这里有很多东西需要考虑，尽管其中很多取决于您的环境。

第一，设备灵活性。如果有需要重启设备才能生效的紧急更新，您准备好关闭组合服务来处理该更新了吗？这可能会成为“如果呢？”的兔子洞。场景，但这是需要考虑的事情。

其次，性能。单个设备会处理加密流量和路由吗？它会在产品的整个生命周期内这样做吗？您是否会因为其中一项功能需要更大的马力而购买一个“大”的单一替换盒，而“中”和“小”盒如果分开的话会怎样？

冗余 - 这与灵活性点有关，您是否需要在任何这些设备上进行冗余？维护单个 HA 对比维护多个 HA 更容易吗？也许只有特定功能才需要 HA。

路由 - 如果您有单独的设备将流量引入环境，这会很有趣。他们都认识对方吗？他们是否都知道（可能）彼此可用的多条路径？简化到更少的设备在这里可能是有益的，但如果您的环境不涉及这个，您可能永远不必担心它。

附加服务 - 您是否在这些远程链接上运行防火墙、流量检查或威胁预防？您是否需要一个额外的“保护”框来为您从主设备中分离出来的每项服务？

这些是我们考虑的一些主要事情。在我看来，对于这个问题，没有一个简单的“总是这样做”的答案。

如果您有适当的安全策略，则无需将这两个设备分开。如果您有一个正确规范的防火墙，那么性能也不是将它们分开的理由。

供应商最好告诉您将这两个分开，因为他们最终向您出售两个防火墙而不是单个设备。

等待您的 ISP 提供 MPLS VPN 的方式，互联网流量可能会决定您的设计选择。通过分离功能，您可以选择使用不同的 ISP 来实现部分冗余（最后一英里问题），同时也分离路由器负载和管理/管理功能。

VPN 远程访问客户端不支持路由协议。将数据包定向到远程网络的首选方法是在远程访问客户端上创建一个默认路由，将所有数据包定向到远程网络。这是 VPN 远程访问客户端的默认配置。

设施之间的 VPN 连接使用点对点隧道协议 (PPTP) 或第二层隧道协议/互联网协议安全 (L2TP/IPSec) 通过中间网络，例如互联网。通过使用 Internet 作为连接媒介，VPN 节省了与使用拨号或租用线路连接相关的长途电话服务成本和硬件成本。VPN 解决方案包括高级安全技术，例如数据加密、身份验证和授权。

Internet 出口可以像聚合所有发往 Internet 的流量一样简单，这些流量位于 NAT/PAT 防火墙/Internet 网关后面。

审查 URL： http://www.cisco.com/en/US/products/ps6604/products_white_paper09186a00801281f1.shtml#wp39765 http://technet.microsoft.com/en-us/library/cc739294(v=ws.10 ).aspx

我可能错过了已经提供此答案的人，但以防万一。我将它们分开的最大原因是：安全。如果您有一个路由器可以满足所有这些目的，那么在攻击者完全访问您的网络及其上的所有设备之前，您只有一台需要受到攻击的设备。

通过分离设备，您可以创建多个信任区域，从而更好地定义访问。这样，如果有人可以访问您的 VPN 路由器，他们只能根据您的 Internet 路由器等中定义的特定规则进行访问。

希望有帮助。