Skip to main content

 

Cisco Meraki Documentation

MX サイジングガイド (MX18.2以降)

このドキュメントは原文を 2024年01月11日付けで翻訳したものです。

最新の情報は原文をご確認ください。

本ドキュメントの狙い

対象 MX ファームウェアバージョン : MX18.2 以降

このドキュメントは、MXファイアウォールアプライアンスが存在するネットワークのアーキテクチャと設計を支援することを目的としています。

このドキュメントでは以下のような疑問を解決するのに役立ちます。

  • 評価対象とする MX の選定基準
  • 動作させているセキュリティ機能が与えるパフォーマンスへの影響
  • MXモデルと他のベンダー機器との比較

ネットワーク環境はユーザによって千差万別であるため、設計と実装のさらなる検証のためにこのドキュメントを根拠として活用することを強く推奨します。

各MXファームウェアバージョンのメジャーリリースにより、スループット、特定の機能データ、またはフローとセッションの特定のデータが変更される可能性があります。 このドキュメントは、これらのMXパフォーマンス指標について、さまざまなシナリオと環境でのガイダンスとなることが期待されます。

各ネットワーク環境とトラフィックの特徴は独自のものであることに注意してください。このドキュメントで提示されている数値は、有害なネットワークや特徴のあるトラフィックの挙動が存在しない状態でのテスト中に取得されたものであるということにご留意ください。

モデルごとのサポート機能一覧

Cisco Meraki MX セキュリティ/SD-WAN アプライアンスは、統合脅威管理(UTM)とSD-WANを強力な一体型デバイスで提供します。

適切なMXの選択は、使用ケースと展開の特性に依存します。 vMXデバイスの詳細なサイズと利用できる機能については、vMX特定のデータシートをご覧ください。

以下は、MX、Zシリーズ、および vMX ポートフォリオで利用できる機能の内訳です。

MX シリーズ

MX67(C/W) において Dual WAN は LAN インターフェースと WAN に変換することで利用可能です。

セルラー回線が非内蔵のモデルにおけるセルラー回線へのフェイルオーバーは MG セルラーゲートウェイを経由して行う必要があります。

MX68 および MX75の PoE+ 機能は LAN ポートでのみ利用可能です。MX85、MX95および MX105の PoE+ は WAN ポートで利用可能です。PoE/PoE による MG への電源供給がサポートされていますが、詳細については各製品のデータシートをご参照ください。 

HTTPS インスペクション(検査) 機能は 以下に示すモデルで Cisco Umbrella SD-WAN 拡張、あるいは VPN を経由したサードパーティプロバイダによって提供されます。

◯ : 利用可 X :利用不可

MX67 
(C/W)
MX68 (W/CW) MX75 MX85 MX95 MX105 MX250 MX450

冗長アクティブ WAN

3G/4G フェイルオーバー
内蔵 LTE モデム X X X X X X
内蔵 Wi-Fi X X X X X X
PoE+ ポート X X X
WAN光ファイバー接続 X X SFP SFP SFP+ SFP+ SFP, SFP+ SFP, SFP+
冗長電源 X X X X X
フォームファクタ デスクトップ デスクトップ デスクトップ 1U 1U 1U 1U 1U
HTTPS インスペクション
Advanced Malware Protection (AMP)
侵入検知/防止
 (SNORT IPS/IDS)

Z シリーズ

◯ : 利用可 X :利用不可 Z3 (C) Z4 (C) 

冗長アクティブ WAN

X X
3G/4G フェイルオーバー
内蔵 LTE モデム
内蔵 Wi-Fi
PoE+ ポート ◯ (802.3af, PoE) ◯ (802.3at, PoE+)
WAN光ファイバー接続 X X
冗長電源 X X
フォームファクタ デスクトップ デスクトップ
HTTPS インスペクション
Advanced Malware Protection (AMP) X
侵入検知/防止
 (SNORT IPS/IDS)

X

X

vMX シリーズ

◯ : 利用可 X :利用不可 vMX-Small vMX-Medium vMX-Large

冗長アクティブ WAN

該当なし 該当なし 該当なし
3G/4G フェイルオーバー 該当なし 該当なし 該当なし
内蔵 LTE モデム 該当なし 該当なし 該当なし
内蔵 Wi-Fi 該当なし 該当なし 該当なし
PoE+ ポート 該当なし 該当なし 該当なし
WAN光ファイバー接続 該当なし 該当なし 該当なし
冗長電源 該当なし 該当なし 該当なし
フォームファクタ 仮想 仮想 仮想
HTTPS インスペクション 該当なし 該当なし 該当なし
Advanced Malware Protection (AMP) 該当なし 該当なし 該当なし
侵入検知/防止
 (SNORT IPS/IDS)
該当なし 該当なし 該当なし

ユースケース別推奨モデル

推奨されるユースケースは、デバイスのスループット、利用可能な機能セット、および最大フローテーブル容量に基づいています。算出にあたり、各クライアントは最大50フローを消費すると見なしています。

MX シリーズ

  MX67
MX68
MX75 MX85 MX95 MX105 MX250 MX450
推奨 最大デバイス数 50 200 250 500 750 2,000 10,000

Z シリーズ

  Z3 (C) Z4 (C)
推奨 最大デバイス数 5 15

vMX シリーズ

  vMX-Small vMX-Medium vMX-Large
推奨 最大デバイス数 500 2,500 10,000

機能別データ

以下の項目に注意してください:

  • サイト間VPNトンネルの最大数は、X台分のクライアントトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
  • 推奨されるサイト間VPNトンネルの最大数は、クライアントのトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
  • クライアントVPN で500 台以上の接続が必要な場合、ロードバランシングを利用できます。
  • WAN、動的パス選択、またはトンネルフェイルオーバー時間はそれらが発生する前に基準を満たす必要があります。

MXシリーズ

  MX67
MX68
MX75 MX85 MX95 MX105 MX250 MX450

サイト間VPN
最大トンネル数

50 75 200 500 1,000 3,000 5,000
推奨サイト間VPN
最大トンネル数
50 75 100 250 500 1,000 1,500
クライアントVPN
最大トンネル数
50 75 100 250 250 500 500
WAN フェイルオーバー 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満
Auto VPN トンネル
フェイルオーバー
1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満
動的パス選択 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満

Zシリーズ

  Z3 (C) Z4 (C)

サイト間VPN最大トンネル数

10 10
推奨サイト間VPN最大トンネル数 4 8
クライアントVPN最大トンネル数 1 2
WAN フェイルオーバー 5 秒未満 5 秒未満
Auto VPN トンネルフェイルオーバー 1 秒未満 1 秒未満
動的パス選択 1 秒未満 1 秒未満

vMXシリーズ

  vMX-Small vMX-Medium vMX-Large

サイト間VPN
最大トンネル数

50 250 1,000
推奨サイト間VPN
最大トンネル数
50 250 1,000
クライアントVPN
最大トンネル数
50 250 500
WAN フェイルオーバー 該当なし 該当なし 該当なし
Auto VPN トンネル
フェイルオーバー
1 秒未満 1 秒未満 1 秒未満
動的パス選択 1 秒未満 1 秒未満

1 秒未満

フロー・セッションデータ

各アプライアンスがサポートするフロー(オープン・セッション)の数を理解することが重要です。サイジングの目的上、フローとは、直近5分以内のオープンソケットでの送信を指します。 これは推奨フロー容量数ではなく、これらの値は最大値であることに注意してください。

MXシリーズ

  MX67
MX68
MX75 MX85 MX95 MX105 MX250 MX450
最大同時セッション数 25,000 50,000 125,000 200,000 250,000 500,000 1,000,000

Zシリーズ

  Z3 (C) Z4 (C)
最大同時セッション数 5,000 10,000

vMXシリーズ

  vMX-Small vMX-Medium vMX-Large
最大同時セッション数 25,000 125,000 1,000,000

パフォーマンスデータ

業界標準のベンチマークは、MXアプライアンスを他のベンダーのアプライアンスと比較するのに役立つように設計されています。これらのテストは、理想的なトラフィックパターンを持つ完璧なネットワーク条件を想定しています。特定の機能の最大スループットを測定する場合、他の機能はすべて無効にします。実際の結果は異なります。

検討する際、以下の項目に注意してください。

  • 次世代のファイアウォールテストでは以下の機能を有効にしています。
    • L3 ファイアウォール
    • QoS
    • DPI (NBAR)
  • MX シリーズにおいてAdvanced Security Throughput Tests は以下の設定を有効にして行われています。
    • QoS
    • DPI (NBAR)
    • IPS : 検知モード
    • IPS ルールセット: 'コネクティビティ'
    • AMP
    • コンテンツフィルタリング
  • Z シリーズにおいてSecure Teleworker Throughput Tests は以下の設定を有効にして行われています。
    • QoS
    • DPI (NBAR)
    • AMP
  • Multi-Tunnel testing は 2024 年 1 月現在以下のモデルで利用できます。
    • MX75; MX250, MX450

MXシリーズ 

  MX67
MX68
MX75 MX85 MX95 MX105 MX250 MX450

Advanced Security Throughput

EMIX

400 Mbps 1 Gbps 750 Mbps 2 Gbps 2.5 Gbps 3 Gbps 6.5 Gbps

NGFW 
Throughput

RFC2544 - 1518 Byte

700 Mbps 1 Gbps 1 Gbps 2 Gbps 4 Gbps 7 Gbps 10 Gbps

NGFW Throughput

EMIX

700 Mbps 1 Gbps 1 Gbps 2 Gbps 4 Gbps 7 Gbps 10 Gbps

Single Tunnel VPN Throughput RFC2544 1400 Byte 

400 Mbps 850 Mbps 850 Mbps 1 Gbps 2.3 Gbps 2.7 Gbps 3.3 Gbps

Multi-Tunnel VPN Throughput RFC2544 1400 Byte

≤ 400 Mbps 900 Mbps ≤ 850 Mbps ≤ 1 Gbps ≤ 2.3 Gbps 2.7 Gbps 4.5 Gbps
Single Tunnel VPN Throughput EMIX 300 Mbps 800 Mbps 650 Mbps 1.4 Gbps 1.4 Gbps 1.8 Gbps 1.8 Gbps
Multi-Tunnel VPN Throughput EMIX ≤300 Mbps 850 Mbps ≤ 650 Mbps ≤ 1.4 Gbps ≤ 1.4 Gbps 1.8 Gbps 4.2 Gbps

Zシリーズ 

  Z3 (C) Z4 (C)
Secure Teleworker Throughput 該当なし 300 Mbps

NGFW 
Throughput

RFC2544 - 1518 Byte

200 Mbps 500 Mbps

NGFW Throughput

EMIX

200 Mbps 500 Mbps

Single Tunnel VPN Throughput RFC2544 1400 Byte 

75 Mbps 250 Mbps
Single Tunnel VPN Throughput EMIX 50 Mbps 250 Mbps

vMXシリーズ

 

vMX-Small vMX-Medium vMX-Large

vMX VPN Throughput 

iPerf

250 Mbps 500 Mbps 1 Gbps

各機能の利点とパフォーマンスへの影響について

各機能の利点

各機能は、特定の使用ケースに合わせてカスタマイズされた高度な利点を提供します。以下に、特定の機能、その使用ケース、及び適切なサイズへの適応や実装のための推奨事項について詳述します。

Cisco Advanced Malware Protection (AMP)

Cisco Advanced Malware Protection(AMP)は、Sourcefire®から提供される業界をリードするアンチマルウェア技術で、MXセキュリティアプライアンスに統合されています。 ゲストVLANに対してはこの機能を無効にし、ファイアウォールルールを利用してゲストVLANを分離することを検討してください。また、ネットワーク内のクライアントがエンドポイント用AMPなどの完全なマルウェアクライアントによって保護されている場合は、無効化を検討してください。

コンテンツフィルタリング

Cisco TALOSによるコンテンツフィルタリングは、組織のポリシーに基づいて特定のカテゴリのウェブサイトをブロックすることを可能にします。 組織のセキュリティガイドラインに沿って、必要なカテゴリのみをブロックすることを検討してください。

ウェブセーフ検索

MXセキュリティアプライアンスは、すべてのウェブ検索をウェブ検索フィルタリングを使用するように強制するオプションを持っています。 効果的に機能させるためには、「暗号化された検索を無効化」のオプションと併用する必要があります。

Cisco IPS/IDS (SNORT)

Sourcefire® SNORT®による侵入検知および防止は、ネットワークを悪意のある活動から監視し保護します。 'コネクティビティ' 以外のルールセットはパフォーマンスに大きな影響を与えます。また、帯域幅が低い環境では IDS/IPS syslog データをVPN経由で送信しないことも検討してください。

HTTPS インスペクション

HTTPS インスペクション(検査)は、HTTPSトラフィックを検査し行動をとることができるように、Advanced Security 機能を強化します。 Cisco Umbrella SD-WAN拡張機能を使用してエッジまたはコンセントレータデバイスからの処理をオフロードすると、MX デバイスへのパフォーマンス影響が軽減されます。

VPNトンネルの数 

Auto VPNは、サイト間に自動的でシームレスなVPNトンネルを作成します。
ネットワーク環境のエッジでセキュリティサービスを展開する際には、分割トンネルVPNの使用を検討してください。

FIPS モード

FIPSモードは、MXデバイスのFIPS準拠メカニズムのみを使用することを可能にします。
この機能を活用する計画を立てる際には、適切なサイズとネットワークアーキテクチャについてアカウントスペシャリストに相談することを検討してください。

各機能のパフォーマンスへの影響度

機能名 パフォーマンスへの影響度
Cisco Advanced Malware Protection (AMP)
コンテンツフィルタリング
ウェブセーフ検索
FIPS モード (Non-VPN サービス)
Cisco IDS/IPS (SNORT)
HTTPS インスペクション (デバイスでの処理、オフロードを含まない)
VPN トンネルの数
FIPS モード (VPN サービス)