「2023-09-30 メーカー横断 プロダクト ポートフォリオ比較」の版間の差分

提供:hkatou_Lab
ナビゲーションに移動 検索に移動
編集の要約なし
3行目: 3行目:
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。
[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]]
[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]]
== 想定する読者 ==
エンタープライズ / ISP 市場のビギナー エンジニア向けです。




== ルータ ==
== ルータ ==
ルータは主に 3 つの役割に分かれる。
ルータは主に 3 つの役割に分かれます。
[[ファイル:PE.png|サムネイル|PE]]
[[ファイル:PE.png|サムネイル|PE]]
[[ファイル:CE.png|サムネイル|CE]]
[[ファイル:CE.png|サムネイル|CE]]
13行目: 16行目:


* インターネット サービス プロバイダ (ISP) が内部で使用するルータ
* インターネット サービス プロバイダ (ISP) が内部で使用するルータ
* 大型で高価なものが使用される
* 大型で高価なものが使用されます
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
* 右図からは省略している
* 右図からは省略している
19行目: 22行目:
=== PE = Provider Edge Router ===
=== PE = Provider Edge Router ===


* ISP が外部ネットワークと接する位置に置かれるルータ
* ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
* 用途によって導入する機種が選定される
* 用途によって導入する機種が選定されます
** L2VPN / L3VPN を提供 -> メトロ系
** L2VPN / L3VPN を提供 -> メトロ系
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
** BGP フルルート インターネット接続を提供 -> ハイエンド系
** BGP フルルート インターネット接続を提供 -> ハイエンド系
* P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します


=== CE = Customer Edge Router ===
=== CE = Customer Edge Router ===


* ユーザが外部ネットワークと接する位置に置かれるルータ
* ユーザが外部ネットワークと接する位置に置かれるルータ
* L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供する
* L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
** WAN 機能 : PPPoE
** WAN 機能 : PPPoE
** アドレス変換 : NAT , PAT
** アドレス変換 : NAT , PAT
** VPN : IPsec VPN
** VPN : IPsec VPN
* コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります


{| class="wikitable"
{| class="wikitable"
121行目: 126行目:


=== Cisco ISR / ME / ASR ===
=== Cisco ISR / ME / ASR ===
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意。
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。


* Catalyst : C8200 , C8300 , C8500
* Catalyst : C8200 , C8300 , C8500
128行目: 133行目:
==== ISR800 / 900 (C892J , C921J) ====
==== ISR800 / 900 (C892J , C921J) ====


* パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作する
* パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
** VPN は標準搭載として内部で暗号化・復号化モジュールを搭載している場合がある
** VPN は標準搭載として内部で暗号化・復号化モジュールを搭載している場合があります
* Cisco のブランチ (拠点) 向けルータ
* Cisco のブランチ (拠点) 向けルータ
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU を搭載した
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU を搭載しました
* J がつくと日本向けの特別バージョンになる
* J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています


==== ISR4000 ====
==== ISR4000 ====


* ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作する
* ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
** CPU コアを IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けている
** CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています
* 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように動作する
* 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように動作します
** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加された
** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました


==== ASR900 / 920 ====
==== ASR900 / 920 ====
147行目: 152行目:
Major Differentiators  
Major Differentiators  


Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作する
Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作します
** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなる
** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していた
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
* 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用される
* 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます
** 無線 LAN でいうと PoE アクセススイッチの位置づけ
** 無線 LAN でいうと PoE アクセススイッチの位置づけ
*** RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
*** RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
157行目: 162行目:
==== ASR1000 / -X ====
==== ASR1000 / -X ====


* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作する
* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
* エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用される
* エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます


==== NCS5500 ====
==== NCS5500 ====


* マーチャントシリコン搭載、IOS-XR が動作する
* マーチャントシリコン搭載、IOS-XR が動作します
* NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化している
* NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)


==== ASR9000 ====
==== ASR9000 ====


* Cisco 独自 Network Processor を搭載し、IOS-XR が動作する
* Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
* 第5世代ラインカードは Lightspeed+ 搭載
* 第5世代ラインカードは Lightspeed+ 搭載


==== Cisco8000 ====
==== Cisco8000 ====


* Cisco Silicon One を搭載し、IOS-XR が動作する
* Cisco Silicon One を搭載し、IOS-XR が動作します


=== Juniper ACX / MX / PTX ===
=== Juniper ACX / MX / PTX ===
189行目: 194行目:
==== ACX ====
==== ACX ====


* マーチャントシリコンを使ったルータで、Junos が動作
* マーチャントシリコンを使ったルータで、Junos が動作します
** ルータというよりはスイッチのルート スケール版、と言ったほうが正しそう
** ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます
* Cisco NCS / ASR900 の対抗馬か
* Cisco NCS / ASR900 の対抗馬か
* ACX4000 : MX80 のシャーシを改造したような見た目
* ACX4000 : MX80 のシャーシを改造したような見た目
196行目: 201行目:
==== MX ====
==== MX ====


* Juniper 独自 Trio チップセットを使ったルータで、Junos が動作
* Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
* Cisco ASR の対抗馬
* Cisco ASR の対抗馬
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となる
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となります
** 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定する
** 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定します
** 豊富な機能で PE ルータに必要な様々な回線を収容
** 豊富な機能で PE ルータに必要な様々な回線を収容
** 反面ポート密度は、他の機種と比べて低くなる
** 反面ポート密度は、他の機種と比べて低くなります
* 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref>
* 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref>


==== PTX ====
==== PTX ====


* Juniper 独自 Express 系シリコンを使用しており、Junos が動作
* Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
* Cisco 8000 , NCS5500 / 57000 の対抗馬
* Cisco 8000 , NCS5500 / 57000 の対抗馬
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要]  
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要]  
213行目: 218行目:


'''Juniper Express 5''':Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
'''Juniper Express 5''':Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
</ref> している
</ref> しています
** 複雑なことをやらせたくない、P ルータに向いている
** 複雑なことをやらせたくない、P ルータに向いています
** MX と比べると、同じ価格でより多くのポート密度を実現できるのがメリット
** MX と比べると、同じ価格で高いポート密度を実現できるのがメリット


== キャンパス スイッチ ==
== キャンパス スイッチ ==
[[ファイル:L2SW.png|サムネイル|L2SW]]
[[ファイル:L2SW.png|サムネイル|L2SW]]
キャンパス スイッチは、主に 3 つの役割に分かれる。
キャンパス スイッチは、主に 3 つの役割に分かれます。


* キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ
* キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ


上記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成する。
上記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。


=== アクセススイッチ - レイヤ 2 スイッチ ===
=== アクセススイッチ - レイヤ 2 スイッチ ===


* 島ハブやフロアごとに設置されるスイッチ
* 島ハブやフロアごとに設置されるスイッチ
* ユーザから見て一番近い位置に使用される
* ユーザから見て一番近い位置に使用されます
* サーバを収容するスイッチとして使用されることも
* サーバを収容するスイッチとして使用されることも


234行目: 239行目:


* アクセス スイッチを複数収容するスイッチ
* アクセス スイッチを複数収容するスイッチ
* 小規模ネットワークの場合は省略される
* 小規模ネットワークの場合は省略されます
* 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます


[[ファイル:L3SW.png|サムネイル|L3SW]]
[[ファイル:L3SW.png|サムネイル|L3SW]]
243行目: 249行目:
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
* 規模が大きいネットワークでは、シャーシ型スイッチを導入する
* 規模が大きいネットワークでは、シャーシ型スイッチを導入する
* CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多い
* 小規模ネットワークでは CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
* 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植していくように設計します
** CPE アドレス = Customer Premises Equipment アドレス
** CPE アドレス = Customer Premises Equipment アドレス
** アクセス層配下のユーザが持つアドレスのこと
** アクセス層配下の、ユーザが持つアドレスのこと


{| class="wikitable"
{| class="wikitable"
332行目: 339行目:


=== Cisco Catalyst ===
=== Cisco Catalyst ===
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場した。
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。


ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いか。
ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。


=== Juniper EX ===
=== Juniper EX ===
Juniper はあまり自信がない。数字でどれが旧製品なのか見分けづらい・・・
筆者は Juniper はあまり自信がないです。数字でどれが旧製品なのか見分けづらい・・・


EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けている。
EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けています。


L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良い。
L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。


* EX2200-C で確認
* EX2200-C で確認
347行目: 354行目:
== データセンター スイッチ ==
== データセンター スイッチ ==
[[ファイル:ToR.png|サムネイル|ToR]]
[[ファイル:ToR.png|サムネイル|ToR]]
データセンター スイッチでは、主に以下の 4 種類の役割に分かれる。
データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。


トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要がある。
トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要があります。


IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴。
IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。


また、SAN を使用できるストレージ スイッチも存在するが、用途が全く異なるため割愛。
また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。


=== ToR ===
=== ToR ===


* Top of Rack スイッチ
* Top of Rack スイッチ
* ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供する
* ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供します


[[ファイル:Leaf.png|サムネイル|Leaf]]
[[ファイル:Leaf.png|サムネイル|Leaf]]
365行目: 372行目:


* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
* キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine と接続する場合がある
* キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine と接続する場合があります
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合が多い
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合が多いです


[[ファイル:Spine.png|サムネイル|Spine]]
[[ファイル:Spine.png|サムネイル|Spine]]
373行目: 380行目:


* Leaf を束ねる上位スイッチ
* Leaf を束ねる上位スイッチ
* Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定される
* Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合がある
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります


[[ファイル:DCI.png|サムネイル|DCI]]
[[ファイル:DCI.png|サムネイル|DCI]]
381行目: 388行目:


* データセンター間を接続するスイッチ
* データセンター間を接続するスイッチ
* OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良い
* OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良いです


{| class="wikitable"
{| class="wikitable"
459行目: 466行目:


=== Cisco Nexus ===
=== Cisco Nexus ===
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざる。(Nexus3000 とか)
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)


あと、製品のバリエーションが多すぎて、上記の表は一部でしかない。とりあえず以下を覚えた。
あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。とりあえず以下を覚えましょう。


===== Nexus2000 =====
===== Nexus2000 =====


* Fabric Extender として動作する特殊なスイッチ
* Fabric Extender として動作する、特殊なスイッチ
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できる
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できm,あす
** NX-OS・コンフィグは、親スイッチで管理する
** NX-OS・コンフィグは、親スイッチで管理します
** オークションで安く売っていても、これ単体で自宅のラボには組み込めません
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model]  
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model]  


The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信する
The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信します
* このため同一ラック内のトラフィックが多いサーバには向かない
** このため同一ラック内のトラフィックが多いサーバには向きません


===== Nexus5000 / 7000 =====
===== Nexus5000 / 7000 =====


* 旧世代の Nexus BOX 型とシャーシ型
* 旧世代の Nexus BOX 型とシャーシ型
* 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在する
* 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します


===== Nexus9300 =====
===== Nexus9300 =====


* 9300-FX が 2022 年現在一番メジャーな機種  まずこれを覚える
* 9300-FX が 2022 年現在一番メジャーな機種  まずこれを覚えます
* Cisco LSE (Leaf Spine Engine) ASIC 搭載
* Cisco LSE (Leaf Spine Engine) ASIC 搭載


489行目: 497行目:


* Nexu<span class="caret"></span>s7000 の後継
* Nexu<span class="caret"></span>s7000 の後継
* 9000 シリーズでサポートし<span class="caret"></span>ない機能も、こいつは持っている
* 9000 シリーズでサポートし<span class="caret"></span>ない機能も、こいつは持っています
** 例) OTV 機能で DC 間<span class="caret"></span>を接続 (DCI = Data Center Interconnect) する
** 例) OTV 機能で DC 間<span class="caret"></span>を接続 (DCI = Data Center Interconnect) する
<span class="caret"></span>
<span class="caret"></span>
496行目: 504行目:
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。


採用するなら以下のような観点からとなる。
採用するなら以下のような観点からとなります。


* Juniper 独自機能を使いたい
* Juniper 独自機能を使いたい
503行目: 511行目:
** Junos Fusion
** Junos Fusion
* Apstra で管理したい
* Apstra で管理したい
* Junos の知見を持つエンジニアが、導入する企業に多い


===== QFX5000 =====
===== QFX5000 =====
509行目: 518行目:


===== QFX5100 =====
===== QFX5100 =====
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です


===== QFX5200 =====
===== QFX5200 =====
520行目: 529行目:


=== Arista ===
=== Arista ===
Arista のスイッチはだいたい Broadcom の ASIC で作られている。
Arista のスイッチはだいたい Broadcom の ASIC で作られています。


スイッチの SX 系とルータよりの R 系があるが、TCAM のルート数は高くても 2.5M 程度まで。
スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 2.5M 程度まで。


===== DCS-7050SX3 =====
===== DCS-7050SX3 =====


* Nexus9300 の対抗馬  まずはこいつを覚えると良い
* Nexus9300 の対抗馬  まずはこいつを覚えると良いです
* Broadcom Trident 3 ASIC を搭載
* Broadcom Trident 3 ASIC を搭載


538行目: 547行目:
== ファイアウォール ==
== ファイアウォール ==
[[ファイル:FW.png|サムネイル|FW]]
[[ファイル:FW.png|サムネイル|FW]]
ファイアウォールは主に 2 種類に分かれる。
ファイアウォールは主に 2 種類に分かれます。


=== Classic Firewall ===
=== Classic Firewall ===


* 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォール
* 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
* レイヤ 3 / 4 ヘッダのルックアップで良いため高速
* レイヤ 3 / 4 ヘッダのルックアップで良いため高速です
* 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきている
* 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています


=== Next Generation Firewall (NGFW) ===
=== Next Generation Firewall (NGFW) ===


* アプリケーション層もコントロールできる、次世代のファイアウォール
* アプリケーション層もコントロールできる、次世代のファイアウォール
* TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりする
* TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
* また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できる
* また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
* 細かくなった分、設計や構築の費用が増大する
* 細かくなった分、設計や構築の費用が増大します


UTM や IPS という役割もあるけど、今回は割愛。
UTM や IPS という役割もありますが、今回は割愛します。
{| class="wikitable"
{| class="wikitable"
|+ファイアウォール
|+ファイアウォール
619行目: 628行目:
===== Cisco ASA / Firepower =====
===== Cisco ASA / Firepower =====


* Firepower は FXOS / FTD / ASA が動作する
* Firepower は FXOS / FTD / ASA が動作します
** プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用する
** プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
** アプライアンス モード : 旧来の ASA を OS として使うモード  ほとんど ASA と同じように使える
** アプライアンス モード : 旧来の ASA を OS として使うモード  ほとんど ASA と同じように使えます


===== Juniper SRX =====
===== Juniper SRX =====


* NetScreen Screen OS を搭載していた NS / ISG の後継で、Junos で動作する
* NetScreen Screen OS を搭載していた NS / ISG の後継で、Junos で動作します


== 引用 ==
== 引用 ==

2022年10月17日 (月) 12:03時点における版

ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。

全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。

ネットワーク機器の使用位置

想定する読者

エンタープライズ / ISP 市場のビギナー エンジニア向けです。


ルータ

ルータは主に 3 つの役割に分かれます。

PE
CE

P = Provider Router

  • インターネット サービス プロバイダ (ISP) が内部で使用するルータ
  • 大型で高価なものが使用されます
  • メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
  • 右図からは省略している

PE = Provider Edge Router

  • ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
  • 用途によって導入する機種が選定されます
    • L2VPN / L3VPN を提供 -> メトロ系
    • 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
    • BGP フルルート インターネット接続を提供 -> ハイエンド系
  • P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します

CE = Customer Edge Router

  • ユーザが外部ネットワークと接する位置に置かれるルータ
  • L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
    • WAN 機能 : PPPoE
    • アドレス変換 : NAT , PAT
    • VPN : IPsec VPN
  • コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります
ルータ
役割 CE PE CE / PE PE / P
セグメント ブランチ ローエンド メトロ ミッドレンジ ハイエンド
Cisco ISR / ME / ASR

旧世代

C892J ISR4200

ISR4300

ISR4400

ME3400

ME3800

ASR1000 ASR9000
Cisco ISR / NCS / ASR

現世代

C891FJ

C921J

C1100

C8200

C8300

ASR900

NCS5500

NCS5700

ASR1000X

C8500

ASR9900

Cisco8000

Juniper MX / PTX

旧世代

- MX5

MX10

ACX5048

ACX5096

MX40

MX80

MX204

MX10003

MX10016

PTX1000

PTX3000

PTX5000

PTX10008

PTX10016

Juniper ACX / MX / PTX

現世代

- - ACX4000

ACX5448

ACX5000

MX304

MX480

MX10004

MX960

MX2000

PTX

Cisco ISR / ME / ASR

最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。

  • Catalyst : C8200 , C8300 , C8500
  • Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)

ISR800 / 900 (C892J , C921J)

  • パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
    • VPN は標準搭載として内部で暗号化・復号化モジュールを搭載している場合があります
  • Cisco のブランチ (拠点) 向けルータ
  • PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU を搭載しました
  • J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています

ISR4000

  • ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
    • CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています
  • 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように動作します
    • 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました

ASR900 / 920

  • Cisco 独自 Carrior Ethernet ASIC 搭載 [1] で、IOS-XE が動作します
    • MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
    • 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
  • 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます
    • 無線 LAN でいうと PoE アクセススイッチの位置づけ
      • RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
      • RF : LTE -> モバイル バックホール : ASR920 -> 基地局集約ルータ

ASR1000 / -X

  • Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
  • エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます

NCS5500

  • マーチャントシリコン搭載、IOS-XR が動作します
  • NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
  • ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)

ASR9000

  • Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
  • 第5世代ラインカードは Lightspeed+ 搭載

Cisco8000

  • Cisco Silicon One を搭載し、IOS-XR が動作します

Juniper ACX / MX / PTX

Juniper のブランチ・ローエンド ルータは、筆者の観測範囲では見てないのでよくわかりません。

  • MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・

代わりに SRX のブランチ系でカバーしている気が。

あと MX204 / MX10003 は何ですぐ EoS で死んでしまうん・・・


参考になる URL : お勧めの製品と選び方

ACX

  • マーチャントシリコンを使ったルータで、Junos が動作します
    • ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます
  • Cisco NCS / ASR900 の対抗馬か
  • ACX4000 : MX80 のシャーシを改造したような見た目

MX

  • Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
  • Cisco ASR の対抗馬
  • Juniper のルータで、最も機能が充実しているのは Trio 搭載の MX となります
    • 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定します
    • 豊富な機能で PE ルータに必要な様々な回線を収容
    • 反面ポート密度は、他の機種と比べて低くなります
  • 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード [2]

PTX

  • Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
  • Cisco 8000 , NCS5500 / 57000 の対抗馬
  • 機能の充実よりも速度にフォーカス [3] しています
    • 複雑なことをやらせたくない、P ルータに向いています
    • MX と比べると、同じ価格で高いポート密度を実現できるのがメリット

キャンパス スイッチ

L2SW

キャンパス スイッチは、主に 3 つの役割に分かれます。

  • キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ

上記の 3 種類で、3 層ネットワークと呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。

アクセススイッチ - レイヤ 2 スイッチ

  • 島ハブやフロアごとに設置されるスイッチ
  • ユーザから見て一番近い位置に使用されます
  • サーバを収容するスイッチとして使用されることも

ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ

  • アクセス スイッチを複数収容するスイッチ
  • 小規模ネットワークの場合は省略されます
  • 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます
L3SW

コア スイッチ - レイヤ 3 スイッチ

  • アクセススイッチ or ディストリビューション スイッチを複数収容する、LAN のボスとなるスイッチ
  • コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
  • 規模が大きいネットワークでは、シャーシ型スイッチを導入する
  • 小規模ネットワークでは CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
  • 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植していくように設計します
    • CPE アドレス = Customer Premises Equipment アドレス
    • アクセス層配下の、ユーザが持つアドレスのこと
キャンパス スイッチ
役割 アクセス アクセス /

ディストリビューション

ディストリビューション /

コア

ディストリビューション /

コア

レイヤ レイヤ 2 レイヤ 2 / 3 レイヤ 3
セグメント ローエンド1 ローエンド2 ローエンド3 ミッドレンジ ハイエンド
Cisco Catalyst

旧世代

WS-C2960L WS-C2960X

WS-C2960XR

WS-C3650

WS-C3850

WS-C3850X

WS-C4500-E / -X

WS-C6500

C6800

Cisco Catalyst

現世代

C1000 C9200L

C9200

C9300L

C9300

C9300B

C9300X

C9400

C9500

C9500H

C9500X

C9600

C9600X

Juniper EX

旧世代

- EX2200

EX3300

EX3200 EX4200

EX4400

EX4500

EX6200

EX8200

EX9251

EX9253

Juniper EX

現世代

- EX2300 EX3400 EX4300 EX4600

EX4650

EX9200

Cisco Catalyst

2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。

ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。

Juniper EX

筆者は Juniper はあまり自信がないです。数字でどれが旧製品なのか見分けづらい・・・

EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けています。

L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。

  • EX2200-C で確認

データセンター スイッチ

ToR

データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。

トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント [4] を参照して違いを確認する必要があります。

IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。

また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。

ToR

  • Top of Rack スイッチ
  • ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供します
Leaf

Leaf

  • 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
  • キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine と接続する場合があります
  • 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合が多いです
Spine

Spine

  • Leaf を束ねる上位スイッチ
  • Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
  • Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります
DCI

DCI / OTV

  • データセンター間を接続するスイッチ
  • OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良いです
データセンター スイッチ
用途 ToR Leaf Spine Super Spine DCI / OTV
速度 1G / 25G / 100G 10G / 40G 25G / 100G 100G 特殊シャーシ型 400G シャーシ型 シャーシ型
Cisco Nexus

旧世代

Nexus5000 Nexus9300-EX - Nexus7000 Nexus7000
Cisco Nexus

現世代

Nexus2000

Nexus9200

- Nexus9300-FX Nexus9332C

Nexus9336C

Nexus9400 Nexus9300-GX Nexus9500

Nexus9800

Nexus7700
Juniper QFX

現世代

- QFX5120 QFX5700 QFX5130

QFX5220

QFX10000 ??
Arista DCS

現世代

DCS-7010X - DCS-7050SX3 DCS-7358X4

DCS-7368X4

DCS-7388X5

DCS-7050X4

DCS-7060X4

DCS-7060X5

7280R3

7500R3

7800R3

??

Cisco Nexus

Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)

あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。とりあえず以下を覚えましょう。

Nexus2000
  • Fabric Extender として動作する、特殊なスイッチ
  • 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できm,あす
    • NX-OS・コンフィグは、親スイッチで管理します
    • オークションで安く売っていても、これ単体で自宅のラボには組み込めません
  • ローカルシャーシ内で折り返し通信はできない [5] ため、親スイッチを経由して通信します
    • このため同一ラック内のトラフィックが多いサーバには向きません
Nexus5000 / 7000
  • 旧世代の Nexus BOX 型とシャーシ型
  • 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します
Nexus9300
  • 9300-FX が 2022 年現在一番メジャーな機種 まずこれを覚えます
  • Cisco LSE (Leaf Spine Engine) ASIC 搭載
Nexus9500
  • 9300 のシャーシ版
Nexus7700
  • Nexus7000 の後継
  • 9000 シリーズでサポートしない機能も、こいつは持っています
    • 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する

Juniper QFX

基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。

採用するなら以下のような観点からとなります。

  • Juniper 独自機能を使いたい
    • バーチャル シャーシ (VC)
    • バーチャル シャーシ ファブリック (VCF)
    • Junos Fusion
  • Apstra で管理したい
  • Junos の知見を持つエンジニアが、導入する企業に多い
QFX5000
  • Broadcom Trident ASIC 搭載
QFX5100
  • QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
QFX5200
  • Broadcom Tomahawk ASIC 搭載
QFX10000
  • Juniper Q5 ASIC 搭載

Arista

Arista のスイッチはだいたい Broadcom の ASIC で作られています。

スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 2.5M 程度まで。

DCS-7050SX3
  • Nexus9300 の対抗馬 まずはこいつを覚えると良いです
  • Broadcom Trident 3 ASIC を搭載

リファレンス


ファイアウォール

FW

ファイアウォールは主に 2 種類に分かれます。

Classic Firewall

  • 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
  • レイヤ 3 / 4 ヘッダのルックアップで良いため高速です
  • 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています

Next Generation Firewall (NGFW)

  • アプリケーション層もコントロールできる、次世代のファイアウォール
  • TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
  • また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
  • 細かくなった分、設計や構築の費用が増大します

UTM や IPS という役割もありますが、今回は割愛します。

ファイアウォール
ローエンド1 ローエンド2 ローエンド3 ミッドレンジ

10 - 40Gbps

ハイエンド

40 - 200Gbps

Cisco ASA

旧世代

ASA5505

ASA5506-X

ASA5515

ASA5525-X

ASA5540

ASA5545-X

ASA5550

ASA5555-X

ASA5585-X
Cisco Firepower

現世代

FPR-1010

FPR-1120

FPR-1120

FPR-1140

FPR-2110

FPR-2120

FPR-2130

FPR-2140

FPR-3100

FPR-4100

FPR-9300

Juniper SRX

旧世代

SRX100 SRX210

SRX220

SRX240

SRX550

SRX650 SRX5400
Juniper SRX

現世代

SRX300 SRX320 SRX340

SRX345

SRX380

SRX550 SRX5600

SRX5800

Cisco ASA / Firepower
  • Firepower は FXOS / FTD / ASA が動作します
    • プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
    • アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます
Juniper SRX
  • NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します

引用

  1. Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet Major Differentiators Powered by the Cisco Carrier Ethernet ASIC
  2. Juniper Introduces New Trio 6-based MX Portfolio
  3. シリコンアーキテクチャの選択:業務に適したツールの選定が重要 Juniper Trio 6 – 未知の要件向け Juniper Express 5:Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
  4. RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法
  5. Forwarding Model The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching.