在建立小型分公司时,你是否遇到过需要在自适应安全设备(ASA)和思科基于网际操作系统(IOS)的路由器间进行选择的情况?听起来,这像是一件非常简单的事,但实际情况却并非如此。在这种情况下,ASA设备有可能属于非常合适的选择。不过,同样的情况也可能出现在思科IOS路由器上。因此,问题到最后经常就变成了管理员更习惯使用哪种设备的情况。在本文中,我将对尽管属于ASA的铁杆支持者,但自己为什么还是会选择路由器的原因进行说明。
注意事项:为了简单起见,我将仅仅对思科891集成多业务路由器与思科ASA 5505自适应安全设备进行比较,但所讨论到的大部分功能在运行思科IOS 12.4以上或15.x版本的分支路由器上都已经具备。
端口配置情况
首先,让我们来比较一下端口配置。思科891路由器配备了包含八个10/100兆快速以太网端口的可管理交换机,并且可以支持虚拟局域网,以及四个支持以太网供电(PoE)(属于可选择功能)的IP电话或外部接入点端口。而思科ASA 5505配备的是八个10/100兆交换机端口,并且只有2个PoE端口。
思科891路由器可以支持城域以太网,并且包含了一个1000BASE-T千兆以太网广域网端口,一个10/100Base-T快速以太网广域网端口,以及一个可以来建立广域网连接的单端口千兆以太网(GE)小型可插拔(SFP)接口;不过,需要注意的是,1000BASE-T千兆以太网广域网或SFP不能同时运行。
思科ASA 5505不支持任何此类功能,所以,在这一轮对比中,思科891获得胜利。
服务质量
接下来,我们要比较的就是服务质量方面。在服务质量功能配置方面,思科ASA采用的是可配置模块化策略框架。这其中包括了输入和输出控制策略,采用了可设置优先级别的单独队列模式。不过,在思科ASA操作系统中,相关的匹配能力仍然不成熟。而思科891在服务质量方面的控制功能非常全面,包括了多分类模式、多队列模式、流量控制、流量整形,以及服务质量自动设置功能。因此,在服务质量领域,思科891再次获胜。
思科891可以支持与城域以太网相关的大量协议,不过,由于ASA并不提供任何此类支持;因此,提及它们也没有什么意义。
思科891还可以支持基于802.11n标准草案的802.11a/g/n集成安全无线接入点,以及采用基于自主或者思科统一无线局域网架构的双频道无线电设备的特性。这是思科ASA 5505不能企及的另一个领域。
在作出类似决定之前,应该考虑到的还有路由功能方面的差别。实际上,ASA 5505确实可以支持路由协议的应用,但这里指的决不是思科网际操作系统提供的路由功能。
由于5505的专长是安全,所以在这方面的比较可能更令人关注一些。尽管,5505属于一个功能非常全面的防火墙;但在思科网际操作系统中,也提供一个“不那么常见”的功能。它被叫着基于区域的防火墙。它也是一个更能非常丰富的防火墙工具。利用基于区域的防火墙所做的事情,几乎可以和ASA能提供的一样多。
最后,让我们回到虚拟专用网络,在这里,思科路由器又一次获得了胜利。造成这种情况的主要原因是动态多点虚拟专用网络(DMVPN)的应用。ASA不能为DMVPN提供支持,原因可能是不兼容通用路由封装(GRE)隧道。而作为一个功能强大的解决方案,DMVPN可以将总部站点作为集线器,仅在分公司需要的时间建立隧道快速进行传输。而对于ASA来说,隧道必须一直保持连接,否则在使用发夹功能时间,你将不得不连接总部站点进行大量的配置。
因此,尽管我明确表明自己属于思科ASA平台的铁杆支持者,但在遇到分公司选择相关应用的时间,还是会毫不犹豫地购买思科路由器。你会利用什么样的标准对类似决定进行衡量的?