האם ראוטר הקצה עומד לפני חומת האטומה והאינטרנט/WAN או שהוא יושב מאחוריה, בין החומת האטומה ל-LAN?
במתי אדם צריך ראוטר קצה?
אני אין לי פרויקט מסוים, אני פשוט תוהה. לא עבדתי בסביבה שבה היה לנו ראוטר קצה; “זה שאני מודע לו.”
מול חומת האטומה.
זה מאפשר לי לבצע DMVPN ו-CUBE מחוץ לטווח של חומת האטומה כדי שההיקף של כשל החומת האטומה לא יהיה גדול מדי. אני גם אין לי דרישות להפעיל את זה דרכה.
אני גם מחבר את ראוטר הקצה למחליף דרך L2 כדי שאוכל לטרנקתי את בלוק ה-IP הציבורי שלי בכל מקום שארצה, כולל לחומת האטומה. הגמישות הזו נוחה לראוטרים וירטואליים שמריצים על מארחים של ESX.
אין תשובה בודדת נכונה פה. בשבילנו הם מחוץ לחומת האטומה
הראוטרים בגבול שלי יושבים לפני חומות האטומה שלי. הנה למה. החומות האטומת העיקריות שלי מוגדרות כזמינות גבוהה והראוטרים מוגדרים כמפעילים/מנעולים פעילים. זה מאפשר לי לעדכן/לאתחל את החומות מבלי לשנות ספקי שירותי אינטרנט. זה מושג על ידי שליחת כל התעבורה דרך המחליף המרכזי שלי. הראוטרים כוללים הגדרת HSRP ו-SLA לאימות כישלון. אני גם יכול להצביע ידנית על חומות האטומה בסביבתי אל אחד הראוטרים בגבול או להשתמש בהם במצב פעיל/פעיל.
מדרוג “Edge” מציין שהוא יושב בקצה, שזה יהיה בין ה-WAN לשאר הרשת—including החומת האטומה.
עם זאת, ראוטר כללי לא יושב במיקום מסוים—הוא יושב במקום שבו הוא פותר בעיה ספציפית.
זה בשמו. ראוטר “קצה” יושב על קצה הרשת שלך, נכון לפני הקישורים שלך לאינטרנט ו-WAN.
ראוטר שיושב מאחורי החומת האטומה ייחשב לראוטר פנימי, כמו מSwitch Layer 3 שמנווט בין VLANs.
מה שאני רואה, חומת האטומה וראוטרים מתמזגים למכשיר אחד. אנחנו בעיקר מבצעים פונקציות ראוטר גבול על חומות האטומה אלא אם כן יש דרישות מאוד ספציפיות שמחייבות אותנו לעשות זאת באופן אחר.
זה תלוי איך אתה משתמש בהם ובחומת האטומה שלך. אתה יכול להשתמש בחומת האטומה שלך כנקודת איסוף WAN, ואז לראוטר קצה שלך כגבול NAT, אבל מצד שני אתה יכול להשתמש בהם הפוך. זה באמת תלוי בנוחות הניהול של הפיצ’רים שאתה צריך, והפיצ’רים שמוצעים.
כללי, אם אתה מרבה לשרת ונותן לנווט על הקצה, הראוטר קצה נמצא בחוץ. אם אתה עושה ניתובים סטטיים או הפעלה פשוטה של כישלון, החומת האטומה יכולה להיות בחוץ.
בסיומו של דבר, זה תלוי במקרה השימוש שלך, בעיצוב שלך ובמיקום שבו אתה מגדיר את קצה הרשת שלך.
כמו שאחרים אמרו, זה תלוי מה יש לך זמינות. אני בדרך כלל משתמש בחומות אטום עם תכונות מלאות (הן יכולות לקבל טבלאות מלאה, לעשות את כל מה ש-BGP/ניווט שאתה רוצה, כמעט כל דבר שהראוטר קצה מספק).
הערה נוספת, אני משתמש בקלאסטר נפרד ליכולות VPN בין אתרים כדי שהקצה של האינטרנט לא ישפיע על פעולות האתר.
במקרה שלנו, יש לנו ראוטר לפני החומת האטומה, מחובר לספק דרך /30. ואז החומת האטומה מאחוריו עם /27 - המקום הפומבי שלנו/NAT. זה לא נדרש טכנית אבל זה שם ל 가능ות היצמדות כפולה בעתיד ואני משתמש בו כדי לספוג חלק מהטראפיק שיש בדרך כלל כניסה כדי להוריד מעומס החומת האטומה דרך ACL.
בקצה. כי אנחנו רוצים שהראוטרים שלנו ינווטו. חומות האטומה ישבות מאחור. אבל אתה בהחלט יכול לעשות את זה גם ההפך אם תרצה. זה פשוט תלוי במקרה השימוש. אנחנו לוקחים טבלה חלקית אבל זה עדיין כמה מאות אלפי נתיבים אז כך אנחנו מגדירים את זה.
כמו אצלי ואשתו של OP: זה מסובך 
יש לנו מרובים ספקי שירותי אינטרנט, כל אחד מחובר במקומות מרובים וגם קשור ישירות עם כמה ארגונים אחרים. הראוטרים בגבול הם חלק מהרשת הזו.
רבים מעוגני ה-DMZ וחומות האטומה עוזרים לשמור על היקף הפעולה קטן כשזה קורה.
אין תמיד נקודת כניסה אחת לרשת. החומת האטומה היא הגבול שלך לאינטרנט.
תחשוב על זה כקו ההגנה הראשון שלך לרשת שלך…
בדיוק איך שעשיתי את זה, מאוד קל לעבודה. לכל דבר יש את מקומו.
היי! אני מנסה להבין מה זה אומר לטרנק את בלוק ה-IP הציבורי בכל מקום שתרצה. האם תוכל לפרט קצת יותר אם יש לך זמן? יש לי ידע ברמה של CCNA אבל יש לי קושי לחשוב על מקרי שימוש.
תקן אותי, מדוע מישהו יעמוד בפני חומת האטומה מחוץ לה? אם תוכל, תסביר לי גם למה יש לי את זה כפי שעשיתי.
אני אוהב את זה, אבל אני אוריד הכל. אך אני מבין שצריך להשתמש ב-VLANs גם לכך.
הדבר היחיד שאני רוצה להוסיף זה להשתמש באיזה סוג של ניווט דינמי במקום HSRP / VRRP וכו’. למה שלא תריץ OSPF בין שני הראוטרים וגם לחומת האטומה? אתה תקבל שיעורי כישלון מהר יותר כאשר תכוון נכון עם BFD. גם זה חשוב לקשרים עם ספקי האינטרנט, אם הצד השני יסכים להפעיל סוג כלשהו של פרוטוקול ניווט במקום IP SLA 
בכל מקרה, מסכים שהראוטרים צריכים להיות לפני החומת האטומה!