本日はMeraki MXのISD/IPSを有効にした場合のスループットを計測してみたいと思います。
私が自宅で使用しているのはMX75で、自宅のInternet環境を利用して計測を行いました。
なるべく家族がInternetを利用していない時間帯を狙って測定したので、自宅内の他のトラフィックが計測に影響したことは無いと思っています。
自宅のInternet環境について
我が家は以前の記事にも書きましたが、IIJmioのIPoE回線を利用しています。
Meraki MXは単独でIPoEのCPEとして利用はできないのでISR4321をCPEとして利用しています。
MX75の基本スペック
まずはMX75の基本スペックを整理しておきたいと思います。
Max stateful (L3) firewall throughput in NAT mode : 1Gbps
Max throughput with all security features enabled : 500Mbps
IDS/IPSをDisableにした場合はMX75のWAN Interfaceの最大値である1GbpsのThroughputを発揮することが可能となるようです。
また、上記の500Mbpsという数値はIPSを有効にし、ルールセットをコネクティビティとした場合の数値であることがMerakiのMX Sizing Guideに記載されています。
https://meraki.cisco.com/product-collateral/mx-sizing-guide/?file
IDS/IPSをDisableにして測定
まずは測定する上でのベースとなるIDS/IPSを無効化した状態でのThroughputを計測してみます。
「セキュリティ&SD-WAN > 設定 > 脅威からの保護」を選択し、「侵入の検出と防止」でモードを「無効」で設定します。
これでMXのIDS/IPS機能は無効となります。
SPEEDTESTアプリを使って5回計測を行いました。
5回計測した平均値として、
Download : 772.8Mbps
Upload : 741.2Mbps
となりました。
これが我が家のInternet回線のベースThroughputとなります。
IDS / コネクティビティで測定
Download : 780.2Mbps
Upload : 772.4Mbps
このモードはIDS/IPS無効状態とほぼ同じ結果となりました。
IDS / バランスで測定
Download : 762.8Mbps
Upload : 744.6Mbps
バランスに変更しても結果は大きくは変わりませんでした。
IDS / セキュリティで測定
Download : 750.8Mbps
Upload : 748Mbps
こちらにしても結果は大きく変わりませんでした。
IPS / コネクティビティで測定
ここからモードをIPSにての試験を開始します。
Download : 474.6Mbps
Upload : 407.6Mbps
IPSを有効にすると一気にPerformanceがダウンすることがわかったかと思います。
MerakiのSizing Guideにも書かれているThroughputはこの状態のものとなり、500Mbpsと近い数値が出ていることがわかります。
IPS / バランスで測定
Download : 478Mbps
Upload : 440.4Mbps
コネクティビティの時と数値は大きく変わらない結果となりました。
IPS / セキュリティで測定
この試験はMXにとって一番厳しい条件での試験となります。
Download : 401.8Mbps
Upload : 366.4Mbps
結果としては予想通り本日の試験の中で一番悪いものとなりました。
それぞれの測定結果から考察
本日の結果を改めてまとめておきます。
| Download | Upload | ||
| ISD/IPS Disable | 772.8 | 741.2 | |
| IDS | コネクティビティ | 780.2 | 772.4 |
| バランス | 762.8 | 744.6 | |
| セキュリティ | 750.8 | 748 | |
| IPS | コネクティビティ | 474.6 | 407.6 |
| バランス | 478 | 440.4 | |
| セキュリティ | 401.8 | 366.4 | |
IDS/IPSの無効時を基準として考えるとIDSモードとした場合のThroughputの低下は僅かとなりました。
今回の測定はそれぞれ5回のみとしましたが、もう少し計測回数を増やしてみることでどれくらいの差があるのかが測定できると思いますが、今回は簡易的な試験ということでご了承ください。
一方でIPSモードとした場合はSizing Guide通り大幅にダウンしたことも確認されています。
IPS/コネクティビティ設定においてはDownloadで474MbpsとSiging Guideの500Mbpsと近い数値となりました。
またバランス、セキュリティとより負荷のかかるモードとした場合にはそれぞれThroughputが低下してしまうことも確認できています。
まとめ
MXをIDSとして動作させる場合にはルールセットを機にすることなく一番多くを検知できる「セキュリティ」としても問題は無いと思います。
一方でIPSとした場合は「コネクティビティ > バランス > セキュリティ」でThroughputは低下していくので用途・要件にあった設定を行う必要がありそうです。
