2023-09-30 メーカー横断 プロダクト ポートフォリオ比較

提供:hkatou_Lab
2023年10月24日 (火) 14:41時点におけるHkatou (トーク | 投稿記録)による版 (→‎Nexus9800)
ナビゲーションに移動 検索に移動

ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。

全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。

現状ではルータ・スイッチ・ファイアウォールのみを記載。

ネットワーク機器の使用位置

目的

  • メーカー横断で対抗となる機種を調べられるようにしたい。
    • 各メーカーごとのプロダクト マッピング (下位機種・上位機種 / 種類) はカタログを読めばわかりますが、メーカー横断の資料は公開されていない
  • ビギナー エンジニアが機種全体から見て、自分が対応する機種の位置づけを知ることができる。

想定する読者

エンタープライズ / ISP 市場の、SIer / NIer ビギナー エンジニア

ルータ

ルータは主に 3 つの役割に分かれます。初心者は、まず Cisco のブランチルータを把握すると良いでしょう。

PE
CE

P = Provider Router

  • インターネット サービス プロバイダ (ISP) が内部で使用するルータ
  • 大型で高価なものが使用されます
  • メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
  • 右図からは省略している

PE = Provider Edge Router

  • ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
  • 用途によって導入する機種が選定されます
    • L2VPN / L3VPN を提供 -> メトロ系
    • 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
    • BGP フルルート インターネット接続を提供 -> ハイエンド系
  • P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します

CE = Customer Edge Router

  • ユーザが外部ネットワークと接する位置に置かれるルータ
  • L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
    • WAN 機能 : PPPoE
    • アドレス変換 : NAT , PAT
    • VPN : IPsec VPN
  • コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります


エンタープライズ系では、DC など大きい拠点に置くセンタールータ、小さい拠点に置くブランチルータ、

という分類もあります。

ルータ
役割 CE PE CE / PE PE / P P
セグメント ブランチ ローエンド メトロ ミッドレンジ ハイエンド ウルトラハイエンド
Cisco ISR / ME / ASR

旧世代

C892J ISR4200

ISR4300

ISR4400

ME3400

ME3800

ASR1000 ASR9000 CRS-1

CRS-3

CRS-X

Cisco ISR / NCS / ASR

現世代

C891FJ

C921J

C1100

C8200

C8300

ASR900

NCS520

NCS540 NCS5500

NCS5700

ASR1000X

C8500

ASR9900

Cisco8100

Cisco8200

Cisco8800
Juniper MX / PTX

旧世代

- MX5

MX10

ACX5048

ACX5096

MX40

MX80

MX10003

PTX1000

PTX3000

PTX5000

MX10016

PTX10008

PTX10016

Juniper ACX / MX / PTX

現世代

- - ACX4000

ACX5448

ACX5000

MX204

MX304

MX480

MX10004

MX960

MX2000

PTX

MX2008

MX2010

MX2020

PTX

ルータは、WAN で使用される機能が充実しています。

  • WAN プロトコル : PPPoE / MPLS
  • VPN : IPsec / FlexVPN / L2TP
  • IP Addressing : NAT

一方でレイヤ 3 スイッチと比較してポート単価が高いため、ポート消費量を抑える設計や

レイヤ 3 スイッチに代替出来ないか、検討する知見が求められます。

  • 最近は C9300 スイッチなど IPsec や NAT をサポートしているケースがあります

筆者は初心者のころにブロードバンド ルータを置き換える目的で Catalyst 3560 を買ったのですが、

PPPoE / NAT が動作しないことを知りませんでした。。

Cisco ISR / ME / ASR

最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。

  • Catalyst : C8200 , C8300 , C8500
  • Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)

ISR800 / 900 (C892J , C921J)

  • パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
    • VPN は暗号化・復号化モジュールを搭載している場合があります
  • Cisco のブランチ (拠点) 向けルータ
  • PowerPC , MIPS など組み込み向けの CPU を長らく採用していましたが、C921J はついに x86 CPU を搭載しました
  • J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています
    • C1812J の頃の話 最近の機種は未調査

ISR1100 / 1100X / 1121X / 1127X / 1131X / 1161X

ちょっと高性能なブランチルータ。

  • LTE / WiFi 対応モデルあり

ISR4000

デフォルトではめっちゃ遅いスループットのモデルも存在する、高性能なブランチルータ。

  • ASR1000 の QFP (Quantum Flow Processor) を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
    • CPU コアを、IOS-XE の動作するコントロール プレーンと、QFP エミュレーション用のデータプレーンに振り分けています
  • 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように (=HW ライクに) 動作します
    • 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました

Catalyst 8200L / 8200 / 8300

  • IOS-XE で動作するルータで、ISR4000 の後継機
  • Intel マルチコア CPU の QAT と DPDK が動作し、ASIC ほどではないがハードウェア転送になったアーキテクチャ [1] を持ちます
    • Intel QuickAssist Technology (QAT) : 暗号化・復号化を高速に行う IPSec 用の機能
    • Data Plane Development Kit (DPDK) : パケット処理にカーネルを挟まず、NIC に CPU コアを割り当ててパケット転送の間隔でポーリングし、転送処理することで高速なパケット転送を行います
      • ポーリング処理に CPU コアを専有するため、8 - 12 コアを搭載しています

ASR900 / 920

  • Cisco 独自 Carrior Ethernet ASIC 搭載 [2] で、IOS-XE が動作します
    • MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
    • 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
      • 当時はメトロ系スイッチで、ルータではありませんでした
  • 携帯の基地局と拠点をつなぐ、モバイル バックホールなどにも使用されます
    • 無線 LAN でいうと PoE アクセススイッチの位置づけ
      • RF : 無線 LAN -> L2SW : PoE SW -> ディストリ・コア : L3SW
      • RF : LTE -> モバイル バックホール RT : ASR920 -> 基地局集約ルータ

ASR1000 / -X

  • Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
  • エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます

NCS520 , NCS540

  • マーチャントシリコン搭載、IOS-XE が動作します
  • NCS540 は broadcom Qumran 2A (J2 系)
  • メトロ (都市間) イーサネット系ルータとして MPLS などをサポート
  • ASR9x0 系と被ってます

NCS5500 / NCS5700

  • マーチャントシリコン搭載、IOS-XR が動作します
  • NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
  • ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)

CRS-1 , 3 , X

  • Cisco Silicon Packet Processor (CRS-1) Cisco QuantumFlow Array Processor を搭載 (CRS-3) し、IOS-XR を採用
  • 日本ではメガキャリアの P ルータで採用例あり
  • IOS-XR は Cisco と Fujitsu で共同開発されました

ASR9000

  • Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
  • 第5世代ラインカードは Lightspeed+ 搭載
  • ラインカードの世代はここ [3] を参照
  • Typhoon, Tomahawk based の場合、FIB は IPv4 4M / IPv6 2M [4] を持つ

Cisco8000

  • BOX 型
    • Cisco 8100 , 8200
  • シャーシ型
    • Cisco 8800
  • Cisco Silicon One を搭載し、IOS-XR が動作します
  • P4 言語に対応するため別の OS も選択でき、SONiC も動作します
  • Juniper の PTX に近いシリーズで、Feature の豊富さは少なめになりそう ?
  • 2022/10/18 8111-32EH が発表、Silicon One G100 を搭載する 800G x 32 ポート 25.6Tbps の化け物
  • シャーシ型は、おそらく Nexus 9800 とほぼ共通化されていると思われる
  • Interop2023 で、Cisco 8608 が発表された

Juniper ACX / MX / PTX

Juniper のブランチ・ローエンド ルータは、筆者の観測範囲では見てないのでよくわかりません。

  • MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・

今までは代わりに SRX のブランチ系でカバーしていた気が。今後は SSR を展開していく模様。

あと MX204 / MX10003 は何ですぐ EoS で死んでしまうん・・・

MX の Trio ASIC と PTX の Express ASIC の違いは、

  • Trio : 複数のパケット処理エンジンを持つ
  • Express : プログラマブル パイプライン [5] を持ち、スループットが高いためポート密度を高くできる

点が異なります。[6]


リンク : Juniper’s Express 5: A 28.8Tbps Network Routing ASIC and Variations

ACX

  • マーチャントシリコン (Broadcom) を使ったルータで、Junos が動作します
    • ルータというよりはスイッチのルート スケール版、と言ったほうが正しいと思われます
  • Cisco NCS / ASR900 の対抗馬として、メトロ イーサネット用ルータと捉えるのが良さそう
  • ACX4000 : MX80 のシャーシを改造したような見た目

MX

  • Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
  • Cisco ASR の対抗馬
  • Juniper のルータで、最も機能が充実しているのは Trio 搭載の MX となります
    • 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます
    • 要件定義や将来使う機能が曖昧なときは、PTX よりも MX を選定します
    • 反面ポート密度は、他の機種と比べて低くなります
  • MX204 は 100G x 4 を持ち、フルルート収容可能なルータとしては圧倒的なコストパフォーマンスを持っています
  • 最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード [7]

PTX

  • Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
    • Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps
      • PTX10001-36MR に搭載
    • Express 5 ASIC : <コードネーム不明> 800G x 36 ポート = 28.8Tbps
  • Cisco 8000 , NCS5500 / NCS5700 の対抗馬
  • 機能の充実よりも速度にフォーカス [8] しています
    • 複雑なことをやらせたくない + 速度を重視したい、P ルータに向いています
    • MX と比べると、同じ価格で高いポート密度を実現できるのがメリット

SSR (Session Smart Router)

  • IPsec を使わないトンネルレス VPN な SD-WAN ルータ
  • 再暗号化せずオーバーヘッドの少ない VPN
  • App-ID でアプリケーションを識別、音声や動画をローカル ブレイクアウト
  • 専用アプライアンス以外に、汎用ハードウェア上に VM で展開可能
    • Juniper NFX
    • 認定ハードウェア メーカー : Lenovo , Lanner , Silicom
    • クラウド : AWS , Azure , Google
  • QR コードで ZTP

リファレンス

Cisco IOS XR ルータ カタログ

参考になる URL : お勧めの製品と選び方

シリコンアーキテクチャの選択:業務に適したツールの選定が重要

キャンパス スイッチ

L2SW

キャンパス スイッチは、主に 3 つの役割に分かれます。

  • キャンパス スイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ

下記の 3 種類で、3 層ネットワークと呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。

初心者は Cisco の C9200 / C9300 を覚えていくと良いでしょう。

アクセススイッチ - レイヤ 2 スイッチ

  • 島ハブやフロアごとに設置されるスイッチ
  • ユーザから見て一番近い位置に使用されます
  • サーバを収容するスイッチとして使用されることも

ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ

  • アクセス スイッチを複数収容するスイッチ
  • 小規模ネットワークの場合は省略されます
  • 規模が大きいネットワークでは、ディストリビューション スイッチが CPE アドレスを持ちます
L3SW

コア スイッチ - レイヤ 3 スイッチ

  • アクセススイッチ or ディストリビューション スイッチを複数収容する、LAN のボスとなるスイッチ
    • 設計中級者の目指す目標としては、コアスイッチのリプレース案件を統括できるか、というのが良い目標になると思います
  • コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
  • 規模が大きいネットワークや、小規模でも簡易な運用を求められるネットワークでは、シャーシ型スイッチを導入します
  • 小規模ネットワークではコアスイッチが CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
    • CPE アドレス = Customer Premises Equipment アドレス
    • アクセス層配下の、ユーザが持つアドレスのこと
  • 大規模になるに従って、複雑な設定をディストリビューション スイッチへ移植して、負担を減らしていくように設計します
キャンパス スイッチ
役割 アクセス アクセス /

ディストリビューション

ディストリビューション /

コア

ディストリビューション /

コア

レイヤ レイヤ 2 レイヤ 2 / 3 レイヤ 3
セグメント ローエンド1 ローエンド2 ローエンド3 ミッドレンジ ハイエンド
Cisco Catalyst

旧世代

WS-C2960L WS-C2960X

WS-C2960XR

WS-C3560CX (1G)

WS-C3650

WS-C3850

WS-C3850X

WS-C4500-E / -X

C9500 (10G/40G 2024/04 EoS)

WS-C6500

C6800

Cisco Catalyst

現世代

C1000

C1200

C1300

WS-C3560CX(10G)

C9200L C9200

C9200CX

C9300L

C9300LM

C9300

C9300B

C9300X

C9400

C9500H

C9500X

C9600

C9600X

Juniper EX

旧世代

- EX2200

EX3300

EX3200 EX4200

EX4500

EX6200

EX8200

EX9251

EX9253

Juniper EX

現世代

- EX2300 EX4100-F (New !)

EX3400

EX4100 (New !)

EX4300

EX4400

EX4400-24X

EX4600 EX4650

EX9200

Cisco Catalyst

2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。

ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。

Catalyst 旧世代 - Sasquatch / Strider ASIC 系

Catalyst 2960 / 2960-Plus
  • 100 Base-TX モデル
Catalyst 2960L
  • 1000 Base-T 最廉価モデル
Catalyst 2960S / 2960X
  • 1000 Base-T モデル
  • モジュール追加でスタックに対応
Catalyst 3560 / 3750
  • 100 Base-TX ローエンド レイヤ 3 スイッチ
  • スタック対応
Catalyst 3560G / 3750G
  • 1000 Base-T ローエンド レイヤ 3 スイッチ
  • スタック対応
Catalyst 3560X / 3750X
  • 1000 Base-T ローエンド レイヤ 3 スイッチ
  • スタック対応
  • アップリンクモジュールで 10G に対応する
  • PAK ライセンスが必要なため、自宅ラボには非推奨
Catalyst 3560CG
  • 1000 Base-T ローエンド コンパクト レイヤ 3 スイッチ
  • Cisco のコンパクト系にしては珍しく、BGP に対応しない

Catalyst 旧世代 - UADP ASIC 系

Catalyst 3650 / 3850
  • UADP ASIC + IOS-XE 搭載
  • スタック帯域幅やアップリンクモジュールの有無などで差別化されている

Catalyst 旧世代 - K5 チップセット系

Catalyst 4500
  • ミッドレンジ シャーシ型 レイヤ 3 スイッチ
Catalyst 4948 / 4500X
  • ミッドレンジ レイヤ 3 スイッチ

Catalyst 旧世代 - EARL チップセット系

Catalyst 6500 / 6800
  • ハイエンド シャーシ型 レイヤ 3 スイッチ

Catalyst 現世代 - Sasquatch / Strider ASIC 系

Catalyst 1000
  • 2960L の後継機
  • 一部 SKU で 10G アップリンクが搭載されるようになりました
  • スタックは組めず、Single IP Management という Horizontal Stack ライクな機能にデグレードされています
  • Cross Stack EtherChannel が組めないのは、特に要注意です
Catalyst 3560CX
  • 最上位機種で 1000 Base-T + 10G-T + 10G-SFP ローエンド コンパクト レイヤ 3 スイッチ
  • BGP や UPoE に対応するため、中古で安く手に入れば、自宅ラボにおすすめの一台

Catalyst 現世代 - UADP ASIC 系

Catalyst 9200 / 9200CX
  • ローエンド レイヤ 3 スイッチ
  • Essential ライセンスのルーティングは役割が限定されるため、設計でカバーする必要があります
    • EIGRP Stub : 2 台で冗長構成にはできない
    • OSPF 1000 ルートまで
  • Advantage ライセンスにしても、TCAM のルート数が多く無いため、デフォルトルートのみ受信させるなどの工夫が必要
Catalyst 9300 / 9300L / 9300LM
  • ローエンド レイヤ 3 スイッチ
  • 旧世代の 3850 とほぼ変わらないですが、EVPN など機能追加があります
  • 9300LM が追加された
    • 9300LM : 25G 固定アップリンク + mGig 8 ポート
Catalyst 9300X
  • ミッドレンジ ボックス型 レイヤ 3 スイッチ
  • 9300X は StackWise-1T / 100G アップリンクモジュールに対応
Catalyst 9400
  • ミッドレンジ シャーシ型 レイヤ 3 スイッチ
Catalyst 9500
  • 10G / 40G 対応 ミッドレンジ レイヤ 3 スイッチ
  • 価格と速度のバランスが一番良いモデル
Catalyst 9500H
  • 25G / 100G 対応 ハイエンド レイヤ 3 スイッチ
  • TCAM がかなり大きいため、高集約の環境で使いやすい
Catalyst 9500X
  • 100G / 400G 対応 ハイエンド レイヤ 3 スイッチ
  • 9400 , 9500 , 9600 の X 系は ASIC が異なり、Silicon One を搭載している
  • 動作する機能は UADP よりも少なく、これから実装される機能も
  • 最近 StackWise Virtual に対応したが、Standard Maintenance Release のため、商用に導入するにはまだ早いです
    • C9500X-28C8D : 17.10.x-
    • C9500X-60L4D : 17.11.x-
Catalyst 9600 / 9600X
  • ハイエンド シャーシ型 レイヤ 3 スイッチ
  • 9500X のシャーシ版

Catalyst 現世代 - Linux カスタマイズ OS

Catalyst 1200 / 1300
  • IOS すら動かないスイッチですが、LAG , RSTP , dot1x auth , QoS などそれなりの機能はある模様
    • OS が IOS から Customized Linux になりました
  • Catalyst 1000 の後継機 (たぶん)
  • スモール , ミディアムサイズ ビジネス向け [9]、とあることからラージ エンタープライズ市場向けとしては対象外と思われます
  • C1300 10G アップリンク搭載モデルでスタック対応です
    • クロススタック EtherChannel にも対応します
  • CLI と GUI があるらしいですが・・・GUI でも 100% コンフィグできる模様
  • 3rd パーティ トランシーバにも対応しています
  • あと、ライセンス購入が必要ないです
  • Gigabit 8 ポートの SKU に PoE 受電モデルがあって、ちょっとおもしろい
  • 新人さんに Catalyst 9200 との機能差分レポートとか書いてもらうと、トレーニングにちょうど良いかも

Juniper EX

筆者は Juniper スイッチのプロダクト ポートフォリオの把握にあまり自信がないです。

数字でどれが旧製品なのか見分けづらい・・・

EX では L2 / L3 でプロダクトの作り分けをせず、ライセンスで分けています。

L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。

  • EX2200-C で確認
EX4100-F
  • 2022/07 発表のアクセス・アグリゲーション層に位置するスイッチ
  • EVPN VXLAN に対応
  • アップリンクは 10G のみ
  • コンパクトスイッチ EX2300-C の後継として、10G x4 のアップリンクを持つ EX4100-F-12P/T があります
EX4100
  • 2022/07 発表の mGig アクセス・アグリゲーション層に位置するスイッチ
  • EVPN VXLAN に対応
  • アップリンクは 10G / 25G を備えます

データセンター スイッチ

ToR

データセンター スイッチでは、主に以下の 4 種類の役割に分かれます。

トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント [10] を参照して違いを確認する必要があります。

IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。

また、SAN を使用できるストレージ スイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。


初心者は Nexus9300-FX を覚えていくと良いでしょう。

ToR

  • Top of Rack スイッチ
  • ラックの最上部 or 最下部にマウントし、サーバへネットワーク接続を提供します
Leaf

Leaf

  • 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
  • キャンパススイッチとは異なり、速度が重視される場合には 4 台以上 の Spine と接続する場合があります
  • 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合があります
Spine

Spine

  • Leaf を束ねる上位スイッチ
  • Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
    • 例) Leaf に 25G x 48 + 100G x 8 ポートの機種、Spine に 100G x 32 ポートの機種
  • Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine を構成する場合があります
DCI

DCI / OTV

  • データセンター間を接続するスイッチ
  • OTV 対応のルータ・スイッチは高価なため、別の機種で行えないか要件を検討したほうが良いです
  • 最近は DCI でも BGP EVPN なのが流行りだと思います
データセンター スイッチ
用途 ToR Leaf Spine Super Spine DCI / OTV
速度 1G / 25G / 100G 10G / 40G 25G / 100G 100G 特殊シャーシ型 400G BOX /

シャーシ型

シャーシ型
Cisco Nexus

旧世代

Nexus3500

Nexus5000

Nexus3100

Nexus3200

Nexus9300-EX

Nexus3400-S Nexus7000 Nexus7000
Cisco Nexus

現世代

Nexus2000

Nexus9200

Nexus9300-FX Nexus3600 (Jericho+)

Nexus9332C Nexus9336C

Nexus9400 Nexus9300-GX Nexus9500

Nexus9800

Nexus7700
Juniper QFX

現世代

- QFX5120 QFX5700 QFX5130

QFX5220

QFX10000 ??
Arista DCS

現世代

DCS-7010X - DCS-7050SX3 DCS-7358X4

DCS-7368X4

DCS-7388X5

DCS-7050X4

DCS-7060X4

DCS-7060X5

7300X3

7280R3 7280R3A

7500R3

7800R3

??

Cisco Nexus

Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)

あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。最初は Nexus9300 を覚えましょう。

Nexus2000
  • Fabric Extender として動作する、特殊なスイッチ
  • 単体では動作せず、Nexus5000 や 9000 を親 (ペアレント スイッチ) として接続すると使用できます
    • NX-OS・コンフィグは、親スイッチで管理します
    • オークションで安く売っていても、これ単体では動作しません
  • ローカルシャーシ内で折り返し通信はできない [11] ため、親スイッチを経由して通信します
    • このため同一スイッチ内のトラフィックが多いサーバには向きません
Nexus5000 / 7000
  • 旧世代の Nexus BOX 型とシャーシ型
  • 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します
Nexus9300
  • 9300-FX が 2022 年現在一番メジャーな機種 まずこれを覚えます
  • Cisco LSE (Leaf Spine Engine) ASIC 搭載
Nexus9500
  • 9300 のシャーシ版
Nexus7700
  • Nexus7000 の後継
  • 9000 シリーズでサポートしない機能も、こいつは持っています
    • 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する
    • 例) VDC でラインカードを論理分割して、複数のシャーシとして扱う
  • 近年は EVPN Border Leaf で DCI するため、お役御免気味
Nexus 400G 800G Family
  • 2022/10/18 Nexus 9232E 発表、Cisco 8111-32EH のように Silicon One G100 搭載で 800G x 32 ポート 2.56Tbps を実現
Nexus9800
  • Cisco 8000 ルータと共通と思われるシャーシを持つ
  • 400G / 800G 世代のシャーシ型スイッチ
  • Cisco Silicon One Q200 搭載 (2023 年の情報)

Juniper QFX

基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。

採用するなら以下のような観点からとなります。

  • Juniper 独自機能を使いたい
    • バーチャル シャーシ (VC)
    • バーチャル シャーシ ファブリック (VCF)
    • Junos Fusion
  • Apstra で管理したい
  • Junos の知見を持つエンジニアが、導入する企業に多く在籍する

VC / VCF は不具合が起こるとトラシューが難しい + トラフィック片寄せの Verup が困難なため、大規模では避けるケースがあります。

QFX5000
  • Broadcom Trident ASIC 搭載
QFX5100
  • QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
  • Leaf 向け
QFX5200
  • Broadcom Tomahawk ASIC 搭載
  • Spine 向け
QFX10000
  • Juniper Q5 ASIC 搭載

Arista

Arista のスイッチはだいたい Broadcom の ASIC で作られています。

スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 2.5M 程度まで。

DCS-7050SX3
  • Nexus9300 の対抗馬 まずはこいつを覚えると良いです
  • Broadcom Trident 3 ASIC を搭載
DCS-7280R3
  • Broadcom Jericho2 ASIC を搭載
  • FIB は最大 2M 程度
DCS-7280R3A
  • Broadcom Jericho2C+ ASIC を搭載
  • FIB は最大 5M 程度

リファレンス


ファイアウォール

FW

ファイアウォールは主に 2 種類に分かれます。

Classic Firewall

  • 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
  • レイヤ 3 / 4 ヘッダのルックアップで良いため高速です
  • 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています

Next Generation Firewall (NGFW)

  • アプリケーション層もコントロールできる、次世代のファイアウォール
  • TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
  • また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
  • 細かくなった分、設計や構築の費用が増大します

UTM や IPS という役割もありますが、今回は割愛します。

ファイアウォール
ローエンド1 ローエンド2 ローエンド3 ミッドレンジ

10 - 40Gbps

ハイエンド

40 - 200Gbps

Cisco ASA

旧世代

ASA5505

ASA5506-X

ASA5515

ASA5525-X

ASA5540

ASA5545-X

ASA5550

ASA5555-X

ASA5585-X
Cisco Firepower

現世代

FPR-1010

FPR-1120

FPR-1120

FPR-1140

FPR-2110

FPR-2120

FPR-2130

FPR-2140

FPR-3100

FPR-4100

FPR-9300

Juniper SRX

旧世代

SRX100 SRX210

SRX220

SRX240

SRX550

SRX650 SRX5400
Juniper SRX

現世代

SRX300 SRX320 SRX340

SRX345

SRX380

SRX550 SRX5600

SRX5800

Fortigate
Paloalto
Cisco ASA / Firepower
  • Firepower は FXOS / FTD / ASA が動作します
    • プラットフォーム モード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
    • アプライアンス モード : 旧来の ASA を OS として使うモード ほとんど ASA と同じように使えます
  • CPU で動作し、ASIC は搭載しません
Juniper SRX
  • NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します
Fortinet Fortigate
  • ハードウェア処理を行う、SPU を搭載します
  • 複数の機能を使用すると、逐次処理を行いパフォーマンスが劣化するため、必要な帯域幅と相談する必要があります
Paloalto Networks PA
  • ハードウェア処理を行う、複数のプロセッサを搭載します
    • シグネチャーマッチ ハードウェア エンジン
    • マルチコア セキュリティ プロセッサ
    • ネットワーク プロセッサ
  • 各種機能を 1 度に処理するため、パフォーマンスの劣化が起こりにくいアーキテクチャになっています

更新履歴

2023/05/18 : 初版

2023/07/31 : Catalyst 1200 を追加

2023/09/30 : Catalyst 1300 を追加

引用