边缘路由器是干啥用的?

什么是边缘路由器？

边缘路由器是位于网络边界的专用路由器，它使内部网络能够连接到外部网络。它们主要用于两个分界点：广域网 ( WAN ) 和互联网。

边缘路由器的工作原理

边缘路由器通常使用静态或动态路由功能直接向其他组织的网络发送数据或从其他组织的网络接收数据。园区网络与互联网或 WAN 边缘之间的切换主要使用以太网——通常是通过铜缆或单模或多模光纤的千兆以太网 ( GbE )。

在某些情况下，组织维护自己的多个隔离网络，并使用边缘路由器将它们连接在一起，而不是使用核心路由器。

边缘路由器通常是硬件设备，但它们的功能也可以由运行在标准x86服务器上的软件来执行。

在最基本的层面上，互联网可以被视为所有参与组织的边缘路由器的所有互连的总和，从其外围——例如小型企业和家庭宽带路由器——一直到其核心，在那里主要电信提供商网络通过大型边缘路由器相互连接。

如图边缘路由器的典型公司部署，其中边缘路由器通过一系列过滤潜在恶意流量的防火墙策略将公司 LAN 和 DMZ 连接到公共互联网。

边缘路由器的使用

通常，边缘路由器接受进入网络的入站客户流量。随着越来越多的服务和应用程序开始在组织的网络边缘而不是在其数据中心或云中进行管理，边缘路由器发挥着重要作用。被认为适合边缘路由器管理的服务包括通常内置于网络边缘设备中的无线功能、动态主机配置协议 ( DHCP ) 服务和域名系统 ( DNS ) 服务。

边缘路由器的类型

边缘路由器分为两种不同类型：用户边缘路由器和标签边缘路由器。

用户边缘路由器有两种功能：

1. 作为将一个自治系统连接到其他 AS的外部边界网关协议 ( BGP ) 路由器，包括将企业网络连接到其互联网服务提供商 ( ISP ) 的网络边缘；
2. 作为将家庭网络或小型办公室连接到 ISP 网络边缘的中小型企业 ( SMB ) 或消费者宽带路由器。

标签边缘路由器用于多协议标签交换 ( MPLS ) 网络的边缘，充当本地网络与 WAN 或互联网之间的网关，并为出站数据传输分配标签。边缘路由器不是将给定 AS 网络划分为单独子网的内部路由器。为了连接到外部网络，路由器使用 Internet 协议 ( IP ) 和开放最短路径优先 ( OSPF ) 协议来有效地路由数据包。

边缘路由器与核心路由器

边缘设备表征和保护来自其他边缘路由器以及核心路由器的 IP 流量。它们为核心提供安全保障。

相比之下，核心路由器提供其他核心和边缘路由器之间的数据包转发，并管理流量以防止拥塞和数据包丢失。为了提高效率，核心路由器通常采用多路复用。

核心路由器通常是较大的路由器，它们为企业内的子网执行集中路由。尽管核心路由器和边缘路由器都在网络之间移动数据包，但由于它们在网络中的位置和路由职责，它们的运行方式有很大不同。核心路由器倾向于尽可能快地移动数据包，因为它们与外部访问网络的交互较少，因此需要考虑的新安全威胁较少。边缘路由器会遇到更复杂的配置和安全问题，因此将重点放在这些挑战上而不是速度上。

边缘路由器与分支路由器

边缘路由器和分支路由器的定义有时可能会重叠，具体取决于它们的应用。任何路由器模型都可以符合这些描述中的任何一种——边缘、分支或核心。它们之间的区别不是来自给定路由器的特定功能，而是来自它在给定网络部署环境中所扮演的角色。

术语分支路由器通常是指存在于企业网络远程分支中的路由器。它们主要与其他网络路由器连接，将它们与边缘路由器区分开来。然而，它们是从远程分支机构执行此操作的，这将它们与核心路由器区分开来，核心路由器主要在集中式子网内路由信息。远程分支机构可以定义为使用虚拟局域网 ( VLAN )进行分段的网络的一部分，也可以定义为WAN 中的一个 LAN。分支路由器通常位于 WAN 边缘的远程站点，并连接到公司 LAN。

许多销售分支路由器的供应商将多种服务集成到一个平台中，从而无需额外的硬件来运行他们的产品。

安全考虑

由于边缘路由器充当外部网络之间的连接点，因此对于需要控制谁可能尝试访问公司网络的企业来说，安全是一个问题。

为确保安全，边缘路由器可以使用包括访问控制列表( ACL )的工具进行配置，也可以购买内置防火墙支持的工具。这支持更高级的安全保护措施，包括虚拟专用网络 ( VPN ) 隧道和通过入侵防御系统 (IPSes) 和入侵检测系统 (IDSes) 进行的签名匹配。

边缘路由器的好处

边缘路由器的主要优点是：

• 提高服务质量 ( QoS )。边缘路由器在缓解网络之间不同带宽级别导致的瓶颈和流量减速方面发挥着重要作用。他们通过排队来管理数据流。
• 启用远程可访问性。边缘路由器使远程员工能够通过网络边缘连接到公司局域网。
• 提供安全保障。边缘路由器是边缘防火墙的重要组成部分，通过保护和表征传入 IP 流量来保护企业网络。反过来，这有助于抵御网络攻击，例如欺骗。

边缘路由器挑战

实施边缘路由器的主要挑战围绕着边缘安全。如前所述，企业无法控制谁可能会尝试访问公司网络。如果购买了内置防火墙支持，则应配置防火墙规则以满足企业网络的安全需求。IT 管理员还应确保所有路由器固件都是最新的，因为过时的路由器在面临新攻击时可能会带来安全风险。边缘路由器还应配置为具有高可用性 ( HA )，这意味着它们的结构应在发生故障转移时将工作负载移交给其他工作路由器。