Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4990 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active/Active HA for VPN Connections?

paule
Hi,

does anybody have experiences with a scenario with two astaros
in two premises in load balanced mode?
We would like to handle quite a number of VPN connections with two FWs, 
that should work load balanced usually, but if one fails the remaining
box should take over all connections.

As far as I have read, ASG does real active/active only with certain protocols
(http, ftp, ...)

But most of the docs refer to V7, date back from 2010 and older.

So what can V8 do actually now, what will it be able to do soon?

Best Regards


This thread was automatically locked due to age.
Parents
  • 0
    If you run the ASG in Cluster Mode, IPSec distribution is packet based. So even if you only have one IPsec connection, you have increased IPSec throughput [:)]

    However IKE key exchange is still completely handled by Master node.

    BTW: Cluster mode distributes also HTTP, FTP, SMTP, POP3 and IPS connections.

    Cheers
     Ulrich
Reply
  • 0
    If you run the ASG in Cluster Mode, IPSec distribution is packet based. So even if you only have one IPsec connection, you have increased IPSec throughput [:)]

    However IKE key exchange is still completely handled by Master node.

    BTW: Cluster mode distributes also HTTP, FTP, SMTP, POP3 and IPS connections.

    Cheers
     Ulrich
Children
  • 0 in reply to da_merlin
    does this "true load balancing" only work with "advanced virtual mac" (cc set ha advanced virtual_mac 1) ?

    We set this parameter to 0 because of vmware restrictions, maybe this influences our test results?
  • 0 in reply to paule
    @undel
    when you watch the traffic in an active/active scene you see that all client traffic is directed to the master node. Then master then distributes data packets for CPU intense things like virus scanning via the heartbeat link to the slave/worker.
    In this sense all client traffic goes via the master. And this is not what I would like to have regarding our two premises.
    I'd prefer the client traffic ditributed to both machines.