MX サイジングガイド (MX18.2以降)
このドキュメントは原文を 2024年01月11日付けで翻訳したものです。
最新の情報は原文をご確認ください。
本ドキュメントの狙い
対象 MX ファームウェアバージョン : MX18.2 以降
このドキュメントは、MXファイアウォールアプライアンスが存在するネットワークのアーキテクチャと設計を支援することを目的としています。
このドキュメントでは以下のような疑問を解決するのに役立ちます。
- 評価対象とする MX の選定基準
- 動作させているセキュリティ機能が与えるパフォーマンスへの影響
- MXモデルと他のベンダー機器との比較
ネットワーク環境はユーザによって千差万別であるため、設計と実装のさらなる検証のためにこのドキュメントを根拠として活用することを強く推奨します。
各MXファームウェアバージョンのメジャーリリースにより、スループット、特定の機能データ、またはフローとセッションの特定のデータが変更される可能性があります。 このドキュメントは、これらのMXパフォーマンス指標について、さまざまなシナリオと環境でのガイダンスとなることが期待されます。
各ネットワーク環境とトラフィックの特徴は独自のものであることに注意してください。このドキュメントで提示されている数値は、有害なネットワークや特徴のあるトラフィックの挙動が存在しない状態でのテスト中に取得されたものであるということにご留意ください。
モデルごとのサポート機能一覧
Cisco Meraki MX セキュリティ/SD-WAN アプライアンスは、統合脅威管理(UTM)とSD-WANを強力な一体型デバイスで提供します。
適切なMXの選択は、使用ケースと展開の特性に依存します。 vMXデバイスの詳細なサイズと利用できる機能については、vMX特定のデータシートをご覧ください。
以下は、MX、Zシリーズ、および vMX ポートフォリオで利用できる機能の内訳です。
MX シリーズ
MX67(C/W) において Dual WAN は LAN インターフェースと WAN に変換することで利用可能です。
セルラー回線が非内蔵のモデルにおけるセルラー回線へのフェイルオーバーは MG セルラーゲートウェイを経由して行う必要があります。
MX68 および MX75の PoE+ 機能は LAN ポートでのみ利用可能です。MX85、MX95および MX105の PoE+ は WAN ポートで利用可能です。PoE/PoE による MG への電源供給がサポートされていますが、詳細については各製品のデータシートをご参照ください。
HTTPS インスペクション(検査) 機能は 以下に示すモデルで Cisco Umbrella SD-WAN 拡張、あるいは VPN を経由したサードパーティプロバイダによって提供されます。
|
◯ : 利用可 X :利用不可 |
MX67 (C/W) |
MX68 (W/CW) | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 |
|
冗長アクティブ WAN |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 3G/4G フェイルオーバー | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 内蔵 LTE モデム | ◯ | ◯ | X | X | X | X | X | X |
| 内蔵 Wi-Fi | ◯ | ◯ | X | X | X | X | X | X |
| PoE+ ポート | X | ◯ | ◯ | ◯ | ◯ | ◯ | X | X |
| WAN光ファイバー接続 | X | X | SFP | SFP | SFP+ | SFP+ | SFP, SFP+ | SFP, SFP+ |
| 冗長電源 | X | X | X | X | X | ◯ | ◯ | ◯ |
| フォームファクタ | デスクトップ | デスクトップ | デスクトップ | 1U | 1U | 1U | 1U | 1U |
| HTTPS インスペクション | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| Advanced Malware Protection (AMP) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 侵入検知/防止 (SNORT IPS/IDS) |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
Z シリーズ
| ◯ : 利用可 X :利用不可 | Z3 (C) | Z4 (C) |
|
冗長アクティブ WAN |
X | X |
| 3G/4G フェイルオーバー | ◯ | ◯ |
| 内蔵 LTE モデム | ◯ | ◯ |
| 内蔵 Wi-Fi | ◯ | ◯ |
| PoE+ ポート | ◯ (802.3af, PoE) | ◯ (802.3at, PoE+) |
| WAN光ファイバー接続 | X | X |
| 冗長電源 | X | X |
| フォームファクタ | デスクトップ | デスクトップ |
| HTTPS インスペクション | ◯ | ◯ |
| Advanced Malware Protection (AMP) | X | ◯ |
| 侵入検知/防止 (SNORT IPS/IDS) |
X |
X |
vMX シリーズ
| ◯ : 利用可 X :利用不可 | vMX-Small | vMX-Medium | vMX-Large |
|
冗長アクティブ WAN |
該当なし | 該当なし | 該当なし |
| 3G/4G フェイルオーバー | 該当なし | 該当なし | 該当なし |
| 内蔵 LTE モデム | 該当なし | 該当なし | 該当なし |
| 内蔵 Wi-Fi | 該当なし | 該当なし | 該当なし |
| PoE+ ポート | 該当なし | 該当なし | 該当なし |
| WAN光ファイバー接続 | 該当なし | 該当なし | 該当なし |
| 冗長電源 | 該当なし | 該当なし | 該当なし |
| フォームファクタ | 仮想 | 仮想 | 仮想 |
| HTTPS インスペクション | 該当なし | 該当なし | 該当なし |
| Advanced Malware Protection (AMP) | 該当なし | 該当なし | 該当なし |
| 侵入検知/防止 (SNORT IPS/IDS) |
該当なし | 該当なし | 該当なし |
ユースケース別推奨モデル
推奨されるユースケースは、デバイスのスループット、利用可能な機能セット、および最大フローテーブル容量に基づいています。算出にあたり、各クライアントは最大50フローを消費すると見なしています。
MX シリーズ
| MX67 MX68 |
MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
| 推奨 最大デバイス数 | 50 | 200 | 250 | 500 | 750 | 2,000 | 10,000 |
Z シリーズ
| Z3 (C) | Z4 (C) | |
| 推奨 最大デバイス数 | 5 | 15 |
vMX シリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
| 推奨 最大デバイス数 | 500 | 2,500 | 10,000 |
機能別データ
以下の項目に注意してください:
- サイト間VPNトンネルの最大数は、X台分のクライアントトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
- 推奨されるサイト間VPNトンネルの最大数は、クライアントのトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
- クライアントVPN で500 台以上の接続が必要な場合、ロードバランシングを利用できます。
- WAN、動的パス選択、またはトンネルフェイルオーバー時間はそれらが発生する前に基準を満たす必要があります。
MXシリーズ
| MX67 MX68 |
MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
|
サイト間VPN |
50 | 75 | 200 | 500 | 1,000 | 3,000 | 5,000 |
| 推奨サイト間VPN 最大トンネル数 |
50 | 75 | 100 | 250 | 500 | 1,000 | 1,500 |
| クライアントVPN 最大トンネル数 |
50 | 75 | 100 | 250 | 250 | 500 | 500 |
| WAN フェイルオーバー | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 |
| Auto VPN トンネル フェイルオーバー |
1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
| 動的パス選択 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
Zシリーズ
| Z3 (C) | Z4 (C) | |
|
サイト間VPN最大トンネル数 |
10 | 10 |
| 推奨サイト間VPN最大トンネル数 | 4 | 8 |
| クライアントVPN最大トンネル数 | 1 | 2 |
| WAN フェイルオーバー | 5 秒未満 | 5 秒未満 |
| Auto VPN トンネルフェイルオーバー | 1 秒未満 | 1 秒未満 |
| 動的パス選択 | 1 秒未満 | 1 秒未満 |
vMXシリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
|
サイト間VPN |
50 | 250 | 1,000 |
| 推奨サイト間VPN 最大トンネル数 |
50 | 250 | 1,000 |
| クライアントVPN 最大トンネル数 |
50 | 250 | 500 |
| WAN フェイルオーバー | 該当なし | 該当なし | 該当なし |
| Auto VPN トンネル フェイルオーバー |
1 秒未満 | 1 秒未満 | 1 秒未満 |
| 動的パス選択 | 1 秒未満 | 1 秒未満 |
1 秒未満 |
フロー・セッションデータ
各アプライアンスがサポートするフロー(オープン・セッション)の数を理解することが重要です。サイジングの目的上、フローとは、直近5分以内のオープンソケットでの送信を指します。 これは推奨フロー容量数ではなく、これらの値は最大値であることに注意してください。
MXシリーズ
| MX67 MX68 |
MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
| 最大同時セッション数 | 25,000 | 50,000 | 125,000 | 200,000 | 250,000 | 500,000 | 1,000,000 |
Zシリーズ
| Z3 (C) | Z4 (C) | |
| 最大同時セッション数 | 5,000 | 10,000 |
vMXシリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
| 最大同時セッション数 | 25,000 | 125,000 | 1,000,000 |
パフォーマンスデータ
業界標準のベンチマークは、MXアプライアンスを他のベンダーのアプライアンスと比較するのに役立つように設計されています。これらのテストは、理想的なトラフィックパターンを持つ完璧なネットワーク条件を想定しています。特定の機能の最大スループットを測定する場合、他の機能はすべて無効にします。実際の結果は異なります。
検討する際、以下の項目に注意してください。
- 次世代のファイアウォールテストでは以下の機能を有効にしています。
- L3 ファイアウォール
- QoS
- DPI (NBAR)
- MX シリーズにおいてAdvanced Security Throughput Tests は以下の設定を有効にして行われています。
- QoS
- DPI (NBAR)
- IPS : 検知モード
- IPS ルールセット: 'コネクティビティ'
- AMP
- コンテンツフィルタリング
- Z シリーズにおいてSecure Teleworker Throughput Tests は以下の設定を有効にして行われています。
- QoS
- DPI (NBAR)
- AMP
- Multi-Tunnel testing は 2024 年 1 月現在以下のモデルで利用できます。
- MX75; MX250, MX450
MXシリーズ
| MX67 MX68 |
MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
|
Advanced Security Throughput EMIX |
400 Mbps | 1 Gbps | 750 Mbps | 2 Gbps | 2.5 Gbps | 3 Gbps | 6.5 Gbps |
|
NGFW |
700 Mbps | 1 Gbps | 1 Gbps | 2 Gbps | 4 Gbps | 7 Gbps | 10 Gbps |
|
NGFW Throughput EMIX |
700 Mbps | 1 Gbps | 1 Gbps | 2 Gbps | 4 Gbps | 7 Gbps | 10 Gbps |
|
Single Tunnel VPN Throughput RFC2544 1400 Byte |
400 Mbps | 850 Mbps | 850 Mbps | 1 Gbps | 2.3 Gbps | 2.7 Gbps | 3.3 Gbps |
|
Multi-Tunnel VPN Throughput RFC2544 1400 Byte |
≤ 400 Mbps | 900 Mbps | ≤ 850 Mbps | ≤ 1 Gbps | ≤ 2.3 Gbps | 2.7 Gbps | 4.5 Gbps |
| Single Tunnel VPN Throughput EMIX | 300 Mbps | 800 Mbps | 650 Mbps | 1.4 Gbps | 1.4 Gbps | 1.8 Gbps | 1.8 Gbps |
| Multi-Tunnel VPN Throughput EMIX | ≤300 Mbps | 850 Mbps | ≤ 650 Mbps | ≤ 1.4 Gbps | ≤ 1.4 Gbps | 1.8 Gbps | 4.2 Gbps |
Zシリーズ
| Z3 (C) | Z4 (C) | |
| Secure Teleworker Throughput | 該当なし | 300 Mbps |
|
NGFW |
200 Mbps | 500 Mbps |
|
NGFW Throughput EMIX |
200 Mbps | 500 Mbps |
|
Single Tunnel VPN Throughput RFC2544 1400 Byte |
75 Mbps | 250 Mbps |
| Single Tunnel VPN Throughput EMIX | 50 Mbps | 250 Mbps |
vMXシリーズ
|
|
vMX-Small | vMX-Medium | vMX-Large |
|
vMX VPN Throughput iPerf |
250 Mbps | 500 Mbps | 1 Gbps |
各機能の利点とパフォーマンスへの影響について
各機能の利点
各機能は、特定の使用ケースに合わせてカスタマイズされた高度な利点を提供します。以下に、特定の機能、その使用ケース、及び適切なサイズへの適応や実装のための推奨事項について詳述します。
Cisco Advanced Malware Protection (AMP)
Cisco Advanced Malware Protection(AMP)は、Sourcefire®から提供される業界をリードするアンチマルウェア技術で、MXセキュリティアプライアンスに統合されています。 ゲストVLANに対してはこの機能を無効にし、ファイアウォールルールを利用してゲストVLANを分離することを検討してください。また、ネットワーク内のクライアントがエンドポイント用AMPなどの完全なマルウェアクライアントによって保護されている場合は、無効化を検討してください。
コンテンツフィルタリング
Cisco TALOSによるコンテンツフィルタリングは、組織のポリシーに基づいて特定のカテゴリのウェブサイトをブロックすることを可能にします。 組織のセキュリティガイドラインに沿って、必要なカテゴリのみをブロックすることを検討してください。
ウェブセーフ検索
MXセキュリティアプライアンスは、すべてのウェブ検索をウェブ検索フィルタリングを使用するように強制するオプションを持っています。 効果的に機能させるためには、「暗号化された検索を無効化」のオプションと併用する必要があります。
Cisco IPS/IDS (SNORT)
Sourcefire® SNORT®による侵入検知および防止は、ネットワークを悪意のある活動から監視し保護します。 'コネクティビティ' 以外のルールセットはパフォーマンスに大きな影響を与えます。また、帯域幅が低い環境では IDS/IPS syslog データをVPN経由で送信しないことも検討してください。
HTTPS インスペクション
HTTPS インスペクション(検査)は、HTTPSトラフィックを検査し行動をとることができるように、Advanced Security 機能を強化します。 Cisco Umbrella SD-WAN拡張機能を使用してエッジまたはコンセントレータデバイスからの処理をオフロードすると、MX デバイスへのパフォーマンス影響が軽減されます。
VPNトンネルの数
Auto VPNは、サイト間に自動的でシームレスなVPNトンネルを作成します。
ネットワーク環境のエッジでセキュリティサービスを展開する際には、分割トンネルVPNの使用を検討してください。
FIPS モード
FIPSモードは、MXデバイスのFIPS準拠メカニズムのみを使用することを可能にします。
この機能を活用する計画を立てる際には、適切なサイズとネットワークアーキテクチャについてアカウントスペシャリストに相談することを検討してください。
各機能のパフォーマンスへの影響度
| 機能名 | パフォーマンスへの影響度 |
| Cisco Advanced Malware Protection (AMP) | 低 |
| コンテンツフィルタリング | 低 |
| ウェブセーフ検索 | 低 |
| FIPS モード (Non-VPN サービス) | 低 |
| Cisco IDS/IPS (SNORT) | 中 |
| HTTPS インスペクション (デバイスでの処理、オフロードを含まない) | 高 |
| VPN トンネルの数 | 高 |
| FIPS モード (VPN サービス) | 高 |