我在其他网站上发现了很多问同样问题的文章,但似乎很多来回没有达成一致。
我是与 VIRL 合作的网络新手,并试图学习 Cisco 的东西。
从我读过的内容来看,ASA 在某些路由协议中受到限制,但是 IOS 路由器和吞吐量有限。但是 ASA 具有更好的安全功能..(我认为是的?)
除此之外,它们看起来几乎一样。我可以在两者上设置静态路由、NAT、设置 ACL
我无法确定 IOS 路由器是否设置为任何类型的主动 - 主动故障转移或堆叠,可以吗?
如果有的话,我可以有一个像下面这样的配置有什么优点和缺点吗?
ASA <--> ASA(主动主动)
路由器 1 <--> 路由器 2 <--> 路由器
Switch1 <--> Switch2 <--> Switchn
节点 1 <--> 节点 2 <--> 节点
很难完全概括以上任何一项。尤其向光谱路由器的较高端将移动大规模比任何防火墙更多的数据。也就是说,随着路由器速度的增加,安全功能的复杂性和完整性将趋于降低。
因此,例如,您可以以低于中档防火墙的价格购买 36 端口 100GE 交换机。与装满高端防火墙的机架相比,这种交换机将能够在更短的时间内传输更多数据包。但与此同时,交换机只能执行相对较少的无状态规则(以 ACL 的形式)。
同样,路由器在很多方面做得非常好,而防火墙坦率地说没有。如果您尝试使用 BGP 访问多个 ISP 并希望优雅而理智地控制策略,请购买路由器/交换机。如果你想搭建一个有几十个下游设备的用户接入环境?路由器/交换机。花式 QoS?路由器。很多端口密度?转变。
防火墙真的非常擅长安全功能。一些路由器具有防火墙功能,但最终,这些功能往往是用于小型安装的附加组件。完整的状态分析?防火墙。添加 IDS/IPS?防火墙(嗯,其中一些)。大量应用级分析可根据用户身份、应用启发式等智能过滤流量?防火墙。希望你能明白。
这两个选项倾向于一起运行的地方是 VPN - 老实说,可以根据上下文为任一设备制作案例。现在,用户访问 VPN 几乎总是由防火墙提供更好的服务,但大多数真正繁重的站点到站点工作(..尤其是通过公共 MPLS)似乎是由路由器执行的。即便如此,我的两个概括都有很多有效的反例。
所以......路由器还可以提供防火墙,防火墙可以做有限数量的路由。他们都有自己的位置,经验丰富的建筑师和工程师的部分价值在于了解这些部件可以适合的位置以及它们应该适合的位置。
从我读过的内容来看,ASA 在某些路由协议中受到限制,但是 IOS 路由器和吞吐量有限。但是 ASA 具有更好的安全功能..(我认为是的?)
一般来说,ASA 在状态检测、数据包检测、日志记录等安全功能方面比路由器具有更好的性能。路由器具有更多的路由功能,并且路由协议比 ASA 更成熟(错误更少)。路由器有各种尺寸,从家庭办公室到运营商级,因此您可以拥有任何您能负担得起的性能。
除此之外,它们看起来几乎一样。我可以设置静态路由、NAT,并在两者上设置 ACL。
是的,对于功能很少的小型网络,您几乎可以使用一个或另一个。但是,许多网络需要 ASA 所没有的更高级的路由功能,并且它们需要路由器可以轻松提供的更多安全性能或功能。这就是您使用其中一个的原因。
我在其他网站上发现了很多问同样问题的文章,但似乎很多来回没有达成一致。
那是因为没有“正确”的答案。每个网络都有不同的要求,因此答案将取决于几个因网络而异的因素。适合我的网络的可能不适合你的。
因此,我无法回答您的最后一个问题(此外还不清楚您的拓扑是什么)。我不知道你想完成什么。请记住,路由器相互通信,因此没有必要具有“故障转移”对,因为如果设备发生故障,路由协议会进行调整(这是优于 ASA 的优势)。交换机和 ASA(无路由)没有该功能,因此它们具有故障转移、堆叠或其他功能来增加冗余。
从我读过的内容来看,ASA 在某些路由协议中受到限制,但是 IOS 路由器和吞吐量有限。但是 ASA 具有更好的安全功能..(我认为是的?)
ASA 无法建立 GRE 隧道,这意味着您无法设置 DMVPN 之类的类型。现在有可能,但在 ASA 固件更新之前,只有路由器可以为站点到站点 VPN 提供路由接口。不久前,ASA 只能做基于策略的 VPN。我可能过于简单化了,但还有更多不同之处。
不太确定其 100% 真正的 ASA 是否具有更好的安全功能,但是,开箱即用的 ASA 默认设置更注重安全。- 例如,它有协议检查 - 我通过 VPN 使用了第三方 VoIP 系统,并且不得不禁用 VoIP 检查(或 RTP)。(当然 Cisco VoIP 没问题)- ASA 配置区域(名称和安全编号)- 它已经启用了状态数据包检查(区域名称和安全编号),而在路由器中,您必须为 ZBF 配置更长的 CLi 线路或 CBAC。
基本上根据我的经验,要让 ASA 充当路由器,让数据包不受限制地通过,需要更多的命令行才能做到这一点。为了让路由器执行 ASA 的安全功能,路由器上的命令比 ASA 需要更多的命令来实现。
除此之外,它们看起来几乎一样。我可以在两者上设置静态路由、NAT、设置 ACL
亲自了解的最佳方式是实际配置您提到的技术并进行比较。例如,在配置技术时问问自己——是否需要更多的 CLi 行来实现这一点?-- 此功能是否适用于该设备?-- 要配置的一些示例 -- 像在默认 ASA 配置中一样在路由器中配置协议检查。-- 具有 QoS 的 Cisco NBAR;ASA 有 QoS,但您的硬件是找出与路由器的区别。-- 带有动态路由协议的站点到站点 VPN。ASA已经通过IPSEC做OSPF,EIGRP能做吗?和路由器一样吗?-- DMVPN?-- MPLS?-- MP-BGP?
这些只是小样本,所以拿一点盐做你的硬件!
ASA <--> ASA(主动主动)
路由器 1 <--> 路由器 2 <--> 路由器
Switch1 <--> Switch2 <--> Switchn
节点 1 <--> 节点 2 <--> 节点
采取简单的拓扑结构并自己尝试 -
通过做硬件,你会发现——你看,网络职业是一场马拉松,而不是一场比赛。