MX サイジングガイド (MX19.1以降)
このドキュメントは原文を 2025年08月19日付けで翻訳したものです。
最新の情報は原文をご確認ください。
本ドキュメントのご利用について
現在のファームウェアバージョン:MX 19.1x
本ドキュメントは、MX ファイアウォールアプライアンスを導入するネットワークのアーキテクチャおよび設計を支援するためのものです。本ドキュメントが解決をサポートする主な質問は以下のとおりです。
- どの MX モデルを評価すべきかどうかをどのように決定すればよいですか?
- 有効化されている機能ごとにデバイスのパフォーマンスはどのように変化しますか?
- MX モデルは他社製品とどのように比較できますか?
各ネットワーク環境は固有であるため、設計や導入のさらなる検証として、概念実証とあわせて本ドキュメントをご活用いただくことを強く推奨します。
各主要 MX ファームウェアバージョンのリリースに伴い、スループットや機能別データ、フローやセッションごとのデータが変更される場合があります。本ドキュメントでは、さまざまなシナリオや環境におけるこれらの MX パフォーマンス指標についてガイダンスを提供します。
各ネットワーク環境やトラフィックプロファイルは固有です。本ドキュメントで提示されている数値は、ネットワークやトラフィックプロファイルに問題がない理想的なテスト環境で取得されたものであることをご留意ください。
本ドキュメントで示すパフォーマンス指標は、上記の現在のファームウェアバージョンに基づいています。すべてのプラットフォームが最新の安定版ファームウェアをサポートできるわけではないため、詳細についてはこちらをご参照ください。
ポートフォリオの機能
Cisco Meraki MX セキュリティおよび SD-WAN アプライアンスは、強力なオールインワンデバイスで統合脅威管理(UTM)と SD-WAN をご利用いただけます。
適切な MX の選定は、用途や導入条件によって異なります。
vMX デバイスの詳細なサイズや機能については、vMX 専用データシートをご参照ください。
以下は MX、Z シリーズ、vMX ポートフォリオのハードウェア機能の概要です。
MX シリーズ
MX67(C/W) デバイスでは、変換可能な LAN インターフェースを利用することでデュアル WAN が利用可能です。
セルラー内蔵モデル以外では、MG セルラーゲートウェイを活用することでセルラー自動切替が利用できます。
デュアル電源モデルはアクティブ/スタンバイ方式の冗長電源を搭載しており、電源の合算供給には対応していません。
MX68 および MX75 では LAN ポートで PoE+ 機能が利用できます。MX85、MX95、MX105 では WAN ポートで PoE+ 機能が利用できます。これらのポート経由で MG への PoE/PoE+ 供給がサポートされています。詳細は製品ごとのデータシートをご確認ください。
HTTPS インスペクションは、指定されたプラットフォーム上で Cisco Umbrella SD-WAN 拡張機能を利用するか、VPN 経由で到達可能なサードパーティプロバイダーを利用して、標準でご利用いただけます。
| ◯ - 対応 ✕ - 非対応 |
MX67 (C/W) |
MX68 (W/CW) | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 |
|
デュアルアクティブ WAN |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 3G/4G フェイルオーバー | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 内蔵 LTE モデム* | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ |
| 内蔵 Wi-Fi** | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ |
| 内蔵 PoE+ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ |
| WAN ファイバー接続 | ✕ | ✕ | SFP | SFP | SFP+ | SFP+ | SFP, SFP+ | SFP, SFP+ |
| デュアル電源 | ✕ | ✕ | ✕ | ✕ | ✕ | ◯ | ◯ | ◯ |
| フォームファクター | デスクトップ | デスクトップ | デスクトップ | 1U | 1U | 1U | 1U | 1U |
| HTTPS インスペクション | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 高度なマルウェア対策 (AMP) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 侵入検知および防御(SNORT IPS/IDS) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
* - MX モデル名に C が含まれる場合のみ。例:MX67C、MX68C
** - MX モデル名に W が含まれる場合のみ。例:MX67W、MX68W
Z シリーズ
| ◯ - 対応 ✕ - 非対応 |
Z3 (C) | Z4 (C) |
| デュアルアクティブ WAN | ✕ | ✕ |
| 3G/4G フェイルオーバーモデルあり | ◯ | ◯ |
| 内蔵 LTE モデムモデルあり | ◯ | ◯ |
| 内蔵 Wi-Fi 利用可 | ◯ | ◯ |
| 内蔵 PoE(LAN ポート)モデルあり | ◯(802.3af、PoE) | ◯(802.3at、PoE+) |
| WAN ファイバー接続 | ✕ | ✕ |
| デュアル電源 | ✕ | ✕ |
| フォームファクター | デスクトップ | デスクトップ |
| HTTPS インスペクション | ◯ | ◯ |
| 高度なマルウェア対策 (AMP) | ✕ | ◯ |
| 侵入検知および防御(SNORT IPS/IDS) |
✕ |
✕ |
* - MX モデル名に「C」が含まれる場合のみ。例:MX67C、MX68C
** - MX モデル名に「W」が含まれる場合のみ。例:MX67W、MX68W
Z シリーズ
| ◯ - 対応 ✕ - 非対応 |
Z3 (C) | Z4 (C) |
| デュアルアクティブ WAN | ✕ | ✕ |
| 3G/4G フェイルオーバーモデルあり | ◯ | ◯ |
| 内蔵 LTE モデムモデルあり | ◯ | ◯ |
| 内蔵 Wi-Fi 利用可 | ◯ | ◯ |
| 内蔵 PoE(LAN ポート)モデルあり | ◯(802.3af、PoE) | ◯(802.3at、PoE+) |
| WAN ファイバー接続 | ✕ | ✕ |
| デュアル電源 | ✕ | ✕ |
| フォームファクター | デスクトップ | デスクトップ |
| HTTPS インスペクション | ◯ | ◯ |
| 高度なマルウェア対策 (AMP) | ✕ | ◯ |
| 侵入検知および防御(SNORT IPS/IDS) |
✕ |
✕ |
vMX シリーズ
| ◯ - 対応 ✕ - 非対応 |
vMX-Small | vMX-Medium | vMX-Large |
|
デュアル WAN |
該当なし | 該当なし | 該当なし |
| 3G/4G/5G フェイルオーバー | 該当なし | 該当なし | 該当なし |
| 内蔵 LTE モデムモデルあり | 該当なし | 該当なし | 該当なし |
| 内蔵ワイヤレス利用可 | 該当なし | 該当なし | 該当なし |
| 内蔵 PoE+ モデルあり | 該当なし | 該当なし | 該当なし |
| WAN ファイバー接続 | 該当なし | 該当なし | 該当なし |
| デュアル電源 | 該当なし | 該当なし | 該当なし |
| フォームファクター | 仮想 | 仮想 | 仮想 |
| HTTPS インスペクション | 該当なし | 該当なし | 該当なし |
| 高度なマルウェア対策 (AMP) | 該当なし | 該当なし | 該当なし |
| 侵入検知および防御(SNORT IPS/IDS) | 該当なし | 該当なし | 該当なし |
ユースケース推奨
ユースケースの推奨は、デバイスのスループット、利用可能な機能セット、最大フローテーブル容量に基づきます。この計算では、各クライアントが最大50フローを消費するとみなします。
MX シリーズ
| MX67 | MX68 | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
| 推奨最大デバイス数 | 50 | 50 | 200 | 250 | 500 | 750 | 2,000 | 10,000 |
Z シリーズ
| Z3 (C) | Z4 (C) | |
| 推奨最大デバイス数 | 5 | 15 |
vMX シリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
| 推奨最大デバイス数 | 500 | 2,500 | 10,000 |
機能別データ
以下の項目にご注意ください:
- サイト間 VPN トンネルの最大数は、クライアントトラフィックが VPN トンネル上で転送されていないラボテストシナリオに基づいています。
- 推奨されるサイト間 VPN トンネル最大数は、クライアントトラフィックが VPN トンネル上で転送されているラボテストシナリオに基づいています。
- クライアント VPN 接続が 500 を超える場合は、負荷分散を活用できます。
- WAN の動的経路選択やトンネルフェイルオーバーの発生前に、所定の条件が満たされている必要があります。
MX シリーズ
| MX67 | MX68 | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
| サイト間 VPN トンネル最大数 | 50 | 50 | 75 | 200 | 500 | 1,000 | 3,000 | 5,000 |
| 推奨サイト間 VPN トンネル最大数 | 50 | 50 | 75 | 100 | 250 | 500 | 1,000 | 1,500 |
| クライアント VPN トンネル最大数 | 50 | 50 | 75 | 100 | 250 | 250 | 500 | 500 |
| AnyConnect セッション最大数 | 100 | 100 | 250 | 250 | 500 | 750 | 1,000 | 1,500 |
| WAN フェイルオーバー | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 | 5 秒未満 |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
| 動的経路選択 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
Z シリーズ
| Z3 (C) | Z4 (C) | |
| サイト間 VPN トンネル最大数 | 10 | 10 |
| 推奨サイト間 VPN トンネル最大数 | 4 | 8 |
| クライアント VPN トンネル最大数 | 1 | 2 |
| WAN フェイルオーバー | 5 秒未満 | 5 秒未満 |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 |
| 動的経路選択 | 1 秒未満 | 1 秒未満 |
vMX シリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
| サイト間 VPN トンネル最大数 | 50 | 250 | 1,000 |
| 推奨サイト間 VPN トンネル最大数 | 50 | 250 | 1,000 |
| クライアント VPN トンネル最大数 | 50 | 250 | 500 |
| WAN フェイルオーバー | 該当なし | 該当なし | 該当なし |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 | 1 秒未満 |
| 動的経路選択 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
フローとセッションデータ
各アプライアンスがサポートするフロー数またはオープンセッション数を理解することは重要です。サイジングのために、フローとは過去5分間にオープンソケット上で送信が行われた通信を指します。なお、これは推奨フローキャパシティの値ではなく、各値は最大値である点にご注意ください。
MX シリーズ
| MX67 | MX68 | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
| 同時セッション最大数 | 25,000 | 25,000 | 50,000 | 125,000 | 200,000 | 250,000 | 500,000 | 1,000,000 |
Z シリーズ
| Z3 (C) | Z4 (C) | |
| 同時セッション最大数 | 5,000 | 10,000 |
vMX シリーズ
| vMX-Small | vMX-Medium | vMX-Large | |
| 同時セッション最大数 | 25,000 | 125,000 | 1,000,000 |
パフォーマンスデータ
業界標準のベンチマークは、MX アプライアンスを他社製品と比較する際の参考となります。これらのテストは、理想的なトラフィックパターンおよび完全なネットワーク環境下を前提としています。特定機能の最大スループット測定時には、明記されている場合を除き、他のすべての機能は無効化されています。実際の結果は異なる場合があります。
ご確認時には、以下の項目にご注意ください:
- ファイアウォールスループットのテストは以下の構成で実施されています:
- レイヤー3ファイアウォール有効
- QoS
- DPI(NBAR)
- 高度なセキュリティスループットテストは、MX シリーズデバイスに対して以下の構成で実施されています:
- QoS
- DPI(NBAR)
- IPSルールセット:‘Connectivity’
- AMP有効
- コンテンツフィルタリング有効
- IPSモードは検知または防御モード
- シングルおよびマルチトンネルVPNスループットテストは以下の構成で実施されています:
- QoS
- DPI(NBAR)
- レイヤー3ファイアウォール有効
- セキュアテレワーカースループットテストは、Z シリーズデバイスに対して以下の構成で実施されています:
- QoS
- DPI(NBAR)
- AMP有効
MX シリーズ
| MX67 | MX68 | MX75 | MX85 | MX95 | MX105 | MX250 | MX450 | |
|
ファイアウォール |
700 Mbps | 700 Mbps | 1 Gbps | 1 Gbps | 3 Gbps | 5 Gbps | 7.5 Gbps | 10 Gbps |
|
ファイアウォールスループット EMIX |
700 Mbps | 700 Mbps | 1 Gbps | 1 Gbps | 3 Gbps | 5 Gbps | 7 Gbps | 10 Gbps |
|
NGFW スループット EMIX |
300 Mbps | 300 Mbps | 500 Mbps | 500 Mbps | 1.5 Gbps | 2 Gbps | 2 Gbps | 5 Gbps |
|
NGFW スループット EMIX |
400 Mbps | 400 Mbps | 1 Gbps | 1 Gbps | 2 Gbps | 2.5 Gbps | 3 Gbps | 7 Gbps |
|
VPN スループット RFC2544 1400 Byte |
400 Mbps | 400 Mbps | 1 Gbps | 1 Gbps | 2.5 Gbps | 3.5 Gbps | 4 Gbps | 6.5 Gbps |
| VPN スループット EMIX | 300 Mbps | 300 Mbps | 1 Gbps | 1 Gbps | 2.5 Gbps | 3.5 Gbps | 3.5 Gbps | 6.5 Gbps |
注:NGFW = 次世代ファイアウォール、EMIX = エンタープライズミックス
Z シリーズ
| Z3 (C) | Z4 (C) | |
| セキュアテレワーカースループット | 該当なし | 500 Mbps |
|
ファイアウォール |
200 Mbps | 500 Mbps |
|
ファイアウォールスループット EMIX |
200 Mbps | 500 Mbps |
|
VPN スループット RFC2544 1400 Byte |
75 Mbps | 250 Mbps |
| VPN スループット EMIX | 50 Mbps | 250 Mbps |
vMX シリーズ
|
|
vMX-Small | vMX-Medium | vMX-Large |
|
NGFW スループット EMIX |
200 Mbps | 500 Mbps | 1 Gbps |
| ファイアウォール スループット RFC2544 - 1518 Byte |
250 Mbps | 500 Mbps | 1 Gbps |
|
ファイアウォールスループット EMIX |
250 Mbps | 500 Mbps | 1 Gbps |
|
VPN スループット RFC2544 - 1400 Byte |
250 Mbps | 500 Mbps | 1 Gbps |
| VPN スループット EMIX | 250 Mbps | 500 Mbps | 1 Gbps |
機能、メリット、およびパフォーマンスへの影響
機能とメリット
各機能は、特定のユースケースに合わせた高度なメリットを提供します。以下は、機能の詳細、ユースケース、および導入や運用における適切なサイジング推奨に関する説明です。
Cisco Advanced Malware Protection (AMP)
Cisco Advanced Malware Protection(AMP)は、MX セキュリティアプライアンスに統合された業界トップクラスのマルウェア対策技術です。
ゲスト VLAN には本機能を無効化し、ファイアウォールルールを活用してゲスト VLAN を分離する運用を検討してください。また、ネットワーク内のクライアントが AMP for Endpoints などのフルマルウェアクライアントで保護されている場合も、本機能の無効化を検討してください。
コンテンツフィルタリング
コンテンツフィルタリング(Cisco TALOS による提供)は、組織のポリシーに基づき特定カテゴリの Web サイトをブロックできます。
必要なカテゴリのみをブロックし、組織のセキュリティガイドラインと整合を図ることを推奨します。
Web セーフサーチ
MX セキュリティアプライアンスでは、すべての Web 検索にセーフサーチフィルタリングを強制適用することができます。
有効化には「暗号化された検索を無効にする」オプションと併用する必要があります。
Cisco IPS/IDS(SNORT)
Snort を活用した侵入検知および防御(IPS/IDS)は、悪意ある活動からネットワークを監視・保護します。
‘Connectivity’ 以外のルールセットはパフォーマンスへの影響が大きくなります。また、帯域幅が限られた環境では IDS/IPS の syslog データを VPN 経由で送信しない運用を検討してください。
HTTPS インスペクション
HTTPS インスペクションは、HTTPS トラフィックの可視化および制御を可能にし、高度なセキュリティ機能を強化します。
Cisco Umbrella SD-WAN 拡張によるエッジまたはコンセントレーター機器へのオフロード活用で、MX デバイスへのパフォーマンス影響を低減できます。
VPN トンネル数
Auto VPN により、拠点間の VPN トンネルが自動的かつシームレスに確立されます。
セキュリティサービスをネットワークエッジで展開する際には、スプリットトンネル VPN の利用もご検討ください。
FIPS モード
FIPS モードは、MX デバイスで FIPS 準拠メカニズムのみを使用するモードです。
本機能利用を計画される際は、アカウント担当者と相談し、適切なサイジングやネットワーク設計をご検討ください。
パフォーマンス影響内訳
| 機能名 | パフォーマンスへの影響 |
| Cisco Advanced Malware Protection(AMP) | 低 |
| コンテンツフィルタリング | 低 |
| Web セーフサーチ | 低 |
| FIPS モード(VPN 以外のサービス) | 低 |
| Cisco IDS/IPS(SNORT) | 中 |
| HTTPS インスペクション(端末上、オフロードなし) | 高 |
| VPN トンネル数 | 高 |
| FIPS モード(VPN サービス) | 高 |