双日テックイノベーションのJuniper総合ポータルサイト

Junipedia

Powered by
sojitz|双日テックイノベーション株式会社
お問い合わせ 検証支援サービス 資料ダウンロード

Juniper SRX新シリーズのご紹介!実際に検証機を購入して検証してみた

エンジニアblog

はじめに

HPE Networkingから、1U筐体でありながら業界トップクラスのパフォーマンスを発揮する次世代ファイアウォール「新SRXシリーズ」がリリースされました。弊社ではSRX1600/4120/47003機種を検証機として導入し、実機検証を実施しました。今回は、各機器の概要や検証結果、EVPN-VXLAN環境での活用法などをご紹介します。

製品紹介 (SRX1600/4120/4700)

新しくリリースされたSRXシリーズは従来の機器から一新しフロント部分が黄緑色が採用されており、目を引くようなデザインに変化しています。

SRX1600 SRX4120 SRX4700-700 SRX4700-1400
オンボード
Ethernetポート		 16 x 1000Base-T(1G)
4 x SFP+(1G/10G)
2 x SFP28(1G/10G/25G)		 8 x 10GBase-T(1G/2.5G/5G/10G)
8 x SFP+(1G/10G)
4 x SFP28(1G/10G/25G)
2 x QSFP28(40G/100G)		 2 x QSFP56-DD(100G/400G)
10 x QSFP28(40G/100G)
16 x SFP56(50G)
Firewallスループット
(Large Packet)		 24 Gbps 39 Gbps 700Gbps 1.4 Tbps
Firewallスループット
(IMIX)		 12 Gbps 28 Gbps 500Gbps 1 Tbps
VPNスループット 8 Gbps 18 Gbps 91 Gbps 136 Gbps
NGFWスループット 4.5 Gbps 12 Gbps 40 Gbps 60 Gbps
Application Security 7.5 Gbps 36 / 23 Gbps 100 Gbps 150 Gbps
秒間新規
セッション数		 170K CPS 450K CPS 1M CPS 1.5M CPS
最大同時
セッション数		 2M 5M 40M 40M
Table Size(RIB/FIB) 2M/1M 2M / 1.2M 4M / 1.2M

  • SRX1600
    中小規模のエンタープライズ向けに登場した機種。
    最大24GbpsのFirewallスループットを誇り、ミドルエッジに必要な性能を省スペースで実現します。


  • SRX4120

    SRX4100の後継機として登場した機種。
    Firewallスループット値は20Gbpsであった従来のSRX4100シリーズと比べ、SRX4120では39Gbpsと約2倍に向上。 同じ1Uサイズでありながら、遥かに高いパフォーマンスを誇る機種に進化しています。


  • SRX4700

    業界初Uサイズで400Gインターフェースに対応したハイパフォーマンスファイアウォール
    ラッキングの場所を取らずとも1Tbps越えのFirewallスループットを誇り、大規模環境のセキュリティを統合する次世代のファイアウォールといえます。

    主要搭載機能

    • 統合型セキュリティ: ファイアウォール機能に加え、IPS(侵入防御システム)、アンチウイルス、Webフィルタリング、スパム対策など、多岐にわたるセキュリティ機能が統合されています。これにより、複数のセキュリティデバイスを導入する手間やコストの削減が可能です。

    • AIを活用した脅威防御: AIベースの脅威予測・防御機能により、既知およびゼロデイ攻撃からの保護や暗号化された攻撃からの保護を強化します(ATP Cloud併用時)。

    • 高可用性(HA): 冗長電源ユニットやファンのサポート、マルチノードHA機能などにより、高い可用性を実現し、ビジネス継続性を確保します。


SRX4700/パフォーマンス検証

弊社では検証機SRX3機種全てでパフォーマンス検証を実施し、スネーク構成で接続した際のスループット性能を測定しました。
今回は検証した機器の中から最もパフォーマンスの良いSRX4700のパフォーマンス検証を取り上げています。



  • 検証構成



  • トラフィック条件

    パケットサイズ: 1518bytes
         転送レート: 99%
         通信方向: 双方向
     SrcIP: 1000    個 *1
     UDP/SrcPort: 1~500 *1
      *1: セッション生成で    使用されるCPUコアの分散のため設定

  • 検証結果

    約1.2TbpsのFirewallスループット100G x 12ポート、転送レート99%)を確認しました。
    ※機材都合上、1.2Tbpsが最大のNW構成で実施

    SRX4700                           Seconds: 214                 Time: 15:31:34
     Interface    Link     Input bytes        (bps)      Output bytes        (bps)
     gr-0/0/0      Up               0          (0)                 0          (0)
     ip-0/0/0      Up               0          (0)                 0          (0)
     lt-0/0/0      Up               0          (0)                 0          (0)
     et-1/0/0      Up   1465763157157(96553333328)     1427864521230(96552534064)
     et-1/0/1      Up   1474693462560(96553165832)     1422463981272(96553598848)
     et-1/0/2      Up   1427791501657(96554380368)     1465755863730(96554070904)
     et-1/0/3      Up   1465755839870(96553833096)     1427791866003(96552928680)
     et-1/0/4      Up   1434787120717(96553173616)     1454022752772(96553243920)
     et-1/0/5      Up   1454022715430(96552587304)     1434787459545(96552712176)
     et-1/0/10   Down               0          (0)                 0          (0)
     et-1/0/12   Down               0          (0)                 0          (0)
     et-1/1/0      Up   1427864713370(96553904088)     1465763653503(96554064448)
     et-1/1/1      Up   1474696107000(96552981272)     1422522085503(96553425576)
     et-1/1/2      Up   1443547817870(96552754120)     1443634723503(96553159384)
     et-1/1/3      Up   1443634621657(96553202008)     1443548375730(96553854392)
     et-1/1/4      Up   1454023117370(96553123240)     1434836345730(96552764768)
     et-1/1/5      Up   1434836743370(96554340648)     1454023658730(96553602400)


トラフィック印加途中
トラフィック印加終了時

検証結果からパケットロスも発生せず、接続しているインターフェース全てで問題なく通信が流れていることが分かります。
SRX4700の大きな特徴の一つである、1Tbps以上のFirewall処理性能を実証することができました。

ユースケース:EVPN-VXLAN環境を最適化するSRX4700の活用法

現代のデータセンターでは EVPN/VXLANで構成されたLeaf-Spine トポロジ が主流となり、East-West 通信の多くが VXLAN によりカプセル化されています。
これらのトラフィックに対して可視化や通信制御を行うには、Tbpsクラスの広帯域処理が可能なファイアウォールが必要となります。しかし、そのような装置は コスト、ラックスペース、消費電力の面で導入が容易ではありませんでした。
しかし、1Uサイズ で1.4Tbpsの大容量のFirewallスループットをもつSRX4700の登場により、これらの課題を解消しつつ、VXLANでカプセル化されたままのEast-West通信パケットをインスペクションすることが可能になりました。

  • セキュアなデータセンターネットワークの実現・セキュリティの高度化
    境界防御だけでなく、内部通信も防御することが可能になり、従来のネットワークよりセキュリティを強化できます。
  • 通信の最適化
    VXLANトンネルインスペクションをサポートしたことで、従来必要であったLeafを別途設置することなく、EVPN-VXLANネットワークへ直接組み込むことが可能になりました。これにより、構成が簡素化と運用装置の削減しつつ、従来のLeaf-Spine 構成を維持することができます。SRX4700はL3ゲートウェイとしても機能し、ルーティング機能とセキュリティ検査機能の統合することが可能です。

まとめ

今回の検証結果からHPE Networking の新SRXシリーズが、高いパフォーマンスを発揮することを実証しました。
次世代ネットワークの基盤であるEVPN-VXLAN環境において、SRXシリーズは、単なる境界防御デバイスにとどまらない統合的なセキュリティ機能という重要な役割を果たします。
高性能なファイアウォール機能と、最新のネットワークアーキテクチャ(EVPN-VXLAN)への高い適応性・統合性を兼ね備えた新SRXシリーズは、お客様のセキュアで高効率なネットワーク基盤への移行を強力にサポートします。

弊社検証機・検証ルームをご活用ください!

製品導入をご検討中のお客様、または現在の課題解決をお考えのお客様は、ぜひこの機会に当社の検証機貸し出しサービスおよび検証ルームをご活用ください。経験豊富なエンジニアが、お客様のビジネスに最適なソリューションをご提案いたします。

今後もお客様のビジネスにお役立ていただけるよう、最新製品の検証機導入を積極的に進めてまいります。

以上

この記事の内容確認
・双日テックイノベーション株式会社:金井 貴浩
・ITスペシャリスト(JNCIP-SP/DC/MistAI  JNCIS-DevOps,)
・主にHPE Networking製品を担当。8年間プリセールスSEとして多くのお客様にMX,QFX,EX製品の導入支援を実施。現在はプロダクトSEの経験を生かして活動中。


この記事の執筆
・双日テックイノベーション株式会社: 寺尾  菜奈子
・2年目のネットワークエンジニア。HPE NetworkingのプロダクトSEとして検証業務を中心に担当。

関連記事

【第五回】AIを活用!Marvisによるトラブルシューティング手法

1.Mist Marvisとは Mist MarvisはMistにおける仮想ネットワーク
エンジニアblog

【第四回】簡単!Mistで始めるNACソリューション”WxLAN Policy”編

1.WxLAN Policyについて WxLAN PolicyはMist アクセスポイン
エンジニアblog

【連載第1回(全6回)】ネットワーク運用を革新する「Routing Director」とは?

今日のデジタル時代において、ネットワークは企業活動の根幹を支える重要なインフラです。しか
エンジニアblog

【連載第2回(全6回)】ネットワークデバイス管理を革新する「Device Management」機能

前回は、ネットワーク運用が抱える複雑化の課題と、その解決策としての統合自動化プラットフォ
エンジニアblog

Juniper導入実績多数のスペシャリストが
最新情報をみなさまにお届けしています

Juniper社認定資格者
お問い合わせ 検証支援サービス 資料ダウンロード