MX サイジングガイド (MX19.1以降)
このドキュメントは原文を 2026年03月26日付けで翻訳したものです。
最新の情報は原文をご確認ください。
このドキュメントの用途
現在のファームウェア バージョン: MX 19.1x
このドキュメントは、MX ファイアウォール アプライアンスを導入するネットワークのアーキテクチャおよび設計を支援する目的で使用します。このドキュメントは、主に次のような疑問に答えるために作成されています。
- 評価すべき MX モデルをどのように判断すればよいですか。
- 有効化した機能によってデバイスのパフォーマンスはどのように変化しますか。
- MX モデルは他社ベンダー製品と比べてどうですか。
ネットワーク環境はそれぞれ固有であるため、設計および実装をさらに検証する目的で、このドキュメントを概念実証(PoC)とあわせて活用することを強く推奨します。
MX の各メジャー ファームウェア バージョンのリリースに伴い、スループット、機能固有のデータ、またはフローやセッション固有のデータが変更される場合があります。このドキュメントでは、さまざまなシナリオおよび環境における、これらの MX パフォーマンス メトリクスに関するガイダンスを提供します。
注: 各ネットワーク環境およびトラフィック プロファイルは固有です。このドキュメントに記載している数値は、ネットワークやトラフィック プロファイルに悪影響を及ぼす挙動が存在しない隔離されたテスト環境で取得されたものである点を考慮する必要があります。
このドキュメントで詳述するパフォーマンス メトリクスは、上記の現在のファームウェア バージョンに基づいています。ただし、C8455-G2-MX は MX 19.2.x ファームウェア バージョンに基づいており、C8111-G2-MX、C8121-G2-MX は MX 26.1 ファームウェア バージョンに基づいています。すべてのプラットフォームが最新の安定版ファームウェアをサポートできるわけではない点に注意してください。これに関する詳細はこちらを参照してください。
ポートフォリオの機能
Cisco Meraki MX Security and SD-WAN Appliances は、Unified Threat Management(UTM)と SD-WAN を 1 台に統合した高機能なオールインワン デバイスです。
適切な MX の選定は、ユースケースと導入特性によって異なります。
vMX デバイスの詳細なサイジングと機能については、vMX 専用データシート を参照してください。
以下に、MX、Z-Series、および vMX ポートフォリオのハードウェア機能の内訳を示します。
MX-Series
MX67(C/W) デバイスでは、切り替え可能な LAN インターフェイスを介してデュアル WAN を利用できます。
セルラー機能が統合されていないモデルでは、MG セルラー ゲートウェイを活用することでセルラー フェイルオーバーを利用できます。
デュアル電源モデルはアクティブ/スタンバイの冗長電源を備えており、電源の合算供給は行いません。
MX68 および MX75 の PoE+ 機能は LAN ポートで利用できます。MX85、MX95、および MX105 の PoE+ 機能は WAN ポートで利用できます。これらのポートから MG への PoE/PoE+ 給電がサポートされます。追加の詳細については、製品固有のデータシートを参照してください。
HTTPS Inspection は、Cisco Umbrella SD-WAN extension を介して対象プラットフォームでネイティブに利用できるほか、VPN 経由で到達可能なサードパーティ プロバイダー経由でも利用できます。
|
◯ -> 対応 |
MX67 (C/W) |
MX68 (W/CW) | MX75 | C8111-G2-MX C8121-G2-MX |
MX85 | MX95 | MX105 | MX250 | MX450 | C8455-G2-MX |
|---|---|---|---|---|---|---|---|---|---|---|
|
デュアル アクティブ WAN |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 3G/4G フェイルオーバー | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 内蔵 LTE モデム* | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ |
| 内蔵 Wi-Fi** | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ |
| 内蔵 PoE+ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ✕ |
| WAN 光ファイバー接続 | ✕ | ✕ | SFP | ✕ | SFP | SFP+ | SFP+ | SFP, SFP+ | SFP, SFP+ | SFP28 |
| デュアル電源 | ✕ | ✕ | ✕ | ✕ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ |
| フォーム ファクタ | デスクトップ | デスクトップ | デスクトップ | デスクトップ | 1U | 1U | 1U | 1U | 1U | 1U |
| HTTPS Inspection | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| Advanced Malware Protection (AMP) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| 侵入検知および防御 (SNORT IPS/IDS) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
* - MX モデル名に C が付く場合のみです。例: MX67C、MX68C
** - MX モデル名に W が付く場合のみです。例: MX67W、MX68W
Z-Series
| Z3 (C) | Z4 (C) | |
| デュアル アクティブ WAN | ✕ | ✕ |
| 3G/4G フェイルオーバー対応モデルあり | ◯ | ◯ |
| 内蔵 LTE モデム搭載モデルあり | ◯ | ◯ |
| 内蔵 Wi-Fi 搭載モデルあり | ◯ | ◯ |
| 内蔵 PoE (LAN ポート) 搭載モデルあり | ◯ (802.3af, PoE) | ◯ (802.3at, PoE+) |
| WAN 光ファイバー接続 | ✕ | ✕ |
| デュアル電源 | ✕ | ✕ |
| フォーム ファクタ | デスクトップ | デスクトップ |
| HTTPS Inspection | ◯ | ◯ |
| Advanced Malware Protection (AMP) | ✕ | ◯ |
| 侵入検知および防御 (SNORT IPS/IDS) |
✕ |
✕ |
vMX-Series
| vMX-Small | vMX-Medium | vMX-Large | |
|
デュアル WAN |
N/A | N/A | N/A |
| 3G/4G/5G フェイルオーバー | N/A | N/A | N/A |
| 内蔵 LTE モデム搭載モデルあり | N/A | N/A | N/A |
| 内蔵ワイヤレス搭載モデルあり | N/A | N/A | N/A |
| 内蔵 PoE+ 搭載モデルあり | N/A | N/A | N/A |
| WAN 光ファイバー接続 | N/A | N/A | N/A |
| デュアル電源 | N/A | N/A | N/A |
| フォーム ファクタ | 仮想 | 仮想 | 仮想 |
| HTTPS Inspection | N/A | N/A | N/A |
| Advanced Malware Protection (AMP) | N/A | N/A | N/A |
| 侵入検知および防御 (SNORT IPS/IDS) | ◯ (MX 19.1+、4+ vCPU コア インスタンスのみ) | ◯ (MX 19.1+、4+ vCPU コア インスタンスのみ) | ◯ (MX 19.1+、4+ vCPU コア インスタンスのみ) |
ユースケースの推奨
ユースケースの推奨値は、デバイスのスループット、利用可能な機能セット、およびフロー テーブルの最大容量に基づいています。この計算では、各クライアントは最大 50 フローを消費するとみなします。
MX-Series
| MX67 | MX68 | MX75 | C8111-G2-MX C8121-G2-MX |
MX85 | MX95 | MX105 | MX250 | MX450 | C8455-G2-MX | |
| 推奨される最大デバイス数 | 50 | 50 | 200 | 200 | 250 | 500 | 750 | 2,000 | 10,000 | 15,000 |
| 最大ルート数 | 10,000 | 10,000 | 10,000 | 10,000 | 10,000 | 10,000 | 10,000 | 17,000 | 17,000 | 50,000 |
Z-Series
| Z3 (C) | Z4 (C) | |
| 推奨される最大デバイス数 | 5 | 15 |
| 最大ルート数 | 5,000 | 5,000 |
vMX-Series
| vMX-Small | vMX-Medium | vMX-Large | |
| 推奨される最大デバイス数 | 500 | 2,500 | 10,000 |
| 最大ルート数 | 10,000 | 10,000 | 10,000 |
機能固有のデータ
次の項目に注意してください。
- サイト間 VPN トンネルの最大数は、VPN トンネル上でクライアント トラフィックが転送されていないラボ テスト シナリオに基づいています。
- 推奨されるサイト間 VPN トンネルの最大数は、VPN トンネル上でクライアント トラフィックが転送されるラボ テスト シナリオに基づいています。
- 500 を超える接続が必要な場合は、クライアント VPN のロード バランシングを利用できます。
- WAN、ダイナミック パス選択、またはトンネル フェイルオーバー時間が発生する前に、条件を満たす必要があります。
MX-Series
| MX67 | MX68 | MX75 | C8111-G2-MX C8121-G2-MX |
MX85 | MX95 | MX105 | MX250 | MX450 | C8455-G2-MX | |
| サイト間 VPN トンネルの最大数 | 50 | 50 | 75 | 150 | 200 | 500 | 1,000 | 3,000 | 5,000 | 5,000 |
| 推奨されるサイト間 VPN トンネルの最大数 | 50 | 50 | 75 | 150 | 100 | 250 | 500 | 1,000 | 1,500 | 3,500 |
| クライアント VPN トンネルの最大数 | 50 | 50 | 75 | 100 | 100 | 250 | 250 | 500 | 500 | 500 |
| AnyConnect セッションの最大数 | 100 | 100 | 250 | 250 | 250 | 500 | 750 | 1000 | 1500 | 1500 |
| WAN フェイルオーバー | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 | < 5 秒 |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
| ダイナミック パス選択 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
Z-Series
| Z3 (C) | Z4 (C) | |
| サイト間 VPN トンネルの最大数 | 10 | 10 |
| 推奨されるサイト間 VPN トンネルの最大数 | 4 | 8 |
| クライアント VPN トンネルの最大数 | 1 | 2 |
| WAN フェイルオーバー | < 5 秒 | < 5 秒 |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 |
| ダイナミック パス選択 | 1 秒未満 | 1 秒未満 |
vMX-Series
| vMX-Small | vMX-Medium | vMX-Large | |
| サイト間 VPN トンネルの最大数 | 50 | 250 | 1,000 |
| 推奨されるサイト間 VPN トンネルの最大数 | 50 | 250 | 1,000 |
| クライアント VPN トンネルの最大数 | 50 | 250 | 500 |
| WAN フェイルオーバー | N/A | N/A | N/A |
| Auto VPN トンネル フェイルオーバー | 1 秒未満 | 1 秒未満 | 1 秒未満 |
| ダイナミック パス選択 | 1 秒未満 | 1 秒未満 | 1 秒未満 |
フローおよびセッション データ
各アプライアンスでサポートされるフロー数、またはオープン セッション数を理解することが重要です。サイジングの観点では、フローとは過去 5 分以内にオープン ソケット上で行われたあらゆる通信を指します。 なお、これは推奨フロー容量を示す数値ではなく、あくまで最大値です。
MX-Series
| MX67 | MX68 | MX75 | C8111-G2-MX C8121-G2-MX |
MX85 | MX95 | MX105 | MX250 | MX450 | C8455-G2-MX | |
| 最大同時セッション数 | 25,000 | 25,000 | 50,000 | 100,000 | 125,000 | 200,000 | 250,000 | 500,000 | 1,000,000 | 1,500,000 |
Z-Series
| Z3 (C) | Z4 (C) | |
| 最大同時セッション数 | 5,000 | 10,000 |
vMX-Series
| vMX-Small | vMX-Medium | vMX-Large | |
| 最大同時セッション数 | 25,000 | 125,000 | 1,000,000 |
パフォーマンス データ
業界標準のベンチマークは、MX アプライアンスを他社ベンダー製品と比較する際に役立つよう設計されています。これらのテストは、理想的なトラフィック パターンと完全なネットワーク条件を前提としています。特定機能の最大スループットを測定する際は、以下で特に記載がない限り、すべての機能を無効化しています。実際の結果は異なる場合があります。
確認時には次の項目に注意してください。
- ファイアウォール スループット テストには、次の構成が適用されています。
- レイヤー 3 ファイアウォール有効
- QoS
- DPI (NBAR)
- 高度なセキュリティ スループット テストは、MX-Series デバイスに対して次の構成で実施されています。
- QoS
- DPI (NBAR)
- IPS ルールセット: 'Connectivity'
- AMP 有効
- コンテンツ フィルタリング有効
- IPS モードは Detection または Prevention 構成
- シングルおよびマルチトンネル VPN スループット テストには、次の構成が適用されています。
- QoS
- DPI (NBAR)
- レイヤー 3 ファイアウォール有効
- セキュア テレワーカー スループット テストは、Z-Series デバイスに対して次の構成で実施されています。
- QoS
- DPI (NBAR)
- AMP 有効
注: 実施されたテストでは、複数のクライアント(送信元)と複数のサーバー(宛先)を使用しています。マルチフローおよび単一送信元のテスト手法では、このガイドに記載されている結果よりも低い値になる場合があります。
MX-Series
| MX67 | MX68 | MX75 | C8111-G2-MX C8121-G2-MX |
MX85 | MX95 | MX105 | MX250 | MX450 | C8455-G2-MX | |
|
ファイアウォール |
700 Mbps | 700 Mbps | 1 Gbps | 2 Gbps | 1 Gbps | 3 Gbps | 5 Gbps | 7.5 Gbps | 10 Gbps | 20 Gbps |
|
ファイアウォール スループット EMIX |
700 Mbps | 700 Mbps | 1 Gbps | 2 Gbps | 1 Gbps | 3 Gbps | 5 Gbps | 7 Gbps | 10 Gbps | 20 Gbps |
|
NGFW スループット EMIX |
300 Mbps | 300 Mbps | 500 Mbps | 1 Gbps | 500 Mbps | 1.5 Gbps | 2 Gbps | 2 Gbps | 5 Gbps | 8 Gbps |
|
NGFW スループット EMIX |
400 Mbps | 400 Mbps | 1 Gbps | 1.2 Gbps | 1 Gbps | 2 Gbps | 2.5 Gbps | 3 Gbps | 7 Gbps | 8 Gbps |
|
VPN スループット RFC2544 1400 Byte |
400 Mbps | 400 Mbps | 1 Gbps | 1.2 Gbps | 1 Gbps | 2.5 Gbps | 3.5 Gbps | 4 Gbps | 6.5 Gbps | 10 Gbps |
| VPN スループット EMIX | 300 Mbps | 300 Mbps | 1 Gbps | 1.1 Gbps | 1 Gbps | 2.5 Gbps | 3.5 Gbps | 3.5 Gbps | 6.5 Gbps | 10 Gbps |
注: NGFW = 次世代ファイアウォール、EMIX = エンタープライズ ミックス
Z-Series
| Z3 (C) | Z4 (C) | |
| セキュア テレワーカー スループット | NA | 500 Mbps |
|
ファイアウォール |
200 Mbps | 500 Mbps |
|
ファイアウォール スループット EMIX |
200 Mbps | 500 Mbps |
|
VPN スループット RFC2544 1400 Byte |
75 Mbps | 250 Mbps |
| VPN スループット EMIX | 50 Mbps | 250 Mbps |
vMX-Series
|
|
vMX-Small | vMX-Medium | vMX-Large |
|
NGFW スループット EMIX |
200 Mbps | 500 Mbps | 1 Gbps |
| ファイアウォール スループット RFC2544 - 1518 Byte |
250 Mbps | 500 Mbps | 1 Gbps |
|
ファイアウォール スループット EMIX |
250 Mbps | 500 Mbps | 1 Gbps |
|
VPN スループット RFC2544 - 1400 Byte |
250 Mbps | 500 Mbps | 1 Gbps |
| VPN スループット EMIX | 250 Mbps | 500 Mbps | 1 Gbps |
機能、利点、およびパフォーマンスへの影響
機能と利点
各機能は、特定のユースケースに合わせた高度な利点を提供します。以下では、各機能、そのユースケース、および導入や実装に適したサイジングに関する推奨事項を説明します。
Cisco Advanced Malware Protection (AMP)
Cisco Advanced Malware Protection (AMP) は、MX Security Appliances に統合された業界をリードするマルウェア対策技術です。
ゲスト VLAN ではこの機能を無効にし、ファイアウォール ルールを使用してゲスト VLAN を分離することを検討してください。また、ネットワーク内のクライアントが AMP for Endpoints などのフル機能のマルウェア対策クライアントによって保護されている場合も、無効化を検討してください。
コンテンツ フィルタリング
Cisco TALOS を利用したコンテンツ フィルタリングでは、組織のポリシーに基づいて特定のカテゴリの Web サイトをブロックできます。
組織のセキュリティ ガイドラインに沿って、必要なカテゴリのみをブロックすることを検討してください。
Web-Safe Search
MX Security Appliances には、すべての Web 検索で Web 検索フィルタリングを強制適用するオプションがあります。
有効に機能させるには、"disable encrypted search" オプションと併せて導入する必要があります。
Cisco IPS/IDS (SNORT)
Snort を利用した侵入検知および防御は、悪意のあるアクティビティからネットワークを監視および保護します。
'Connectivity' 以外のルールセットは、より大きなパフォーマンスへの影響があります。また、低帯域幅環境では IDS/IPS の syslog データを VPN 経由で送信しないことも検討してください。
HTTPS Inspection
HTTPS Inspection は、HTTPS トラフィックを検査して処理できるようにすることで、高度なセキュリティ機能を強化します。
Cisco Umbrella SD-WAN extensions を使用してエッジ デバイスまたはコンセントレータ デバイスから処理をオフロードすると、MX デバイスへのパフォーマンス影響を軽減できます。
VPN トンネル数
Auto VPN は、サイト間に VPN トンネルを自動的かつシームレスに作成します。
ネットワーク環境のエッジでセキュリティ サービスを展開する際は、スプリット トンネル VPN の使用を検討してください。
FIPS モード
FIPS モードでは、MX デバイスで FIPS 準拠のメカニズムのみを使用できます。
この機能の活用を計画している場合は、適切なサイジングとネットワーク アーキテクチャについて担当のアカウント スペシャリストに相談することを検討してください。
パフォーマンス影響の内訳
| 機能名 | パフォーマンスへの影響 |
| Cisco Advanced Malware Protection (AMP) | 低 |
| Content Filtering | 低 |
| Web-Safe Search | 低 |
| FIPS Mode (Non-VPN Services) | 低 |
| Cisco IDS/IPS (SNORT) | 中 |
| HTTPS Inspection (On device, not offloaded) | 高 |
| Number of VPN Tunnels | 高 |
| FIPS Mode (VPN Services) | 高 |