המשפט הכללי יושב איפה שהוא יכול לדרוש את כל הראוטרים הפרטיים? 
אני עושה את זה גם כך אבל עם מרחב RFC1918 לחומת האטומה ו-NAT סטטי
אתה מציב את חיבור ה-WAN שלך על VLAN, וכל מכשיר שצריך כתובת WAN עצמאית יכול פשוט להוסיף ממשק על ה-VLAN הזה
אני תמיד מוצא את עצמי במצב מוזר שבו אני מנסה להסביר שלאחר ה-CCNA שלי, 90% מהידע שלי ברשתות הגיע מחקר אחרי שנפלתי לבורות חיפוש עם מה שראיתי באדראדץ 
המתג הופך ל-DMZ שלך. כך כל הדברים שלך שצריכים IPs ציבוריים יושבים “ליד” זה במקום “מאחורי” משהו.
בטוח. כך תוכל לחבר ראוטר לזוג של מתגים על ידי חיבור layer 2 MLAG. ממשק ה-MLAG על המתגים יהיה מוגדר כטרंक. מבלול הרשת שלך תיצור תת-ממשקים בממשק ה-MLAG ותמנה תגים DOT1Q וכתובות IP לכל תת-ממשק ואז תוכל לטרנק את אותן רשתות למטה למתגי העלים ולכל מכשיר אחר. זה גם רעיון טוב להחליף חומת האטומה כי תוכל לאפשר לשניהם לעבוד באותו הזמן באותן חיבורי אינטרנט.
לא OP. יש לי את ראוטר הקצה מחוץ לחומת האטומה כי הראוטר הקצה שלי הרבה יותר יכול מאשר חומת האטומה שלי. אני מקבל טבלאות מלאות מ-ISP מרובים, משהו שהחומת האטומה לא יכולה לעשות. אני יכול להוסיף עוד חומות האטומה או תשתית אחרת מאחורי הראוטר כדי להרחיב את הרשת שלי בדרכים שונות. הראוטרים שלי כוללים את החיזוק שלהם כדי להגן עליהם מפני שחקנים רעים.
מאחר שסובבים את הראוטרים החיצוניים שיש להם נטיות להפיל חבילות עם פחות CPU מאשר חומת האטומה, רוב הבעיות של תבנית הסטייט טבלאות שניתן לנצל.
אם אנחנו לא מאפשרים תעבורה על פורט מסוים, היא לעולם לא מגיעה מעבר לראוטר, ואז תעבורת הפורט/שירות הזה נבדקת על ידי החומת האטומה.
יש סיבות נוספות גם כן, טבלאות ניווט מלאות ו-BGP, רוב החומות האטומה לא תעבוד או לא תפעל טוב כאשר מושכות את אלה.
בגלל שאם תרצה להחזיק נתיב ברירת מחדל ואין לך בלוק IP גדול, למה בכלל תצטרך ראוטר? מספיק רק חומת האטומה. החומת האטומה יכולה לניווט טוב מספיק. זה תלוי במקרה השימוש. אם אתה מפרסם /16 או כמה /16, אתה תמשוך תשומת לב רבה ברשת ותאלץ להתמודד עם חקירות בלי סוף.
ברבים מהמקרים, mBGP משמש כדי לפרסם את נתיבי הלקוחות. זה חשוב לניהול נתיבים בקישורים כפולי חיבור (dual-homed ISP).
ראוטר מתאים לתצורה הזו בגלל מעבדי הניווט ופונקציות אחרות שמטעינות את ה-RIB/FIB נכון. כך שהחומת האטומה יכולה להגדיר את המטרות שלה על נושאי אבטחה, סינון חבילות, VPNs, IDS/IPS.
אני עושה את זה אבל במקום HSRP אני פשוט עוקב אחר רשימת IP SLA שפוגעת בנתיבי היעד שלי מרחוק. רשימת המעקב משותפת למפת נתיבים שמכוונת אופטימיזציה של ה-OSPF. אםISP 1 נכשל, רשימת המעקב תגרום לראוטר להעלות את ערך ה-OSPF ברירת המחדל והוא ייקח את השליטה.
גם על כך חשבתי בשרתי המעבדה שלי עם מפת הנתיבים. אני יכול פשוט לחבר את המעקב לכל נתיב סטטי ולשדרג אותו עם מטרות שונות 
אני לא חושב שתמצא את ההגדרה הזו לעיתים קרובות בעולם האמיתי. ברשתות קטנות לרוב החומת האטומה ושער הקצה הם מכשיר אחד. Cisco אוהבת להפריד בין תפקידי חומת האטומה לראוטר, אבל למשל, Palo Alto רואה אותם כמכשיר רב-תכליתי אחד.
אם ראוטר הקצה קרוב לתפוקה ומתחיל לאבד חבילות בעומסים שיא, אפשר לראות בכך תיקון זמני עד שהשער יכול להיות משודרג.
סיכוי יותר סביר שזו תהיה תוצאה של ניהול נפרד, כאשר צוות אחר או קבלן אחראי על החומה האטומה הפנימית ועל הניווט ה-VLAN הפנימי. זה נוגע יותר להפרדת תפקידים ומנהל נגיד, מאשר לרשתות.
אתה אכן, אבל כשקיבלתי את ה-CCNA שלי לא הבנתי לחלוטין את ההבדל בין ACLs בראוטר, לבין חומת האטומה. אז הצעתי ל-OP שהחומות האטומה עושים הרבה יותר.
וגם כן, יריתי בהתחלה על IDS/IPS במקום SSL, ואז שיניתי ל-SSL כי חשבתי שזה ידגיש את צריכת המשאבים על החומת האטומה אם הם לא היו מכירים את מה ש-IDS/IPS עושה. אבל כן, כניסה לא נראית הגיונית; דוגמה רעה / ניסוח לא נכון.
אז תעבורה לבדיקה שניתנת לחומת האטומה.
במרבית המקרים פשוט מנסה להסביר שזה תפקיד בפני עצמו ולמה חומות האטומה בדרך כלל מכשירים ייעודיים (ואר שהנחת הטריק של להסיר תעבורה מיותרת עם רשימות ACL פשוטות בקצה החיצוני).
יש לנו רשת MPLS עם הרבה נתיבים מרוחקים וטבלאות ניווט של אינטרנט מלאה. אנחנו מסננים את מה שנכנס ויוצא מהראוטרים. תלוי במיקום. יש לנו תמהיל של 8300 שמחליפים את ה-4451, 4331 ו-ASR1000X. אנחנו גם עוברים ל-SD-WAN במקומות הקטנים שבהם אנחנו מחליפים את הראוטרים הוותיקים ל-SDWAN במקומות הקטנים. עם SDWAN, אנחנו לא לומדים שום דבר בתשתית התחתונה, הכל נשך דרך ה-overlay.
אף על פי שאתה צודק, אתה נכון. לא כולם יראו מקלחת חקירות שורת אבטחה.
מצחיק, הבעיות שלנו עכשיו עם חומות האטומה די שקטות. כשמישהו מחליט לזרוק עומס מ port שלנו, הראוטרים שלנו מקבלים את זה כמה שניות לפני שהחיישנים שלנו מגיבים, והקישור של ה-BGP משתנה והאשכול A10 שלנו נכנס לפעולה ומתחיל להתמודד עם הטראפיק.
זה תמיד כיף לראות 100 ג’יגהביט בדרך לקטנה.