemleri, sabahlari, ogle tatilleri sonu/basi, is cikisina 10dk kadar kala ve isle ilgili sIkIsIklik haricinde kontrolsuz trafik akisinin oldugu yerlerde bu durum kendini gosterir(virus, network tabanli tarama/attacklar/vb..),

kolay gelsin,

sertan sencel <ssencel_at_yahoo.com> wrote:                                  Serhat merhaba

   Açıklayıcı bilgiler için teşekkür ederim. Ancak senin de söylediğin üzere VPN Concentratorlar end of sale oldu. Cisco artık vpn stratejisini ASA lara kaydırdı sanırım.    ASA larda henüz active/active failover gelmemesine rağmen VPN clustering desteği var.    Dolayısı ile donanımın yetmediği durumlarda vpn cluster ile donanım artırımı yapılabiliyor.    64 K lık trafik için nasıl bir varsayımda bulundun bilmiyorum ancak minimum 64K olmak zorunda değil diye biliyorum her session için. Bunun nedeni nedir ?    Bir de Cisco vpn client kullanıcının insiyatifine bırakılamıyor. Çünkü kullanıcılarımız çok fazla pc den anlayan insanlar olmayacak ve vpn client bağlı olmadığında pc ler üzerindeki bazı uygulamalara ulaşamıyor olacağız ve kullanıcı farketmese de bizim o uygulamalara ulaşmamız gerekiyor.    HUP tan kastın nedir biraz açar mısın ? Benim aklımda bir fikir var. Bir visual basic script yazılır her pc de 15 dakikada bir ping atacak bir scheduled task tanımlanır, eğer connection down ise vpnclient ı çalıştırır. Ancak bunun daha mantıklı bir yolu var diye düşünüyorum. Bunun en efektif yolu vpn kutuları almak mutlaka ancak maliyet olarak ta oldukça yüksek .     

   Yorumlarınızı bekliyorum     

   Saygılarımla    

 Sertan ŞENCEL
 serhat aslan <serhataslan22_at_yahoo.com> wrote:

           Merhaba,  

 3000 baglantiyi ASA'larda sonlandirmak yerine eger vpn client kullanacaksaniz, vpn concentratorlarda (sanirim bu cihazlar end-of-sales durumuna girmis olabilir -emin degilim) yada Cisco'nun campus networkleri icin onerdikleri cihazlardan, vpn hizlandirici kartli ve yedekli olanlarindan almanizi oneririm.  

 VPN baglantisinin devamli kalmasinin iyi bir sey oldugunu dusunmuyorum. Bu hem cihaza belli bir yuk getirir, hemde uclarda istenmeyen trafiklerin akisindaki trafik fazlasiyla artar. Bu normal durumlarda belki bir sorun teskil etmeyebilir ama network tabanli worm/virus ataklarinda bu durum kendisini gosterebilir.  Soyle dusunun min. kisi basina trafik 0,064 megabit x 3000 -> sabahlari 192mbps bir trafigi + yaklasikda 10000 kadar sezonu kaldirabilmesi gereken bir sistemde asiri bir yuk diger kullanicilarida hemen etkiler.  

 Auto connect ozelli icin kullanicinin bir kere basmasi yeterli oluyor. Bir tur "keepalive" mekanizmasi icin degilde kullanicin normal olarak kullanmasi icin:  "http://www.mersinc.org/files/filedownload.aspx?id=23&table=DownloadFile" ->pdf dosyasi,  

 Varsayim olarak soyleyebilecegim sey 3000 tane kullanicinin hattin gidip gitmediginin anlasilmasi HUP sistemlerine ping yoluyla gerceklesicekse(en cok kullanilan keepalive methodlarindan birisi), bu HUP sistemlerinde bir yerden sonra yine yuk getirebilir. Cunku varsayilan calisan yapidaki sisteme her bir pc bu yolla ping paketi gondermesi demek dusuk duzeyde D.o.S seklinde adlandirilabilinir. Hattin kullanilmasi degilde, HUP olarak konumlandirilan sistemin karsidaki tum sistemlere 3000 tane farkli paket olusturup gondermesinden dolayi performans kaybina sebep olucaktir.  

 kolay gelsin,
 Serhat Aslan  

 sertan sencel <ssencel_at_yahoo.com> wrote: Arkadaşlar merhaba  Yaklaşık 3000 bayilik bir alt yapının planlamasını yapmaktayız.  Tüm bayiler Cisco vpn client ile merkezde bulunan Cisco ASA serisi firewall lara bağlanacak. Ancak yaptığımız testlerde gördüğümüz kadarı ile Cisco vpn client bağlantı koptuğunda otomatik olarak yeniden bağlanmıyor. Mutlaka manuel bir müdahale gerekiyor.  Bunu aşmanın bir yolu var mıdır ? Auto connect özelliğini visual basic scriptler ile çözebiliyoruz ancak bunu Cisco vpn client ile yapmak operasyonel olarak çok daha mantıklı görünüyor. Bir fikri olan varsa ve paylaşırsa memnun oluruz.  

 Sertan ŞENCEL  



 Choose the right car based on your needs. Check out Yahoo! Autos new Car Finder tool.  

 [Non-text portions of this message have been removed]  



 Fussy? Opinionated? Impossible to please? Perfect. Join Yahoo!'s user panel and lay it on us.  

 [Non-text portions of this message have been removed]  



 Choose the right car based on your needs. Check out Yahoo! Autos new Car Finder tool.  

 [Non-text portions of this message have been removed]    

     
                       

       
---------------------------------

Pinpoint customers who are looking for what you sell.

[Non-text portions of this message have been removed] Received on Thu Aug 23 2007 - 10:49:59 CEST

This archive was generated by hypermail 2.2.0 : Thu Aug 23 2007 - 10:50:02 CEST