Nov 13, 2009 T.N.C.Brains LLC Cisco vs Yamaha VPNルータ比較 IPSecによるインターネットVPNを構築する場合の、ルータの性能および安定運用のための機能について比較した。 結果 経路情報の自動更新(WAN経由のルーティングプロトコル利用)や日本語GUIなどが不要な場合、コスト性能比ではCisco ASA5505が 最も良い。 ただし、DMVPNによるトンネル設定の自動化やIP-SLAなどの運用機能を含めた総合的なバランスでは、Cisco 892Jを推奨したい。 比較表 IPsec-VPN性能 ①実測値 カタログスペック (354Byte) Cisco 861 10 Mbps Cisco 881 30 Mbps Cisco 892J 200 Mbps 75 Mbps Cisco 1812J 95 Mbps 50 Mbps Cisco ASA5505 100 Mbps 90 Mbps ②経路情報の自動更新 △ (RIPのみ) ◎ (RIP, OSPF, EIGRP) ◎ (RIP, OSPF, EIGRP) ◎ (RIP, OSPF, EIGRP) 安定運用を支援する機能 ③トンネル設定の自動化 ⑤品質管理、トラブル早期発見、切り分け ④GUI操作 ⑥DOS耐性 (DMVPN) (IP-SLA) × △ ○ 未計測 (非サポート) (Advanced Securityが必要) △ △ (Advanced Security ○ ○ (Advanced IP Servicesが必要) またはAdvanced IP Servicesが必要) × ○ (RIP, OSPF) ○ 120 Mbps 40 Mbps Yamaha RTX1100 (RIP, OSPF) ○ 200 Mbps 90 Mbps Yamaha RTX1200 (RIP, OSPF) (*1) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ表示価格を使用 Yamaha RT107e 80 Mbps (未計測) 本体価格 (*1) ¥55,200 ¥79,800 ○ ○ ○ ○ ¥110,040 ○ ○ ○ ○ ¥110,040 × △ (英語のみ) × 未計測 ¥73,200 × ○ × 未計測 ¥71,400 × × × × ¥123,900 × × × × ¥123,900 各項目の説明 ①性能測定(実測値)について ②経路情報の自動更新 メーカーが公表する性能は、ルータが最大のスループットを発揮しやすい条件で測定されているため、利用 者が体感できる速度と一致しないことが多い ここでは、インターネット上を流れるトラフィックの平均パケット長とされている354Byteでの測定を行った ダイナミックルーティングプロトコルを用いることによって、ネットワークの構成を変更・追加した場合の経路 情報を常に最適に維持することが出来る。 以下に、一般的に利用されるルーティングプロトコルの特徴を示す。 RIP : 小規模ネットワーク向け(最大ホップ数が15ノード以下) OSPF : 大中規模ネットワーク向け (標準仕様) EIGRP : 大中規模ネットワーク向け (シスコ独自仕様) [補足:OSPFとEIGRPの処理負荷の違い] 2000年頃以前の大規模ネットワークでOSPFを利用した場合に、ルータの性能不足によって動作が不安定 になることがあり、少ないCPU負荷で大規模ネットワークに対応可能なEIGRPが開発された。 特に、OSPFの経路計算アルゴリズムはリンク数の2乗に比例して処理負荷が高くなるため、ハブ&スポー ク型のVPNにおいて性能問題が発生しやすくなる。 ③トンネル設定の自動化 プロバイダが提供するインターネット接続サービスには、固定のIPアドレスが割り振られるもの(固定IP)と、 アドレスが固定されないもの(動的IP)があり、一般的に動的IPのほうが安価である。 ルータ間でインターネットVPNを構成する場合、最低でも一方のルータのIPアドレスが固定されていないとト ンネルの宛先を指定できないため、固定IPのルータ(ハブ)に動的IPのルータ(スポーク)を複数接続する形 (ハブ&スポーク)が一般的である。 この形態では、スポーク~スポーク間は両端が動的IPとなり、直接VPNで接続することはできない。 DMVPNの特徴の一つとして、ハブを経由してスポーク間のアドレス情報を伝達する仕組み(NHRP : Next Hop Resolution Protocon)により、動的IPのスポーク~スポーク間でもVPNを構築できる点がある。 これによって、全てのトラフィックがハブを経由するハブ&スポーク型よりも帯域を効率よく利用できる、拠 点の追加・削除の際にもアドレス情報が自動的に伝達されるので設定変更の必要がない、というメリットがあ る。 最新の機種では、CPU性能が向上しているため、OSPFを利用することによる不安は少なくなっているが、大 規模VPNを構築する際には依然としてEIGRPのほうが有利である。 ④GUI操作 VPNを構成するルータはインターネットと直接接続されるので、セキュリティに関する設定や運用操作のミ スが致命的な問題を引き起こす恐れがある。 シスコのルータにはCCPと呼ばれる日本語GUIの操作ツールが無償で提供されており、専任のIT管理者が いない中小企業でも、安心してネットワークの運用が可能になる。 例えば、ネットワークを安全に保護するための セキュリティ機能を、シスコ推奨設定と比較 チェックする「セキュリティ監査」機能などを 利用できる。 ⑤品質管理、トラブル早期発見、切り分け (IP-SLA) 品質保証のないインターネット上にVPNを構築する場合、常に接続性の問題やレスポンスの悪化がおきる 可能性がある。 利用者からIT管理者へ「接続できない」「レスポンスが悪い」などのクレームが入ってから受身の対応をとる のではなく、日常的にWANの状態をモニタリングしトラブルを早期に発見してプロバイダーへ対応を要求す るなど、能動的な対応を行うことで利用者の満足度を高めることができる。 ⑥DOS耐性 VPNを構成するルータはインターネットと直接接続されるので、サービス停止や営業妨害を目的としたDOS 攻撃を受ける可能性がある。 測定器からの擬似トラフィックでDoS攻撃への耐性テストを行ったところ、Ciscoルータは適切なアクセスリス トを設定することで防御できたが、Yamahaルータは監視不能となる場合があった。 Nov 13, 2009 T.N.C.Brains LLC Cisco vs Yamaha WAN接続ルータ比較 通信事業者が提供するWANサービス(IP-VPNまたは広域イーサネット)と接続する際の、ルータの機能・性能を比較した。 結果 Cisco 892JはIP転送性能が非常に高く、階層型QoS機能もサポートしているので音声/データ統合WANの構築に適している。 WANルータ比較 各項目の説明 IP転送性能 ①実測値 カタログスペック (354Byte) QoS機能 ②帯域制御 ③階層型QoS 本体価格(*1) Cisco 861 170 Mbps × 非対応 × 非対応 ¥55,200 Cisco 881 180 Mbps ○ ○ ¥79,800 760 Mbps ○ ○ ¥110,040 180 Mbps ○ ○ ¥110,040 Cisco 892J 1 Gbps Cisco 1812J Yamaha RTX1100 200 Mbps 120 Mbps ○ × 非対応 ¥123,900 Yamaha RTX1200 1 Gbps 320 Mbps ○ × 非対応 ¥123,900 Yamaha RTX3000 1.5 Gbps (未計測) ○ ○ ¥522,900 ①IP転送性能(実測値) メーカーが公表する性能は、ルータが最大のスループットを発揮しやすい条件で測定されているため、 利用者が体感できる速度と一致しないことが多い。 ここでは、インターネット上を流れるトラフィックの平均パケット長とされている354Byteでの測定を行っ た。 ②帯域制御 WAN接続インタフェースの物理速度と契約速度が異なる場合(例えば100Mbpsのファスト・イーサネット で接続し、契約帯域は20Mbpsなど)に、ルータからの送信トラフィック量を契約帯域以下に制限するため に必要。 ③階層型QoS ②と同様のケースで、音声/データのWAN統合を行う場合など、特定のトラフィック(VoIPなど)を優先制 御するために必要。 (*1) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ掲載価格を使用 補足(1): Cisco vs Yamaha 運用性の比較 ネットワークの正常性を確認したりトラブルを早期に解決するため、ルータの状況を正確に把握するための運用コマンドは非常に重要 ルータを運用する上で最も頻繁に参照すると思われるインタフェース状態確認コマンドを例として、把握できる情報の量と質の違いを比較した コマンド出力例 比較項目 インタフェースの利用可否 MACアドレス 割り当てられているIPアドレス 動作モード 最大パケット長(MTU) 帯域幅 Cisco IOS "show interface ethernet" 【Ethernet0 is up, line protocol is up】 設定によって意図的にシャットダウンされているか、ネットワークプロトコルが正常か、を識別できる 【address is 0060.3ef1.702b 】 Yamaha RTXシリーズ "show status lan" 表示機能なし 【イーサネットアドレス: 00:a0:de:xx:xx:xx】 インタフェースに割り当てられたMACアドレスを表示 【Internet address is 172.21.102.33/24】 表示機能なし 管理者によって割り当てられたIPアドレスを表示 【Half-duplex, 10Mb/s, 100BaseTX/FX】 インタフェースの接続速度、動作モード(半二重or全二重)を示す 【MTU 1500 bytes】 【PORT1: Auto Negotiation (100BASE-TX Full Duplex)】 【最大パケット長(MTU): 1500 オクテット】 受信可能な最大パケット長の現在の設定値を表示 【BW 10000 Kbit】 ルーティングプロトコルがルート選択をする際などに利用する帯域幅の情報を表示 表示機能なし 【keepalive set (10 sec)】 キープアライブ キューイング方法 隣接ノードとの接続が正常かどうかをチェックする仕組み(キープアライブ)が有効かどうか、 およびチェックの間隔を示す 【Queueing strategy: fifo】 QoS設定によって優先制御(キューイング)が行われている場合、その方法を示す 表示機能なし 表示機能なし 【Output queue 0/40, 0 drops; input queue 0/75, 0 drops】 キューの長さ 入出力トラフィックの流量 入力および出力キューの長さと破棄されたパケットの数を示す。 この情報によって輻輳の状態などが判断できる 【5 minute input rate 0 bits/sec, 0 packets/sec】 【5 minute output rate 0 bits/sec, 0 packets/sec】 表示機能なし 表示機能なし 単位時間あたりにインタフェースが送受信したトラフィック量を表示 送受信パケット数 【158773 packets input, 17362631 bytes】 【6299 packets output, 622530 bytes】 インタフェースが送受信したパケット数およびバイト数の総数を示す 送受信したパケットの詳細な統計情報 【Received 93567 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 input packets with dribble condition detected 143782 packets output, 14482169 bytes, 0 underruns 0 output errors, 1 collisions, 5 interface resets 0 babbles, 0 late collision, 7 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out】 【 送信パケット: 4 パケット(240 オクテット)】 【 受信パケット: 1 パケット(78 オクテット)】 表示機能なし 送受信エラーや不正なパケットの数など、詳細な統計情報 補足(2): Cisco vs Yamaha IP転送方式の比較 Yamaha RTX1200 のパケット転送方式 : ファストスイッチング ルータのスループットを高速化するためには、ルーティングテーブル(経路テーブル)の検索にかかる時間をいかに短縮するかが重要である。 RTX1200は、同じ経路へ の連続したパケットが到 着した場合に、最初の1 パケットのみルーティング テーブルを検索し、後続 のパケットはキャッシュメ モリを参照することで高 速な転送を実現している と思われる。 擬似トラフィック生成器によって極端に多くの フロー(宛先アドレスの異なるトラフィック)を発 生させ、キャッシュメモリをオーバーフローさせ た状態(全てのパケットがCPU処理になる場 合)の性能低下を測定すると、Yamaha RTX1200は、1フロー時の320Mbpsに対して、 4.2Mbpsまで低下することがわかった。 現実的なネットワークにおいても、新規のフ ローが発生するたびにCPU処理が行なわれる ので、利用者の体感速度は低下しているはず である。 Ciscoルータのパケット転送方式 : CEF (Cisco Express Forwarding) Ciscoでは、CEFと呼ばれる特許技術を使用しており、フロー数の増加によって性能が低下することはない。
© Copyright 2025 Paperzz
