「2023-09-30 メーカー横断 プロダクト ポートフォリオ比較」の版間の差分
編集の要約なし |
|||
3行目: | 3行目: | ||
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。 | 全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。 | ||
[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]] | [[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]] | ||
== 想定する読者 == | |||
エンタープライズ / ISP 市場のビギナー エンジニア向けです。 | |||
== ルータ == | == ルータ == | ||
ルータは主に 3 | ルータは主に 3 つの役割に分かれます。 | ||
[[ファイル:PE.png|サムネイル|PE]] | [[ファイル:PE.png|サムネイル|PE]] | ||
[[ファイル:CE.png|サムネイル|CE]] | [[ファイル:CE.png|サムネイル|CE]] | ||
13行目: | 16行目: | ||
* インターネット サービス プロバイダ (ISP) が内部で使用するルータ | * インターネット サービス プロバイダ (ISP) が内部で使用するルータ | ||
* | * 大型で高価なものが使用されます | ||
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様 | * メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様 | ||
* 右図からは省略している | * 右図からは省略している | ||
19行目: | 22行目: | ||
=== PE = Provider Edge Router === | === PE = Provider Edge Router === | ||
* ISP | * ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ | ||
* | * 用途によって導入する機種が選定されます | ||
** L2VPN / L3VPN を提供 -> メトロ系 | ** L2VPN / L3VPN を提供 -> メトロ系 | ||
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系 | ** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系 | ||
** BGP フルルート インターネット接続を提供 -> ハイエンド系 | ** BGP フルルート インターネット接続を提供 -> ハイエンド系 | ||
* P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します | |||
=== CE = Customer Edge Router === | === CE = Customer Edge Router === | ||
* ユーザが外部ネットワークと接する位置に置かれるルータ | * ユーザが外部ネットワークと接する位置に置かれるルータ | ||
* L3SW | * L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します | ||
** WAN 機能 : PPPoE | ** WAN 機能 : PPPoE | ||
** アドレス変換 : NAT , PAT | ** アドレス変換 : NAT , PAT | ||
** VPN : IPsec VPN | ** VPN : IPsec VPN | ||
* コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります | |||
{| class="wikitable" | {| class="wikitable" | ||
121行目: | 126行目: | ||
=== Cisco ISR / ME / ASR === | === Cisco ISR / ME / ASR === | ||
最新世代のルータは、スイッチのブランド名だった Catalyst | 最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。 | ||
* Catalyst : C8200 , C8300 , C8500 | * Catalyst : C8200 , C8300 , C8500 | ||
128行目: | 133行目: | ||
==== ISR800 / 900 (C892J , C921J) ==== | ==== ISR800 / 900 (C892J , C921J) ==== | ||
* パケット転送用に特別なハードウェアを搭載せず、Classic IOS | * パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します | ||
** VPN | ** VPN は標準搭載として内部で暗号化・復号化モジュールを搭載している場合があります | ||
* Cisco のブランチ (拠点) 向けルータ | * Cisco のブランチ (拠点) 向けルータ | ||
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU | * PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU を搭載しました | ||
* J | * J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています | ||
==== ISR4000 ==== | ==== ISR4000 ==== | ||
* ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE | * ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します | ||
** CPU | ** CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています | ||
* | * 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように動作します | ||
** | ** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました | ||
==== ASR900 / 920 ==== | ==== ASR900 / 920 ==== | ||
147行目: | 152行目: | ||
Major Differentiators | Major Differentiators | ||
Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE | Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作します | ||
** MPLS / VPLS などキャリア向け機能が充実し、ISP | ** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります | ||
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC | ** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました | ||
* 携帯の基地局と拠点をつなぐ、モバイル | * 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます | ||
** 無線 LAN でいうと PoE アクセススイッチの位置づけ | ** 無線 LAN でいうと PoE アクセススイッチの位置づけ | ||
*** RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW | *** RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW | ||
157行目: | 162行目: | ||
==== ASR1000 / -X ==== | ==== ASR1000 / -X ==== | ||
* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE | * Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します | ||
* エンタープライズでセンターの VPN 装置や、キャリアの NAT | * エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます | ||
==== NCS5500 ==== | ==== NCS5500 ==== | ||
* マーチャントシリコン搭載、IOS-XR | * マーチャントシリコン搭載、IOS-XR が動作します | ||
* NCS5504 , 5508 , 5516 は Nexus9500 | * NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています | ||
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない) | * ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない) | ||
==== ASR9000 ==== | ==== ASR9000 ==== | ||
* Cisco 独自 Network Processor を搭載し、IOS-XR | * Cisco 独自 Network Processor を搭載し、IOS-XR が動作します | ||
* 第5世代ラインカードは Lightspeed+ 搭載 | * 第5世代ラインカードは Lightspeed+ 搭載 | ||
==== Cisco8000 ==== | ==== Cisco8000 ==== | ||
* Cisco Silicon One を搭載し、IOS-XR | * Cisco Silicon One を搭載し、IOS-XR が動作します | ||
=== Juniper ACX / MX / PTX === | === Juniper ACX / MX / PTX === | ||
189行目: | 194行目: | ||
==== ACX ==== | ==== ACX ==== | ||
* マーチャントシリコンを使ったルータで、Junos | * マーチャントシリコンを使ったルータで、Junos が動作します | ||
** ルータというよりはスイッチのルート | ** ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます | ||
* Cisco NCS / ASR900 の対抗馬か | * Cisco NCS / ASR900 の対抗馬か | ||
* ACX4000 : MX80 のシャーシを改造したような見た目 | * ACX4000 : MX80 のシャーシを改造したような見た目 | ||
196行目: | 201行目: | ||
==== MX ==== | ==== MX ==== | ||
* Juniper 独自 Trio チップセットを使ったルータで、Junos | * Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します | ||
* Cisco ASR の対抗馬 | * Cisco ASR の対抗馬 | ||
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' | * Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となります | ||
** 要件定義や将来使う機能が曖昧なときは、PTX よりも MX | ** 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定します | ||
** 豊富な機能で PE ルータに必要な様々な回線を収容 | ** 豊富な機能で PE ルータに必要な様々な回線を収容 | ||
** | ** 反面ポート密度は、他の機種と比べて低くなります | ||
* 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref> | * 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref> | ||
==== PTX ==== | ==== PTX ==== | ||
* Juniper 独自 Express 系シリコンを使用しており、Junos | * Juniper 独自 Express 系シリコンを使用しており、Junos が動作します | ||
* Cisco 8000 , NCS5500 / 57000 の対抗馬 | * Cisco 8000 , NCS5500 / 57000 の対抗馬 | ||
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要] | *'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択:業務に適したツールの選定が重要] | ||
213行目: | 218行目: | ||
'''Juniper Express 5''':Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。 | '''Juniper Express 5''':Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。 | ||
</ref> | </ref> しています | ||
** 複雑なことをやらせたくない、P | ** 複雑なことをやらせたくない、P ルータに向いています | ||
** MX | ** MX と比べると、同じ価格で高いポート密度を実現できるのがメリット | ||
== キャンパス スイッチ == | == キャンパス スイッチ == | ||
[[ファイル:L2SW.png|サムネイル|L2SW]] | [[ファイル:L2SW.png|サムネイル|L2SW]] | ||
キャンパス スイッチは、主に 3 | キャンパス スイッチは、主に 3 つの役割に分かれます。 | ||
* キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ | * キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ | ||
上記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) | 上記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。 | ||
=== アクセススイッチ - レイヤ 2 スイッチ === | === アクセススイッチ - レイヤ 2 スイッチ === | ||
* 島ハブやフロアごとに設置されるスイッチ | * 島ハブやフロアごとに設置されるスイッチ | ||
* | * ユーザから見て一番近い位置に使用されます | ||
* サーバを収容するスイッチとして使用されることも | * サーバを収容するスイッチとして使用されることも | ||
234行目: | 239行目: | ||
* アクセス スイッチを複数収容するスイッチ | * アクセス スイッチを複数収容するスイッチ | ||
* | * 小規模ネットワークの場合は省略されます | ||
* 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます | |||
[[ファイル:L3SW.png|サムネイル|L3SW]] | [[ファイル:L3SW.png|サムネイル|L3SW]] | ||
243行目: | 249行目: | ||
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ | * コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ | ||
* 規模が大きいネットワークでは、シャーシ型スイッチを導入する | * 規模が大きいネットワークでは、シャーシ型スイッチを導入する | ||
* CPE | * 小規模ネットワークでは CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです | ||
* 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植していくように設計します | |||
** CPE アドレス = Customer Premises Equipment アドレス | ** CPE アドレス = Customer Premises Equipment アドレス | ||
** | ** アクセス層配下の、ユーザが持つアドレスのこと | ||
{| class="wikitable" | {| class="wikitable" | ||
332行目: | 339行目: | ||
=== Cisco Catalyst === | === Cisco Catalyst === | ||
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X | 2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。 | ||
ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + | ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。 | ||
=== Juniper EX === | === Juniper EX === | ||
Juniper | 筆者は Juniper はあまり自信がないです。数字でどれが旧製品なのか見分けづらい・・・ | ||
EX では L2 / L3 | EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けています。 | ||
L3 機能を使っても commit で warning | L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。 | ||
* EX2200-C で確認 | * EX2200-C で確認 | ||
347行目: | 354行目: | ||
== データセンター スイッチ == | == データセンター スイッチ == | ||
[[ファイル:ToR.png|サムネイル|ToR]] | [[ファイル:ToR.png|サムネイル|ToR]] | ||
データセンター スイッチでは、主に以下の 4 | データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。 | ||
トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> | トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要があります。 | ||
IP Clos ではサーバ間 (East <-> West) | IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。 | ||
また、SAN を使用できるストレージ | また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。 | ||
=== ToR === | === ToR === | ||
* Top of Rack スイッチ | * Top of Rack スイッチ | ||
* ラックの最上部 or | * ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供します | ||
[[ファイル:Leaf.png|サムネイル|Leaf]] | [[ファイル:Leaf.png|サムネイル|Leaf]] | ||
365行目: | 372行目: | ||
* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ | * 下位の ToR を束ねて、上位の Spine へ接続するスイッチ | ||
* キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine | * キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine と接続する場合があります | ||
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW | * 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合が多いです | ||
[[ファイル:Spine.png|サムネイル|Spine]] | [[ファイル:Spine.png|サムネイル|Spine]] | ||
373行目: | 380行目: | ||
* Leaf を束ねる上位スイッチ | * Leaf を束ねる上位スイッチ | ||
* Leaf <-> Leaf | * Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます | ||
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine | * Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります | ||
[[ファイル:DCI.png|サムネイル|DCI]] | [[ファイル:DCI.png|サムネイル|DCI]] | ||
381行目: | 388行目: | ||
* データセンター間を接続するスイッチ | * データセンター間を接続するスイッチ | ||
* OTV | * OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良いです | ||
{| class="wikitable" | {| class="wikitable" | ||
459行目: | 466行目: | ||
=== Cisco Nexus === | === Cisco Nexus === | ||
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom | Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか) | ||
あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。とりあえず以下を覚えましょう。 | |||
===== Nexus2000 ===== | ===== Nexus2000 ===== | ||
* Fabric Extender | * Fabric Extender として動作する、特殊なスイッチ | ||
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) | * 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できm,あす | ||
** NX- | ** NX-OS・コンフィグは、親スイッチで管理します | ||
** オークションで安く売っていても、これ単体で自宅のラボには組み込めません | |||
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model] | * ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model] | ||
The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> | The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信します | ||
* | ** このため同一ラック内のトラフィックが多いサーバには向きません | ||
===== Nexus5000 / 7000 ===== | ===== Nexus5000 / 7000 ===== | ||
* 旧世代の Nexus BOX 型とシャーシ型 | * 旧世代の Nexus BOX 型とシャーシ型 | ||
* 7000 は特殊で、F ラインカードと機能が豊富な M | * 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します | ||
===== Nexus9300 ===== | ===== Nexus9300 ===== | ||
* 9300-FX が 2022 年現在一番メジャーな機種 | * 9300-FX が 2022 年現在一番メジャーな機種 まずこれを覚えます | ||
* Cisco LSE (Leaf Spine Engine) ASIC 搭載 | * Cisco LSE (Leaf Spine Engine) ASIC 搭載 | ||
489行目: | 497行目: | ||
* Nexu<span class="caret"></span>s7000 の後継 | * Nexu<span class="caret"></span>s7000 の後継 | ||
* 9000 シリーズでサポートし<span class="caret"></span> | * 9000 シリーズでサポートし<span class="caret"></span>ない機能も、こいつは持っています | ||
** 例) OTV 機能で DC 間<span class="caret"></span>を接続 (DCI = Data Center Interconnect) する | ** 例) OTV 機能で DC 間<span class="caret"></span>を接続 (DCI = Data Center Interconnect) する | ||
<span class="caret"></span> | <span class="caret"></span> | ||
496行目: | 504行目: | ||
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。 | 基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。 | ||
採用するなら以下のような観点からとなります。 | |||
* Juniper 独自機能を使いたい | * Juniper 独自機能を使いたい | ||
503行目: | 511行目: | ||
** Junos Fusion | ** Junos Fusion | ||
* Apstra で管理したい | * Apstra で管理したい | ||
* Junos の知見を持つエンジニアが、導入する企業に多い | |||
===== QFX5000 ===== | ===== QFX5000 ===== | ||
509行目: | 518行目: | ||
===== QFX5100 ===== | ===== QFX5100 ===== | ||
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 | * QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です | ||
===== QFX5200 ===== | ===== QFX5200 ===== | ||
520行目: | 529行目: | ||
=== Arista === | === Arista === | ||
Arista のスイッチはだいたい Broadcom の ASIC | Arista のスイッチはだいたい Broadcom の ASIC で作られています。 | ||
スイッチの SX 系とルータよりの R | スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 2.5M 程度まで。 | ||
===== DCS-7050SX3 ===== | ===== DCS-7050SX3 ===== | ||
* Nexus9300 の対抗馬 | * Nexus9300 の対抗馬 まずはこいつを覚えると良いです | ||
* Broadcom Trident 3 ASIC を搭載 | * Broadcom Trident 3 ASIC を搭載 | ||
538行目: | 547行目: | ||
== ファイアウォール == | == ファイアウォール == | ||
[[ファイル:FW.png|サムネイル|FW]] | [[ファイル:FW.png|サムネイル|FW]] | ||
ファイアウォールは主に 2 | ファイアウォールは主に 2 種類に分かれます。 | ||
=== Classic Firewall === | === Classic Firewall === | ||
* 送信元 / 送信先 IP , TCP / UDP | * 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです | ||
* レイヤ 3 / 4 | * レイヤ 3 / 4 ヘッダのルックアップで良いため高速です | ||
* 最近は様々なアプリが TCP 443 | * 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています | ||
=== Next Generation Firewall (NGFW) === | === Next Generation Firewall (NGFW) === | ||
* アプリケーション層もコントロールできる、次世代のファイアウォール | * アプリケーション層もコントロールできる、次世代のファイアウォール | ||
* TCP 443 | * TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします | ||
* また AD と連携して、IP | * また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます | ||
* | * 細かくなった分、設計や構築の費用が増大します | ||
UTM や IPS | UTM や IPS という役割もありますが、今回は割愛します。 | ||
{| class="wikitable" | {| class="wikitable" | ||
|+ファイアウォール | |+ファイアウォール | ||
619行目: | 628行目: | ||
===== Cisco ASA / Firepower ===== | ===== Cisco ASA / Firepower ===== | ||
* Firepower は FXOS / FTD / ASA | * Firepower は FXOS / FTD / ASA が動作します | ||
** プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort | ** プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します | ||
** アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA | ** アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます | ||
===== Juniper SRX ===== | ===== Juniper SRX ===== | ||
* NetScreen Screen OS を搭載していた NS / ISG の後継で、Junos | * NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します | ||
== 引用 == | == 引用 == |
2022年10月17日 (月) 12:03時点における版
ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。
全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。
想定する読者
エンタープライズ / ISP 市場のビギナー エンジニア向けです。
ルータ
ルータは主に 3 つの役割に分かれます。
P = Provider Router
- インターネット サービス プロバイダ (ISP) が内部で使用するルータ
- 大型で高価なものが使用されます
- メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
- 右図からは省略している
PE = Provider Edge Router
- ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
- 用途によって導入する機種が選定されます
- L2VPN / L3VPN を提供 -> メトロ系
- 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
- BGP フルルート インターネット接続を提供 -> ハイエンド系
- P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します
CE = Customer Edge Router
- ユーザが外部ネットワークと接する位置に置かれるルータ
- L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
- WAN 機能 : PPPoE
- アドレス変換 : NAT , PAT
- VPN : IPsec VPN
- コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります
役割 | CE | PE | CE / PE | PE / P | |
---|---|---|---|---|---|
セグメント | ブランチ | ローエンド | メトロ | ミッドレンジ | ハイエンド |
Cisco ISR / ME / ASR
旧世代 |
C892J | ISR4200
ISR4300 ISR4400 |
ME3400
ME3800 |
ASR1000 | ASR9000 |
Cisco ISR / NCS / ASR
現世代 |
C891FJ
C921J |
C1100
C8200 C8300 |
ASR900
NCS5500 NCS5700 |
ASR1000X
C8500 |
ASR9900
Cisco8000 |
Juniper MX / PTX
旧世代 |
- | MX5
MX10 |
ACX5048
ACX5096 |
MX40
MX80 MX204 MX10003 MX10016 |
PTX1000
PTX3000 PTX5000 PTX10008 PTX10016 |
Juniper ACX / MX / PTX
現世代 |
- | - | ACX4000
ACX5448 |
ACX5000
MX304 MX480 MX10004 |
MX960
MX2000 PTX |
Cisco ISR / ME / ASR
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。
- Catalyst : C8200 , C8300 , C8500
- Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)
ISR800 / 900 (C892J , C921J)
- パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
- VPN は標準搭載として内部で暗号化・復号化モジュールを搭載している場合があります
- Cisco のブランチ (拠点) 向けルータ
- PowerPC , MIPS など組み込み向けの CPU を長らく採用していたが、C921J はついに x86 CPU を搭載しました
- J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています
ISR4000
- ASR1000 の QFP を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
- CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています
- 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように動作します
- 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました
ASR900 / 920
- Cisco 独自 Carrior Ethernet ASIC 搭載 [1] で、IOS-XE が動作します
- MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
- 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
- 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます
- 無線 LAN でいうと PoE アクセススイッチの位置づけ
- RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
- RF : LTE -> モバイル バックホール : ASR920 -> 基地局集約ルータ
- 無線 LAN でいうと PoE アクセススイッチの位置づけ
ASR1000 / -X
- Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
- エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます
NCS5500
- マーチャントシリコン搭載、IOS-XR が動作します
- NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
- ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)
ASR9000
- Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
- 第5世代ラインカードは Lightspeed+ 搭載
Cisco8000
- Cisco Silicon One を搭載し、IOS-XR が動作します
Juniper ACX / MX / PTX
Juniper のブランチ・ローエンド ルータは、筆者の観測範囲では見てないのでよくわかりません。
- MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・
代わりに SRX のブランチ系でカバーしている気が。
あと MX204 / MX10003 は何ですぐ EoS で死んでしまうん・・・
参考になる URL : お勧めの製品と選び方
ACX
- マーチャントシリコンを使ったルータで、Junos が動作します
- ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます
- Cisco NCS / ASR900 の対抗馬か
- ACX4000 : MX80 のシャーシを改造したような見た目
MX
- Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
- Cisco ASR の対抗馬
- Juniper のルータで、最も機能が充実しているのは Trio 搭載の MX となります
- 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定します
- 豊富な機能で PE ルータに必要な様々な回線を収容
- 反面ポート密度は、他の機種と比べて低くなります
- 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード [2]
PTX
- Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
- Cisco 8000 , NCS5500 / 57000 の対抗馬
- 機能の充実よりも速度にフォーカス [3] しています
- 複雑なことをやらせたくない、P ルータに向いています
- MX と比べると、同じ価格で高いポート密度を実現できるのがメリット
キャンパス スイッチ
キャンパス スイッチは、主に 3 つの役割に分かれます。
- キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ
上記の 3 種類で、3 層ネットワークと呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。
アクセススイッチ - レイヤ 2 スイッチ
- 島ハブやフロアごとに設置されるスイッチ
- ユーザから見て一番近い位置に使用されます
- サーバを収容するスイッチとして使用されることも
ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ
- アクセス スイッチを複数収容するスイッチ
- 小規模ネットワークの場合は省略されます
- 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます
コア スイッチ - レイヤ 3 スイッチ
- アクセススイッチ or ディストリビューション スイッチを複数収容する、LAN のボスとなるスイッチ
- コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
- 規模が大きいネットワークでは、シャーシ型スイッチを導入する
- 小規模ネットワークでは CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
- 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植していくように設計します
- CPE アドレス = Customer Premises Equipment アドレス
- アクセス層配下の、ユーザが持つアドレスのこと
役割 | アクセス | アクセス /
ディストリビューション |
ディストリビューション /
コア |
ディストリビューション /
コア | |
---|---|---|---|---|---|
レイヤ | レイヤ 2 | レイヤ 2 / 3 | レイヤ 3 | ||
セグメント | ローエンド1 | ローエンド2 | ローエンド3 | ミッドレンジ | ハイエンド |
Cisco Catalyst
旧世代 |
WS-C2960L | WS-C2960X
WS-C2960XR |
WS-C3650
WS-C3850 |
WS-C3850X
WS-C4500-E / -X |
WS-C6500
C6800 |
Cisco Catalyst
現世代 |
C1000 | C9200L
C9200 |
C9300L
C9300 |
C9300B
C9300X C9400 C9500 |
C9500H
C9500X C9600 C9600X |
Juniper EX
旧世代 |
- | EX2200
EX3300 |
EX3200 | EX4200
EX4400 EX4500 EX6200 |
EX8200
EX9251 EX9253 |
Juniper EX
現世代 |
- | EX2300 | EX3400 | EX4300 | EX4600
EX4650 EX9200 |
Cisco Catalyst
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。
ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。
Juniper EX
筆者は Juniper はあまり自信がないです。数字でどれが旧製品なのか見分けづらい・・・
EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けています。
L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。
- EX2200-C で確認
データセンター スイッチ
データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。
トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント [4] を参照して違いを確認する必要があります。
IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。
また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。
ToR
- Top of Rack スイッチ
- ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供します
Leaf
- 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
- キャンパススイッチとは異なり、速度が重視される場合には4 台以上 の Spine と接続する場合があります
- 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合が多いです
Spine
- Leaf を束ねる上位スイッチ
- Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
- Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります
DCI / OTV
- データセンター間を接続するスイッチ
- OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良いです
用途 | ToR | Leaf | Spine | Super Spine | DCI / OTV | |||
---|---|---|---|---|---|---|---|---|
速度 | 1G / 25G / 100G | 10G / 40G | 25G / 100G | 100G | 特殊シャーシ型 | 400G | シャーシ型 | シャーシ型 |
Cisco Nexus
旧世代 |
Nexus5000 | Nexus9300-EX | - | Nexus7000 | Nexus7000 | |||
Cisco Nexus
現世代 |
Nexus2000
Nexus9200 |
- | Nexus9300-FX | Nexus9332C
Nexus9336C |
Nexus9400 | Nexus9300-GX | Nexus9500
Nexus9800 |
Nexus7700 |
Juniper QFX
現世代 |
- | QFX5120 | QFX5700 | QFX5130
QFX5220 |
QFX10000 | ?? | ||
Arista DCS
現世代 |
DCS-7010X | - | DCS-7050SX3 | DCS-7358X4
DCS-7368X4 DCS-7388X5 |
DCS-7050X4
DCS-7060X4 DCS-7060X5 |
7280R3
7500R3 7800R3 |
?? |
Cisco Nexus
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)
あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。とりあえず以下を覚えましょう。
Nexus2000
- Fabric Extender として動作する、特殊なスイッチ
- 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できm,あす
- NX-OS・コンフィグは、親スイッチで管理します
- オークションで安く売っていても、これ単体で自宅のラボには組み込めません
- ローカルシャーシ内で折り返し通信はできない [5] ため、親スイッチを経由して通信します
- このため同一ラック内のトラフィックが多いサーバには向きません
Nexus5000 / 7000
- 旧世代の Nexus BOX 型とシャーシ型
- 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します
Nexus9300
- 9300-FX が 2022 年現在一番メジャーな機種 まずこれを覚えます
- Cisco LSE (Leaf Spine Engine) ASIC 搭載
Nexus9500
- 9300 のシャーシ版
Nexus7700
- Nexus7000 の後継
- 9000 シリーズでサポートしない機能も、こいつは持っています
- 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する
Juniper QFX
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。
採用するなら以下のような観点からとなります。
- Juniper 独自機能を使いたい
- バーチャル シャーシ (VC)
- バーチャル シャーシ ファブリック (VCF)
- Junos Fusion
- Apstra で管理したい
- Junos の知見を持つエンジニアが、導入する企業に多い
QFX5000
- Broadcom Trident ASIC 搭載
QFX5100
- QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
QFX5200
- Broadcom Tomahawk ASIC 搭載
QFX10000
- Juniper Q5 ASIC 搭載
Arista
Arista のスイッチはだいたい Broadcom の ASIC で作られています。
スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 2.5M 程度まで。
DCS-7050SX3
- Nexus9300 の対抗馬 まずはこいつを覚えると良いです
- Broadcom Trident 3 ASIC を搭載
リファレンス
- Cisco Nexus 9000 Series Switches Compare Models
- Nexus 9000 / Nexus 3000 シリーズの ASIC 名と該当するプロダクト
- Network switch comparison Table, including ASIC and packet buffer.
- ジュニパーネットワークス 製品カタログ
ファイアウォール
ファイアウォールは主に 2 種類に分かれます。
Classic Firewall
- 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
- レイヤ 3 / 4 ヘッダのルックアップで良いため高速です
- 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています
Next Generation Firewall (NGFW)
- アプリケーション層もコントロールできる、次世代のファイアウォール
- TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
- また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
- 細かくなった分、設計や構築の費用が増大します
UTM や IPS という役割もありますが、今回は割愛します。
ローエンド1 | ローエンド2 | ローエンド3 | ミッドレンジ
10 - 40Gbps |
ハイエンド
40 - 200Gbps | |
---|---|---|---|---|---|
Cisco ASA
旧世代 |
ASA5505
ASA5506-X |
ASA5515
ASA5525-X |
ASA5540
ASA5545-X |
ASA5550
ASA5555-X |
ASA5585-X |
Cisco Firepower
現世代 |
FPR-1010
FPR-1120 |
FPR-1120
FPR-1140 |
FPR-2110
FPR-2120 FPR-2130 |
FPR-2140
FPR-3100 |
FPR-4100
FPR-9300 |
Juniper SRX
旧世代 |
SRX100 | SRX210
SRX220 |
SRX240
SRX550 |
SRX650 | SRX5400 |
Juniper SRX
現世代 |
SRX300 | SRX320 | SRX340
SRX345 SRX380 |
SRX550 | SRX5600
SRX5800 |
Cisco ASA / Firepower
- Firepower は FXOS / FTD / ASA が動作します
- プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
- アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます
Juniper SRX
- NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します
引用
- ↑ Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet Major Differentiators Powered by the Cisco Carrier Ethernet ASIC
- ↑ Juniper Introduces New Trio 6-based MX Portfolio
- ↑ シリコンアーキテクチャの選択:業務に適したツールの選定が重要 Juniper Trio 6 – 未知の要件向け Juniper Express 5:Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
- ↑ RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法
- ↑ Forwarding Model The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching.