Comments
Description
Transcript
(1) 2008年11月14日 PDF
中小企業向けシスコ製品の特徴について Nov 14, 2008 【ルーター編】 Cisco 1812J vs Yamaha RTX1100 ※本資料は、シスコ製品を販売する営業担当者向けの参考資料として作成したものです。 ※本資料の内容は、公開されている情報および弊社が実施した検証テストの結果に基づく、弊社独自の見解を 示しています。 合同会社ティー・エヌ・シー・ブレインズ 1 目次 • Cisco 1812Jは実環境で強い! – ケース1 (期待はずれのWAN増速) • 参考:IP転送スループット測定結果 – ケース2 (使い切れない帯域) • 参考:アプリケーションの速度と品質(テスト結果) – ケース3 (インターネットVPNで音声通話) • 参考:Yamaha適応型QoSについて – ケース4 (ルーターが管理不能に!) – ケース5 (拠点の追加・削除の手間) • 補足:DMVPNについて • • • • Cisco1812Jの優位点:まとめ Cisco 1812J vs Yamaha RTX1100 スペック比較 コラム:RTX1200について 参考資料:実機テスト結果 2 Cisco 1812Jは実環境で強い! ケース1 (期待はずれのWAN増速) • ある企業では、これまでIP-VPNサービスのアクセス速度を50Mbpsで契約していたが、従業員 の増加などによってトラフィックが急増しており、「最近、WAN超えの通信が遅い」とのクレームが 出始めていた。 • そこで、アクセス速度を100Mbpsの契約に変更したが、利用者の間では「効果が全く実感できな い」との意見が大勢を占めた。 • 念のため、ファイルダウンロードにて通信速度を測定してみると、確かに100Mbps近くの速度が 出ており、なぜWAN回線のスピードアップが体感できないのか不明であった。 想定される原因:ルーターの性能不足 ネットワーク機器メーカーが公表する最大スループットは、イーサネットの最大パケット長 (1518Byte)で計測されている場合がほとんどです。これは、ルーターが効率よくパフォーマンス を発揮するために、大きなパケットを使用したほうが有利なためです。 ファイルダウンロードでは最大長のパケットが使用されるため、公表されている性能に近い値が 計測されます。 しかし、WEBやメールなど実際のトラフィックには小さなパケットも含まれるため、メーカーの公 表値よりも低い性能しか発揮できず、ルーターがボトルネックになる場合があります。 3 参考:IP転送スループット測定結果 実環境でのユーザーの体感速度を測るため、インターネット上を流れるトラフィックの平均パケット 長(354Byte)を用いたスループット計測を行ったところ、Cisco1812Jの性能は180Mbps(片 方向90Mbps)であり、これは100MbpsのWANアクセス回線を使用した場合に必要十分 な性能であることを表しています(ユーザーが利用可能な帯域は回線の物理速度よりも少なくな るため200Mbpsにはなりません)。 Yamaha RTX1100の最大スループットは120Mbps(片方向60Mbps)であり、100MbpsのWAN 回線帯域を使い切ることができませんでした また、RTX1100のスループットはQoSを利用した場合に90Mbps(片方向45Mbps)まで低下した のに対して、Cisco1812Jはスループットの低下がありませんでした。 RTX1100 1812J 200Mbps 非公開 IP転送スループット測定値 (パケット長:354Byte) 120Mbps (片方向60Mbps) 180Mbps (片方向90Mbps) QoS利用時スループット 90Mbps (片方向45Mbps) 180Mbps (片方向90Mbps) 公称値 4 Cisco 1812Jは実環境で強い! ケース2 (使い切れない帯域) • IT部門のAさんが、ファイルダウンロードを行ってWANの通信速度を測定したところ、何度実験し ても契約帯域の80%程度の速度しか計測されなかった。 • また、VoIPで通話をしながらファイルダウンロードを行うと、雑音が発生することが解った。 対策:ルーターのQoS機能 この事例の場合には、WANのアクセス回線として100BASE-TX(100Mbps)を使用していまし たが、通信事業者との契約で実際に利用できる帯域が10Mbpsに制限されていました。 このような場合、ルーターからは最大100Mbpsの速度でトラフィックを送出できますが、WANを 透過できるのは10Mbpsだけなので、結果としてWindowsやLinuxなどのOSに搭載されている トラフィック制御機構(TCP輻輳制御)が有効に働かず、回線帯域を十分に利用できない場合が あります。 また、10Mbpsを超えるトラフィックがWANに流入すると、パケット損失が発生し通信品質が低 下します。 ルーターに高度なQoS機能が搭載されていれば、このような問題は回避できます。 高度なQoS機能は、トラフィックの特性に合わせた優先制御や帯域制御を行うことで、WANの 帯域を最大限に活用しながら、輻輳した場合でも優先されるべきトラフィックを保護します。 5 参考:アプリケーションの速度と品質(テスト結果) IP-VPNサービスのサブレート回線を想定した実環境テストにおいて、HTTPの通信速度を測定し た結果、Cisco1812Jを使った場合はアプリケーション速度が回線帯域の95.3%に達しましたが、 Yamaha RTX1100では同じ条件において82.9%にとどまりました。 これはCisco1812Jの高度なQoS機能が回線の利用可能帯域を最大限に活用し、 ネットワーク利用者の体感速度を高めていることを示しています。 同様の環境において優先パケットの損失率を比較したところ、RTX1100ではトラフィックの輻輳状 態に応じてパケット損失が発生しましたが、Cisco1812Jはパケット損失が全くありませんで した。 パケットの損失が発生すると、VoIPを利用している場合には音質が劣化し、ミッションクリティカル なアプリケーションでは信頼性の低下が生じます。 RTX1100 1812J HTTPダウンロード 回線帯域の82.9%の速度 回線帯域の95.3%の速度 優先パケットの損失 あり なし 6 Cisco 1812Jは実環境で強い! ケース3 (インターネットVPNで音声通話) • B社では、従来IP-VPNサービスを利用していたが、WAN通信コスト削減のため、インターネット VPNへの置き換えを検討していた。 • 同時に、VoIPを利用した内線電話システムの構築を考えているが、インターネットには品質の保 証がないため、音声通話の品質が維持できるかどうかが最大の懸案になっている。 結論:インターネット上の通話品質は保証できない 品質保証のないインターネットをWAN回線として利用する場合、どのような方法を使っても、通 信品質の確実な維持は原理的に不可能です。 仮に試験運用で問題が出なかったとしても、将来も問題が出ないことを誰かが保障してくれる訳 ではありません。実際にインターネットの品質は時々刻々と変化し続けています。 VoIPや重要な業務アプリケーションの通信を確実に維持したいのであれば、通信事業者が品 質を保障するWANサービスと、ルーターなどネットワーク機器のQoS機能を組み合わせて利用 する必要があります。 また、ADSLなどアクセス回線の帯域幅がボトルネックになる場合には、Cisco 1812Jが搭載す るダイナミックマルチポイントVPN(DMVPN)を利用して、特定の拠点にトラフィックが集中しな いようデザインすることが有効な対策となります。 7 参考:Yamaha適応型QoS(帯域検出機能)について Yamahaの主張 現実のネットワーク ベストエフォート回線に対し て一定の帯域で送信すると パケット破損が発生する。 帯域検出機能により、帯域 変動に合わせてパケット送 出速度を調整するため、問 題を解決できる。 帯域検出機能が有効に機能するのは、アクセス回線の 上り帯域がボトルネックになっている場合だけです。 しかし、ベストエフォート型のWANサービスでボトルネックに なっているのは、多くの場合、通信事業者内のネットワーク機 器であり、送出する帯域を減らしても、その分を他のユーザー に使われるだけで、ボトルネックが解消されることはありません。 つまり、世界中のルーターがYamahaにならない限り、こ の機能を使うと損です。 A社 Best Effort Best Effort B社 ①帯域測定 ②帯域変動通知 ③送信帯域幅調整 A社が帯域を減らせば、その分をB社が使う 8 参考: Yamaha適応型QoS(帯域検出機能) 複数のユーザーが帯域を共有する箇所で輻輳が発生している場合の実験結果 優先トラフィック CPE スイッチ スイッチ CPE 非優先トラフィック (HTTP) 擬似負荷 結果 QoSなし 帯域検出+優先制御 優先トラフィックのパケット損失率 5.2% 5.4% (悪化) HTTPの実効スループット 5.1M 3.9M (悪化) 1. 優先制御は輻輳箇所で行わないと効果が出ないため、優先トラフィックも破棄 2. 帯域検出機能によってトラフィック送出量が制限されるので、実効スループットが 下がった 3. QoSを一切使用しない状態のほうが、品質/スループットともに優れていた 以上の結果により、帯域検出機能は、CPEと直接接続されており他のユーザーと共有していな い区間(すなわちアクセス回線の上り帯域)が輻輳している場合にしか効果がないと言える 9 参考:Yamaha適応型QoS(負荷通知機能)について Yamahaの主張 現実のネットワーク 拠点からのトラフィックの合計がセ ンター側機器の処理能力を上回る 場合がある。 センターからリモート拠点へ負荷通 知を行い、拠点側の送信を抑制す ることで、確実な受信を可能とする。 そもそも、センター側機器の処理能力が不足す るのは、ネットワークデザインおよび機種選定の ミスです。 センター側機器にアクセス回線の帯域を上回る 性能の機種を選択すれば、この種の問題は発 生しません。 アクセス回線の下り帯域がボトルネックになる場 合は、センター側にトラフィックが集中しないよう DMVPNの使用を推奨します。 センター センター 負荷通知、トラフィック抑制 DMVPN 拠点間で動的にVPNを生成 10 Cisco 1812Jは実環境で強い! ケース4 (ルーターが管理不能に!) • IT部門のCさんは、リモート拠点の従業員から「本社側のサーバーへのアクセスが非常に遅くて 使い物にならない」とのクレームを受けた。 • サーバーの負荷を調査したが問題なかったので、拠点と接続しているルーターの負荷を確認し ようとしたところ、ルーターへのアクセスが不能であり、どのような問題が発生しているのか把握 することが出来なかった。 原因:ネットワーク機器の過負荷状態 ネットワーク機器は、輻輳状態やDOSアタックの状態においても、TelnetアクセスやSNMP監視 機能を維持し、管理者によるトラブルシューティングを可能とする事が求められます。 実機を用いたテストにおいて、Cisco1812Jは輻輳時でもルーティングプロトコルが安定しており、 DOS攻撃状態でも管理機能を維持できることが証明されました。 他社の機器では、インターネットからのDOS攻撃を想定したテストにおいて、アクセスリストを設 定した場合でもルータの負荷が過度に上昇し、TelnetアクセスやSNMP監視が不能になりまし た。 11 Cisco 1812Jは実環境で強い! ケース5 (拠点の追加・削除の手間) • 建築業のD社では、現場の仮設事務所とのネットワーク接続のためにインターネットVPNを利用 している。 • 仮設事務所は現場の状況に応じて頻繁に設置・撤収または移転があり、IT部門では、その都度 にセンター側ルーターの設定変更や現場用ルーターの設定・配布を行う必要があり、多大な管 理コストが発生している。 • また、通信コスト削減のため、現場側のインターネットアクセスには低廉な動的IPのサービスを利 用しており、これが原因で拠点間を直接VPNで接続することが出来ない。 対策:ダイナミック・マルチポイントVPN Cisco 1812Jが搭載するダイナミックマルチポイントVPN(DMVPN)を利用することで、動的IPを 利用した拠点間でダイナミックにVPNを構築できるようになります。 拠点の追加・削除の際にも、センター機器や他拠点で設定変更を行う必要がないため、管理コ ストが発生しません。 また、認証サーバーを用いて拠点ルーターの証明書を自動更新することも可能であり、利便性 とセキュリティが高い次元で両立したシステムを構成します。 12 補足:DMVPNについて (1) リモート拠点ルータ追加・削除時の作業 Yamaha RTX1100 Cisco 1812J (DMVPN) センター拠点の設定変更は必須。 ハブ局、他のリモート拠点ともに一切 リモート拠点間でメッシュ状にVPNを設定し の設定変更なし。オフィス移転の際に ている場合は、全拠点で設定変更が必要。 も設定変更不要。 センター拠点 センター拠点 設定作業 Internet Internet DMVPN 設定作業 設定作業 リモート拠点 新規追加 新規追加 リモート拠点 13 補足:DMVPNについて (2) 動的IP利用の制限 Yamaha RTX1100 Cisco 1812J (DMVPN) 動的IP間でのVPNが構築できない。 全てのトラフィックが必ずセンター拠点を経 由するため、ボトルネックになりやすい。 安価な動的IPのWANサービスを利用 できることに加えて、トラフィクが最短 経路を通るので、コスト効率が良い。 センター拠点 センター拠点 固定IP 固定IP DMVPN Internet 動的IP 動的IP 動的IP 動的IP × リモート拠点 リモート拠点 14 Cisco1812Jの優位点:まとめ 1812Jは実環境で強い! 実際の利用シーンにおいて、100MbpsのWANアクセス帯域を使い切る性能 WANの空き帯域を有効に利用し、アプリケーションの体感速度と品質を向上させる高 度なQoS機能 輻輳やDOSアタックなどの異常事態においても、管理者のトラブルシューティングを可 能とする堅牢性 ダイナミックマルチポイントVPN機能 特定の拠点に負荷が集中しないメッシュ型VPNを自動的に構成 拠点の追加・削除が簡単で管理コストがかからない 動的IPの低廉なインターネットサービスを利用して拠点間VPNが構成できる その他の優位点 リモートアクセスVPN(パソコンからのVPN)のクライアントソフトが無料 (※SMARTNETの契約が必要) Yamahaはクライアント1台あたり12,000円 VPN設定が簡単(EazyVPN) ワイヤレスAP内蔵モデル 8ポートのLANスイッチを内蔵 20年以上の実績を持つシスコIOSを採用 世界中のエンタープライズが愛用 主要機能だけで3000種類以上あり、将来の拡張にも柔軟に対応 15 Cisco 1812J vs Yamaha RTX1100 スペック比較 機能 WANポート Cisco Cisco1812-J/K9 10/100BASE-T 2ポート LANポート 10/100BASE-T 8スイッチングポート ISDNポート(BRI) DRAM フラッシュメモリ VPN機能 VoIP機能 QoS機能 IPv6機能 環境条件 最大消費電力 寸法 (高さ×幅×奥行き) 価格 S/Tポート 1ポート 128MB 32MB ○ × ○ ○ 動作温度:0 ~ 40°C(32 ~ 104°F) 保管温度:–20 ~ 65°C(–4 ~ 149°F) 動作相対湿度:10 ~ 85%(結露しないこと) - YAMAHA RTX1100 ※任意のLANポートを割り当てる事が出来ます。 10BASE-T/100BASE-TX 3ポート ※LAN1ポートは、4ポートスイッチングハブ S/T 1ポート 16MB 4MB ○ × ○ ○ 動作時温度 0~40℃ 動作時湿度 15~85%(結露なきこと) 6.5W 44(H)×323(W)×246(D)mm 42.6(H)×220(W)×141.5(D) mm \100,000 (市場想定価格*) 118,000 (定価) *市場想定価格 : シスコ製品には定価の設定がないため、シスコパートナーが提示している定価の一例を示します。 16 コラム:RTX1200について • RTX1100後継のRTX1200がアナウンスされています • 主な改善点としては最大スループットの向上ですが、ほとん どの企業においてWANアクセス回線の帯域は最大でも 100Mbpsであり、現状のCisco1812Jでも必要十分な性能を 発揮しています。それ以上にルーターの最大スループット値 だけを向上させても、ユーザーが体感できる速度には変わり がありません • また、従来機と同じファームウェアを使用することから機能面 では同様の特性を持つと考えられます • 従って、実環境でのユーザー体感速度、信頼性、実用性の 高い各種機能などにおいて、Cisco1812Jの優位性が揺らぐ 事はないと考えられます 17 参考資料 実機テスト結果 18 ルーター基本性能確認:IP転送(試験構成図) 両方向負荷 1フロー 354Byte Cisco1812J or RTX1100 擬似トラフィック測定器 Anritsu MD1231A 19 ルーター基本性能確認:Shaping性能(試験構成図) 両方向負荷 1フロー 354Byte Shaping設定値+10Mbpsの負荷 通常のIP転送 Cisco1812J or RTX1100 Shaping 擬似トラフィック測定器 Anritsu MD1231A 20 ルーター基本性能確認:Shaping + 優先制御(試験構成図) 両方向負荷 354Byte Shaping設定値+10Mbpsの負荷 優先トラフィック(TOS5 / 1Mbps)の遅延時間測定 通常のIP転送 Cisco1812J or RTX1100 Shaping 優先制御 擬似トラフィック測定器 Anritsu MD1231A 21 ルーター基本性能:測定結果 測定項目 RTX1100 C1812J IP転送 最大スループット 120Mbps (片方向60M) 180Mbps (片方向90M) Shaping 最大スループット 90Mbps (35MでShaping設定を 行い、45M x双方向のト ラフィックを流した状態) 180Mbps (80MでShaping設定を 行い、90M x双方向のト ラフィックを流した状態) Shaping +優先制御 最大スループット 利用不可 (Not Supported) 180Mbps (同上) 最大スループット 時の優先トラ フィックの損失率 0% 最大スループット 時の優先トラ フィックのレイテ ンシ 最大4.3msec 平均2.2msec (3分間測定) 22 アプリケーション品質測定(試験構成図) IP-VPNのサブレート環境を想定したHTTPダウンロード速度および優先トラ フィックの透過率を測定 HTTP Server-1 Shaping Cisco1812J or RTX1100 Policing (擬似サブ レート回線) Client-1 Catalyst 2960 HTTP Server-2 Client-2 擬似トラフィック測定器 優先トラフィック: 80Byte, UDP/IP, 1Mbps 23 アプリケーション品質:測定結果 Policing=10Mbps, Shaping=10Mbpsのときの測定値 HTTPダウンロード速度 (Client-1,2の合計) 優先トラフィックの パケット損失率 RTX1100 Cisco1812J 7.0Mbps 帯域利用率 : 82.9% 8.2Mbps 帯域利用率 : 95.3% 0.15% 0% 考察 RTX1100 10Mbpsに制限された回線に対して、2台のクライアントによるファイルダウンロードとVoIPに 見立てた優先トラフィックが流入したことにより、若干のパケット破棄が発生している RTX1100はShapingと同時に優先制御を使用できないため、トラフィックの優先度とは無関 係にパケット破棄が発生している Cisco1812J Shapingのために使用するClass-defaultキューにおいて、デフォルト設定でWFQ (Weighted Fair Queuing)機構が働くため、優先トラフィックはパケット破棄が発生せず、 HTTPトラフィックも適切にバッファリングされることでTCPの輻輳制御が有効に機能し、ス ループットが最適化されている 24 Yamaha適応型QoS 帯域検出機能 効果測定(試験構成図) Server-1 帯域検出機能:Client UDP 1Mbps帯域確保 帯域検出機能:Server RTX-B Client-1 RTX-A Server-2 Client-2 擬似的な ベストエフォート網 測定用UDP 1Mbps 擬似トラフィック測定器 Fast Ethernetのスイッチ間リンクに擬似トラフィックを流して輻輳状態を作成 HTTPのダウンロード速度とUDPのパケット破棄率を測定し、帯域検出機能の効果を確認する 25 Yamaha適応型QoS 帯域検出機能:測定結果 QoSの有無 輻輳トラフィック HTTP速度 RTP廃棄率 QoS無し 88M(残り帯域約10M) 6.88Mbps 0% 89M(残り帯域約9M) 6.15Mbps 0% 90M(残り帯域約8M) 5.3Mbps 0.01% 80M-100M間でバーストする負荷 5.1Mbps 帯域検出機能 +優先制御 5.2% 88M(残り帯域約10M) 5.85Mbps 0% 89M(残り帯域約9M) 5.31Mbps 0% 90M(残り帯域約8M) 3.07Mbps 0.15% 80M-100M間でバーストする負荷 3.9Mbps 5.4% 26 不正トラフィックへの耐性(試験構成図) インターネットからのDOSアタックを想定し、 ルータの管理機能の維持 および逆方向トラフィックへの影響を確認 IPSec-VPN 定常負荷として 10Mbps/ 354byte Cisco1812J or RTX1100 Cisco1812J or RTX1100 Telnet, SNMP DOS attack 64byte /Line rate 擬似トラフィック測定器 27 不正トラフィックへの耐性:結果 Telnetアクセス CPU SNMP監視 データ転送へ の影響 RTX1100 (アクセスリスト無し) アクセス可能だが、 かなり重い状態 100% 受信エラー発生 (監視不能) なし RTX1100 (アクセスリスト有り) アクセス可能だが、 かなり重い状態 100% 受信エラー発生 (監視不能) あり 逆方向のトラ フィックも大きくロ スト Cisco1812J (アクセスリスト無し) アクセス不可 測定不 能 受信エラー発生 (監視不能) あり 逆方向のトラ フィックも大きくロ スト Cisco1812J (アクセスリスト有り) 支障なくアクセス可 能 99% 問題なし 影響なし ※Cisco1812Jは適切なアクセスリストを設定することでインターネットからのDOS攻撃 に耐えることができた 28 29