Skip to main content

 

Cisco Meraki Documentation

MX サイジングガイド (MX19.1以降)

このドキュメントは、Cisco Meraki MXシリーズ(およびZシリーズ、vMXシリーズ)の各モデルにおける推奨台数・最大セッション/トンネル数・パフォーマンス指標(スループット等)や、主要機能(AMP, コンテンツフィルタリング, IPS/IDS, HTTPSインスペクション等)の有効/無効による性能への影響、モデル選定のためのベストプラクティスを提供するサイジングガイドです。ネットワーク規模や機能要件ごとに適切なモデル選定・設計を支援します。

このドキュメントは原文を 2025年08月19日付けで翻訳したものです。

最新の情報は原文をご確認ください。

本ドキュメントのご利用について

現在のファームウェアバージョン:MX 19.1x

本ドキュメントは、MX ファイアウォールアプライアンスを導入するネットワークのアーキテクチャおよび設計を支援するためのものです。本ドキュメントが解決をサポートする主な質問は以下のとおりです。

  • どの MX モデルを評価すべきかどうかをどのように決定すればよいですか?
  • 有効化されている機能ごとにデバイスのパフォーマンスはどのように変化しますか?
  • MX モデルは他社製品とどのように比較できますか?

各ネットワーク環境は固有であるため、設計や導入のさらなる検証として、概念実証とあわせて本ドキュメントをご活用いただくことを強く推奨します。

各主要 MX ファームウェアバージョンのリリースに伴い、スループットや機能別データ、フローやセッションごとのデータが変更される場合があります。本ドキュメントでは、さまざまなシナリオや環境におけるこれらの MX パフォーマンス指標についてガイダンスを提供します。

各ネットワーク環境やトラフィックプロファイルは固有です。本ドキュメントで提示されている数値は、ネットワークやトラフィックプロファイルに問題がない理想的なテスト環境で取得されたものであることをご留意ください。

本ドキュメントで示すパフォーマンス指標は、上記の現在のファームウェアバージョンに基づいています。すべてのプラットフォームが最新の安定版ファームウェアをサポートできるわけではないため、詳細についてはこちらをご参照ください。

ポートフォリオの機能

Cisco Meraki MX セキュリティおよび SD-WAN アプライアンスは、強力なオールインワンデバイスで統合脅威管理(UTM)と SD-WAN をご利用いただけます。

適切な MX の選定は、用途や導入条件によって異なります。
vMX デバイスの詳細なサイズや機能については、vMX 専用データシートをご参照ください。

以下は MX、Z シリーズ、vMX ポートフォリオのハードウェア機能の概要です。

MX シリーズ

MX67(C/W) デバイスでは、変換可能な LAN インターフェースを利用することでデュアル WAN が利用可能です。

セルラー内蔵モデル以外では、MG セルラーゲートウェイを活用することでセルラー自動切替が利用できます。

デュアル電源モデルはアクティブ/スタンバイ方式の冗長電源を搭載しており、電源の合算供給には対応していません。

MX68 および MX75 では LAN ポートで PoE+ 機能が利用できます。MX85、MX95、MX105 では WAN ポートで PoE+ 機能が利用できます。これらのポート経由で MG への PoE/PoE+ 供給がサポートされています。詳細は製品ごとのデータシートをご確認ください。

HTTPS インスペクションは、指定されたプラットフォーム上で Cisco Umbrella SD-WAN 拡張機能を利用するか、VPN 経由で到達可能なサードパーティプロバイダーを利用して、標準でご利用いただけます。

◯ - 対応
✕ - 非対応
MX67
(C/W)
MX68 (W/CW) MX75 MX85 MX95 MX105 MX250 MX450

デュアルアクティブ WAN

3G/4G フェイルオーバー
内蔵 LTE モデム*
内蔵 Wi-Fi**
内蔵 PoE+
WAN ファイバー接続 SFP SFP SFP+ SFP+ SFP, SFP+ SFP, SFP+
デュアル電源
フォームファクター デスクトップ デスクトップ デスクトップ 1U 1U 1U 1U 1U
HTTPS インスペクション
高度なマルウェア対策 (AMP)
侵入検知および防御(SNORT IPS/IDS)

* - MX モデル名に C が含まれる場合のみ。例:MX67C、MX68C

** - MX モデル名に W が含まれる場合のみ。例:MX67W、MX68W

Z シリーズ

◯ - 対応
✕ - 非対応
Z3 (C) Z4 (C)
デュアルアクティブ WAN
3G/4G フェイルオーバーモデルあり
内蔵 LTE モデムモデルあり
内蔵 Wi-Fi 利用可
内蔵 PoE(LAN ポート)モデルあり ◯(802.3af、PoE) ◯(802.3at、PoE+)
WAN ファイバー接続
デュアル電源
フォームファクター デスクトップ デスクトップ
HTTPS インスペクション
高度なマルウェア対策 (AMP)
侵入検知および防御(SNORT IPS/IDS)

* - MX モデル名に「C」が含まれる場合のみ。例:MX67C、MX68C

** - MX モデル名に「W」が含まれる場合のみ。例:MX67W、MX68W

Z シリーズ

◯ - 対応
✕ - 非対応
Z3 (C) Z4 (C)
デュアルアクティブ WAN
3G/4G フェイルオーバーモデルあり
内蔵 LTE モデムモデルあり
内蔵 Wi-Fi 利用可
内蔵 PoE(LAN ポート)モデルあり ◯(802.3af、PoE) ◯(802.3at、PoE+)
WAN ファイバー接続
デュアル電源
フォームファクター デスクトップ デスクトップ
HTTPS インスペクション
高度なマルウェア対策 (AMP)
侵入検知および防御(SNORT IPS/IDS)

vMX シリーズ

◯ - 対応
​​​​​​​✕ - 非対応
vMX-Small vMX-Medium vMX-Large

デュアル WAN

該当なし 該当なし 該当なし
3G/4G/5G フェイルオーバー 該当なし 該当なし 該当なし
内蔵 LTE モデムモデルあり 該当なし 該当なし 該当なし
内蔵ワイヤレス利用可 該当なし 該当なし 該当なし
内蔵 PoE+ モデルあり 該当なし 該当なし 該当なし
WAN ファイバー接続 該当なし 該当なし 該当なし
デュアル電源 該当なし 該当なし 該当なし
フォームファクター 仮想 仮想 仮想
HTTPS インスペクション 該当なし 該当なし 該当なし
高度なマルウェア対策 (AMP) 該当なし 該当なし 該当なし
侵入検知および防御(SNORT IPS/IDS) 該当なし 該当なし 該当なし

ユースケース推奨

ユースケースの推奨は、デバイスのスループット、利用可能な機能セット、最大フローテーブル容量に基づきます。この計算では、各クライアントが最大50フローを消費するとみなします。

MX シリーズ

  MX67 MX68 MX75 MX85 MX95 MX105 MX250 MX450
推奨最大デバイス数 50 50 200 250 500 750 2,000 10,000

Z シリーズ

  Z3 (C) Z4 (C)
推奨最大デバイス数 5 15

vMX シリーズ

  vMX-Small vMX-Medium vMX-Large
推奨最大デバイス数 500 2,500 10,000

機能別データ

以下の項目にご注意ください:

  • サイト間 VPN トンネルの最大数は、クライアントトラフィックが VPN トンネル上で転送されていないラボテストシナリオに基づいています。
  • 推奨されるサイト間 VPN トンネル最大数は、クライアントトラフィックが VPN トンネル上で転送されているラボテストシナリオに基づいています。
  • クライアント VPN 接続が 500 を超える場合は、負荷分散を活用できます。
  • WAN の動的経路選択やトンネルフェイルオーバーの発生前に、所定の条件が満たされている必要があります。

MX シリーズ

  MX67 MX68 MX75 MX85 MX95 MX105 MX250 MX450
サイト間 VPN トンネル最大数 50 50 75 200 500 1,000 3,000 5,000
推奨サイト間 VPN トンネル最大数 50 50 75 100 250 500 1,000 1,500
クライアント VPN トンネル最大数 50 50 75 100 250 250 500 500
AnyConnect セッション最大数 100 100 250 250 500 750 1,000 1,500
WAN フェイルオーバー 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満 5 秒未満
Auto VPN トンネル フェイルオーバー 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満
動的経路選択 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満 1 秒未満

Z シリーズ

  Z3 (C) Z4 (C)
サイト間 VPN トンネル最大数 10 10
推奨サイト間 VPN トンネル最大数 4 8
クライアント VPN トンネル最大数 1 2
WAN フェイルオーバー 5 秒未満 5 秒未満
Auto VPN トンネル フェイルオーバー 1 秒未満 1 秒未満
動的経路選択 1 秒未満 1 秒未満

vMX シリーズ

  vMX-Small vMX-Medium vMX-Large
サイト間 VPN トンネル最大数 50 250 1,000
推奨サイト間 VPN トンネル最大数 50 250 1,000
クライアント VPN トンネル最大数 50 250 500
WAN フェイルオーバー 該当なし 該当なし 該当なし
Auto VPN トンネル フェイルオーバー 1 秒未満 1 秒未満 1 秒未満
動的経路選択 1 秒未満 1 秒未満 1 秒未満

フローとセッションデータ

各アプライアンスがサポートするフロー数またはオープンセッション数を理解することは重要です。サイジングのために、フローとは過去5分間にオープンソケット上で送信が行われた通信を指します。なお、これは推奨フローキャパシティの値ではなく、各値は最大値である点にご注意ください。

MX シリーズ

  MX67 MX68 MX75 MX85 MX95 MX105 MX250 MX450
同時セッション最大数 25,000 25,000 50,000 125,000 200,000 250,000 500,000 1,000,000

Z シリーズ

  Z3 (C) Z4 (C)
同時セッション最大数 5,000 10,000

vMX シリーズ

  vMX-Small vMX-Medium vMX-Large
同時セッション最大数 25,000 125,000 1,000,000

パフォーマンスデータ

業界標準のベンチマークは、MX アプライアンスを他社製品と比較する際の参考となります。これらのテストは、理想的なトラフィックパターンおよび完全なネットワーク環境下を前提としています。特定機能の最大スループット測定時には、明記されている場合を除き、他のすべての機能は無効化されています。実際の結果は異なる場合があります。

ご確認時には、以下の項目にご注意ください:

  • ファイアウォールスループットのテストは以下の構成で実施されています:
    • レイヤー3ファイアウォール有効
    • QoS
    • DPI(NBAR)
  • 高度なセキュリティスループットテストは、MX シリーズデバイスに対して以下の構成で実施されています:
    • QoS
    • DPI(NBAR)
    • IPSルールセット:‘Connectivity’
    • AMP有効
    • コンテンツフィルタリング有効
    • IPSモードは検知または防御モード
  • シングルおよびマルチトンネルVPNスループットテストは以下の構成で実施されています:
    • QoS
    • DPI(NBAR)
    • レイヤー3ファイアウォール有効
  • セキュアテレワーカースループットテストは、Z シリーズデバイスに対して以下の構成で実施されています:
    • QoS
    • DPI(NBAR)
    • AMP有効

MX シリーズ

  MX67 MX68 MX75 MX85 MX95 MX105 MX250 MX450

ファイアウォール
スループット

RFC2544 - 1518 Byte

700 Mbps 700 Mbps 1 Gbps 1 Gbps 3 Gbps 5 Gbps 7.5 Gbps 10 Gbps

ファイアウォールスループット

EMIX

700 Mbps 700 Mbps 1 Gbps 1 Gbps 3 Gbps 5 Gbps 7 Gbps 10 Gbps

NGFW スループット
(高度なセキュリティ - 防御)

EMIX

300 Mbps 300 Mbps 500 Mbps 500 Mbps 1.5 Gbps 2 Gbps 2 Gbps 5 Gbps

NGFW スループット
(高度なセキュリティ - 検知)

EMIX

400 Mbps 400 Mbps 1 Gbps 1 Gbps 2 Gbps 2.5 Gbps 3 Gbps 7 Gbps

VPN スループット RFC2544 1400 Byte

400 Mbps 400 Mbps 1 Gbps 1 Gbps 2.5 Gbps 3.5 Gbps 4 Gbps 6.5 Gbps
VPN スループット EMIX 300 Mbps 300 Mbps 1 Gbps 1 Gbps 2.5 Gbps 3.5 Gbps 3.5 Gbps 6.5 Gbps

注:NGFW = 次世代ファイアウォール、EMIX = エンタープライズミックス

Z シリーズ

  Z3 (C) Z4 (C)
セキュアテレワーカースループット 該当なし 500 Mbps

ファイアウォール
スループット

RFC2544 - 1518 Byte

200 Mbps 500 Mbps

ファイアウォールスループット

EMIX

200 Mbps 500 Mbps

VPN スループット RFC2544 1400 Byte

75 Mbps 250 Mbps
VPN スループット EMIX 50 Mbps 250 Mbps

vMX シリーズ

 

vMX-Small vMX-Medium vMX-Large

NGFW スループット
(高度なセキュリティ - 防御)

EMIX

200 Mbps 500 Mbps 1 Gbps
ファイアウォール
スループット

RFC2544 - 1518 Byte
250 Mbps 500 Mbps 1 Gbps

ファイアウォールスループット

EMIX

250 Mbps 500 Mbps 1 Gbps

VPN スループット

RFC2544 - 1400 Byte

250 Mbps 500 Mbps 1 Gbps
VPN スループット EMIX 250 Mbps 500 Mbps 1 Gbps

機能、メリット、およびパフォーマンスへの影響

機能とメリット

各機能は、特定のユースケースに合わせた高度なメリットを提供します。以下は、機能の詳細、ユースケース、および導入や運用における適切なサイジング推奨に関する説明です。

Cisco Advanced Malware Protection (AMP)

Cisco Advanced Malware Protection(AMP)は、MX セキュリティアプライアンスに統合された業界トップクラスのマルウェア対策技術です。
ゲスト VLAN には本機能を無効化し、ファイアウォールルールを活用してゲスト VLAN を分離する運用を検討してください。また、ネットワーク内のクライアントが AMP for Endpoints などのフルマルウェアクライアントで保護されている場合も、本機能の無効化を検討してください。

コンテンツフィルタリング

コンテンツフィルタリング(Cisco TALOS による提供)は、組織のポリシーに基づき特定カテゴリの Web サイトをブロックできます。
必要なカテゴリのみをブロックし、組織のセキュリティガイドラインと整合を図ることを推奨します。

Web セーフサーチ

MX セキュリティアプライアンスでは、すべての Web 検索にセーフサーチフィルタリングを強制適用することができます。
有効化には「暗号化された検索を無効にする」オプションと併用する必要があります。

Cisco IPS/IDS(SNORT)

Snort を活用した侵入検知および防御(IPS/IDS)は、悪意ある活動からネットワークを監視・保護します。
‘Connectivity’ 以外のルールセットはパフォーマンスへの影響が大きくなります。また、帯域幅が限られた環境では IDS/IPS の syslog データを VPN 経由で送信しない運用を検討してください。

HTTPS インスペクション

HTTPS インスペクションは、HTTPS トラフィックの可視化および制御を可能にし、高度なセキュリティ機能を強化します。
Cisco Umbrella SD-WAN 拡張によるエッジまたはコンセントレーター機器へのオフロード活用で、MX デバイスへのパフォーマンス影響を低減できます。

VPN トンネル数

Auto VPN により、拠点間の VPN トンネルが自動的かつシームレスに確立されます。
セキュリティサービスをネットワークエッジで展開する際には、スプリットトンネル VPN の利用もご検討ください。

FIPS モード

FIPS モードは、MX デバイスで FIPS 準拠メカニズムのみを使用するモードです。
本機能利用を計画される際は、アカウント担当者と相談し、適切なサイジングやネットワーク設計をご検討ください。

パフォーマンス影響内訳

機能名 パフォーマンスへの影響
Cisco Advanced Malware Protection(AMP)
コンテンツフィルタリング
Web セーフサーチ
FIPS モード(VPN 以外のサービス)
Cisco IDS/IPS(SNORT)
HTTPS インスペクション(端末上、オフロードなし)
VPN トンネル数
FIPS モード(VPN サービス)