「2023-09-30 メーカー横断 プロダクト ポートフォリオ比較」の版間の差分
編集の要約なし |
|||
(同じ利用者による、間の93版が非表示) | |||
1行目: | 1行目: | ||
ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。 | |||
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。 | |||
現状ではルータ・スイッチ・ファイアウォールのみを記載。[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]] | |||
== 目的 == | |||
* メーカー横断で対抗となる機種を調べられるようにしたい。 | |||
** 各メーカーごとのプロダクト マッピング (下位機種・上位機種 / 種類) はカタログを読めばわかりますが、メーカー横断の資料は公開されていない | |||
* ビギナー エンジニアが機種全体から見て、自分が対応する機種の位置づけを知ることができる。 | |||
== 想定する読者 == | |||
エンタープライズ / ISP 市場の、SIer / NIer ビギナー エンジニア | |||
== ルータ == | == ルータ == | ||
ルータは主に 3 つの役割に分かれます。初心者は、まず Cisco のブランチルータを把握すると良いでしょう。 | |||
[[ファイル:PE.png|サムネイル|PE]] | |||
[[ファイル:CE.png|サムネイル|CE]] | |||
=== P = Provider Router === | |||
* インターネット サービス プロバイダ (ISP) が内部で使用するルータ | |||
* 大型で高価なものが使用されます | |||
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様 | |||
* 右図からは省略している | |||
=== PE = Provider Edge Router === | |||
* ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ | |||
* 用途によって導入する機種が選定されます | |||
** L2VPN / L3VPN を提供 -> メトロ系 | |||
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系 | |||
** BGP フルルート インターネット接続を提供 -> ハイエンド系 | |||
* P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します | |||
=== CE = Customer Edge Router === | |||
* ユーザが外部ネットワークと接する位置に置かれるルータ | |||
* L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します | |||
** WAN 機能 : PPPoE | |||
** アドレス変換 : NAT , PAT | |||
** VPN : IPsec VPN | |||
* コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります | |||
エンタープライズ系では、DC など大きい拠点に置く'''センタールータ'''、小さい拠点に置く'''ブランチルータ、''' | |||
という分類もあります。 | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ルータ | |+ルータ | ||
!役割 | |||
! colspan="2" |CE | |||
!PE | |||
!CE / PE | |||
!PE / P | |||
!P | |||
|- | |- | ||
! | !セグメント | ||
!ブランチ | !ブランチ | ||
!ローエンド | !ローエンド | ||
11行目: | 64行目: | ||
!ミッドレンジ | !ミッドレンジ | ||
!ハイエンド | !ハイエンド | ||
!ウルトラハイエンド | |||
|- | |- | ||
|Cisco | |Cisco ISR / ME / ASR | ||
旧世代 | 旧世代 | ||
|C892J | |C892J | ||
23行目: | 77行目: | ||
|ASR1000 | |ASR1000 | ||
|ASR9000 | |ASR9000 | ||
|CRS-1 | |||
CRS-3 | |||
CRS-X | |||
|- | |- | ||
|Cisco | |Cisco ISR / NCS / ASR | ||
現世代 | 現世代 | ||
|C891FJ | |C891FJ | ||
33行目: | 91行目: | ||
C8300 | C8300 | ||
|ASR900 | |ASR900 | ||
NCS520 | |||
NCS540 | |||
NCS5500 | |||
NCS5700 | |||
|ASR1000X | |ASR1000X | ||
C8500 | C8500 | ||
|ASR9900 | |ASR9900 | ||
Cisco8100 | |||
Cisco8200 | |||
|Cisco8800 | |||
|- | |- | ||
|Juniper | |Juniper MX / PTX | ||
旧世代 | 旧世代 | ||
| - | | - | ||
| | | MX5 | ||
| | MX10 | ||
|MX80 | |ACX5048 | ||
ACX5096 | |||
|MX40 | |||
MX80 | |||
MX10003 | MX10003 | ||
|PTX1000 | |||
PTX3000 | |||
PTX5000 | |||
|MX10016 | |||
PTX10008 | |||
PTX10016 | PTX10016 | ||
|- | |- | ||
|Juniper | |Juniper ACX / MX / PTX | ||
現世代 | 現世代 | ||
| - | | - | ||
| - | | - | ||
|ACX4000 | |ACX4000 | ||
ACX5448 | |||
|ACX5000 | |ACX5000 | ||
MX204 | |||
MX304 | MX304 | ||
MX480 | MX480 | ||
MX10004 | |||
|MX960 | |MX960 | ||
MX2000 | MX2000 | ||
PTX | |||
|MX2008 | |||
MX2010 | |||
MX2020 | |||
PTX | |||
|} | |} | ||
ルータは、WAN で使用される機能が充実しています。 | |||
* WAN プロトコル : PPPoE / MPLS | |||
* VPN : IPsec / FlexVPN / L2TP | |||
* IP Addressing : NAT | |||
* C8200 , C8300 , C8500 | 一方でレイヤ 3 スイッチと比較してポート単価が高いため、ポート消費量を抑える設計や | ||
レイヤ 3 スイッチに代替出来ないか、検討する知見が求められます。 | |||
* 最近は C9300 スイッチなど IPsec や NAT をサポートしているケースがあります | |||
筆者は初心者のころにブロードバンド ルータを置き換える目的で Catalyst 3560 を買ったのですが、 | |||
PPPoE / NAT が動作しないことを知りませんでした。。 | |||
=== Cisco ISR / ME / ASR === | |||
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。 | |||
* Catalyst : C8200 , C8300 , C8500 | |||
* Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に) | * Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に) | ||
=== Juniper === | ==== ISR800 / 900 (C892J , C921J) ==== | ||
Juniper のブランチ・ローエンド | |||
* パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します | |||
** VPN は暗号化・復号化モジュールを搭載している場合があります | |||
* Cisco のブランチ (拠点) 向けルータ | |||
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していましたが、C921J はついに x86 CPU を搭載しました | |||
* J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています | |||
** C1812J の頃の話 最近の機種は未調査 | |||
==== ISR1100 / 1100X / 1121X / 1127X / 1131X / 1161X ==== | |||
ちょっと高性能なブランチルータ。 | |||
* LTE / WiFi 対応モデルあり | |||
==== ISR4000 ==== | |||
デフォルトではめっちゃ遅いスループットのモデルも存在する、高性能なブランチルータ。 | |||
* ASR1000 の QFP (Quantum Flow Processor) を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します | |||
** CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています | |||
* 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように (=HW ライクに) 動作します | |||
** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました | |||
==== Catalyst 8200L / 8200 / 8300 ==== | |||
* IOS-XE で動作する'''ルータ'''で、ISR4000 の後継機 | |||
* Intel マルチコア CPU の QAT と DPDK が動作し、ASIC ほどではないがハードウェア転送になったアーキテクチャ <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/catalyst-8200-series-edge-platforms/catalyst-8300-8200-series-edge-platforms-architecture-wp.html#Dataplanearchitecture Data plane architecture]</ref> を持ちます | |||
** Intel QuickAssist Technology (QAT) : 暗号化・復号化を高速に行う IPSec 用の機能 | |||
** Data Plane Development Kit (DPDK) : パケット処理にカーネルを挟まず、NIC に CPU コアを割り当ててパケット転送の間隔でポーリングし、転送処理することで高速なパケット転送を行います | |||
*** ポーリング処理に CPU コアを専有するため、8 - 12 コアを搭載しています | |||
==== ASR900 / 920 ==== | |||
* Cisco 独自 Carrior Ethernet ASIC 搭載 <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/asr-920-series-aggregation-services-router/datasheet-c78-733397.html Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet] | |||
Major Differentiators | |||
Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作します | |||
** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります | |||
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました | |||
*** 当時はメトロ系スイッチで、ルータではありませんでした | |||
* 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます | |||
** 無線 LAN でいうと PoE アクセススイッチの位置づけ | |||
*** RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW | |||
*** RF : LTE -> モバイル バックホール RT : ASR920 -> 基地局集約ルータ | |||
==== ASR1000 / -X ==== | |||
* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します | |||
* エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます | |||
==== NCS520 , NCS540 ==== | |||
* マーチャントシリコン搭載、IOS-XE が動作します | |||
* NCS540 は broadcom Qumran 2A (J2 系) | |||
* メトロ (都市間) イーサネット系ルータとして MPLS などをサポート | |||
* ASR9x0 系と被ってます | |||
==== NCS5500 / NCS5700 ==== | |||
* マーチャントシリコン搭載、IOS-XR が動作します | |||
* NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています | |||
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない) | |||
==== CRS-1 , 3 , X ==== | |||
* Cisco Silicon Packet Processor (CRS-1) Cisco QuantumFlow Array Processor を搭載 (CRS-3) し、IOS-XR を採用 | |||
* 日本ではメガキャリアの P ルータで採用例あり | |||
* IOS-XR は Cisco と Fujitsu で共同開発されました | |||
==== ASR9000 ==== | |||
* Cisco 独自 Network Processor を搭載し、IOS-XR が動作します | |||
* 第5世代ラインカードは Lightspeed+ 搭載 | |||
* ラインカードの世代はここ <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/116726-qanda-product-00.html Understand ASR 9000 Series Line Card Types]</ref> を参照 | |||
* Typhoon, Tomahawk based の場合、FIB は IPv4 4M / IPv6 2M <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/213255-asr-9000-ethernet-line-cards-tr-and-se.html ASR 9000 Ethernet Line Cards -TR and -SE Comparison Table and Common Error Messages]</ref> を持つ | |||
==== Cisco8000 ==== | |||
* BOX 型 | |||
** Cisco 8100 , 8200 | |||
* シャーシ型 | |||
** Cisco 8800 | |||
* Cisco Silicon One を搭載し、IOS-XR が動作します | |||
* P4 言語に対応するため別の OS も選択でき、SONiC も動作します | |||
* Juniper の PTX に近いシリーズで、Feature の豊富さは少なめになりそう ? | |||
* 2022/10/18 8111-32EH が発表、Silicon One G100 を搭載する 800G x 32 ポート 25.6Tbps の化け物 | |||
* シャーシ型は、おそらく Nexus 9800 とほぼ共通化されていると思われる | |||
* Interop2023 で、Cisco 8608 が発表された | |||
=== Juniper ACX / MX / PTX === | |||
Juniper のブランチ・ローエンド ルータは、筆者の観測範囲では見てないのでよくわかりません。 | |||
* MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・ | |||
今までは代わりに SRX のブランチ系でカバーしていた気が。今後は SSR を展開していく模様。 | |||
あと <s>MX204 /</s> MX10003 は何ですぐ EoS で死んでしまうん・・・ | |||
* MX204 は復活しました。 -> [https://supportportal.juniper.net/s/article/End-of-Life-Announcement-MX204 Revoke End of Life Announcement: MX204] | |||
MX の Trio ASIC と PTX の Express ASIC の違いは、 | |||
* Trio : 複数のパケット処理エンジンを持つ | |||
* Express : プログラマブル パイプライン <ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-packet-forwarding/ HC34 Juniper Express 5 Packet Forwarding]</ref> を持ち、スループットが高いためポート密度を高くできる | |||
点が異なります。<ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-juniper-routing-asics/ HC34 Juniper Express 5 Juniper Routing ASICs]</ref> | |||
リンク : [https://hc34.hotchips.org/assets/program/conference/day2/Network%20and%20Switches/HC2022.Juniper.ChangHong_Wu.v03.pdf Juniper’s Express 5: A 28.8Tbps Network Routing ASIC and Variations] | |||
==== ACX ==== | |||
* マーチャントシリコン (Broadcom) を使ったルータで、Junos が動作します | |||
** ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます | |||
* Cisco NCS 5500 , 5700 / ASR900 の対抗馬として、メトロ イーサネット用ルータと捉えるのが良さそう | |||
* ACX4000 : MX80 のシャーシを改造したような見た目 | |||
==== MX ==== | |||
* Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します | |||
* Cisco ASR の対抗馬 | |||
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となります | |||
** 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます | |||
*** 例) IPsec VPN / BNG / QoS | |||
** 要件定義で将来使う機能が曖昧なときは、PTX よりも MX を選定します | |||
** 反面ポート密度と速度は、他の機種と比べて低くなります | |||
* '''Trio 4 の MX204''' は 100G x 4 を持ち、フルルート収容可能なルータとしては圧倒的なコストパフォーマンスを持っています | |||
* 2024 年時点の最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref> | |||
==== PTX ==== | |||
* Juniper 独自 Express 系シリコンを使用しており、Junos が動作します | |||
** Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps | |||
*** PTX10001-36MR に搭載 | |||
** Express 5 ASIC : <コードネーム不明> 800G x 36 ポート = 28.8Tbps | |||
* Cisco 8000 の対抗馬 | |||
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要] | |||
'''Juniper Trio 6 – 未知の要件向け''' | |||
'''Juniper Express 5''':Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。 | |||
</ref> しています | |||
** 複雑なことをやらせたくない + 速度を重視したい、P ルータ (メガキャリアのコア) に向いています | |||
** MX と比べると、同じ価格で高いポート密度を実現できるのがメリット | |||
==== SSR (Session Smart Router) ==== | |||
* IPsec を使わないトンネルレス VPN な SD-WAN ルータ | |||
* 再暗号化せずオーバーヘッドの少ない VPN | |||
* App-ID でアプリケーションを識別、音声や動画をローカル ブレイクアウト | |||
* 専用アプライアンス以外に、汎用ハードウェア上に VM で展開可能 | |||
** Juniper NFX | |||
** 認定ハードウェア メーカー : Lenovo , Lanner , Silicom | |||
** クラウド : AWS , Azure , Google | |||
* QR コードで ZTP | |||
=== リファレンス === | |||
[https://www.cisco.com/c/dam/global/ja_jp/products/catalog/pdf/cisco-service-provider-products-catalog.pdf Cisco IOS XR ルータ カタログ] | |||
参考になる URL : [https://www.juniper-ne.jp/router/recommend/ お勧めの製品と選び方] | |||
[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要] | |||
== キャンパス スイッチ == | == キャンパス スイッチ == | ||
[[ファイル:L2SW.png|サムネイル|L2SW]] | |||
キャンパス スイッチは、主に 3 つの役割に分かれます。 | |||
* キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ | |||
下記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。 | |||
初心者は Cisco の C9200 / C9300 を覚えていくと良いでしょう。 | |||
=== アクセススイッチ - レイヤ 2 スイッチ === | |||
* 島ハブやフロアごとに設置されるスイッチ | |||
* ユーザから見て一番近い位置に使用されます | |||
* サーバを収容するスイッチとして使用されることも | |||
=== ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ === | |||
* アクセス スイッチを複数収容するスイッチ | |||
* 小規模ネットワークの場合は省略されます | |||
* 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます | |||
[[ファイル:L3SW.png|サムネイル|L3SW]] | |||
=== コア スイッチ - レイヤ 3 スイッチ === | |||
* アクセススイッチ or ディストリビューション スイッチを複数収容する、LAN のボスとなるスイッチ | |||
** 設計中級者の目指す目標としては、コアスイッチのリプレース案件を統括できるか、というのが良い目標になると思います | |||
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ | |||
* 規模が大きいネットワークや、小規模でも簡易な運用を求められるネットワークでは、シャーシ型スイッチを導入します | |||
* 小規模ネットワークではコアスイッチが CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです | |||
** CPE アドレス = Customer Premises Equipment アドレス | |||
** アクセス層配下の、ユーザが持つアドレスのこと | |||
* 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植して、負担を減らしていくように設計します | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+キャンパス スイッチ | ||
! | !役割 | ||
! colspan="2" |アクセス | |||
!アクセス / | |||
ディストリビューション | |||
!ディストリビューション / | |||
コア | |||
!ディストリビューション / | |||
コア | |||
|- | |||
!レイヤ | |||
!レイヤ 2 | !レイヤ 2 | ||
!レイヤ 2 / 3 | !レイヤ 2 / 3 | ||
! colspan="3" |レイヤ 3 | ! colspan="3" |レイヤ 3 | ||
|- | |- | ||
! | !セグメント | ||
!ローエンド1 | !ローエンド1 | ||
!ローエンド2 | !ローエンド2 | ||
101行目: | 396行目: | ||
|WS-C2960X | |WS-C2960X | ||
WS-C2960XR | WS-C2960XR | ||
WS-C3560CX (1G) | |||
|WS-C3650 | |WS-C3650 | ||
WS-C3850 | WS-C3850 | ||
|WS-C4500-E / -X | |WS-C3850X | ||
WS-C4500-E / -X | |||
C9500 (10G/40G 2024/04 EoS) | |||
|WS-C6500 | |WS-C6500 | ||
C6800 | C6800 | ||
110行目: | 410行目: | ||
現世代 | 現世代 | ||
|C1000 | |C1000 | ||
|C9200L | C1200 | ||
C1300 | |||
|WS-C3560CX(10G) | |||
C9200L | |||
C9200 | C9200 | ||
C9200CX | |||
|C9300L | |C9300L | ||
C9300LM | |||
C9300 | C9300 | ||
|C9400 | |C9300B | ||
C9300X | |||
C9400 | |||
|C9500H | |C9500H | ||
C9500X | C9500X | ||
135行目: | 445行目: | ||
|EX8200 | |EX8200 | ||
EX9251 | EX9251 | ||
EX9253 | |||
|- | |- | ||
|Juniper EX | |Juniper EX | ||
140行目: | 452行目: | ||
| - | | - | ||
|EX2300 | |EX2300 | ||
|EX3400 | |EX4100-F (New !) | ||
|EX4300 | EX3400 | ||
|EX4100 (New !) | |||
EX4300 | |||
EX4400 | EX4400 | ||
|EX4400-24X | |||
EX4600 | |||
EX4650 | |||
EX9200 | |||
|} | |} | ||
Juniper | |||
=== Cisco Catalyst === | |||
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。 | |||
ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。 | |||
==== Catalyst 旧世代 - Sasquatch / Strider ASIC 系 ==== | |||
===== Catalyst 2960 / 2960-Plus ===== | |||
* 100 Base-TX モデル | |||
===== Catalyst 2960L ===== | |||
* 1000 Base-T 最廉価モデル | |||
===== Catalyst 2960S / 2960X ===== | |||
* 1000 Base-T モデル | |||
* モジュール追加でスタックに対応 | |||
===== Catalyst 3560 / 3750 ===== | |||
* 100 Base-TX ローエンド レイヤ 3 スイッチ | |||
* スタック対応 | |||
===== Catalyst 3560G / 3750G ===== | |||
* 1000 Base-T ローエンド レイヤ 3 スイッチ | |||
* スタック対応 | |||
===== Catalyst 3560X / 3750X ===== | |||
* 1000 Base-T ローエンド レイヤ 3 スイッチ | |||
* スタック対応 | |||
* アップリンクモジュールで 10G に対応する | |||
* PAK ライセンスが必要なため、自宅ラボには非推奨 | |||
===== Catalyst 3560CG ===== | |||
* 1000 Base-T ローエンド コンパクト レイヤ 3 スイッチ | |||
* Cisco のコンパクト系にしては珍しく、BGP に対応しない | |||
==== Catalyst 旧世代 - UADP ASIC 系 ==== | |||
===== Catalyst 3650 / 3850 ===== | |||
* UADP ASIC + IOS-XE 搭載 | |||
* スタック帯域幅やアップリンクモジュールの有無などで差別化されている | |||
==== Catalyst 旧世代 - K5 チップセット系 ==== | |||
===== Catalyst 4500 ===== | |||
* ミッドレンジ シャーシ型 レイヤ 3 スイッチ | |||
===== Catalyst 4948 / 4500X ===== | |||
* ミッドレンジ レイヤ 3 スイッチ | |||
==== Catalyst 旧世代 - EARL チップセット系 ==== | |||
===== Catalyst 6500 / 6800 ===== | |||
* ハイエンド シャーシ型 レイヤ 3 スイッチ | |||
==== Catalyst 現世代 - Sasquatch / Strider ASIC 系 ==== | |||
===== Catalyst 1000 ===== | |||
* 2960L の後継機 | |||
* 一部 SKU で 10G アップリンクが搭載されるようになりました | |||
* スタックは組めず、Single IP Management という Horizontal Stack ライクな機能にデグレードされています | |||
* Cross Stack EtherChannel が組めないのは、特に要注意です | |||
===== Catalyst 3560CX ===== | |||
* 最上位機種で 1000 Base-T + 10G-T + 10G-SFP ローエンド コンパクト レイヤ 3 スイッチ | |||
* BGP や UPoE に対応するため、中古で安く手に入れば、自宅ラボにおすすめの一台 | |||
==== Catalyst 現世代 - UADP ASIC 系 ==== | |||
===== Catalyst 9200 / 9200CX ===== | |||
* ローエンド レイヤ 3 スイッチ | |||
* Essential ライセンスのルーティングは役割が限定されるため、設計でカバーする必要があります | |||
** EIGRP Stub : 論理 2 台でルーティング冗長構成にできない | |||
** OSPF 1000 ルートまで | |||
* Advantage ライセンスにしても、TCAM のルート数が多く無いため、デフォルトルートのみ受信させるなどの工夫が必要 | |||
===== Catalyst 9300 / 9300L / 9300LM ===== | |||
* ローエンド レイヤ 3 スイッチ | |||
* 旧世代の 3850 とほぼ変わらないですが、EVPN など機能追加があります | |||
* 9300LM が追加された | |||
** 9300LM : 25G 固定アップリンク + mGig 8 ポート | |||
===== Catalyst 9300X ===== | |||
* ミッドレンジ ボックス型 レイヤ 3 スイッチ | |||
* 9300X は StackWise-1T / 100G アップリンクモジュールに対応 | |||
===== Catalyst 9400 ===== | |||
* ミッドレンジ シャーシ型 レイヤ 3 スイッチ | |||
===== Catalyst 9500 ===== | |||
* 10G / 40G 対応 ミッドレンジ レイヤ 3 スイッチ | |||
* 価格と速度のバランスが一番良いモデル | |||
===== Catalyst 9500H ===== | |||
* 25G / 100G 対応 ハイエンド レイヤ 3 スイッチ | |||
* TCAM がかなり大きいため、高集約の環境で使いやすい | |||
===== Catalyst 9500X ===== | |||
* 100G / 400G 対応 ハイエンド レイヤ 3 スイッチ | |||
* 9500 , 9600 の X 系は ASIC が異なり、Silicon One を搭載している | |||
* 動作する機能は UADP よりも少なく、これから実装される機能も | |||
* 最近 StackWise Virtual に対応しました 17.12.x が Extended Maintenance Release になれば、商用導入できそう | |||
** C9500X-28C8D : 17.10.x- | |||
** C9500X-60L4D : 17.11.x- | |||
===== Catalyst 9600 / 9600X ===== | |||
* ハイエンド シャーシ型 レイヤ 3 スイッチ | |||
* 9500X のシャーシ版 | |||
==== Catalyst 現世代 - Linux カスタマイズ OS ==== | |||
===== Catalyst 1200 / 1300 ===== | |||
* IOS すら動かないスイッチですが、LAG , RSTP , dot1x auth , QoS などそれなりの機能はある模様 | |||
** OS が IOS から '''Customized Linux''' になりました | |||
* Catalyst 1000 の後継機 (たぶん) | |||
* スモール , ミディアムサイズ ビジネス向け <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-1200-series-switches/nb-06-cat1200-1300-ser-upgrade-cte-en.html The Cisco<sup>®</sup> Catalyst<sup>®</sup> 1200 and 1300 Series switches provide simplicity, flexibility, and security for small and medium-sized businesses.]</ref>、とあることからラージ エンタープライズ市場向けとしては対象外と思われます | |||
* C1300 10G アップリンク搭載モデルでスタック対応です | |||
** クロススタック EtherChannel にも対応します | |||
* CLI と GUI があるらしいですが・・・GUI でも 100% コンフィグできる模様 | |||
* 3rd パーティ トランシーバにも対応しています | |||
* あと、ライセンス購入が必要ないです | |||
* Gigabit 8 ポートの SKU に PoE 受電モデルがあって、ちょっとおもしろい | |||
* 新人さんに Catalyst 9200 との機能差分レポートとか書いてもらうと、トレーニングにちょうど良いかも | |||
=== Juniper EX === | |||
筆者は Juniper スイッチのプロダクト ポートフォリオの把握にあまり自信がないです。 | |||
数字でどれが旧製品なのか見分けづらい・・・ | |||
EX では L2 / L3 でプロダクトの物理的な作り分けをせず、ライセンスで分けています。 | |||
L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。 | |||
* EX2200-C で確認 | |||
===== EX4100-F ===== | |||
* 2022/07 発表のアクセス・アグリゲーション層に位置するスイッチ | |||
* EVPN VXLAN に対応 | |||
* アップリンクは 10G のみ | |||
* コンパクトスイッチ EX2300-C の後継として、10G x4 のアップリンクを持つ EX4100-F-12P/T があります | |||
===== EX4100 ===== | |||
* 2022/07 発表の mGig アクセス・アグリゲーション層に位置するスイッチ | |||
* EVPN VXLAN に対応 | |||
* アップリンクは 10G / 25G を備えます | |||
== データセンター スイッチ == | == データセンター スイッチ == | ||
[[ファイル:ToR.png|サムネイル|ToR]] | |||
データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。 | |||
トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要があります。 | |||
IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。 | |||
また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。 | |||
初心者は Nexus9300-FX を覚えていくと良いでしょう。 | |||
参考 : [[2023-10-05 Broadcom ASIC まとめ]] | |||
=== ToR === | |||
* Top of Rack スイッチ | |||
* ラックの最上部 or 中央部 or 最下部にマウントし、サーバへネットワーク接続を提供します | |||
[[ファイル:Leaf.png|サムネイル|Leaf]] | |||
=== Leaf === | |||
* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ | |||
* キャンパススイッチとは異なり、速度が重視される場合には 4 台以上 の Spine と接続する場合があります | |||
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合があります | |||
[[ファイル:Spine.png|サムネイル|Spine]] | |||
=== Spine === | |||
* Leaf を束ねる上位スイッチ | |||
* Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます | |||
** 例) Leaf に 25G x 48 + 100G x 8 ポートの機種、Spine に 100G x 32 ポートの機種 | |||
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります | |||
[[ファイル:DCI.png|サムネイル|DCI]] | |||
=== DCI / OTV / Boarder Leaf === | |||
* データセンター間を接続するスイッチ | |||
* 2023 年においては、OTV 対応のルータ・スイッチが高価なため、別の機種で行えないか要件を検討したほうが良いです | |||
* 最近は DCI でも BGP EVPN + Boarder Leaf が流行りだと思います | |||
{| class="wikitable" | {| class="wikitable" | ||
|+データセンター スイッチ | |+データセンター スイッチ | ||
!用途 | |||
!ToR | |||
! colspan="2" |Leaf | |||
! colspan="4" |Spine | |||
!Super Spine / | |||
ルータ | |||
|- | |- | ||
! | !速度 | ||
!1G / 25G / 100G | !1G / 25G / 100G | ||
!10G / 40G | !10G / 40G | ||
超低遅延 | |||
!25G / 100G | !25G / 100G | ||
!100G | !100G | ||
!特殊シャーシ型 | !特殊シャーシ型 | ||
!400G | !400G | ||
!シャーシ型 | !800G | ||
!BOX / | |||
シャーシ型 | |||
|- | |- | ||
|Cisco Nexus | |Cisco Nexus | ||
旧世代 | 旧世代 | ||
|Nexus2000 (FEX モード) | |||
|Nexus3500 | |||
Nexus5000 | |||
|Nexus3100 | |||
Nexus3200 | |||
Nexus9300-EX | |||
| | | | ||
| | | | ||
|Nexus3400-S | |||
| | | | ||
|Nexus7000 | |Nexus7000 | ||
Nexus7700 | |||
|- | |- | ||
|Cisco Nexus | |Cisco Nexus | ||
現世代 | 現世代 | ||
|Nexus9200 | |Nexus9200 | ||
| | Nexus9300 (FEX モード) | ||
| Nexus3500 | |||
|Nexus9300-FX | |Nexus9300-FX | ||
|Nexus9332C | |Nexus3600 (Jericho+) | ||
Nexus9332C | |||
Nexus9336C | Nexus9336C | ||
|Nexus9400 | |Nexus9400 | ||
|Nexus9300-GX | |Nexus9300-GX | ||
| | | | ||
Nexus9500 | |Nexus9500 | ||
Nexus9800 | Nexus9800 | ||
|- | |- | ||
189行目: | 733行目: | ||
現世代 | 現世代 | ||
| | | | ||
| - | | - | ||
| colspan="2" |QFX5120 | | colspan="2" |QFX5120 | ||
QFX5130 | |||
|QFX5700 | |QFX5700 | ||
| | |QFX5220 | ||
QFX5230 | |||
| | |QFX5240 | ||
|QFX10002 | |||
QFX10008 | |||
QFX10016 | |||
|- | |- | ||
|Arista DCS | |Arista DCS | ||
現世代 | 現世代 | ||
|DCS-7010X | |DCS-7010X | ||
| - | | - | ||
| colspan="2" |DCS-7050SX3 | | colspan="2" |DCS-7050SX3 | ||
|DCS-7358X4 | |DCS-7358X4 | ||
209行目: | 758行目: | ||
DCS-7060X5 | DCS-7060X5 | ||
|7280R3 | |DCS-7060X5 | ||
|7300X3 | |||
7280R3 | |||
7280R3A | |||
7500R3 | 7500R3 | ||
7800R3 | 7800R3 | ||
|} | |} | ||
Nexus | |||
=== Cisco Nexus === | |||
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか) | |||
あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。最初は Nexus9300 を覚えましょう。 | |||
===== Nexus2000 ===== | |||
* FEX モード : Fabric Extender として'''のみ'''動作する、特殊なスイッチ | |||
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できます | |||
** NX-OS・コンフィグは、親スイッチで管理します | |||
** オークションで安く売っていても、これ単体では動作しません | |||
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model] | |||
The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信します | |||
** このため同一スイッチ内のトラフィックが多いサーバには向きません | |||
==== Nexus3500 ==== | |||
* HFT (高頻度取引 / 高速度取引) 用、超低遅延スイッチ | |||
==== Nexus3600 ==== | |||
* ディープバッファのルータライクスイッチ | |||
===== Nexus5000 / 7000 ===== | |||
* 旧世代の Nexus BOX 型とシャーシ型 | |||
* 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します | |||
===== Nexus9300 ===== | |||
* '''9300-FX が 2022 年現在一番メジャー'''な機種 まずこれを覚えます | |||
* Cisco LSE (Leaf Spine Engine) ASIC 搭載 | |||
* 一番売れ筋の型式は以下 | |||
** N9K-C93180YC-EX -> N9K-C93180YC-FX -> N9K-C93180YC-FX3 | |||
*** YC-EX は 2022/08 に End of Sale | |||
==== Nexus9400 ==== | |||
* 縦型ラインカードのシャーシ型 | |||
* Cloud Scale ASIC (GX2A) 搭載 <ref>[[Classification TCAM with Cisco CloudScale ASICs for Nexus 9000 Series Switches White Paper]] | |||
'''CloudScale ASIC''' | |||
LS 25600 GX2A | |||
LS 12800 GX2B | |||
'''Nexus 9000 Family''' | |||
9300-GX2A, 9300-GX2B, 9408</ref> | |||
===== Nexus9500 ===== | |||
*9300 のシャーシ版 | |||
===== Nexus7700 ===== | |||
* Nexu<span class="caret"></span>s7000 の後継 | |||
* 9000 シリーズでサポートし<span class="caret"></span>ない機能も、こいつは持っています | |||
** 例) OTV 機能で DC 間<span class="caret"></span>を接続 (DCI = Data Center Interconnect) する | |||
** 例) VDC でラインカードを<span class="caret"></span>論理分割して、複数のシャーシとして扱う | |||
* 近年は EVPN Border<span class="caret"></span> Leaf で DCI するため、お役御免気味 | |||
===== Nexus 400G 800G Family ===== | |||
* 2022/10/18 Nexus 9232E 発表、Cisco 8111-32EH のように Silicon One G100 搭載で 800G x 32 ポート 2.56Tbps を実現<span class="caret"></span><span class="caret"></span> | |||
===== Nexus9800 ===== | |||
* Cisco 8000 ルータと共通と思われるシャーシを持つ | |||
* 400G / 800G 世代のシャーシ型スイッチ | |||
* Cisco Silicon One Q200 搭載 (2023 年の情報) | |||
=== Juniper QFX === | |||
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。 | |||
採用するなら以下のような観点からとなります。 | |||
* Juniper 独<span class="caret"></span><span class="caret"></span>自機能を使いたい | |||
** バーチャル シャーシ (VC) | |||
** バーチャル シャーシ ファブリック (VCF) | |||
** Junos Fusion | |||
* Apstra で管理したい | |||
* Junos の知見を持つエンジニアが、導入する企業に多く在籍する | |||
VC / VCF は不具合が起こるとトラシューが難しい + トラフィック片寄せの Verup が困難なため、[https://www.janog.gr.jp/meeting/janog47/wp-content/uploads/2020/11/JANOG47_FHRP_kawakami_4.pdf 大規模では避けるケース]があります。 | |||
QFX51xx が Leaf 向け、QFX52xx が Spine 向け、という理解で良さそうです。 | |||
===== QFX5000 ===== | |||
* Broadcom Trident ASIC 搭載 | |||
===== QFX5100 ===== | |||
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です | |||
* Leaf 向け | |||
===== QFX5200 ===== | |||
* Broadcom Tomahawk ASIC 搭載 | |||
* Spine 向け | |||
===== QFX5230 ===== | |||
* 5200 の 400G 版 | |||
* Spine 向け | |||
===== QFX5240 ===== | |||
* 5200 の 800G 版 | |||
* Spine 向け | |||
===== QFX10000 ===== | |||
* Juniper Q5 ASIC 搭載 | |||
=== Arista === | |||
Arista のスイッチはだいたい Broadcom の ASIC で作られています。他には Intel / Cavium が少し。 | |||
スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 5M 程度。 | |||
==== スイッチ系 ==== | |||
===== DCS-7050SX3 ===== | |||
* Nexus9300 の対抗馬 まずはこいつを覚えると良いです | |||
* Broadcom Trident 3 ASIC を搭載 | |||
===== DCS-7060X4 ===== | |||
* Broadcom Tomahawk 3 ASIC を搭載 | |||
==== ルータ系 ==== | |||
===== DCS-7280R3 ===== | |||
* Broadcom Jericho2 ASIC を搭載 | |||
* FIB は最大 2M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズ データセンター・スイッチ・ルーター データシート] | |||
'''FlexRoute''' | |||
IPv4 と IPv6 の 両方のルート・スケールを 140 万ルート以上に拡張するための十分な余裕を備えています。</ref> | |||
===== DCS-7280R3K ===== | |||
* Broadcom Jericho2C ASIC を搭載 | |||
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズ データセンター・スイッチ・ルーター データシート] | |||
'''FlexRoute''' | |||
大規模な 7280R3K シリーズは、FlexRouteサポー トを 500 万以上のルートに拡張します。</ref> | |||
===== DCS-7280R3A ===== | |||
* Broadcom Jericho2C+ ASIC を搭載 | |||
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3A-Modular-Datasheet.pdf 7280R3A Modular Data Center Switch Router Data Sheet] | |||
'''Routing Table Scale and FlexRoute''' | |||
Scaling to more than 5 million routes in 7280R3AK</ref> | |||
* 縦型ラインカード シャーシ型 | |||
=== リファレンス === | |||
*[https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Cisco Nexus 9000 Series Switches]<span class="caret"></span> [https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Compare Models] | *[https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Cisco Nexus 9000 Series Switches]<span class="caret"></span> [https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Compare Models] | ||
*[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 Nexus 9000 Nexus 3000 シリーズの ASIC]<span class="caret"></span> [https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 名と該当するプロダクト] | |||
*[https://isp-tech.ru/en/switch-asic/ Network switch comparison Table] <span class="caret"></span>[https://isp-tech.ru/en/switch-asic/ including ASIC and packet buffer] | |||
*[https://www.juniper-ne.jp/common/file/2021ProductGuide_val18.pdf ジュニパーネットワークス 製品カタログ] | |||
== ファイアウォール == | == ファイアウォール == | ||
[[ファイル:FW.png|サムネイル|FW]] | |||
ファイアウォールは主に 2 種類に分かれます。 | |||
=== Classic Firewall === | |||
* 主にサーバを防御します | |||
* 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです | |||
* レイヤ 3 / 4 ヘッダをルックアップして転送すれば良いため高速です | |||
* 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています | |||
=== Next Generation Firewall (NGFW) === | |||
* 主にクライアントのアクセス先を見える化・制御します | |||
* アプリケーション層もコントロールできる、次世代のファイアウォール | |||
* TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします | |||
* また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます | |||
* 細かくなった分、設計や構築の費用が増大します | |||
UTM や IPS , VPN という役割もありますが、今回は割愛します。 | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ファイアウォール | |+ファイアウォール | ||
275行目: | 1,013行目: | ||
|SRX340 | |SRX340 | ||
SRX345 | SRX345 | ||
SRX380 | |||
|SRX550 | |SRX550 | ||
|SRX5600 | |SRX5600 | ||
SRX5800 | SRX5800 | ||
|- | |||
|Fortigate | |||
| | |||
| | |||
| | |||
| | |||
| | |||
|- | |||
|Paloalto | |||
| | |||
| | |||
| | |||
| | |||
| | |||
|} | |} | ||
===== Cisco ASA / Firepower ===== | |||
* Firepower は FXOS / FTD / ASA が動作します | |||
** プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します | |||
** アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます | |||
* FPR2100 を除いて CPU で動作し、ASIC は搭載しません <ref>[https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214572-firepower-data-path-troubleshooting-ove.html Firepower Data Path Troubleshooting: Overview] | |||
'''Firepower 2100 Appliances''' | |||
However, there is a major difference in the 2100 series devices compared to the other devices, and that is the presence of the Application-specific integrated circuit (ASIC).</ref> | |||
** FPR2100 は ASA の機能を持つ、Lina ASIC を搭載 | |||
===== Juniper SRX ===== | |||
* NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します | |||
===== Fortinet Fortigate ===== | |||
* ハードウェア処理を行う、プロセッサを搭載します | |||
** Security Processing Unit 5 (SP5) | |||
** Networking Processing Unit 7 (NP7) | |||
** Content Processing Unit 9 (CP9) | |||
* 複数の機能を使用すると、逐次処理を行いパフォーマンスが劣化するため、必要な帯域幅と相談する必要があります | |||
===== Paloalto Networks PA ===== | |||
* 並列ハードウェア処理を行うため、[https://media.paloaltonetworks.com/documents/Single_Pass_Parallel_Processing_Architecture.pdf 複数のプロセッサを搭載]します | |||
** シグネチャーマッチ ハードウェア エンジン | |||
** マルチコア セキュリティ プロセッサ | |||
** ネットワーク プロセッサ | |||
* 各種機能を 1 度に処理するため、パフォーマンスの劣化が起こりにくいアーキテクチャになっています | |||
== 更新履歴 == | |||
2023/05/18 : 初版 | |||
2023/07/31 : Catalyst 1200 を追加 | |||
2023/09/30 : Catalyst 1300 を追加 | |||
== 引用 == | |||
<references /> | |||
[[カテゴリ:その他]] |
2024年2月7日 (水) 11:47時点における最新版
ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。
現状ではルータ・スイッチ・ファイアウォールのみを記載。
目的
- メーカー横断で対抗となる機種を調べられるようにしたい。
- 各メーカーごとのプロダクト マッピング (下位機種・上位機種 / 種類) はカタログを読めばわかりますが、メーカー横断の資料は公開されていない
- ビギナー エンジニアが機種全体から見て、自分が対応する機種の位置づけを知ることができる。
想定する読者
エンタープライズ / ISP 市場の、SIer / NIer ビギナー エンジニア
ルータ
ルータは主に 3 つの役割に分かれます。初心者は、まず Cisco のブランチルータを把握すると良いでしょう。
P = Provider Router
- インターネット サービス プロバイダ (ISP) が内部で使用するルータ
- 大型で高価なものが使用されます
- メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
- 右図からは省略している
PE = Provider Edge Router
- ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
- 用途によって導入する機種が選定されます
- L2VPN / L3VPN を提供 -> メトロ系
- 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
- BGP フルルート インターネット接続を提供 -> ハイエンド系
- P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します
CE = Customer Edge Router
- ユーザが外部ネットワークと接する位置に置かれるルータ
- L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
- WAN 機能 : PPPoE
- アドレス変換 : NAT , PAT
- VPN : IPsec VPN
- コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります
エンタープライズ系では、DC など大きい拠点に置くセンタールータ、小さい拠点に置くブランチルータ、
という分類もあります。
役割 | CE | PE | CE / PE | PE / P | P | |
---|---|---|---|---|---|---|
セグメント | ブランチ | ローエンド | メトロ | ミッドレンジ | ハイエンド | ウルトラハイエンド |
Cisco ISR / ME / ASR
旧世代 |
C892J | ISR4200
ISR4300 ISR4400 |
ME3400
ME3800 |
ASR1000 | ASR9000 | CRS-1
CRS-3 CRS-X |
Cisco ISR / NCS / ASR
現世代 |
C891FJ
C921J |
C1100
C8200 C8300 |
ASR900
NCS520 NCS540 NCS5500 NCS5700 |
ASR1000X
C8500 |
ASR9900
Cisco8100 Cisco8200 |
Cisco8800 |
Juniper MX / PTX
旧世代 |
- | MX5
MX10 |
ACX5048
ACX5096 |
MX40
MX80 MX10003 |
PTX1000
PTX3000 PTX5000 |
MX10016
PTX10008 PTX10016 |
Juniper ACX / MX / PTX
現世代 |
- | - | ACX4000
ACX5448 |
ACX5000
MX204 MX304 MX480 MX10004 |
MX960
MX2000 PTX |
MX2008
MX2010 MX2020 PTX |
ルータは、WAN で使用される機能が充実しています。
- WAN プロトコル : PPPoE / MPLS
- VPN : IPsec / FlexVPN / L2TP
- IP Addressing : NAT
一方でレイヤ 3 スイッチと比較してポート単価が高いため、ポート消費量を抑える設計や
レイヤ 3 スイッチに代替出来ないか、検討する知見が求められます。
- 最近は C9300 スイッチなど IPsec や NAT をサポートしているケースがあります
筆者は初心者のころにブロードバンド ルータを置き換える目的で Catalyst 3560 を買ったのですが、
PPPoE / NAT が動作しないことを知りませんでした。。
Cisco ISR / ME / ASR
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。
- Catalyst : C8200 , C8300 , C8500
- Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)
ISR800 / 900 (C892J , C921J)
- パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
- VPN は暗号化・復号化モジュールを搭載している場合があります
- Cisco のブランチ (拠点) 向けルータ
- PowerPC , MIPS など組み込み向けの CPU を長らく採用していましたが、C921J はついに x86 CPU を搭載しました
- J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています
- C1812J の頃の話 最近の機種は未調査
ISR1100 / 1100X / 1121X / 1127X / 1131X / 1161X
ちょっと高性能なブランチルータ。
- LTE / WiFi 対応モデルあり
ISR4000
デフォルトではめっちゃ遅いスループットのモデルも存在する、高性能なブランチルータ。
- ASR1000 の QFP (Quantum Flow Processor) を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
- CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています
- 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように (=HW ライクに) 動作します
- 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました
Catalyst 8200L / 8200 / 8300
- IOS-XE で動作するルータで、ISR4000 の後継機
- Intel マルチコア CPU の QAT と DPDK が動作し、ASIC ほどではないがハードウェア転送になったアーキテクチャ [1] を持ちます
- Intel QuickAssist Technology (QAT) : 暗号化・復号化を高速に行う IPSec 用の機能
- Data Plane Development Kit (DPDK) : パケット処理にカーネルを挟まず、NIC に CPU コアを割り当ててパケット転送の間隔でポーリングし、転送処理することで高速なパケット転送を行います
- ポーリング処理に CPU コアを専有するため、8 - 12 コアを搭載しています
ASR900 / 920
- Cisco 独自 Carrior Ethernet ASIC 搭載 [2] で、IOS-XE が動作します
- MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
- 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
- 当時はメトロ系スイッチで、ルータではありませんでした
- 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます
- 無線 LAN でいうと PoE アクセススイッチの位置づけ
- RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
- RF : LTE -> モバイル バックホール RT : ASR920 -> 基地局集約ルータ
- 無線 LAN でいうと PoE アクセススイッチの位置づけ
ASR1000 / -X
- Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
- エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます
NCS520 , NCS540
- マーチャントシリコン搭載、IOS-XE が動作します
- NCS540 は broadcom Qumran 2A (J2 系)
- メトロ (都市間) イーサネット系ルータとして MPLS などをサポート
- ASR9x0 系と被ってます
NCS5500 / NCS5700
- マーチャントシリコン搭載、IOS-XR が動作します
- NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
- ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)
CRS-1 , 3 , X
- Cisco Silicon Packet Processor (CRS-1) Cisco QuantumFlow Array Processor を搭載 (CRS-3) し、IOS-XR を採用
- 日本ではメガキャリアの P ルータで採用例あり
- IOS-XR は Cisco と Fujitsu で共同開発されました
ASR9000
- Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
- 第5世代ラインカードは Lightspeed+ 搭載
- ラインカードの世代はここ [3] を参照
- Typhoon, Tomahawk based の場合、FIB は IPv4 4M / IPv6 2M [4] を持つ
Cisco8000
- BOX 型
- Cisco 8100 , 8200
- シャーシ型
- Cisco 8800
- Cisco Silicon One を搭載し、IOS-XR が動作します
- P4 言語に対応するため別の OS も選択でき、SONiC も動作します
- Juniper の PTX に近いシリーズで、Feature の豊富さは少なめになりそう ?
- 2022/10/18 8111-32EH が発表、Silicon One G100 を搭載する 800G x 32 ポート 25.6Tbps の化け物
- シャーシ型は、おそらく Nexus 9800 とほぼ共通化されていると思われる
- Interop2023 で、Cisco 8608 が発表された
Juniper ACX / MX / PTX
Juniper のブランチ・ローエンド ルータは、筆者の観測範囲では見てないのでよくわかりません。
- MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・
今までは代わりに SRX のブランチ系でカバーしていた気が。今後は SSR を展開していく模様。
あと MX204 / MX10003 は何ですぐ EoS で死んでしまうん・・・
- MX204 は復活しました。 -> Revoke End of Life Announcement: MX204
MX の Trio ASIC と PTX の Express ASIC の違いは、
- Trio : 複数のパケット処理エンジンを持つ
- Express : プログラマブル パイプライン [5] を持ち、スループットが高いためポート密度を高くできる
点が異なります。[6]
リンク : Juniper’s Express 5: A 28.8Tbps Network Routing ASIC and Variations
ACX
- マーチャントシリコン (Broadcom) を使ったルータで、Junos が動作します
- ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます
- Cisco NCS 5500 , 5700 / ASR900 の対抗馬として、メトロ イーサネット用ルータと捉えるのが良さそう
- ACX4000 : MX80 のシャーシを改造したような見た目
MX
- Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
- Cisco ASR の対抗馬
- Juniper のルータで、最も機能が充実しているのは Trio 搭載の MX となります
- 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます
- 例) IPsec VPN / BNG / QoS
- 要件定義で将来使う機能が曖昧なときは、PTX よりも MX を選定します
- 反面ポート密度と速度は、他の機種と比べて低くなります
- 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます
- Trio 4 の MX204 は 100G x 4 を持ち、フルルート収容可能なルータとしては圧倒的なコストパフォーマンスを持っています
- 2024 年時点の最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード [7]
PTX
- Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
- Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps
- PTX10001-36MR に搭載
- Express 5 ASIC : <コードネーム不明> 800G x 36 ポート = 28.8Tbps
- Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps
- Cisco 8000 の対抗馬
- 機能の充実よりも速度にフォーカス [8] しています
- 複雑なことをやらせたくない + 速度を重視したい、P ルータ (メガキャリアのコア) に向いています
- MX と比べると、同じ価格で高いポート密度を実現できるのがメリット
SSR (Session Smart Router)
- IPsec を使わないトンネルレス VPN な SD-WAN ルータ
- 再暗号化せずオーバーヘッドの少ない VPN
- App-ID でアプリケーションを識別、音声や動画をローカル ブレイクアウト
- 専用アプライアンス以外に、汎用ハードウェア上に VM で展開可能
- Juniper NFX
- 認定ハードウェア メーカー : Lenovo , Lanner , Silicom
- クラウド : AWS , Azure , Google
- QR コードで ZTP
リファレンス
参考になる URL : お勧めの製品と選び方
シリコンアーキテクチャの選択:業務に適したツールの選定が重要
キャンパス スイッチ
キャンパス スイッチは、主に 3 つの役割に分かれます。
- キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ
下記の 3 種類で、3 層ネットワークと呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。
初心者は Cisco の C9200 / C9300 を覚えていくと良いでしょう。
アクセススイッチ - レイヤ 2 スイッチ
- 島ハブやフロアごとに設置されるスイッチ
- ユーザから見て一番近い位置に使用されます
- サーバを収容するスイッチとして使用されることも
ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ
- アクセス スイッチを複数収容するスイッチ
- 小規模ネットワークの場合は省略されます
- 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます
コア スイッチ - レイヤ 3 スイッチ
- アクセススイッチ or ディストリビューション スイッチを複数収容する、LAN のボスとなるスイッチ
- 設計中級者の目指す目標としては、コアスイッチのリプレース案件を統括できるか、というのが良い目標になると思います
- コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
- 規模が大きいネットワークや、小規模でも簡易な運用を求められるネットワークでは、シャーシ型スイッチを導入します
- 小規模ネットワークではコアスイッチが CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
- CPE アドレス = Customer Premises Equipment アドレス
- アクセス層配下の、ユーザが持つアドレスのこと
- 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植して、負担を減らしていくように設計します
役割 | アクセス | アクセス /
ディストリビューション |
ディストリビューション /
コア |
ディストリビューション /
コア | |
---|---|---|---|---|---|
レイヤ | レイヤ 2 | レイヤ 2 / 3 | レイヤ 3 | ||
セグメント | ローエンド1 | ローエンド2 | ローエンド3 | ミッドレンジ | ハイエンド |
Cisco Catalyst
旧世代 |
WS-C2960L | WS-C2960X
WS-C2960XR WS-C3560CX (1G) |
WS-C3650
WS-C3850 |
WS-C3850X
WS-C4500-E / -X C9500 (10G/40G 2024/04 EoS) |
WS-C6500
C6800 |
Cisco Catalyst
現世代 |
C1000
C1200 C1300 |
WS-C3560CX(10G)
C9200L C9200 C9200CX |
C9300L
C9300LM C9300 |
C9300B
C9300X C9400 |
C9500H
C9500X C9600 C9600X |
Juniper EX
旧世代 |
- | EX2200
EX3300 |
EX3200 | EX4200
EX4500 EX6200 |
EX8200
EX9251 EX9253 |
Juniper EX
現世代 |
- | EX2300 | EX4100-F (New !)
EX3400 |
EX4100 (New !)
EX4300 EX4400 |
EX4400-24X
EX4600 EX4650 EX9200 |
Cisco Catalyst
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。
ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。
Catalyst 旧世代 - Sasquatch / Strider ASIC 系
Catalyst 2960 / 2960-Plus
- 100 Base-TX モデル
Catalyst 2960L
- 1000 Base-T 最廉価モデル
Catalyst 2960S / 2960X
- 1000 Base-T モデル
- モジュール追加でスタックに対応
Catalyst 3560 / 3750
- 100 Base-TX ローエンド レイヤ 3 スイッチ
- スタック対応
Catalyst 3560G / 3750G
- 1000 Base-T ローエンド レイヤ 3 スイッチ
- スタック対応
Catalyst 3560X / 3750X
- 1000 Base-T ローエンド レイヤ 3 スイッチ
- スタック対応
- アップリンクモジュールで 10G に対応する
- PAK ライセンスが必要なため、自宅ラボには非推奨
Catalyst 3560CG
- 1000 Base-T ローエンド コンパクト レイヤ 3 スイッチ
- Cisco のコンパクト系にしては珍しく、BGP に対応しない
Catalyst 旧世代 - UADP ASIC 系
Catalyst 3650 / 3850
- UADP ASIC + IOS-XE 搭載
- スタック帯域幅やアップリンクモジュールの有無などで差別化されている
Catalyst 旧世代 - K5 チップセット系
Catalyst 4500
- ミッドレンジ シャーシ型 レイヤ 3 スイッチ
Catalyst 4948 / 4500X
- ミッドレンジ レイヤ 3 スイッチ
Catalyst 旧世代 - EARL チップセット系
Catalyst 6500 / 6800
- ハイエンド シャーシ型 レイヤ 3 スイッチ
Catalyst 現世代 - Sasquatch / Strider ASIC 系
Catalyst 1000
- 2960L の後継機
- 一部 SKU で 10G アップリンクが搭載されるようになりました
- スタックは組めず、Single IP Management という Horizontal Stack ライクな機能にデグレードされています
- Cross Stack EtherChannel が組めないのは、特に要注意です
Catalyst 3560CX
- 最上位機種で 1000 Base-T + 10G-T + 10G-SFP ローエンド コンパクト レイヤ 3 スイッチ
- BGP や UPoE に対応するため、中古で安く手に入れば、自宅ラボにおすすめの一台
Catalyst 現世代 - UADP ASIC 系
Catalyst 9200 / 9200CX
- ローエンド レイヤ 3 スイッチ
- Essential ライセンスのルーティングは役割が限定されるため、設計でカバーする必要があります
- EIGRP Stub : 論理 2 台でルーティング冗長構成にできない
- OSPF 1000 ルートまで
- Advantage ライセンスにしても、TCAM のルート数が多く無いため、デフォルトルートのみ受信させるなどの工夫が必要
Catalyst 9300 / 9300L / 9300LM
- ローエンド レイヤ 3 スイッチ
- 旧世代の 3850 とほぼ変わらないですが、EVPN など機能追加があります
- 9300LM が追加された
- 9300LM : 25G 固定アップリンク + mGig 8 ポート
Catalyst 9300X
- ミッドレンジ ボックス型 レイヤ 3 スイッチ
- 9300X は StackWise-1T / 100G アップリンクモジュールに対応
Catalyst 9400
- ミッドレンジ シャーシ型 レイヤ 3 スイッチ
Catalyst 9500
- 10G / 40G 対応 ミッドレンジ レイヤ 3 スイッチ
- 価格と速度のバランスが一番良いモデル
Catalyst 9500H
- 25G / 100G 対応 ハイエンド レイヤ 3 スイッチ
- TCAM がかなり大きいため、高集約の環境で使いやすい
Catalyst 9500X
- 100G / 400G 対応 ハイエンド レイヤ 3 スイッチ
- 9500 , 9600 の X 系は ASIC が異なり、Silicon One を搭載している
- 動作する機能は UADP よりも少なく、これから実装される機能も
- 最近 StackWise Virtual に対応しました 17.12.x が Extended Maintenance Release になれば、商用導入できそう
- C9500X-28C8D : 17.10.x-
- C9500X-60L4D : 17.11.x-
Catalyst 9600 / 9600X
- ハイエンド シャーシ型 レイヤ 3 スイッチ
- 9500X のシャーシ版
Catalyst 現世代 - Linux カスタマイズ OS
Catalyst 1200 / 1300
- IOS すら動かないスイッチですが、LAG , RSTP , dot1x auth , QoS などそれなりの機能はある模様
- OS が IOS から Customized Linux になりました
- Catalyst 1000 の後継機 (たぶん)
- スモール , ミディアムサイズ ビジネス向け [9]、とあることからラージ エンタープライズ市場向けとしては対象外と思われます
- C1300 10G アップリンク搭載モデルでスタック対応です
- クロススタック EtherChannel にも対応します
- CLI と GUI があるらしいですが・・・GUI でも 100% コンフィグできる模様
- 3rd パーティ トランシーバにも対応しています
- あと、ライセンス購入が必要ないです
- Gigabit 8 ポートの SKU に PoE 受電モデルがあって、ちょっとおもしろい
- 新人さんに Catalyst 9200 との機能差分レポートとか書いてもらうと、トレーニングにちょうど良いかも
Juniper EX
筆者は Juniper スイッチのプロダクト ポートフォリオの把握にあまり自信がないです。
数字でどれが旧製品なのか見分けづらい・・・
EX では L2 / L3 でプロダクトの物理的な作り分けをせず、ライセンスで分けています。
L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。
- EX2200-C で確認
EX4100-F
- 2022/07 発表のアクセス・アグリゲーション層に位置するスイッチ
- EVPN VXLAN に対応
- アップリンクは 10G のみ
- コンパクトスイッチ EX2300-C の後継として、10G x4 のアップリンクを持つ EX4100-F-12P/T があります
EX4100
- 2022/07 発表の mGig アクセス・アグリゲーション層に位置するスイッチ
- EVPN VXLAN に対応
- アップリンクは 10G / 25G を備えます
データセンター スイッチ
データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。
トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント [10] を参照して違いを確認する必要があります。
IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。
また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。
初心者は Nexus9300-FX を覚えていくと良いでしょう。
参考 : 2023-10-05 Broadcom ASIC まとめ
ToR
- Top of Rack スイッチ
- ラックの最上部 or 中央部 or 最下部にマウントし、サーバへネットワーク接続を提供します
Leaf
- 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
- キャンパススイッチとは異なり、速度が重視される場合には 4 台以上 の Spine と接続する場合があります
- 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合があります
Spine
- Leaf を束ねる上位スイッチ
- Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
- 例) Leaf に 25G x 48 + 100G x 8 ポートの機種、Spine に 100G x 32 ポートの機種
- Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります
DCI / OTV / Boarder Leaf
- データセンター間を接続するスイッチ
- 2023 年においては、OTV 対応のルータ・スイッチが高価なため、別の機種で行えないか要件を検討したほうが良いです
- 最近は DCI でも BGP EVPN + Boarder Leaf が流行りだと思います
用途 | ToR | Leaf | Spine | Super Spine /
ルータ | ||||
---|---|---|---|---|---|---|---|---|
速度 | 1G / 25G / 100G | 10G / 40G
超低遅延 |
25G / 100G | 100G | 特殊シャーシ型 | 400G | 800G | BOX /
シャーシ型 |
Cisco Nexus
旧世代 |
Nexus2000 (FEX モード) | Nexus3500
Nexus5000 |
Nexus3100
Nexus3200 Nexus9300-EX |
Nexus3400-S | Nexus7000
Nexus7700 | |||
Cisco Nexus
現世代 |
Nexus9200
Nexus9300 (FEX モード) |
Nexus3500 | Nexus9300-FX | Nexus3600 (Jericho+)
Nexus9332C Nexus9336C |
Nexus9400 | Nexus9300-GX | Nexus9500
Nexus9800 | |
Juniper QFX
現世代 |
- | QFX5120
QFX5130 |
QFX5700 | QFX5220
QFX5230 |
QFX5240 | QFX10002
QFX10008 QFX10016 | ||
Arista DCS
現世代 |
DCS-7010X | - | DCS-7050SX3 | DCS-7358X4
DCS-7368X4 DCS-7388X5 |
DCS-7050X4
DCS-7060X4 DCS-7060X5 |
DCS-7060X5 | 7300X3
7280R3 7280R3A 7500R3 7800R3 |
Cisco Nexus
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)
あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。最初は Nexus9300 を覚えましょう。
Nexus2000
- FEX モード : Fabric Extender としてのみ動作する、特殊なスイッチ
- 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できます
- NX-OS・コンフィグは、親スイッチで管理します
- オークションで安く売っていても、これ単体では動作しません
- ローカルシャーシ内で折り返し通信はできない [11] ため、親スイッチを経由して通信します
- このため同一スイッチ内のトラフィックが多いサーバには向きません
Nexus3500
- HFT (高頻度取引 / 高速度取引) 用、超低遅延スイッチ
Nexus3600
- ディープバッファのルータライクスイッチ
Nexus5000 / 7000
- 旧世代の Nexus BOX 型とシャーシ型
- 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します
Nexus9300
- 9300-FX が 2022 年現在一番メジャーな機種 まずこれを覚えます
- Cisco LSE (Leaf Spine Engine) ASIC 搭載
- 一番売れ筋の型式は以下
- N9K-C93180YC-EX -> N9K-C93180YC-FX -> N9K-C93180YC-FX3
- YC-EX は 2022/08 に End of Sale
- N9K-C93180YC-EX -> N9K-C93180YC-FX -> N9K-C93180YC-FX3
Nexus9400
- 縦型ラインカードのシャーシ型
- Cloud Scale ASIC (GX2A) 搭載 [12]
Nexus9500
- 9300 のシャーシ版
Nexus7700
- Nexus7000 の後継
- 9000 シリーズでサポートしない機能も、こいつは持っています
- 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する
- 例) VDC でラインカードを論理分割して、複数のシャーシとして扱う
- 近年は EVPN Border Leaf で DCI するため、お役御免気味
Nexus 400G 800G Family
- 2022/10/18 Nexus 9232E 発表、Cisco 8111-32EH のように Silicon One G100 搭載で 800G x 32 ポート 2.56Tbps を実現
Nexus9800
- Cisco 8000 ルータと共通と思われるシャーシを持つ
- 400G / 800G 世代のシャーシ型スイッチ
- Cisco Silicon One Q200 搭載 (2023 年の情報)
Juniper QFX
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。
採用するなら以下のような観点からとなります。
- Juniper 独自機能を使いたい
- バーチャル シャーシ (VC)
- バーチャル シャーシ ファブリック (VCF)
- Junos Fusion
- Apstra で管理したい
- Junos の知見を持つエンジニアが、導入する企業に多く在籍する
VC / VCF は不具合が起こるとトラシューが難しい + トラフィック片寄せの Verup が困難なため、大規模では避けるケースがあります。
QFX51xx が Leaf 向け、QFX52xx が Spine 向け、という理解で良さそうです。
QFX5000
- Broadcom Trident ASIC 搭載
QFX5100
- QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
- Leaf 向け
QFX5200
- Broadcom Tomahawk ASIC 搭載
- Spine 向け
QFX5230
- 5200 の 400G 版
- Spine 向け
QFX5240
- 5200 の 800G 版
- Spine 向け
QFX10000
- Juniper Q5 ASIC 搭載
Arista
Arista のスイッチはだいたい Broadcom の ASIC で作られています。他には Intel / Cavium が少し。
スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 5M 程度。
スイッチ系
DCS-7050SX3
- Nexus9300 の対抗馬 まずはこいつを覚えると良いです
- Broadcom Trident 3 ASIC を搭載
DCS-7060X4
- Broadcom Tomahawk 3 ASIC を搭載
ルータ系
DCS-7280R3
- Broadcom Jericho2 ASIC を搭載
- FIB は最大 2M 程度 [13]
DCS-7280R3K
- Broadcom Jericho2C ASIC を搭載
- FIB は最大 5M 程度 [14]
DCS-7280R3A
- Broadcom Jericho2C+ ASIC を搭載
- FIB は最大 5M 程度 [15]
- 縦型ラインカード シャーシ型
リファレンス
- Cisco Nexus 9000 Series Switches Compare Models
- Nexus 9000 Nexus 3000 シリーズの ASIC 名と該当するプロダクト
- Network switch comparison Table including ASIC and packet buffer
- ジュニパーネットワークス 製品カタログ
ファイアウォール
ファイアウォールは主に 2 種類に分かれます。
Classic Firewall
- 主にサーバを防御します
- 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
- レイヤ 3 / 4 ヘッダをルックアップして転送すれば良いため高速です
- 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています
Next Generation Firewall (NGFW)
- 主にクライアントのアクセス先を見える化・制御します
- アプリケーション層もコントロールできる、次世代のファイアウォール
- TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
- また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
- 細かくなった分、設計や構築の費用が増大します
UTM や IPS , VPN という役割もありますが、今回は割愛します。
ローエンド1 | ローエンド2 | ローエンド3 | ミッドレンジ
10 - 40Gbps |
ハイエンド
40 - 200Gbps | |
---|---|---|---|---|---|
Cisco ASA
旧世代 |
ASA5505
ASA5506-X |
ASA5515
ASA5525-X |
ASA5540
ASA5545-X |
ASA5550
ASA5555-X |
ASA5585-X |
Cisco Firepower
現世代 |
FPR-1010
FPR-1120 |
FPR-1120
FPR-1140 |
FPR-2110
FPR-2120 FPR-2130 |
FPR-2140
FPR-3100 |
FPR-4100
FPR-9300 |
Juniper SRX
旧世代 |
SRX100 | SRX210
SRX220 |
SRX240
SRX550 |
SRX650 | SRX5400 |
Juniper SRX
現世代 |
SRX300 | SRX320 | SRX340
SRX345 SRX380 |
SRX550 | SRX5600
SRX5800 |
Fortigate | |||||
Paloalto |
Cisco ASA / Firepower
- Firepower は FXOS / FTD / ASA が動作します
- プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
- アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます
- FPR2100 を除いて CPU で動作し、ASIC は搭載しません [16]
- FPR2100 は ASA の機能を持つ、Lina ASIC を搭載
Juniper SRX
- NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します
Fortinet Fortigate
- ハードウェア処理を行う、プロセッサを搭載します
- Security Processing Unit 5 (SP5)
- Networking Processing Unit 7 (NP7)
- Content Processing Unit 9 (CP9)
- 複数の機能を使用すると、逐次処理を行いパフォーマンスが劣化するため、必要な帯域幅と相談する必要があります
Paloalto Networks PA
- 並列ハードウェア処理を行うため、複数のプロセッサを搭載します
- シグネチャーマッチ ハードウェア エンジン
- マルチコア セキュリティ プロセッサ
- ネットワーク プロセッサ
- 各種機能を 1 度に処理するため、パフォーマンスの劣化が起こりにくいアーキテクチャになっています
更新履歴
2023/05/18 : 初版
2023/07/31 : Catalyst 1200 を追加
2023/09/30 : Catalyst 1300 を追加
引用
- ↑ Data plane architecture
- ↑ Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet Major Differentiators Powered by the Cisco Carrier Ethernet ASIC
- ↑ Understand ASR 9000 Series Line Card Types
- ↑ ASR 9000 Ethernet Line Cards -TR and -SE Comparison Table and Common Error Messages
- ↑ HC34 Juniper Express 5 Packet Forwarding
- ↑ HC34 Juniper Express 5 Juniper Routing ASICs
- ↑ Juniper Introduces New Trio 6-based MX Portfolio
- ↑ シリコンアーキテクチャの選択:業務に適したツールの選定が重要 Juniper Trio 6 – 未知の要件向け Juniper Express 5:Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
- ↑ The Cisco® Catalyst® 1200 and 1300 Series switches provide simplicity, flexibility, and security for small and medium-sized businesses.
- ↑ RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法
- ↑ Forwarding Model The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching.
- ↑ Classification TCAM with Cisco CloudScale ASICs for Nexus 9000 Series Switches White Paper CloudScale ASIC LS 25600 GX2A LS 12800 GX2B Nexus 9000 Family 9300-GX2A, 9300-GX2B, 9408
- ↑ 7280R3 シリーズ データセンター・スイッチ・ルーター データシート FlexRoute IPv4 と IPv6 の 両方のルート・スケールを 140 万ルート以上に拡張するための十分な余裕を備えています。
- ↑ 7280R3 シリーズ データセンター・スイッチ・ルーター データシート FlexRoute 大規模な 7280R3K シリーズは、FlexRouteサポー トを 500 万以上のルートに拡張します。
- ↑ 7280R3A Modular Data Center Switch Router Data Sheet Routing Table Scale and FlexRoute Scaling to more than 5 million routes in 7280R3AK
- ↑ Firepower Data Path Troubleshooting: Overview Firepower 2100 Appliances However, there is a major difference in the 2100 series devices compared to the other devices, and that is the presence of the Application-specific integrated circuit (ASIC).