MX サイジングガイド (MX18.2以降)

本ドキュメントの狙い

対象 MX ファームウェアバージョン : MX18.2 以降

このドキュメントは、MXファイアウォールアプライアンスが存在するネットワークのアーキテクチャと設計を支援することを目的としています。

このドキュメントでは以下のような疑問を解決するのに役立ちます。

評価対象とする MX の選定基準
動作させているセキュリティ機能が与えるパフォーマンスへの影響
MXモデルと他のベンダー機器との比較

ネットワーク環境はユーザによって千差万別であるため、設計と実装のさらなる検証のためにこのドキュメントを根拠として活用することを強く推奨します。

各MXファームウェアバージョンのメジャーリリースにより、スループット、特定の機能データ、またはフローとセッションの特定のデータが変更される可能性があります。このドキュメントは、これらのMXパフォーマンス指標について、さまざまなシナリオと環境でのガイダンスとなることが期待されます。

各ネットワーク環境とトラフィックの特徴は独自のものであることに注意してください。このドキュメントで提示されている数値は、有害なネットワークや特徴のあるトラフィックの挙動が存在しない状態でのテスト中に取得されたものであるということにご留意ください。

モデルごとのサポート機能一覧

Cisco Meraki MX セキュリティ/SD-WAN アプライアンスは、統合脅威管理（UTM）とSD-WANを強力な一体型デバイスで提供します。

適切なMXの選択は、使用ケースと展開の特性に依存します。 vMXデバイスの詳細なサイズと利用できる機能については、vMX特定のデータシートをご覧ください。

以下は、MX、Zシリーズ、および vMX ポートフォリオで利用できる機能の内訳です。

MX シリーズ

MX67(C/W) において Dual WAN は LAN インターフェースと WAN に変換することで利用可能です。

セルラー回線が非内蔵のモデルにおけるセルラー回線へのフェイルオーバーは MG セルラーゲートウェイを経由して行う必要があります。

電源が２つあるモデルはアクティブ/スタンバイ用の冗長電源となっており、２つの電源を統合して使用することはできません。

MX68 および MX75の PoE+ 機能は LAN ポートでのみ利用可能です。MX85、MX95および MX105の PoE+ は WAN ポートで利用可能です。PoE/PoE による MG への電源供給がサポートされていますが、詳細については各製品のデータシートをご参照ください。

HTTPS インスペクション(検査) 機能は以下に示すモデルで Cisco Umbrella SD-WAN 拡張、あるいは VPN を経由したサードパーティプロバイダによって提供されます。

◯ : 利用可　X :利用不可	MX67 (C/W)	MX68 (W/CW)	MX75	MX85	MX95	MX105	MX250	MX450
冗長アクティブ WAN	◯	◯	◯	◯	◯	◯	◯	◯
3G/4G フェイルオーバー	◯	◯	◯	◯	◯	◯	◯	◯
内蔵 LTE モデム※	◯	◯	X	X	X	X	X	X
内蔵 Wi-Fi※※	◯	◯	X	X	X	X	X	X
PoE+ ポート	X	◯	◯	◯	◯	◯	X	X
WAN光ファイバー接続	X	X	SFP	SFP	SFP+	SFP+	SFP, SFP+	SFP, SFP+
冗長電源	X	X	X	X	X	◯	◯	◯
フォームファクタ	デスクトップ	デスクトップ	デスクトップ	1U	1U	1U	1U	1U
HTTPS インスペクション	◯	◯	◯	◯	◯	◯	◯	◯
Advanced Malware Protection (AMP)	◯	◯	◯	◯	◯	◯	◯	◯
侵入検知/防止 (SNORT IPS/IDS)	◯	◯	◯	◯	◯	◯	◯	◯

※ - 製品名に "C" がつくモデルのみ対象例 : MX67C、MX68C

※※- 製品名に "W" がつくモデルのみ対象例 : MX67W、MX68W

Z シリーズ

◯ : 利用可　X :利用不可	Z3 (C)	Z4 (C)
冗長アクティブ WAN	X	X
3G/4G フェイルオーバー	◯	◯
内蔵 LTE モデム	◯	◯
内蔵 Wi-Fi	◯	◯
PoE+ ポート	◯ (802.3af, PoE)	◯ (802.3at, PoE+)
WAN光ファイバー接続	X	X
冗長電源	X	X
フォームファクタ	デスクトップ	デスクトップ
HTTPS インスペクション	◯	◯
Advanced Malware Protection (AMP)	X	◯
侵入検知/防止 (SNORT IPS/IDS)	X	X

vMX シリーズ

◯ : 利用可　X :利用不可	vMX-Small	vMX-Medium	vMX-Large	vMX-Extra Large
冗長アクティブ WAN	該当なし	該当なし	該当なし	該当なし
3G/4G フェイルオーバー	該当なし	該当なし	該当なし	該当なし
内蔵 LTE モデム	該当なし	該当なし	該当なし	該当なし
内蔵 Wi-Fi	該当なし	該当なし	該当なし	該当なし
PoE+ ポート	該当なし	該当なし	該当なし	該当なし
WAN光ファイバー接続	該当なし	該当なし	該当なし	該当なし
冗長電源	該当なし	該当なし	該当なし	該当なし
フォームファクタ	仮想	仮想	仮想	仮想
HTTPS インスペクション	該当なし	該当なし	該当なし	該当なし
Advanced Malware Protection (AMP)	該当なし	該当なし	該当なし	該当なし
侵入検知/防止 (SNORT IPS/IDS)	該当なし	該当なし	該当なし	該当なし

ユースケース別推奨モデル

推奨されるユースケースは、デバイスのスループット、利用可能な機能セット、および最大フローテーブル容量に基づいています。算出にあたり、各クライアントは最大50フローを消費すると見なしています。

MX シリーズ

	MX67 MX68	MX75	MX85	MX95	MX105	MX250	MX450
推奨最大デバイス数	50	200	250	500	750	2,000	10,000

Z シリーズ

	Z3 (C)	Z4 (C)
推奨最大デバイス数	5	15

vMX シリーズ

	vMX-Small	vMX-Medium	vMX-Large	vMX-Extra Large
推奨最大デバイス数	500	2,500	10,000	20,000

機能別データ

以下の項目に注意してください：

サイト間VPNトンネルの最大数は、X台分のクライアントトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
推奨されるサイト間VPNトンネルの最大数は、クライアントのトラフィックがVPNトンネルを介して転送されるラボテストシナリオに基づいています。
クライアントVPN で500 台以上の接続が必要な場合、ロードバランシングを利用できます。
WAN、動的パス選択、またはトンネルフェイルオーバー時間はそれらが発生する前に基準を満たす必要があります。

MXシリーズ

	MX67 MX68	MX75	MX85	MX95	MX105	MX250	MX450
サイト間VPN 最大トンネル数	50	75	200	500	1,000	3,000	5,000
推奨サイト間VPN 最大トンネル数	50	75	100	250	500	1,000	1,500
クライアントVPN 最大トンネル数	50	75	100	250	250	500	500
AnyConnect 最大セッション数	100	250	250	500	750	1000	1500
WAN フェイルオーバー	5 秒未満	5 秒未満	5 秒未満	5 秒未満	5 秒未満	5 秒未満	5 秒未満
Auto VPN トンネルフェイルオーバー	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満
動的パス選択	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満	1 秒未満

Zシリーズ

	Z3 (C)	Z4 (C)
サイト間VPN最大トンネル数	10	10
推奨サイト間VPN最大トンネル数	4	8
クライアントVPN最大トンネル数	1	2
WAN フェイルオーバー	5 秒未満	5 秒未満
Auto VPN トンネルフェイルオーバー	1 秒未満	1 秒未満
動的パス選択	1 秒未満	1 秒未満

vMXシリーズ

	vMX-Small	vMX-Medium	vMX-Large	vMX-Extra Large
サイト間VPN 最大トンネル数	50	250	1,000	10,000
推奨サイト間VPN 最大トンネル数	50	250	1,000	10,000
クライアントVPN 最大トンネル数	50	250	500	今後公開予定
WAN フェイルオーバー	該当なし	該当なし	該当なし	該当なし
Auto VPN トンネルフェイルオーバー	1 秒未満	1 秒未満	1 秒未満	1 秒未満
動的パス選択	1 秒未満	1 秒未満	1 秒未満	1 秒未満

フロー・セッションデータ

各アプライアンスがサポートするフロー（オープン・セッション）の数を理解することが重要です。サイジングの目的上、フローとは、直近5分以内のオープンソケットでの送信を指します。これは推奨フロー容量数ではなく、これらの値は最大値であることに注意してください。

MXシリーズ

	MX67 MX68	MX75	MX85	MX95	MX105	MX250	MX450
最大同時セッション数	25,000	50,000	125,000	200,000	250,000	500,000	1,000,000

Zシリーズ

	Z3 (C)	Z4 (C)
最大同時セッション数	5,000	10,000

vMXシリーズ

	vMX-Small	vMX-Medium	vMX-Large	vMX-Extra Large
最大同時セッション数	25,000	125,000	1,000,000	1,000,000

パフォーマンスデータ

業界標準のベンチマークは、MXアプライアンスを他のベンダーのアプライアンスと比較するのに役立つように設計されています。これらのテストは、理想的なトラフィックパターンを持つ完璧なネットワーク条件を想定しています。特定の機能の最大スループットを測定する場合、他の機能はすべて無効にします。実際の結果は異なります。

検討する際、以下の項目に注意してください。

次世代のファイアウォールテストでは以下の機能を有効にしています。
- L3 ファイアウォール
- QoS
- DPI (NBAR)
MX シリーズにおいてAdvanced Security Throughput Tests は以下の設定を有効にして行われています。
- QoS
- DPI (NBAR)
- IPS : 検知モード
- IPS ルールセット: 'コネクティビティ'
- AMP
- コンテンツフィルタリング
Z シリーズにおいてSecure Teleworker Throughput Tests は以下の設定を有効にして行われています。
- QoS
- DPI (NBAR)
- AMP
Multi/Single-Tunnel VPN Throughput test は以下の設定を有効にして行われています。
- QoS
- DPI (NBAR)
- AMP

MXシリーズ

	MX67	MX68	MX75	MX85	MX95	MX105	MX250	MX450
Firewall Throughput RFC2544 - 1518 Byte	700 Mbps	700 Mbps	1 Gbps	1 Gbps	2.5 Gbps	5 Gbps	7.5 Gbps	10 Gbps
Firewall Throughput EMIX	700 Mbps	700 Mbps	1 Gbps	1 Gbps	2.5 Gbps	5 Gbps	7 Gbps	10 Gbps
NGFW Throughput (Advanced Security - Prevention) EMIX	300 Mbps	300 Mbps	500 Mbps	500 Mbps	1.5 Gbps	2 Gbps	1.5 Gbps	3.5 Gbps
NGFW Throughput (Advanced Security - Detection) EMIX	400 Mbps	400 Mbps	1 Gbps	1 Gbps	2 Gbps	2.5 Gbps	3.5 Gbps	7 Gbps
Single Tunnel VPN Throughput RFC2544 1400 Byte	400 Mbps	400 Mbps	1 Gbps	1 Gbps	2.0 Gbps	2.5 Gbps	3 Gbps	3.5 Gbps
Multi-Tunnel VPN Throughput RFC2544 1400 Byte	≤ 400 Mbps	≤ 400 Mbps	1 Gbps	1 Gbps	2.5 Gbps	3 Gbps	3.5 Gbps	4.5 Gbps
Single Tunnel VPN Throughput EMIX	300 Mbps	300 Mbps	1 Gbps	1 Gbps	1.5 Gbps	2 Gbps	2 Gbps	3 Gbps
Multi-Tunnel VPN Throughput EMIX	≤ 300 Mbps	≤300 Mbps	≤ 1 Gbps	≤ 1 Gbps	≤ 1.5 Gbps	≤ 2 Gbps	≤ 2 Gbps	4.5 Gbps

NGFW = Next Generation FireWall
EMIX = Enterprise Mix

Zシリーズ

	Z3 (C)	Z4 (C)
Secure Teleworker Throughput	該当なし	300 Mbps
NGFW Throughput RFC2544 - 1518 Byte	200 Mbps	500 Mbps
NGFW Throughput EMIX	200 Mbps	500 Mbps
Single Tunnel VPN Throughput RFC2544 1400 Byte	75 Mbps	250 Mbps
Single Tunnel VPN Throughput EMIX	50 Mbps	250 Mbps

vMXシリーズ

vMX-Small

vMX-Medium

vMX-Large

vMX-Extra Large

vMX VPN Throughput

iPerf

250 Mbps

500 Mbps

1 Gbps

10 Gbps

各機能の利点とパフォーマンスへの影響について

各機能の利点

各機能は、特定の使用ケースに合わせてカスタマイズされた高度な利点を提供します。以下に、特定の機能、その使用ケース、及び適切なサイズへの適応や実装のための推奨事項について詳述します。

Cisco Advanced Malware Protection (AMP)

Cisco Advanced Malware Protection（AMP）は、Sourcefire®から提供される業界をリードするアンチマルウェア技術で、MXセキュリティアプライアンスに統合されています。ゲストVLANに対してはこの機能を無効にし、ファイアウォールルールを利用してゲストVLANを分離することを検討してください。また、ネットワーク内のクライアントがエンドポイント用AMPなどの完全なマルウェアクライアントによって保護されている場合は、無効化を検討してください。

コンテンツフィルタリング

Cisco TALOSによるコンテンツフィルタリングは、組織のポリシーに基づいて特定のカテゴリのウェブサイトをブロックすることを可能にします。組織のセキュリティガイドラインに沿って、必要なカテゴリのみをブロックすることを検討してください。

ウェブセーフ検索

MXセキュリティアプライアンスは、すべてのウェブ検索をウェブ検索フィルタリングを使用するように強制するオプションを持っています。効果的に機能させるためには、「暗号化された検索を無効化」のオプションと併用する必要があります。

Cisco IPS/IDS (SNORT)

Sourcefire® SNORT®による侵入検知および防止は、ネットワークを悪意のある活動から監視し保護します。 'コネクティビティ' 以外のルールセットはパフォーマンスに大きな影響を与えます。また、帯域幅が低い環境では IDS/IPS syslog データをVPN経由で送信しないことも検討してください。

HTTPS インスペクション

HTTPS インスペクション(検査)は、HTTPSトラフィックを検査し行動をとることができるように、Advanced Security 機能を強化します。 Cisco Umbrella SD-WAN拡張機能を使用してエッジまたはコンセントレータデバイスからの処理をオフロードすると、MX デバイスへのパフォーマンス影響が軽減されます。

VPNトンネルの数

Auto VPNは、サイト間に自動的でシームレスなVPNトンネルを作成します。
ネットワーク環境のエッジでセキュリティサービスを展開する際には、分割トンネルVPNの使用を検討してください。

FIPS モード

FIPSモードは、MXデバイスのFIPS準拠メカニズムのみを使用することを可能にします。
この機能を活用する計画を立てる際には、適切なサイズとネットワークアーキテクチャについてアカウントスペシャリストに相談することを検討してください。

各機能のパフォーマンスへの影響度

機能名	パフォーマンスへの影響度
Cisco Advanced Malware Protection (AMP)	低
コンテンツフィルタリング	低
ウェブセーフ検索	低
FIPS モード (Non-VPN サービス)	低
Cisco IDS/IPS (SNORT)	中
HTTPS インスペクション (デバイスでの処理、オフロードを含まない)	高
VPN トンネルの数	高
FIPS モード (VPN サービス)	高