cisco vs yamaha vpnルータ比較(pdf) - tncjp. · pdf filenov 13, 2009 t.n.c.brains llc...
TRANSCRIPT
Nov 13, 2009 T.N.C.Brains LLC
IPSecによるインターネットVPNを構築する場合の、ルータの性能および安定運用のための機能について比較した。
ただし、DMVPNによるトンネル設定の自動化やIP-SLAなどの運用機能を含めた総合的なバランスでは、Cisco 892Jを推奨したい。
比較表
カタログスペック①実測値(354Byte)
②経路情報の自動更新③トンネル設定の自動化
(DMVPN)④GUI操作
⑤品質管理、トラブル早期発見、切り分け(IP-SLA)
⑥DOS耐性
Cisco 861 10 Mbps△
(RIPのみ)×
(非サポート)○
△(Advanced Securityが必要)
未計測 ¥55,200
Cisco 881 30 Mbps◎
(RIP, OSPF, EIGRP)△
(Advanced IP Servicesが必要)○
△ (Advanced SecurityまたはAdvanced IP Servicesが必要)
○ ¥79,800
Cisco 892J 200 Mbps 75 Mbps◎
(RIP, OSPF, EIGRP)○ ○ ○ ○ ¥110,040
Cisco 1812J 95 Mbps 50 Mbps◎
(RIP, OSPF, EIGRP)○ ○ ○ ○ ¥110,040
Cisco ASA5505 100 Mbps 90 Mbps × ×△
(英語のみ)× 未計測 ¥73,200
Yamaha RT107e 80 Mbps (未計測)○
(RIP, OSPF)× ○ × 未計測 ¥71,400
Yamaha RTX1100 120 Mbps 40 Mbps○
(RIP, OSPF)× × × × ¥123,900
Yamaha RTX1200 200 Mbps 90 Mbps○
(RIP, OSPF)× × × × ¥123,900
(*1) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ表示価格を使用
各項目の説明
IPsec-VPN性能 安定運用を支援する機能
Cisco vs Yamaha VPNルータ比較
本体価格(*1)
結果
経路情報の自動更新(WAN経由のルーティングプロトコル利用)や日本語GUIなどが不要な場合、コスト性能比ではCisco ASA5505が最も良い。
①性能測定(実測値)について
メーカーが公表する性能は、ルータが最大のスループットを発揮しやすい条件で測定されているため、利用
者が体感できる速度と一致しないことが多い
ここでは、インターネット上を流れるトラフィックの平均パケット長とされている354Byteでの測定を行った
②経路情報の自動更新
ダイナミックルーティングプロトコルを用いることによって、ネットワークの構成を変更・追加した場合の経路
情報を常に最適に維持することが出来る。
以下に、一般的に利用されるルーティングプロトコルの特徴を示す。
RIP : 小規模ネットワーク向け(最大ホップ数が15ノード以下)
OSPF : 大中規模ネットワーク向け (標準仕様)
EIGRP : 大中規模ネットワーク向け (シスコ独自仕様)
[補足:OSPFとEIGRPの処理負荷の違い]
2000年頃以前の大規模ネットワークでOSPFを利用した場合に、ルータの性能不足によって動作が不安定
になることがあり、少ないCPU負荷で大規模ネットワークに対応可能なEIGRPが開発された。
特に、OSPFの経路計算アルゴリズムはリンク数の2乗に比例して処理負荷が高くなるため、ハブ&スポー
ク型のVPNにおいて性能問題が発生しやすくなる。
最新の機種では、CPU性能が向上しているため、OSPFを利用することによる不安は少なくなっているが、大
規模VPNを構築する際には依然としてEIGRPのほうが有利である。
③トンネル設定の自動化
プロバイダが提供するインターネット接続サービスには、固定のIPアドレスが割り振られるもの(固定IP)と、
アドレスが固定されないもの(動的IP)があり、一般的に動的IPのほうが安価である。
ルータ間でインターネットVPNを構成する場合、最低でも一方のルータのIPアドレスが固定されていないとト
ンネルの宛先を指定できないため、固定IPのルータ(ハブ)に動的IPのルータ(スポーク)を複数接続する形
(ハブ&スポーク)が一般的である。
この形態では、スポーク~スポーク間は両端が動的IPとなり、直接VPNで接続することはできない。
DMVPNの特徴の一つとして、ハブを経由してスポーク間のアドレス情報を伝達する仕組み(NHRP : Next
Hop Resolution Protocon)により、動的IPのスポーク~スポーク間でもVPNを構築できる点がある。
これによって、全てのトラフィックがハブを経由するハブ&スポーク型よりも帯域を効率よく利用できる、拠
点の追加・削除の際にもアドレス情報が自動的に伝達されるので設定変更の必要がない、というメリットがあ
る。
④GUI操作
VPNを構成するルータはインターネットと直接接続されるので、セキュリティに関する設定や運用操作のミ
スが致命的な問題を引き起こす恐れがある。
シスコのルータにはCCPと呼ばれる日本語GUIの操作ツールが無償で提供されており、専任のIT管理者が
いない中小企業でも、安心してネットワークの運用が可能になる。
例えば、ネットワークを安全に保護するための
セキュリティ機能を、シスコ推奨設定と比較
チェックする「セキュリティ監査」機能などを
利用できる。
⑤品質管理、トラブル早期発見、切り分け (IP-SLA)
品質保証のないインターネット上にVPNを構築する場合、常に接続性の問題やレスポンスの悪化がおきる
可能性がある。
利用者からIT管理者へ「接続できない」「レスポンスが悪い」などのクレームが入ってから受身の対応をとる
のではなく、日常的にWANの状態をモニタリングしトラブルを早期に発見してプロバイダーへ対応を要求す
るなど、能動的な対応を行うことで利用者の満足度を高めることができる。
⑥DOS耐性
VPNを構成するルータはインターネットと直接接続されるので、サービス停止や営業妨害を目的としたDOS
攻撃を受ける可能性がある。
測定器からの擬似トラフィックでDoS攻撃への耐性テストを行ったところ、Ciscoルータは適切なアクセスリス
トを設定することで防御できたが、Yamahaルータは監視不能となる場合があった。
Nov 13, 2009 T.N.C.Brains LLC
通信事業者が提供するWANサービス(IP-VPNまたは広域イーサネット)と接続する際の、ルータの機能・性能を比較した。
WANルータ比較 各項目の説明
カタログスペック①実測値(354Byte)
②帯域制御 ③階層型QoS
Cisco 861 170 Mbps × 非対応 × 非対応 ¥55,200
Cisco 881 180 Mbps ○ ○ ¥79,800
Cisco 892J 1 Gbps 760 Mbps ○ ○ ¥110,040
Cisco 1812J 180 Mbps ○ ○ ¥110,040
Yamaha RTX1100 200 Mbps 120 Mbps ○ × 非対応 ¥123,900
Yamaha RTX1200 1 Gbps 320 Mbps ○ × 非対応 ¥123,900
Yamaha RTX3000 1.5 Gbps (未計測) ○ ○ ¥522,900
(*1) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ掲載価格を使用
ネットワークの正常性を確認したりトラブルを早期に解決するため、ルータの状況を正確に把握するための運用コマンドは非常に重要ルータを運用する上で最も頻繁に参照すると思われるインタフェース状態確認コマンドを例として、把握できる情報の量と質の違いを比較した
Yamaha RTX1200 のパケット転送方式 : ファストスイッチング
ルータのスループットを高速化するためには、ルーティングテーブル(経路テーブル)の検索にかかる時間をいかに短縮するかが重要である。
Ciscoルータのパケット転送方式 : CEF (Cisco Express Forwarding)
Ciscoでは、CEFと呼ばれる特許技術を使用しており、フロー数の増加によって性能が低下することはない。
補足(2): Cisco vs Yamaha IP転送方式の比較
RTX1200は、同じ経路への連続したパケットが到着した場合に、最初の1パケットのみルーティングテーブルを検索し、後続のパケットはキャッシュメモリを参照することで高速な転送を実現していると思われる。
擬似トラフィック生成器によって極端に多くのフロー(宛先アドレスの異なるトラフィック)を発生させ、キャッシュメモリをオーバーフローさせた状態(全てのパケットがCPU処理になる場合)の性能低下を測定すると、YamahaRTX1200は、1フロー時の320Mbpsに対して、4.2Mbpsまで低下することがわかった。
現実的なネットワークにおいても、新規のフローが発生するたびにCPU処理が行なわれるので、利用者の体感速度は低下しているはずである。
補足(1): Cisco vs Yamaha 運用性の比較
Cisco IOS"show interface ethernet"
【Ethernet0 is up, line protocol is up】設定によって意図的にシャットダウンされているか、ネットワークプロトコルが正常か、を識別できる
インタフェースの利用可否
【PORT1: Auto Negotiation (100BASE-TX Full Duplex)】
比較項目
MACアドレス
Cisco vs Yamaha WAN接続ルータ比較
IP転送性能
本体価格(*1)
QoS機能
結果
Cisco 892JはIP転送性能が非常に高く、階層型QoS機能もサポートしているので音声/データ統合WANの構築に適している。
動作モード【Half-duplex, 10Mb/s, 100BaseTX/FX】インタフェースの接続速度、動作モード(半二重or全二重)を示す
【最大パケット長(MTU): 1500 オクテット】
【Internet address is 172.21.102.33/24】管理者によって割り当てられたIPアドレスを表示
割り当てられているIPアドレス
【イーサネットアドレス: 00:a0:de:xx:xx:xx】
表示機能なし
最大パケット長(MTU)【MTU 1500 bytes】受信可能な最大パケット長の現在の設定値を表示
帯域幅【BW 10000 Kbit】ルーティングプロトコルがルート選択をする際などに利用する帯域幅の情報を表示
キープアライブ【keepalive set (10 sec)】隣接ノードとの接続が正常かどうかをチェックする仕組み(キープアライブ)が有効かどうか、およびチェックの間隔を示す
①IP転送性能(実測値)メーカーが公表する性能は、ルータが最大のスループットを発揮しやすい条件で測定されているため、利用者が体感できる速度と一致しないことが多い。ここでは、インターネット上を流れるトラフィックの平均パケット長とされている354Byteでの測定を行った。
②帯域制御WAN接続インタフェースの物理速度と契約速度が異なる場合(例えば100Mbpsのファスト・イーサネットで接続し、契約帯域は20Mbpsなど)に、ルータからの送信トラフィック量を契約帯域以下に制限するために必要。
③階層型QoS②と同様のケースで、音声/データのWAN統合を行う場合など、特定のトラフィック(VoIPなど)を優先制御するために必要。
表示機能なし
表示機能なし
【address is 0060.3ef1.702b 】インタフェースに割り当てられたMACアドレスを表示
コマンド出力例
Yamaha RTXシリーズ"show status lan"
表示機能なし
表示機能なし
【 送信パケット: 4 パケット(240 オクテット)】【 受信パケット: 1 パケット(78 オクテット)】
【158773 packets input, 17362631 bytes】【6299 packets output, 622530 bytes】インタフェースが送受信したパケット数およびバイト数の総数を示す
表示機能なし
表示機能なし
表示機能なし
【5 minute input rate 0 bits/sec, 0 packets/sec】【5 minute output rate 0 bits/sec, 0 packets/sec】単位時間あたりにインタフェースが送受信したトラフィック量を表示
キューイング方法
キューの長さ
【Received 93567 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 input packets with dribble condition detected 143782 packets output, 14482169 bytes, 0 underruns 0 output errors, 1 collisions, 5 interface resets 0 babbles, 0 late collision, 7 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out】送受信エラーや不正なパケットの数など、詳細な統計情報
【Queueing strategy: fifo】QoS設定によって優先制御(キューイング)が行われている場合、その方法を示す
【Output queue 0/40, 0 drops; input queue 0/75, 0 drops】入力および出力キューの長さと破棄されたパケットの数を示す。この情報によって輻輳の状態などが判断できる
送受信したパケットの詳細な統計情報
入出力トラフィックの流量
送受信パケット数