如果交换对于企业来说是关键所在,那么,路由就是WAN和网络连接到互联网或私有云供应商的“掌控者”。当然,每个站点都将有自己的交换基础设施,但跨很远距离(超过30公里)的建筑物间的流量都将需要被路由或者交换。
这需要边缘路由器,但并不是每个边缘路由器都是以同样的方式设计。有些路由器专注于满足分支机构的需求,还有些则用于解决很多WAN接口或虚拟专有网络(VPN)通道进入中央站点的问题。其他一些则更侧重于处理互联网连接,这通常有着非常大的边界网关协议(BGP)路由表。
纯路由设备位于企业边缘
纯路由设备背后的概念很简单:可靠快速地路由数据包。在过去,这些设备有着不同的WAN接口卡,例如T1/E1/T3/E3,或者光纤连接来连接到运营商。
随着运营商逐渐转向以太网作为高达10Gbps连接的服务交付技术,WAN接口开始退出历史舞台。在很多情况下,纯路由设备通常被优化来处理大量路由表,以及桥接企业网络和一般WAN。
随着很多企业开始转向互联网来提供WAN连接(作为主要连接或者备份),这些企业边缘路由器开始包含VPN功能。在某些情况下,企业选择的边缘连接设备根本不是传统路由器,而是防火墙/VPN集中器,其中也有路由功能。
在具有路由功能的防火墙(或者可以作为防火墙的路由器)之间做出选择是很困难的事情,这是网络团队和安全团队之间永无止境的争辩和讨论的话题。路由器团队则会过度强调VPN和防火墙功能以及其希望的路由器厂商的可管理性,而防火墙方面则会强调其喜欢的防火墙供应商提供的路由功能。这个问题没有正确答案,选择应该根据在现场、试点项目以及评估的结果。
功能丰富的集成路由器位于分支机构
虽然分支机构可能使用单个设备提供网络功能,例如带宽管理、URL过滤和WAN优化,很多网络管理员都愿意选择功能丰富的路由器或防火墙用于分支机构的边缘。这些设备通常有一个核心焦点,例如路由或者防火墙,以及大量附加服务,这可以减少硬件占用空间和分支机构的管理成本。
很多厂商提供非常广泛的功能,包括安全服务(防火墙、VPN、远程访问、代理服务器、URL过滤、反垃圾邮件和反恶意软件)、网络优化服务(WAN优化、缓存、负载均衡和带宽管理),以及路由和交换服务。在某些情况下,分支机构边缘路由器可以成为分支电子邮件、文件和打印服务的虚拟化主机,数据和语音流量的交换平台,以及无线控制器。
虽然单个集成平台的概念很有吸引力,但企业应该了解其中的利弊。尽管营销人员将这种综合平台吹得天花烂坠,但并没有哪个单一设备可以包含分支机构需要所有最佳功能。因此,当网络和安全管理人员在考虑分支机构设备时,他们必须计划实验室和现场评估以及对关键功能的试点测试。
路由到互联网和云计算
连接企业网络到互联网曾经是事后的考虑,但公共网络中云计算的兴起使得高度可靠的互联网连接变得比以往更加重要。基于BGP的动态路由是最常见的方法,它使企业独立于特定的互联网服务供应商,简化了扩展连接性。
互联网路由表目前略低于50万项,并正在稳定增长。在2013年年底之前这个数字将会突破50万,在2014年将会超过这个数字。互联网路由通常与企业网络分隔,使用专用的互联网路由器来处理连接、故障转移和路由。网络管理人员应该计划从多个冗余连接处理大型路由表(至少四个连接来处理合约更改的过渡期),这需要最大化每个边缘设备的内存和路由器CPU功率。
在云服务关键的环境中,网络管理员还应该注重性能,路由器设备和连接的性能。这包括性能的所有方面,不只是带宽,还有延迟性和数据包丢失。很多边缘路由器包含带宽管理和流量整形功能,这是防止关键业务流量被最新的YouTube视频排挤的关键功能。