Сравнение Маршрутизаторов
Все мы знаем, что Cisco ASA является устройством безопасности и обычно его имя упоминается вместе с аббревиатурой МЭ (межсетевой экран). Маршрутизатор же Cisco является в первую очередь маршрутизатором. О, как сказал. Собственно, вот и отличие. Но всё не так просто: Cisco ASA умеет маршрутизировать трафик (даже поддерживает протоколы динамической маршрутизации), а маршрутизатор Cisco может выполнять функции МЭ (поддерживается две технологии – CBAC и ZFW). Чувствую, как в сторону автора полетели фразы: да, капитан очевидность, ты прав. Поэтому предлагаю более пристально взглянуть на эти устройства с целью определения, что в них общего, а что разного.
Исторически сложилось, что ASA имеет преимущества перед маршрутизатором только в ряде технологий, в первую очередь связанных с безопасностью (классический межсетевой экран и VPN концентратор для подключения удалённых пользователей). Во всём остальном ASA выступает в основном в роли догоняющего. Это обусловлено тем, что ASA позиционируется как средство безопасности, а маршрутизатор Cisco – как универсальный швейцарский нож (на его базе мы можем запустить и функции шифрования, и голосовые функции, и оптимизировать трафик и пр.).
Поэтому вопрос выбора устройства возникает только в разрезе вопроса обеспечения сетевой безопасности.
На первый взгляд, для реализации такой задачи, как обеспечение защищенного подключения офиса к сети интернет, оба устройства предоставляют всё необходимое:
- есть маршрутизация (статическая, динамическая, PBR), а также функция трансляции адресов NAT;
- можно завести два и более провайдера (поддерживается IP SLA, BGP);
- присутствуют функции межсетевого экранирования.
Если необходимо, на обоих устройствах можно поднять VPN (site-to-site и remote-access). Везде есть поддержка Netflow, для получения статистики по трафику. Если нужны функции NG FW (МЭ нового поколения) или NG IPS (система предотвращения вторжений нового поколения) как на ASA, так и на маршрутизаторе мы можем это сделать.
Таким образом, в целом оба устройства имеют относительно сходный функционал (ещё раз отмечу, что речь идёт только о технологии маршрутизации трафика и безопасности). Более того, периодически функционал одного из устройств плавно перетекает в другое. Это привносит дополнительные трудности с выбором решения. Например, расширенные возможности SSL VPN всегда были прерогативой ASA. Но со временем многие функции SSL VPN появились и на маршрутизаторе (режим clientless, smart tunnels и пр.). Возможность захвата пакетов на интерфейсах (packet capture) также долгое время поддерживалась только на ASA. Схожая ситуация и с использованием различных конструкций при настройке списков доступа ACL. Речь идёт об объектах (Object Groups), позволяющих группировать IP-адреса/сети, сервисы в сети. Всё это плавно перешло в ОС маршрутизатора. Аналогично ситуация складывается в обратную сторону: на ASA появилась поддержка протокола BGP, маршрутизация трафика на основании политик — Policy Base Routing и пр. Поэтому выбор в пользу одного или другого решения далеко не всегда предопределён. Как обычно дьявол кроется в деталях.
