メーカーとして Cisco の SE さんが、[https://www.cisco.com/c/dam/global/ja_jp/products/collateral/switches/catalyst-9000/catalyst-9000-design-guide-basic.pdf Cisco Catalyst 9000 シリーズスイッチ実践ガイド（基本機能編）] を書いています。

本ページでは被らない内容について扱います。

= ハードウェア選定 =
要件をお客様からヒアリング・調査し、必要な機種を選定します。以下の資料をメインに確認します。

* [https://www.cisco.com/c/dam/global/ja_jp/products/catalog/pdf/cisco-catalyst-switch-and-wireless-catalog-2021.pdf Cisco Catalyst 9000 シリーズ Cisco Catalyst スイッチ & ワイヤレス標準カタログ]
* 各機器のデータシート
* 各機器のハードウェア設置ガイド

日本語版がない場合は、英語版を確認します。

=== ラック関係 ===
ラックに必要なスペースがあるか、電力が足りているか、お客様に確認します。

==== ラックマウントキット ====

* 特に C9500 は奥行きがあるため、4 ポストラックマウントキットを一緒に注文するのがおすすめです
** ラックに合わせて長さを調節し、必要ない部分を折って使用します
** 発注しない場合は、L 字アングルをつけてその上に設置します
{| class="wikitable"
|+4 ポストラックマウントキット
!本体型式
!4P RM キット型式
!説明
|-
|C9300
|4PT-KIT-T2=
|Extension rails and 5 brackets for four-point mounting, includes 19-inch brackets <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/hardware/install/b_c9300_hig/Installing-a-switch.html#concept_B08029DB87C94F80B163EF776AB777AD Rack-Mounting]

Extension rails and 5 brackets for four-point mounting, includes 19-inch brackets (4PT-KIT-T2=)</ref>
|-
|C9500
|C9500-4PT-KIT=
|Cisco Catalyst 9500 シリーズ用の延長レールとブラケット（4 点マウント）
|-
|C9500H
|C9500-4PTH-KIT=
|Cisco Catalyst 9500 シリーズ（ハイエンド）の延長レールとブラケット（4 点マウント）
|-
|C9500X
|C9500X-4PTH-KIT=
|Cisco Catalyst 9500X スイッチ用の延長レールとブラケット（4 点マウント）
|}

=== 電源 ===
スイッチが必要なコンセントの形状を、お客様環境・DC で使用できるか確認します。

* オフィス設置だとアース無し 2P 形状のコンセントだったりするため、可能な限り 3P 対応電源タップや PDU を用意してもらう
* DC だと PDU が C19 形状のコンセントを使用していないか
[[ファイル:C19.png|サムネイル|150x150ピクセル|C19]]
C9500 , C9500X は 1500W オーバー、C9400 , C9600 は 2000W オーバーとなるため、基本的に 200V の電源ケーブルが必要です。

* C9500 , C9500X は 100V でも対応可能だが、他の機器を接続するキャパシティが少ない
* 実消費電力を事前に測定したりメーカーから入手できていれば、100V でもいける可能性はあります

==== BOX 型 ====
[[ファイル:CAB-TA-JP.png|代替文=CAB-TA-JP|サムネイル|CAB-TA-JP]]
[[ファイル:CAB-AC-2KW-CBL.png|代替文=CAB-AC-2KW-CBL|サムネイル|CAB-AC-2KW-CBL]]
基本はコンセント側が NEMA5-15 で、筐体側は C13(スリット無し) C15 (スリット入り) 2 択です。

最近は C15 のスリットありのみ発注できる模様。

* 例) CAB-TA-JP : C15 形状 125V 12A まで

C15 のコネクタを持つケーブルは、日本では非常に入手性が悪いため、間違えないようにしないと大変なことになります。

==== PoE 対応やシャーシ型 ====
PoE を使用する場合、AP の個数によっては 200V 対応 1900W 電源を使用する場合があります。

また、シャーシ型スイッチでは 200V 対応電源を使用するケースがほとんどです。

この場合はコンセント側で 200V を使うために、L6-20 , L6-30 の形状を持つケーブルが必要になります。

* 例) CAB-AC-2KW-CBL : 200V 13A まで = 2600W まで対応

=== 無線 LAN を使用するか ===

* 使用する場合、PoE 対応スイッチや PoE 対応ラインカードを選定します
* AP 台数に合わせて、電源装置もシステムと PoE の消費電力を賄える型式を選定します
* 200V 対応電源が必要になる場合もあります

==== 無線 LAN 用機種・電源装置選定例 ====
C9300 の場合、PoE の最大数は 90W UPOE+ x 最大 36 ポートとデータシートに記載がある <ref>[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9300-series-switches/nb-06-cat9300-ser-data-sheet-cte-en.html#%E6%8E%A5%E7%B6%9A%E6%80%A7%E3%81%AE%E8%A6%8B%E7%9B%B4%E3%81%97%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AE%E5%BC%B7%E5%8C%96%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%9A%E3%83%AA%E3%82%A8%E3%83%B3%E3%82%B9%E3%81%AE%E5%86%8D%E5%AE%9A%E7%BE%A9%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E6%A7%8B%E7%AF%89 Cisco Catalyst 9300 シリーズスイッチデータシート]

スタンドアロンの場合 90W UPOE+ を最大 36 ポート</ref> ため、90W x 36 = 3240W が PoE に必要となります。

データシートを確認すると、この電力に対応できるのは、'''C9300X-48HX + PWR-C1-1900WAC-P x 2''' となります。
{| class="wikitable"
|+[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9300-series-switches/nb-06-cat9300-ser-data-sheet-cte-en.html Cisco Catalyst 9300 Series Switches Data Sheet]
Table 4. Power supply models
|Models
|Primary Power Supply
|Default or Upgrade
|Available PoE
|With 350W Secondary PS
|With 715W secondary PS
|With 1100W Secondary PS
|With 1900W Secondary PS
|-
| rowspan="2" |'''C9300X-48HX'''
|'''PWR-C1-1900WAC-P'''
|Upgrade
|1390W
|1740W
|2105W
|2490W
|'''3290W'''
|}
最大電力 + 多数ポートで PoE を動作させると、電源装置両方を使用するため、片系電源障害時に AP がおよそ半分ダウンします。

このため、以下のような対策を考慮して設計します。

* 重要度に応じて、PoE 優先度を設定し重要度が高い AP は稼働させ、重要度が低い AP をダウンさせる <ref>[https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-9300-switch/217759-configure-and-troubleshoot-stackpower-an.html Catalyst 9300 スイッチでの StackPower および XPS 2200 の設定とトラブルシューティング]

コマンド '''power inline port priority<high/low>''' を使用して、インターフェイスを高優先順位または低優先順位に設定します。</ref>
* Stack Power や XPS で別筐体から電力を補填する
* スイッチあたりの AP 収容台数を制限する

=== ポート速度・スタック・電源・BGP 比較 ===
詳細は [https://www.cisco.com/c/dam/global/ja_jp/products/catalog/pdf/cisco-catalyst-switches-and-wireless-catalog.pdf Cisco Catalyst スイッチ & ワイヤレスカタログ] を見ましょう。
{| class="wikitable"
|+Catalyst 簡易比較表
!Catalyst
!1G
!10G
リンク
!25G
リンク
!40G
リンク
!100G
リンク
!StackWise or
スタック対応
!StackWise
Virtual
!電源
冗長
!BGP
対応
|-
|1100
|◯
|
|
|
|
|
|
|
|
|-
|1200
|◯
|◯
|
|
|
|
|
|
|
|-
|1300
|◯
|◯
|
|
|
|△ (10G リンク
搭載モデルのみ)
|
|
|
|-
|9200L
|◯
|◯
|◯
|
|
|◯
|
|◯
|
|-
|9200
|◯
|◯
|◯
|◯
|
|◯
|
|◯
|
|-
|9200CX
|◯
|◯
|
|
|
|☓
|☓
|
|◯
|-
|9300L
|◯
|◯
|
|◯
|
|◯
|
|◯
|◯
|-
|9300LM
|◯
|◯
|◯
|
|
|◯
|
|◯
|◯
|-
|9300
|◯
|◯
|
|◯
|
|◯
|
|◯
|◯
|-
|9300X
|◯
|◯
|◯
|
|◯
|◯
|
|◯
|◯
|-
|9400
|◯
|◯
|
|◯
|
|
|◯
|◯
|◯
|-
|9400X
|◯
|◯
|◯
|◯
|◯
|
|◯
|◯
|◯
|-
|9500
|◯
|◯
|
|◯
|
|
|◯
|◯
|◯
|-
|9500H
|◯
|◯
|◯
|◯
|◯
|
|◯
|◯
|◯
|-
|9500X
|☓
|◯
|◯
|◯
|◯
|
|◯
|◯
|◯
|-
|9600
|◯
|◯
|◯
|◯
|◯
|
|◯
|◯
|◯
|-
|9600X
|☓
|◯
|◯
|◯
|◯
|
|◯
|◯
|◯
|}

== ポート数 ==
初期に使用するポート数が、多くても 3 分の 2 程度になる機種を選定します。 <ref>ネットワークウォリア

P.446 33 章ネットワークの設計

これで必要数は340にもかかわらず、480ポートを利用できることになりました。これにより、約30パーセントの増加率を許容できます。

おそらく何かを見逃しているので（私はいつもそうです）、15パーセントの増加以上の余地があることは悪いことではありません。

このような場合には、拡張用lに余分にポートを予約するようにします。これは必ず後で重宝します。</ref>

* 運用中にポートが足りなくなり、不必要な買い替えや増設を防ぐ
* 速度が足りなくなったときに、増速できるようにする

買い替えのサイクルである 5-7 年程度は、使い続けられるのがベターです。

== PC 接続用トランシーバ ==
光ファイバ用ポートがメインになる機種は、RJ-45 が使えるトランシーバを購入するのがおすすめです。

PC でキャプチャしたり、管理ポート以外から telnet したり、サービス確認用のポートに有用です。

また、QSFP28 も PC と接続できなくて使いづらいため、SFP+ に変換するコンバータが数個合ったほうが良いでしょう。

=== トランシーバ・コンバータの例 ===

* GLC-TE : SFP / SFP+ -> 1G RJ-45

* CVR-QSFP-SFP10G : QSFP -> SFP / SFP+ アダプタ
** GLC-TE と一緒に使用する

== Silicon One 搭載機は 1G に対応しない ==
C9500X や C9600X (Sup-2) などの Silicon One ASIC 搭載機は、'''1G 速度のトランシーバをネイティブでサポートしません'''。<ref>[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9500-series-switches/nb-06-cat9500-ser-data-sheet-cte-en.html Cisco Catalyst 9500 シリーズスイッチデータシート]

'''C9500X-60L4D は、 1Gbps の SFP-1G-SX/LH 光ファイバのみをサポートします。'''</ref>

これは PHY が 10 / 25G / 50G 対応で <ref>BRKARC-2096

Specialized SFP with dedicated PHY to convert 10G signal to 1G internally.

Only supported on native SFP 10/25/50G ports. Not supported on QSFP ports using QSA/breakout</ref> 1G に対応しないためです。

SFP-1G-SX と SFP-1G-LH はトランシーバ内部で 10G -> 1G に変換する PHY <ref>[https://www.cisco.com/c/en/us/products/collateral/interfaces-modules/gigabit-ethernet-gbic-sfp-modules/datasheet-c78-366584.html#2Channel1000BASEBX10Dforsinglefiberbidirectionalapplications 1000BASE-X modules for 10G ports]

1000BASE-SX SFP for multimode fiber only

The SFP-1G-SX module operates in 10G, 10/25G dual rate and 10/25/50G tri-rate ports of Cisco switches and routers, but provides 1G connectivity. The SFP-1G-SX interoperates with 1000BASE-SX modules.

The SFP-1G-SX module will only operate in 10G capable ports and will not operate in 1G only ports.

1000BASE-LX/LH SFP for singlemode fiber and multimode fiber

THE SFP-1G-LH module operates in 10G, 10/25G dual rate and 10/25/50G tri-rate ports of Cisco switches and routers, but provides 1G connectivity. The SFP-1G-LH interoperates with 1000BASE-LX/LH modules.

The SFP-1G-LH module will only operate in 10G capable ports and will not operate in 1G only ports.</ref> を持っており、例外的に 1G でリンクアップ可能です。

1G で収容する機器が多い場合は、10G アップリンク + 1G ダウンリンクポートの機器をセットで購入するようにします。

== バッファ量・スタック帯域幅比較 ==
ISP のように速度が重視される市場では、パケットバッファの量を考慮した機種選定が望まれます。

ギガビットであれば 1Gbps = 1.25MB が一秒間に流れるため、12MB のバッファを 9.6 秒で使い切る、という計算になります。

* トラフィックが流れない状況と仮定した場合
* 実際には TCP のスロースタートアルゴリズムで上がったり下がったりを繰り返すため、もっと複雑な動作になる

コア層においた高負荷なサーバを、ローエンドの C9200 で収容してしまう、といった機種選定は望ましくありません。
{| class="wikitable"
|+C9000 シリーズスイッチ ASIC バッファ量・スタック帯域幅比較表
!ASIC Ver
!ASIC 種類
!代表機種
!バッファ量
!スタック帯域幅
|-
| rowspan="5" |UADP 2.0
|mini
|C9200 / L / CX
|6 MB - 12MB <ref>[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9200-series-switches/nb-06-cat9200-ser-data-sheet-cte-en.html Cisco Catalyst 9200 シリーズスイッチデータシート]

'''SKU ごとのパケットバッファ'''

24 または 48 ポートのギガビットイーサネットモデルでは 6 MB バッファ、24 または 48 ポートのマルチギガビットモデルでは 12 MB バッファ

24 または 48 ポートのギガビットイーサネットモデルでは

6 MB バッファ、24 または

48 ポートのマルチギガビットモデルでは 12 MB バッファ

6 MB バッファ</ref>
|100G <ref name=":1">[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/BRKARC-2035.pdf BRKARC-2035 Catalyst 9000 Family An Architectural View]

UADP Family for Catalyst 9K

UADP 2.0 mini

・160G

UADP 2.0

・240G

UADP 2.0 XL

・720G (360G x2 が正しい)

UADP 3.0

・800G/1.6T</ref>
|-
|無印
|C9300 / L / LM
|16 MB - 32 MB <ref name=":2">[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9300-series-switches/nb-06-cat9300-ser-data-sheet-cte-en.html Cisco Catalyst 9300 シリーズスイッチデータシート]

'''SKU ごとのパケットバッファ'''

48 ポート 5G マルチギガビット、24 ポート 10G マルチギガビット、および 12 ポート光ファイバ用の 16 MB バッファ

48 ポート 10G マルチギガビットおよび 24 ポート光ファイバ用の 32 MB バッファ

24 ポートまたは 48 ポートのギガビットイーサネットモデルでは 16 MB バッファ

24 ポートと 48 ポートのマルチギガビットでは 32 MB バッファ

24 ポートと 48 ポートのギガビットイーサネットモデルでは 32 MB バッファ

24 ポートのマルチギガビットモデル（24UXB）では 64 MB バッファ

24 ポートと 48 ポートのギガビットイーサネットモデルでは 16 MB バッファ</ref>
24UXB : 64 MB
|240G <ref name=":1" />
|-
| rowspan="2" |XL
|C9400 SUP-1
|96 MB <ref name=":3">[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9400-series-switches/nb-06-cat9400-ser-sup-eng-data-sheet-cte-en.html Cisco Catalyst 9400 スーパバイザエンジンモジュールデータシート]

C9400-SUP-1

・96 MB

C9400-SUP- 1XL/C9400-SUP-1XL-Y

・96 MB</ref>
| rowspan="2" |360G <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9400-series-switches/nb-06-cat9400-architecture-cte-en.html Cisco Catalyst 9400 Series Architecture White Paper]

'''ASIC interconnect'''

UADP 2.0 XL has effective bandwidth of 720 Gbps, with each core ASIC interconnect able to transfer up to 360 Gbps. The 360-Gbps bandwidth is composed of six dual independent 60-Gbps rings.</ref>
|-
|C9500
|32 MB (16 MB per core) <ref name=":4">[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9500-series-switches/nb-06-cat9500-architecture-cte-en.html Table 3. Catalyst 9500 ASIC comparison]

Catalyst 9500 Series (UADP 2.0 XL)

・2x 16 MB

Catalyst 9500 High Performance (UADP 3.0)

・36 MB shared buffer

Catalyst 9500X-28C8D (Silicon One Q200)

・80 MB shared buffer

・8 GB High Bandwidth Memory (HBM) buffer</ref>
|-
|sec
|C9300X
|16 MB - 32 MB <ref name=":2" />
|540G <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9300-series-switches/white-paper-c11-741468.html Catalyst 9300 Stackwise System Architecture White Paper]

Catalyst 9300X (Stackwise-1T)

Throughput per stack (full ring)

・540 Gbps</ref>
|-
| rowspan="2" |UADP 3.0
|無印
|C9500H
C9600 SUP-1
|36 MB <ref name=":4" />
|800G / 1.6T <ref name=":1" />
|-
|sec
|C9400X SUP-2
|108 MB <ref name=":3" />
|1.6T <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9400-series-switches/nb-06-cat9400-architecture-cte-en.html Cisco Catalyst 9400 Series Architecture White Paper]

UADP ASIC

・DPP bandwidth: 1.6 Tbps</ref>
|-
|Silicon One
|Q200
|C9500X-28C8D
C9600 SUP-2
|80MB '''+ 8GB (HBM)''' <ref name=":4" />
| -
|}
一方で DNS や DHCP などのサーバは PPS が重要で、スイッチが問題となることはまずありません。

スイッチの前にファイアウォールのパフォーマンスが不足します。

=== バッファ割当増加設定 ===
[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9300/software/release/17-3/command_reference/b_173_9300_cr/qos_commands.html#wp4162968835 qos queue-softmax-multiplier (C9300)] で割り当てるソフトバッファを増加させることが可能です。

増加させると、共有バッファから物理ポートへ、バッファを借りやすくなります。

* バーストトラフィックでパケットがドロップしにくくなる

多数の物理ポートでバーストトラフィックが発生・バッファが不足するような状況では、効果がありません。

* バッファを'''未使用のポートがあれば'''、不足するポートに融通しやすくする仕組みです

機種により、設定可能な値が異なります。
{| class="wikitable"
|+qos queue-softmax-multiplier
!
!デフォルト
!最小値
!最大値
|-
|[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9200/software/release/17-3/command_reference/b_173_9200_cr/qos_commands.html#wp4162968835 C9200] / [https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9300/software/release/17-3/command_reference/b_173_9300_cr/qos_commands.html#wp4162968835 C9300]
|100
|100
|1200
|-
|[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/software/release/17-4/command_reference/b_174_9500_cr/qos_commands.html#wp4162968835 C9500] / [https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9600/software/release/17-2/command_reference/b_172_9600_cr/qos_commands.html C9600]
|100
|100
|4800
|}
詳しくはこちら。 [[Catalyst 9000 トラブルシューティング#パケットドロップ対策]]

一方で CoS / ToS が低いパケットをドロップしづらくなるため、QoS の差別化も効きづらくなります。

= ソフトウェア選定 =
Catalyst 9000 スイッチの IOS-XE は、2 種類のリリースが存在します。

=== 標準メンテナンスリリース Standard Maintenance Release (SMR) ===
機能追加を行い、新機能を早期提供するためのリリースです。<ref>[https://community.cisco.com/kxiwq67737/attachments/kxiwq67737/3886-docs-network-infrastructure/138/1/48320-IOS_Evolution_CSC_Webcast_10252011_Final.pdf IOSの変革および各リリースの相関について]

Standard Maintenance (SM) は、新機能を早期提供するためのリリース。</ref>

=== 拡張メンテナンスリリース Extended Maintenance Release (EMR) ===
長期にメンテナンスを行い、メンテナンス (リビルド) の回数を多くして不具合修正を多く行うリリース。 <ref>[https://community.cisco.com/kxiwq67737/attachments/kxiwq67737/3886-docs-network-infrastructure/138/1/48320-IOS_Evolution_CSC_Webcast_10252011_Final.pdf IOSの変革および各リリースの相関について]

Extended Maintenance (EM) は長期にわたりメンテナンスされる。

Rebuild（上図での横方向）はバグ修正のみが行われる。</ref>

=== 各数字の意味 <ref>[https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-9300-series-switches/214814-recommended-releases-for-catalyst-9200-9.html Catalyst 9200/9300/9400/9500/9600 プラットフォームの推奨リリース]

[https://www.cisco.com/c/ja_jp/products/collateral/ios-nx-os-software/ios-xe-16/bulletin-c25-2378701.html ソフトウェアライフサイクルサポートに関する情報 - IOS XE]

[https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-xe-26/bulletin-c25-2378701.html Software Lifecycle Support Statement - IOS XE]</ref> ===
IOS-XE 17.12.4

* メジャー : 17
* マイナー : 12
* メンテナンス (リビルド) : 4

IOS-XE 26.1.1a

* メジャー : 26
* マイナー : 1
* メンテナンス : 1
* スペシャルリリース ID : a

=== 選定方法の例 ===
[https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-9300-series-switches/221475-recommended-releases-for-catalyst-9200-9.html Catalyst 9200/9300/9400/9500/9600 プラットフォームの推奨リリース] [https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-9300-series-switches/221475-recommended-releases-for-catalyst-9200-9.html Recommended Releases for Catalyst 9200/9300/9400/9500/9600 Platforms] を参考に、採用する IOS-XE のバージョンを決定します。

* 日本語版の情報が古く、英語版が最新となっていないかも確認します。

基本方針は以下を参考にしてください。

=== 安定性重視のソフトウェア選定 ===
基本方針としては、こちらをデフォルトとして採用します。
* 拡張メンテナンスリリース (EMR) を選択する
** EMR : Catalyst 9000 スイッチでは、17.3 , 17.6 など、真ん中の数字である、マイナーリリースが 3 の倍数のものを指す
* メンテナンス (リビルド) 数が多い EMR リリースを選択する
** メンテナンス (リビルド) : 17.9.4a であれば、4 の部分を指す
*メンテナンス数が更新された直後の採用は避ける
**致命的な不具合が発生して、a などのスペシャルリリースが追加される場合がある
* サポート期間が長いことを重視する場合、より新しい EMR を選択する
** 例) 17.12.x はサポートの残り期間が短いため、17.15.x を選択する
* 安定性をより重視する場合、メンテナンス (リビルド) 数が多いことを最優先し、かつ古めの EMR を選択する
** 実環境で使われた期間が長いため、不具合修正が多く行われ、安定性が実証されている

=== 新ハードウェア・機能を使用するためのソフトウェア選定 ===
主に PoC 検証や新機能評価など、商用ネットワークでは使用しない場合に採用します。
* Feature Navigator やリリースノート、コンフィギュレーションガイドから、使用したいハードウェア・機能を持つバージョンを確認する
* EMR で実装されていないか確認する
* ない場合はリスクを関係者で合意した上で SMR を採用する
** IOS-XE Verup 費用や、不具合調査対応の費用を見込んだ役務費用を見積もっておきます
詳細については [[2023-09-07 Cisco IOS IOS-XE バージョン選定まとめ]] も参考にしてください。

= レイヤ1 =

== ポート設計 ==

=== 基本 ===
ポートを使用する種別を定義して、ポートを使いやすいように割り当てます。

=== ポート番号をドキュメントから調べる方法は ? ===
構成図を実機入荷前に書くケースがほとんどですが、この場合ポート番号の表記をドキュメントから調査・確認するケースが多いです。

* 実機があるなら、実機確認が一番良いです
* Provision コマンドも便利です
** 参考 [[2024-01-30 Cisco IOS IOS-XE コンフィグ作成まとめ#Catalyst 2k .2F 3k .E3.81.AF.E3.80.81provision .E3.82.B3.E3.83.9E.E3.83.B3.E3.83.89.E3.81.A7.E3.82.A4.E3.83.B3.E3.82.BF.E3.83.BC.E3.83.95.E3.82.A7.E3.83.BC.E3.82.B9 .E3.82.B3.E3.83.B3.E3.83.95.E3.82.A3.E3.82.B0.E3.82.92.E4.BD.9C.E6.88.90.E3.81.A7.E3.81.8D.E3.81.BE.E3.81.99|2024-01-30 Cisco IOS IOS-XE コンフィグ作成まとめ]]

例えば Catalyst 9500 の場合、ハードウェアインストレーションガイドと、コンフィギュレーションガイドのインターフェース設定を主に調査・確認すると良いでしょう。

* 日本語 :
**[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/hardware/install/b_catalyst_9500_hig/b_catalyst_9500_hig_chapter_01001.html#concept_qr4_53l_ldb Cisco Catalyst 9500 シリーズスイッチのポートマッピング]
** C9500 は日本語のコンフィギュレーションガイドなし

* 英語 :
** [https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/hardware/install/b_catalyst_9500_hig/9500_product-overview.html#concept_qr4_53l_ldb Port Mapping for Cisco Catalyst 9500 Series Switches]
** [https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/16-10/configuration_guide/int_hw/b_1610_int_and_hw_9500_cg/configuring_interface_characteristics.html#concept_y44_5bz_tfb Configuring Breakout Interfaces]

=== 使用されるポート名 ===

==== Catayst 9200 / 9300 / 9500 / 9500X ボックス型スイッチ ====
以下のポート名ルールが使用されます。

'''<タイプ><スイッチ番号(X)>/<モジュール番号(Y)>/ポート番号(Z)/子ポート番号(ブレークアウト時のみ追加)''' <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-12/configuration_guide/int_hw/b_1712_int_and_hw_9500_cg/configuring_interface_characteristics.html#interface_configuration_mode Interface Configuration Mode]

To configure a physical interface (port), specify the interface type, module number, and device port number, and enter interface configuration mode.

* Type: FortyGigabitEthernet (fortygigabitethernet or fo) fiber ports.

* Switch number: The number that identifies the given device. The number range is assigned the first time the device initializes.

* Module number: The module or slot number on the device: switch (downlink) ports are 0, and uplink ports are 1.

Note
----C9500-32C, C9500-32QC, C9500-48Y4C, and C9500-24Y4C models of the Cisco Catalyst 9500 Series Switches have their Module number as 0 always.
----* Port number: The interface number on the device. The 10/100/1000 port numbers always begin at 1, starting with the far left port when facing the front of the device, for example, FortyGigabitEthernet1/0/1 or FortyGigabitEthernet1/0/8.

On a device with SFP uplink ports, the module number is 1 and the port numbers restart. For example, if the device has 24 10/100/1000 ports, the SFP module ports are GigabitEthernet1/1/1 through GigabitEthernet1/1/4 or TenGigabitEthernet1/1/1 through TenGigabitEthernet1/1/4.

[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-12/configuration_guide/int_hw/b_1712_int_and_hw_9500_cg/configuring_interface_characteristics.html#configuring_a_breakout_interface Configuring a Breakout Interface]</ref>

==== 例 ====

* GigabitEthernetX/Y/Z
* TenGigabitEthernetX/Y/Z
* TwentyFiveGigabitEthernetX/Y/Z
* FortyGigabitEthernetX/Y/Z
* HundredGigabitEthernetX/Y/Z
* FourHundredGigEX/Y/Z

スイッチ番号はスタックの最大台数 8 により、1-8 が使用されます。

モジュール番号は、0 だとオンボードポート、1 はアップリンクポート / モジュールを意味します。

ポート番号は機種により異なりますが、1-64 が使用されます。 <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/hardware/install/b-c9500x-hig/9500x_product-overview.html#hig-9500x-port-map Port Mapping for Cisco Catalyst 9500X Series Switches]

C9500X-60L4D

'''Port Type'''

50G native ports

'''Port Number on the Switch'''

1—30, 35—64

'''Port Type'''

400G native ports

'''Port Number on the Switch'''

31—34</ref>

Catalyst 9000 のボックス型スイッチは、StackWise を組まない場合でもスイッチ番号が付与されます。

==== Catalyst 9400 / 9600 シャーシ型スイッチ ====
以下のポート名ルールが使用されます。

'''スタンドアローン : <タイプ><スロット番号(X)>/0(Y)/ポート番号(Z)/子ポート番号(ブレークアウト時のみ追加)''' <ref name=":0">[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-2/configuration_guide/int_hw/b_172_int_and_hw_9600_cg/configuring_interface_characteristics.html#concept_dnb_f3w_tfb Breakout Interfaces]

HundredGigabitEthernet <var>slot-num</var> /0/<var>port-num</var> /[1-4]: For a device without Cisco StackWise Virtual (standalone device).

HundredGigabitEthernet <var>switch-num</var> /<var>slot-num</var> /0/<var>port-num</var> /[1-4]: For a device with Cisco StackWise Virtual.</ref>

'''StackWise Virtual : <タイプ><スイッチ番号(X)>/<スロット番号(Y)>/ポート番号(Z)/子ポート番号(ブレークアウト時のみ追加) <ref name=":0" />'''

==== 例 ====

* GigabitEthernetX/Y/Z
* TenGigabitEthernetX/Y/Z
* TwentyFiveGigabitEthernetX/Y/Z
* FortyGigabitEthernetX/Y/Z
* HundredGigabitEthernetX/Y/Z
* FourHundredGigEX/Y/Z

シャーシ型の場合、上述のようにスタンドアローン構成と StackWise Virtual 構成で、頭の数字の意味が異なる点に注意です。

シャーシ型は 2024 年現在 C9410R の 10 スロットが最大のため、スロット番号は 1-10 が使用されます。

StackWise Virtual は 2 台までのため、1-2 が使用されます。

===== Catalyst 9600 でブレークアウトした場合のポート名例 =====
[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-2/configuration_guide/int_hw/b_172_int_and_hw_9600_cg/configuring_interface_characteristics.html#reference_uwp_3dz_tfb Example: Configuring a Breakout Interface]<syntaxhighlight lang="diff">
Example: Configuring a Breakout Interface
The following example shows a sample output of the show interface status command for a specified interface:

Device# show interface status | include 1/0/25

Hu1/0/25 inactive 1 full 40G unknown
Hu1/0/25/1 connected 101 full 10G QSFP 4X10G AC10M SFP
Hu1/0/25/2 connected 102 full 10G QSFP 4X10G AC10M SFP
Hu1/0/25/3 connected 103 full 10G QSFP 4X10G AC10M SFP
Hu1/0/25/4 connected 104 full 10G QSFP 4X10G AC10M SFP
</syntaxhighlight>40G トランシーバ搭載の Hu1/0/25 が非アクティブ化され、/1 から /4 の波長が有効になっています。

また、100G ポートに 40G トランシーバを搭載して 10G x 4 にブレークアウトしても、タイプは HundredGigabitEthernet が使用されます。

=== ポート種別 ===
例えば以下のようなポート種別を定義します。

==== ダウンリンクポート ====
ホストなど、下位側の機器を収容します。用途によってもっと細分化しても良いでしょう。

* 例) ホスト / サーバ / NW 機器

若番のポート番号を割り当てるのがおすすめです。

==== わたりリンクポート / Data Stack ポート / Switch Virtual Link (SVL) ポート ====
冗長経路となる、同じ役割のスイッチ同士を接続します。一般的に正常時はトラフィックを流さないように L2 / L3 プロトコルを設計します。

アップリンクが全断したときでも切替ができるように、アップリンクと同じポート数を割り当てます。

中央付近や、アップリンクポートを割り当てたあとの老番ポートを割り当てるのがおすすめです。

参考 : [[2024-04-03 Cisco StackWise Virtual まとめ]]

===== Data Stack ポート : C9200/L , C9300/L/X =====
StackWise-80 , 160 , 320 , 480 , 1T を構成する場合は、専用のスタックケーブルを使用するため、わたりリンクのポートは必要ありません。

===== SVL : C9400/X , C9500/X , C9600/X =====
StackWise Vitual を構成する場合のわたりポートは、Switch Virtual Link (SVL) という呼称になります。

正常時は基本的にトラフィックが流れないようになっており、障害時のみトラフィックが流れます。

===== アップリンクポート =====
上位の機器と接続します。下位の機器すべてが上位に通信するために、必要な帯域幅を持つ必要があります。

最も老番のポートを割り当てるのがおすすめです。

* アップリンクポートは、速度がより高速なポートを備える機種が多いため
** 例) C9500-40X-2Q は 10G x 40 の通常ポートと、40G x2 のアップリンクポートを持つ

=== シングルホーム接続機器の収容 ===
スイッチに対して単一のケーブルで接続して冗長化しない機器は、スイッチの 1 号機にのみ接続して 2 号機の同じポートに同じ設定をして空けておくのが基本です。

1 号機で筺体障害が発生したときは、2 号機に手動で差し替えて復旧を行います。

=== ブレークアウト ===
10G x 48 ポートの機種から、100G x 32 ポートの機種にリプレースを行う場合、ポート数が不足します。

このような場合、40G -> 10G x4 のブレークアウトによる 10G ポートの収容を検討します。

==== ブレークアウトケーブル ====
40G や 100G ポートは一部の規格において、同一波長を別芯で複数束ねているため、複数の物理ポートに分解 (=ブレークアウト) して使用することができます。

例えば 10 / 25G を 48 ポート持つ機器よりも、40 / 100G を 32 ポート持つ機器のほうが、4 x 32 ポート = 128 ポートの 10 / 25G ポートを持てます。

* 実際にはハードウェア制限で、すべてのポートはブレークアウトできないケースが多い
* アップリンクやわたりリンクは 40 / 100G で使うことが多いため、全ポートをブレークアウトする必要は少ない

[[ファイル:Breakout-cable.jpg|代替文=Breakout-cable|なし|フレーム|Breakout-cable 出典 : fs.com]]
例えば上記の 40G-SR4 は 10G-SR の 2 芯を同一波長で 4 セット束ねて、MPO-12 の 8 芯を使う規格であるため、ハードウェアが対応する場合はブレークアウトで 10G LC x 4 セットとして使用できます。

==== ブレークアウト MPO-12 配線番号 ====
参考リンク : [https://www.cisco.com/c/en/us/products/collateral/interfaces-modules/transceiver-modules/whitepaper-c11-744077.html What are breakouts and how do you use them?]

若番 Rx と老番 Tx を組み合わせて接続します。

MPO-12 は 12 芯のファイバーですが、4 ポートブレークアウトの場合はそのうち 8 芯を使用します。
[[ファイル:Whitepaper-c11-744077 6.png|代替文=ブレークアウトピンアサイン|なし|サムネイル|1038x1038ピクセル|ブレークアウトピンアサイン]]

==== ブレークアウトパッチパネル ====
ブレークアウトする本数が多い、または未使用のポートを配線しておきたい場合は、ブレークアウトパッチパネルを使用するのが推奨です。
[[ファイル:Modular-patch-panel.jpg|代替文=Modular-patch-panel|なし|フレーム|Modular-patch-panel 出典 : fs.com]]
遠くのラックに配線する場合は、8 芯を配線するよりも MPO-12 で配線したほうが、本数を減らすことが可能です。

* MPO-12 自体は 12 芯を持つため、4 芯は未使用として余ります

また、10G x N から速度を増速したいときは、そのまま MPO-12 ケーブルで 100G x 1 に変更することができます。2024 年現在、大規模事業者は DC スイッチに 100G-CWDM4 + SMF を使用することが多いため、MPO-12 を使用する事例は少ないかもしれません。

=== ブレークアウトパッチパネルの製品例 ===

==== [https://www.panduit.com/jpn/ja/home.html PAUDUIT] ====

===== 固定タイプ =====
[https://www.panduit.com/jpn/ja/products/fiber-optic-systems/fiber-optic-panels-cassettes-enclosures/fiber-optic-cassettes/f1aszo-9612-10s.html F1ASZO-9612-10S : Quicknet 高密度 MPO-LC カセット OM4, 96F, 1RU アングル型, Meth A Opt IL]

* 左右で角度がついたタイプ

[https://www.panduit.com/jpn/ja/products/fiber-optic-systems/fiber-optic-panels-cassettes-enclosures/fiber-optic-cassettes/f1rszo-9612-10f.html F1RSZO-9612-10F : Quicknet 高密度 MPO-LC カセット OM4, 96F, 1RU Mod Meth A Opt IL]

* フラットなタイプ

[https://www.panduit.com/content/dam/panduit/en/products/media/7/07/207/4207/98424207.pdf QuickNet HDQ Series High Density Fiber Optic Cassettes]

* 上記 2 つのスペックシート

===== モジュラータイプ =====

====== エンクロージャ ======
[https://www.panduit.com/content/dam/panduit/en/products/media/7/57/257/2257/110682257.pdf スペックシート : HD Flex Fiber Enclosures Specification Sheet FBSP92-WW-ENG]

[https://www.panduit.com/jpn/ja/products/fiber-optic-systems/fiber-optic-panels-cassettes-enclosures/fiber-optic-enclosures/flex1u12.html FLEX1U12 : HD FLEX 1 RU 12Pエンクロージャ]

[https://sumitomoelectric.com/jp/products/optigate/connector/precision-flex 住友電気工業 PrecisionFlex®19インチラック搭載型カセットシャーシ]

====== カセット ======
[https://www.panduit.com/content/dam/panduit/en/products/media/1/21/021/3021/111243021.pdf スペックシート : HD Flex MPO-8/16 Fiber Optic Cassettes FBSP249]

[https://www.panduit.co.jp/wp-content/uploads/specsheet/HD-Flex-Fiber-Optic-Cassetts_FBSP190-WW-JPN.pdf FHC3ZO-24H-10B : 12 ポート、 24 芯 (3 MPO) OM4 ファイバー/低損失 – LC メソッド B 極性]

* MPO-12 タイプ B で使いやすそう

==== [https://www.fs.com/jp FS.com] ====
[https://www.fs.com/jp/products/43514.html FHU 1Uブレイクアウトカセット(96芯、OM4マルチモード、汎用極性、12x MTP®-8 - 24x LCクアッド、水色、最大0.35dB)]

* MPO タイプ B 結線のケーブルで背面に接続、前面は LC OM3 MMF で接続
[https://sumitomoelectric.com/jp/products/optigate/connector/precision-flex 住友電気工業 PrecisionFlex®MPOカセット／Q8MPOカセット]

* 12 芯なので、40G -> 4x10G などで 8 芯使ったときに、LC-LC 側が 4 芯余る
* ラック間配線用にはいいかも

==== [https://sanwa-tech.co.jp/ 三和テクノロジーズ] ====
[https://case-study.snwd.co.jp/media/2018/06/25/71 MPOカセットモジュール＆パッチパネルのご紹介]

[https://sanwa-tech.co.jp/products/6895.html LC24-MPO_cassete_1U_1 : MPOカセットモジュール＆パッチパネル]

* 12 芯を使うため、ブレークアウトだと 8 芯しか使えず、非使用ポートが 2 つできてしまう

[https://sanwa-tech.co.jp/products/6898.html LC96-MPO_BOX : LC96心-MPO_変換BOX]

* こちらは MPO-12 の内 8 芯を使用するため、ブレークアウトに向いている

==== CORNING ====
[https://www.corning.com/data-center/jp/jp/home/solutions/edge8.html EDGE8ソリューション]

[https://ecatalog.corning.com/optical-communications/US/en/Fiber-Optic-Hardware/Panels-Modules-and-Cassettes/EDGE8%C2%AE-MTP%C2%AE-to-LC-Duplex-Module/p/edge8-mtp-to-lc-duplex-module-nafta-emea EDGE8® MTP® to LC Duplex Module]

[https://ecatalog.corning.com/optical-communications/US/en/Fiber-Optic-Hardware/Panels-Modules-and-Cassettes/EDGE8%C2%AE-MTP%C2%AE-to-LC-Duplex-Module/p/ECM8-UM08-05-E6Q-ULL ECM8-UM08-05-E6Q-ULL]

==== サイバネテック ====
[https://www.cybernetech.co.jp/product/optic_cable_10g_09/ 1U-3PORTMDL-PANEL : 1Uラック搭載型パッチパネル筐体]

[https://www.cybernetech.co.jp/product/optic_cable_10g_09/ 12X-MPOLC-CASMDL : MM MPO-LCカセットモジュール]

=== ブレークアウトの制限 ===

==== 対応機種 ====
2024 年 IOS-XE 17.12.x の時点で、対応する機種は以下になります。

==== Switch Models ====

* C9500-12Q
* C9500-24Q
* C9500-40X-2Q
* C9500-16X-2Q
* C9500-32C
* C9500X-28C8D
* C9500X-60L4D

==== Network Modules ====

* C9500-NM-2Q

参考 : [https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-12/configuration_guide/int_hw/b_1712_int_and_hw_9500_cg/configuring_interface_characteristics.html#breakout_interfaces Breakout Interfaces]

==== C9500-32C の制限 ====
32 ポートの内、24 ポートをブレークアウトに使用可能です。4 の倍数のポートは使用できません。

* 使用不可 : 4 , 8 , 12 , 16 , 20 , 24 , 28 , 32

参考 : [https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/hardware/install/b_catalyst_9500_hig/b_catalyst_9500_hig_chapter_01001.html#id_69801 Cisco Catalyst 9500 シリーズ高性能スイッチのポートマッピング]

==== C9500-24Y4C / 48Y4C の制限 ====
アップリンクの 100G ポートは、SFP / SFP+ へ変換する QSA モジュールに対応しません。<ref>[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/software/release/17-9/release_notes/ol-17-9-9500/limitations_and_restrictions.html Cisco IOS XE Cupertino 17.9.x（Catalyst 9500 シリーズスイッチ）リリースノート]

制限事項と制約事項

Cisco QSA モジュール（CVR-QSFP-SFP10G）付きの 1G は、C9500-24Y4C および C9500-48Y4C モデルのアップリンクポートではサポートされていません。</ref>

SFP-10G-T-X は、1 シャーシあたり 8 個までしか使えません。<ref>[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/software/release/17-9/release_notes/ol-17-9-9500/limitations_and_restrictions.html Cisco IOS XE Cupertino 17.9.x（Catalyst 9500 シリーズスイッチ）リリースノート]

制限事項と制約事項

C9500-24Y4C および C9500-48Y4C への SFP-10G-T-X モジュールの取り付けに関する制限事項：同時にサポートされる SFP-10G-T-X モジュールの数は 8 個だけです。</ref>

= レイヤ 2 =

== スイッチポート ==
インターフェースで switchport コマンドを実行すると、スイッチポートモードに変更されます。

switchport mode trunk など、レイヤ 2 として動作するコマンドが投入可能になります。

== スパニングツリープロトコル ==
IOS-XE 17.5 以降は、高速なイーサネットに合わせてパスコストのデフォルト値が変化しました。

ループ NW では、ブロッキングポートの位置が変わってしまわないか、注意が必要です。

[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/17-4/configuration_guide/lyr2/b_174_lyr2_9200_cg/configuring_spanning_tree_protocol.html#concept_swq_sv5_jgb Layer 2 Configuration Guide, Cisco IOS XE Amsterdam 17.4.x (Catalyst 9200 Switches)]<syntaxhighlight lang="diff">
Default Spanning-Tree Configuration
Spanning-tree port cost (configurable on a per-interface basis)
10 Mbps: 100
100 Mbps: 19
1 Gbps: 4
10 Gbps: 2
25 Gbps: 1
40 Gbps: 1

</syntaxhighlight>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/17-5/configuration_guide/lyr2/b_175_lyr2_9200_cg/configuring_spanning_tree_protocol.html#default-spanning-tree-configuration Layer 2 Configuration Guide, Cisco IOS XE Bengaluru 17.5.x (Catalyst 9200 Switches)]<syntaxhighlight lang="diff">
Default Spanning-Tree Configuration
Spanning-tree port cost (configurable on a per-interface basis)
10 Mbps: 2000000
100 Mbps: 200000
1 Gbps: 20000
10 Gbps: 2000
40 Gbps: 500
100 Gbps: 200
1 Tbps: 20
10 Tbps: 2
</syntaxhighlight>

== EtherChannel ==
物理ポートを複数束ねて、1 つの論理ポートとして扱う機能です。コンフィグ上では interface Port-Channel として扱われます。

スイッチポートとしても、ルーテッドポートとしても設定が可能です。

スイッチポートに設定した場合、各プロトコルは Port-channel で動作するケースが多いです。

* 例) STP
* 例外) UDLD , QoS
** これらの機能は物理ポート単位で動作する

=== バッドプラクティス ===
誤 : STP の設定を物理ポートのみ or 物理ポートと論理ポートの両方に設定してしまう

正 : STP の設定は物理ポートから削除し、論理ポートである Port-Channel にのみ設定するのが正しい

* show spanning-tree を実施した際、STP インスタンスが動作するのは Port-Channel となるため

= レイヤ 3 =

== ルーテッドポート ==
インターフェースで no switchport コマンドを実行すると、ルーテッドポートモードに変更されます。

ip address など、レイヤ 3 として動作するコマンドが投入可能になります。

他の物理ポートに同一セグメントを使わせたくない場合や、ルーティングプロトコルを動作させる場合は、積極的にルーテッドポートを使用します。

* STP / DTP / MAC アドレステーブルなど、レイヤ 2 の機能を考えなくて良い
** スイッチポート + SVI だと、各種レイヤ 2 プロトコルが動作し、デフォルト設定のままでは障害発生時や復旧時の断時間が長い
* 物理ポートダウン = レイヤ 3 セグメントダウンのため、ルーティングプロトコルの冗長切替が高速
** switchport の場合、レイヤ 3 セグメントのダウンは、該当 Vlan がすべて未使用になる = 物理ポートで全く使われていない、という状況が必要
** 例) 一般的に L3SW のアップリンクでは /30 x 2 でルーティング冗長するため、他の機器は接続されない 1:1 のポイントツーポイント接続となり、他の物理ポートにさせる必要がない

== SVI (Switch Virtual Interface) ==
複数の物理ポートに対して IP アドレスを持たせたい場合、SVI (interface Vlan) を設定します。

/24 などを割り当て、ホストやサーバの収容などに使用します。

access port や trunk port で有効な Vlan があるときに、ステータスが Up になります。

基本的にはダウンリンクを収容する GW として使用し、'''ルーティングプロトコルは動作させないのが基本'''です。

== DHCP リレーエージェント ==
ルータやレイヤ 3 スイッチの場合、ユーザの IP アドレスは L3SW で DHCP リレーエージェントを動作させ、DHCP サーバから払い出すのが一般的です。

=== DHCP Relay giaddr ===
払い出すセグメントを決定するために、DHCP Relay のプロトコルフィールドに '''giaddr (Gateway IP Address)''' が存在します。

Catalyst の IOS-XE では、コンフィグで giaddr の変更が可能です。
3850(config)#ip dhcp-relay source-interface ?
3850(config-if)#ip dhcp relay source-interface ?
3850(config)#ipv6 dhcp-relay source-interface
3850(config-if)#ipv6 dhcp relay source-interface
TenGigabitEthernet Ten Gigabit Ethernet
Vlan Catalyst Vlans

* Catalyst 3850 + 16.12.14 で確認
* IPv6 にも giaddr と類似するプロトコルフィールドが存在
* Global でも設定可能だが、interface 単位のほうが良いと思われる

=== DHCP Smart Relay ===
Secondary も giaddr に使用できる Smart-Relay 機能があります。
Router(config)# ip dhcp smart-relay
https://www.cisco.com/c/ja_jp/td/docs/ugas/as5200universalaccessservers/as5200universalaccessserv/rcs/001/iad-15-1s/iad-dhcp-rly-agt.html

ip dhcp smart-relay コマンドが設定されると、DHCP サーバからの DHCPOFFER メッセージがない場合に、リレーエージェントはクライアントが DHCP サーバへの要求送信を再試行する回数を数えます。

3 回の再試行の後、リレーエージェントはセカンダリアドレスをゲートウェイアドレスとして設定します。

さらに 3 回再試行しても DHCP サーバが応答しない場合、ゲートウェイアドレスとして、次のセカンダリアドレスが使用されます。

= レイヤ 4 =

== TCP adjust-mss ==
Cat9000 シリーズでも MSS の調整は可能ですが、CPU でソフトウェアスイッチングされてしまうため、非推奨です。

参考 : [https://www.cisco.com/c/ja_jp/support/docs/ip/transmission-control-protocol-tcp/222338-troubleshoot-tcp-slowness-issues-due-to.html Catalyst 9KスイッチでのMSS調整によるTCP速度低下の問題のトラブルシューティング]

WAN と LAN で MTU が異なり、PPPoE や IPsec VPN , SSL-VPN を使用する、ルータやファイアウォールで実装しましょう。

== IPv6 ==
IPv6 ND Discovery Proxy がついに IOS-XE 17.13.1- 実装 <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-13/release_notes/ol-17-13-9500/whats_new_in_cisco_ios_1713x.html#topic-rn-sw-features-17131-9500.xml Software Features in Cisco IOS XE 17.13.1]

Feature Name

- IPv6 Neighbor Discovery Proxy</ref> <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-13/configuration_guide/ip/b_1713_ip_9300_cg/ipv6_neighbor_discovery_proxy.html IP Addressing Services Configuration Guide, Cisco IOS XE 17.13.x (Catalyst 9300 Switches)]

Chapter: IPv6 Neighbor Discovery Proxy</ref> されました。

Cisco ではずっと実装されてなかった <ref>[https://community.cisco.com/t5/%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-wan/local-proxy-arp%E3%81%AB%E7%9B%B8%E5%BD%93%E3%81%99%E3%82%8Bipv6%E6%A9%9F%E8%83%BD%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/td-p/2075073 local-proxy-arpに相当するIPv6機能について]</ref> んですが・・・

= プラットフォーム特有の機能 =

== フィーチャセット ==
購入時に指定しておく、もしくは追加ライセンスの購入が必要になる場合があります。

これは型式の最後についたアルファベットで判別可能です。

* -A : Network Advantage (旧 IP Services 相当)
* -E : Network Essentials (旧 LAN Base / IP Base 相当)

Network Advantage の場合は、コマンド投入 + 再起動が必要です。 <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-6/configuration_guide/sys_mgmt/b_176_sys_mgmt_9300_cg/licenses.html#Cisco_Task.dita_f126c327-a647-4235-b1a2-930771e49f9d Configuring Base and Add-On Licenses]

license boot level { '''network-advantage''' [ addon dna-advantage ] | network-essentials [ addon dna-essentials ] }</ref> <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-6/configuration_guide/sys_mgmt/b_166_sys_mgmt_9300_cg/b_166_sys_mgmt_9300_cg_chapter_011.html#task_gfk_vvj_n1b Activating a License]

license right-to-use [activate <kbd>|</kbd> deactivate ] [network-essentials <kbd>|</kbd> '''network-advantage''' ] [all <kbd>|</kbd> evaluation {all <kbd>|</kbd> slot <var>slot-number <1-8></var>}] [acceptEULA]</ref>

== SDM テンプレート ==
用途に合わせて変更します。適用には Stack 全体の再起動が必要です。

* ルート数を多くしたい : Core テンプレート

* MAC アドレス学習数を多くしたい : Distribution テンプレート

保守交換時にテンプレートを合わせる必要があるため、デフォルトから変更する場合は、筐体にテプラでテンプレート名を貼り付けるのがおすすめです。

== StackWise-80 , 160 , 320 , 480 , 1T ==

=== オプション ===
2024 年現在、C9300 は標準でスタックケーブルが含まれており、スタックポートは標準で備わっています。

C9200 , C9300L はスタックポートが備わっていないため、ポートとケーブルがセットになった、スタックキットをオプションとして注文する必要があります。

スタックキットにはスタックポートを使えるようにするアダプタ x2 とデータスタックケーブル x1 が含まれます。 <ref>Cisco Catalyst 9200 シリーズスイッチデータシート<nowiki/>https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9200-series-switches/nb-06-cat9200-ser-data-sheet-cte-en.html

表 6. スタック構成のアクセサリ

C9200-STACK-KIT

C9200 SKU 専用スタックキット：2 X データスタックアダプタ、1 X データスタックケー

ブル

C9200L-STACK-KIT

C9200L SKU 専用スタックキット：2 X データスタックアダプタ、1 X データスタックケー

ブル</ref> <ref>Cisco Catalyst 9300 シリーズスイッチデータシート<nowiki/>https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9300-series-switches/nb-06-cat9300-ser-data-sheet-cte-en.html

表 6. スタック構成のアクセサリ

C9300L-STACK-KIT

C9300L SKU 専用スタックキット：2 X データスタックアダプタ、1 X データスタックケー

ブル</ref>

* C9200 : C9200-STACK-KIT , STACK-T4-50CM
* C9200L : C9200L-STACK-KIT , STACK-T4-50CM
* C9300L : C9300L-STACK-KIT , STACK-T3-50CM
[[ファイル:C9200-STACK-KIT 01.png|代替文=C9200-STACK-KIT 01|なし|フレーム|C9200-STACK-KIT 01]]

=== 標準 ===
C9300 , C9300X は標準でデータスタックポートが搭載されていますが、スタックケーブルは発注時にオプションとして注文する必要があります。

(デフォルトは $0 でオプションに含まれているはずですが、確認して発注に含めます)

* C9300 : STACK-T1-50CM

* C9300X : STACK-T1-50CM

=== つなぎ方 ===
[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/hardware/install/b_c9300_hig/Installing-a-switch.html Cisco Catalyst 9300 Series Switches Hardware Installation Guide] の [https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/hardware/install/b_c9300_hig/Installing-a-switch.html#concept_731340C54C5C4974B300779F6D2728B6 Data Stack Cabling Configurations] を確認しましょう。
[[ファイル:C9300 Stack Cabling 01.png|代替文=C9300 Stack Cabling 01|なし|フレーム|[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/hardware/install/b_c9300_hig/Installing-a-switch.html#concept_731340C54C5C4974B300779F6D2728B6 Data Stack Cabling Configurations]]]
隣接スイッチ間を数珠つなぎにして、最後に最若番と最老番のスイッチをクロスしてつなぐのが基本になります。(図だと 1 号機と 3 号機)

1 号機と 2 号機を別のラックに搭載したい、もしくは 4 台より多い台数でスタックを組みたい場合は、50cm より長いケーブルの発注が必要です。

=== 速度 ===
C9200 , C9300 でサポートされます。各機種でサポートする速度が異なります。 <ref>[https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-9300-series-switches/217684-verify-and-troubleshoot-stackwise-on-cat.html Catalyst 9200/9300でのStackwiseの確認とトラブルシューティング]

'''Stackwiseプラットフォーム'''

呼び出し速度はPIDによって異なります。次のPIDはStackwiseをサポートしています。

Cisco Catalyst 9200 - StackWise-160

Cisco Catalyst 9200L - StackWise-80

Cisco Catalyst 9300 - StackWise-480

Cisco Catalyst 9300L - StackWise-320

Cisco Catalyst 9300X - StackWise-1T</ref>

* Cisco Catalyst 9200 - StackWise-160 
* Cisco Catalyst 9200L - StackWise-80
* Cisco Catalyst 9300 - StackWise-480
* Cisco Catalyst 9300L - StackWise-320
* Cisco Catalyst 9300X - StackWise-1T

C9300X の StackWise-1T は C9300 StackWise-480 と混在が可能ですが、速度は 480 に低下します。

また、C9300B のディープバッファモデルと C9300 / C9300X は混在でスタックが組めません。 <ref>[https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9300-series-switches/white-paper-c11-741468.html 混合スタックの動作]

'''ディープバッファ SKU は、非ディープバッファ SKU とスタックできません。'''</ref>

=== 速度変更 ===
[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-12/configuration_guide/stck_mgr_ha/b_1712_stck_mgr_ha_9300_cg/configuring_high_speed_stacking.html Configuring High Speed Stacking] を見て変更しましょう。<syntaxhighlight lang="diff">
Device(config)# switch stack-speed high
</syntaxhighlight>使用中の速度から変更する場合、reload が必要です。

== StackWise Virtual の制限 ==

=== 物理ポート ===
StackWise Virtual は SVL ポートに使用する際、制限事項を考慮して物理ポートを割り当てる必要があります。

[[2024-01-24 Cisco StackWise Virtual まとめ]] を確認してください。

=== EtherChannel ===
C9500 の場合、channel-group 127 , 128 は StackWise Virtual で予約されるため、使用できません。 <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-12/configuration_guide/ha/b_1712_ha_9500_cg/configuring_cisco_stackwise_virtual.html Multichassis EtherChannels]

Cisco StackWise Virtual support up to 128 MECs deployed in Layer 2 or Layer 3 modes. EtherChannel 127 and 128 are reserved for SVL connections. Hence, the maximum available MEC count is 126. On the Cisco Catalyst 9500X Series Switches, Cisco StackWise Virtual support up to 240 MECs deployed in Layer 2 or Layer 3 modes, and EtherChannel 241 is reserved for internal SVL link EtherChannel bundling.</ref>

126 が最大になります。

== StackPower ==
C9300 で複数スイッチ間の電力を共有できる仕組みです。

主に PoE スイッチとして電力が必要な環境で利用します。

== Smart License ==
リンク : [https://solution.netone-pa.co.jp/blog/470 実践！ Cisco Smart License（スマートライセンス）第8回]

= 用語 =

=== コネクタ ===
LC : Lucent Connector

* SC よりも小さいため、筆者は Little Connector とおぼえました

SC : Subscriber Connector

MPO : Multi-fibre Push On

=== ケーブル ===
MTP : Multi-fiber Termination Push-on

= 参考リンク =
[https://www.cisco.com/c/dam/global/ja_jp/products/collateral/switches/catalyst-9000/catalyst-9000-design-guide-basic.pdf Cisco Catalyst 9000 シリーズスイッチ実践ガイド（基本機能編）]

[https://ja.fibresplitter.com/news/modular-patch-panel-and-breakout-cabling-whic-24296708.html モジュラーパッチパネルとブレークアウトケーブル：将来性のあるネットワークにどちらを選択しますか？]

[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-12/configuration_guide/int_hw/b_1712_int_and_hw_9500_cg/configuring_interface_characteristics.html#breakout_interfaces Breakout Interfaces]

[https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9500/hardware/install/b_catalyst_9500_hig/b_catalyst_9500_hig_chapter_01001.html#id_69801 Cisco Catalyst 9500 シリーズ高性能スイッチのポートマッピング]

= 更新履歴 =
2026/03/26 : DHCP Relay giaddr について追記

= 引用 =
[[カテゴリ:Catalyst 9000]]
[[カテゴリ:Catalyst]]

2026-04-14T05:46:27Z

ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。

全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。

現状ではルータ・スイッチ・ファイアウォールのみを記載。[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]]

== 目的 ==

* メーカー横断で対抗となる機種を調べられるようにしたい。
** 各メーカーごとのプロダクトマッピング (下位機種・上位機種 / 種類) はカタログを読めばわかりますが、メーカー横断の資料は公開されていない
* ビギナーエンジニアが機種全体から見て、自分が対応する機種の位置づけを知ることができる。

== 想定する読者 ==
エンタープライズ / ISP 市場の、SIer / NIer ビギナーエンジニア

== ルータ ==
ルータは主に 3 つの役割に分かれます。初心者は、まず Cisco のブランチルータを把握すると良いでしょう。
[[ファイル:PE.png|サムネイル|PE]]
[[ファイル:CE.png|サムネイル|CE]]

=== P = Provider Router ===

* インターネットサービスプロバイダ (ISP) が内部で使用するルータ
* 大型で高価なものが使用されます
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
* 右図からは省略している

=== PE = Provider Edge Router ===

* ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
* 用途によって導入する機種が選定されます
** L2VPN / L3VPN を提供 -> メトロ系
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
** BGP フルルートインターネット接続を提供 -> ハイエンド系
* P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します

=== CE = Customer Edge Router ===

* ユーザが外部ネットワークと接する位置に置かれるルータ
* L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
** WAN 機能 : PPPoE
** アドレス変換 : NAT , PAT
** VPN : IPsec VPN
* コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります

エンタープライズ系では、DC など大きい拠点に置く'''センタールータ'''、小さい拠点に置く'''ブランチルータ、'''

という分類もあります。
{| class="wikitable"
|+ルータ
!役割
! colspan="2" |CE
!PE
!CE / PE
!PE / P
!P
|-
!セグメント
!ブランチ
!ローエンド
!メトロ
!ミッドレンジ
!ハイエンド
!ウルトラハイエンド
|-
|Cisco ISR / ME / ASR
旧世代
|C892J
C891FJ
C921J
|ISR4200
ISR4300

ISR4400

C1100
|ME3400
ME3800
|ASR1000
|ASR9000
|CRS-1
CRS-3

CRS-X
|-
|Cisco ISR / NCS / ASR
現世代
|C1121
|'''C8100-G2'''
C8200
'''C8200-G2'''
C8300
'''C8300-G2'''
|ASR900
NCS520

NCS540
NCS5500

NCS5700

'''8400'''
|ASR1000X
'''C8400-G2'''
C8500

'''C8500-G2'''
|ASR9900
8100

8200

8600

'''8700'''
|8800
|-
|Juniper MX / PTX
旧世代
| -
| MX5
MX10
|ACX5048
ACX5096
|MX40
MX80

MX10003
|PTX1000
PTX3000

PTX5000
|MX10016
PTX10008

PTX10016
|-
|Juniper ACX / MX / PTX
現世代
| -
| -
|ACX4000
ACX5448
|ACX5000
MX204

MX301

MX304

MX480
|MX960

MX10004

MX10008

MX2000

PTX
|MX2008
MX2010

MX2020

PTX
|}
ルータは、WAN で使用される機能が充実しています。

* WAN プロトコル : PPPoE / MPLS
* VPN : IPsec / FlexVPN / L2TP
* IP Addressing : NAT

一方でレイヤ 3 スイッチと比較してポート単価が高いため、ポート消費量を抑える設計や

レイヤ 3 スイッチに代替出来ないか、検討する知見が求められます。

* 最近は C9300 スイッチなど IPsec や NAT をサポートしているケースがあります

筆者は初心者のころにブロードバンドルータを置き換える目的で Catalyst 3560 を買ったのですが、

PPPoE / NAT が動作しないことを知りませんでした。。

=== Cisco ISR / ME / ASR ===
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。

逆に 2025 年の最新機種では、Cisco 8000 Secure Router と改名し、Catalyst の名前はなくなりました。

* Catalyst : C8200 , C8300 , C8500
* Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)

==== ISR800 / 900 (C892J , C921J) ====

* パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
** VPN は暗号化・復号化モジュールを搭載している場合があります
* Cisco のブランチ (拠点) 向けルータ
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していましたが、C921J はついに x86 CPU を搭載しました
* J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています
** C1812J の頃の話で、当時は Yamaha 対向だった最近の機種は未調査

==== ISR1100 / 1100X / 1121X / 1127X / 1131X / 1161X ====
ちょっと高性能なブランチルータ。

* LTE / WiFi 対応モデルあり

==== C8100-G2 ====
2025 年 6 月発表、ISR1100 の後継機。

==== C1121 ====
C921J の後継機。

==== ISR4000 ====
デフォルトではめっちゃ遅いスループットのモデルも存在する、高性能なブランチルータ。
* ASR1000 の QFP (Quantum Flow Processor) を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
** CPU コアを、IOS-XE の動作するコントロールプレーンと、QFP エミュレーション用のデータプレーンに振り分けています
* 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように (=HW ライクに) 動作します
** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました

==== Catalyst 8200L / 8200 / 8300 ====

* IOS-XE で動作する'''ルータ'''で、ISR4000 の後継機
* Intel マルチコア CPU の QAT と DPDK が動作し、ASIC ほどではないがハードウェア転送になったアーキテクチャ <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/catalyst-8200-series-edge-platforms/catalyst-8300-8200-series-edge-platforms-architecture-wp.html#Dataplanearchitecture Data plane architecture]</ref> を持ちます
** Intel QuickAssist Technology (QAT) : 暗号化・復号化を高速に行う IPSec 用の機能
** Data Plane Development Kit (DPDK) : パケット処理にカーネルを挟まず、NIC に CPU コアを割り当ててパケット転送の間隔でポーリングし、転送処理することで高速なパケット転送を行います
*** ポーリング処理に CPU コアを専有するため、8 - 12 コアを搭載しています

==== C8200-G2 / C8300-G2 ====

* Catalyst 8200 / 8300 の後継機。

==== C8400-G2 ====

* C8300 と C8500 の間を埋める機種。

==== C8500 ====

* QFP を搭載した、ASR1000 の後継機
* この世代から 1U BOX タイプのみになっています

==== ASR900 / 920 ====

* Cisco 独自 Carrier Ethernet ASIC 搭載 <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/asr-920-series-aggregation-services-router/datasheet-c78-733397.html Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet]

Major Differentiators

Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作します
** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
*** 当時はメトロ系'''スイッチ'''で、ルータではありませんでした
**小型で奥行きが小さいくせに可用性が重視されるため、ルートスイッチプロセッサ (RSP) が冗長化できます
* 携帯の基地局と拠点をつなぐ、モバイルバックホールなどにも使用されます
** 無線 LAN でいうと PoE アクセススイッチの位置づけ
*** RF : 無線 LAN -> '''L2SW : PoE SW''' -> ディストリ・コア : L3SW
*** RF : LTE -> '''モバイルバックホール RT : ASR920''' -> 基地局集約ルータ

==== ASR1000 / -X ====

* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
* エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます

==== NCS520 , NCS540 ====

* マーチャントシリコン搭載、IOS-XE が動作します
* NCS540 は broadcom Qumran 2A (J2 系)
* メトロ (都市間) イーサネット系ルータとして MPLS などをサポート
* ASR9x0 系と被ってます

==== NCS5500 / NCS5700 ====

* マーチャントシリコン搭載、IOS-XR が動作します
* NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)

==== CRS-1 , 3 , X ====

* Cisco Silicon Packet Processor (CRS-1) Cisco QuantumFlow Array Processor を搭載 (CRS-3) し、IOS-XR を採用
* 日本ではメガキャリアの P ルータで採用例あり
* IOS-XR は Cisco と Fujitsu で共同開発されました

==== ASR9000 ====

* Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
* 第5世代ラインカードは Lightspeed+ 搭載
* ラインカードの世代はここ <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/116726-qanda-product-00.html Understand ASR 9000 Series Line Card Types]</ref> を参照
* Typhoon, Tomahawk based の場合、FIB は IPv4 4M / IPv6 2M <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/213255-asr-9000-ethernet-line-cards-tr-and-se.html ASR 9000 Ethernet Line Cards -TR and -SE Comparison Table and Common Error Messages]</ref> を持つ
* Cisco でフルルート BGP ルータといえばこいつだったが、今は高価な機種ばかりであまり好きじゃないです

==== Cisco8000 ====

* 固定 BOX 型
** Cisco 8010
** Cisco 8100 , 8200
** Cisco 8711 : 800G Box タイプ
** Cisco 8712 : MPA 搭載タイプ (1U / 2U)
* 中央処理 + ポートアダプタ型
** Cisco 8400 : コンパクトシャーシタイプ (ASR920 系と似たタイプ)
** Cisco 8608 : 縦型 MPA シャーシタイプ
* シャーシ + ラインカード型
** Cisco 8800 : 4 , 8 , 12 , 18 スロットモジュラーシャーシタイプ
* Cisco Silicon One を搭載し、IOS-XR が動作します
* P4 言語に対応するため別の OS も選択でき、SONiC も動作します
* Juniper の PTX に近いシリーズで、Feature は少なめになりそう ?
* 2022/10/18 8111-32EH が発表、Silicon One G100 を搭載する 800G x 32 ポート 25.6Tbps の化け物
* シャーシ型は、おそらく Nexus 9800 とほぼ共通化されていると思われる
* Interop2023 で、Cisco 8608 が発表された

=== Juniper ACX / MX / PTX ===
Juniper のブランチ・ローエンドルータは、筆者の観測範囲では見てないのでよくわかりません。

* MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・

今までは代わりに SRX のブランチ系でカバーしていた気が。今後は SSR を展開していく模様。

あと <s>MX204 /</s> MX10003 は何ですぐ EoS で死んでしまうん・・・

* MX204 は復活しました。 -> [https://supportportal.juniper.net/s/article/End-of-Life-Announcement-MX204 Revoke End of Life Announcement: MX204]
MX の Trio ASIC と PTX の Express ASIC の違いは、

* Trio : 複数のパケット処理エンジンを持つ
* Express : プログラマブルパイプライン <ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-packet-forwarding/ HC34 Juniper Express 5 Packet Forwarding]</ref> を持ち、スループットが高いためポート密度を高くできる

点が異なります。<ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-juniper-routing-asics/ HC34 Juniper Express 5 Juniper Routing ASICs]</ref>

基本的に

* MX : Feature リッチで要件が不明確な PE ルータに向く (こいつでできなきゃしょうがない)
* PTX : 速度重視でポート単価が MX よりも安い <ref>[https://www.juniper-ne.jp/common/file/PTX10001-36MR.pdf コアネットワークに最適な性能を提供！ 400GEにも対応する最新ルーターは？]

P.16-17</ref>

リンク : [https://hc34.hotchips.org/assets/program/conference/day2/Network%20and%20Switches/HC2022.Juniper.ChangHong_Wu.v03.pdf Juniper’s Express 5: A 28.8Tbps Network Routing ASIC and Variations]

==== ACX ====

* マーチャントシリコン (Broadcom) を使ったルータで、Junos が動作します
** ルータというよりはスイッチのルートスケール版、と言ったほうが正しいと思われます
* Cisco NCS 5500 , 5700 / ASR900 の対抗馬として、メトロイーサネット用ルータと捉えるのが良さそう
* ACX4000 : MX80 のシャーシを改造したような見た目

==== MX ====

* Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
* Cisco ASR の対抗馬
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となります
** 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます
*** 例) IPsec VPN / BNG / QoS
*** [https://apps.juniper.net/feature-explorer/ Feature Explorer] で機能比較をするとよさげ
** 要件定義で将来使う機能が曖昧なときは、PTX よりも MX を選定します
** 反面ポート密度と速度は、他の機種と比べて低くなります
* '''Trio 4 の MX204''' は 100G x 4 を持ち、フルルート収容可能なルータとしては圧倒的なコストパフォーマンスを持っています
* 2024 年時点の最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref>
* MX204 の後継機として、MX301 が 2025 年に発売予定 400Gbps -> 1.6Tbps に

==== PTX ====

* Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
** Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps
*** PTX10001-36MR に搭載
** Express 5 ASIC : <コードネーム不明> 800G x 36 ポート = 28.8Tbps
* Cisco 8000 の対抗馬
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択：業務に適したツールの選定が重要]

'''Juniper Trio 6 – 未知の要件向け'''

'''Juniper Express 5'''：Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
</ref> しています
** 複雑なことをやらせたくない + 速度を重視したい、P ルータ (メガキャリアのコア) に向いています
** MX と比べると、同じ価格であればより高いポート密度を実現できるのがメリット

==== SSR (Session Smart Router) ====

* IPsec を使わないトンネルレス VPN な SD-WAN ルータ
* 再暗号化せずオーバーヘッドの少ない VPN
* App-ID でアプリケーションを識別、音声や動画をローカルブレイクアウト
* 専用アプライアンス以外に、汎用ハードウェア上に VM で展開可能
** Juniper NFX
** 認定ハードウェアメーカー : Lenovo , Lanner , Silicom
** クラウド : AWS , Azure , Google
* QR コードで ZTP

=== リファレンス ===
[https://www.cisco.com/c/dam/global/ja_jp/products/catalog/pdf/cisco-service-provider-products-catalog.pdf Cisco IOS XR ルータカタログ]

参考になる URL : [https://www.juniper-ne.jp/router/recommend/ お勧めの製品と選び方]

[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択：業務に適したツールの選定が重要]

== キャンパススイッチ ==
[[ファイル:L2SW.png|サムネイル|L2SW]]
キャンパススイッチは、主に 3 つの役割に分かれます。

* キャンパススイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ

下記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。

初心者は Cisco の C9200 / C9300 を覚えていくと良いでしょう。

=== アクセススイッチ - レイヤ 2 スイッチ ===

* 島ハブやフロアごとに設置されるスイッチ
* ユーザから見て一番近い位置に使用されます
* サーバを収容するスイッチとして使用されることも

=== ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ ===

* アクセススイッチを複数収容するスイッチ
* 小規模ネットワークの場合は省略されます
* 規模が大きいネットワークでは、ディストリビューションスイッチが CPE アドレスを持ちます

[[ファイル:L3SW.png|サムネイル|L3SW]]

=== コアスイッチ - レイヤ 3 スイッチ ===

* アクセススイッチ or ディストリビューションスイッチを複数収容する、LAN のボスとなるスイッチ
** 設計中級者の目指す目標としては、コアスイッチのリプレース案件を統括できるか、というのが良い目標になると思います
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
* 規模が大きいネットワークや、小規模でも簡易な運用を求められるネットワークでは、シャーシ型スイッチを導入します
* 小規模ネットワークではコアスイッチが CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
** CPE アドレス = Customer Premises Equipment アドレス
** アクセス層配下の、ユーザが持つアドレスのこと
* 大規模になるに従って、複雑な設定をディストリビューションスイッチへ移植して、負担を減らしていくように設計します
{| class="wikitable"
|+キャンパススイッチ
!役割
! colspan="2" |アクセス
!アクセス /
ディストリビューション
!ディストリビューション /
コア
!ディストリビューション /
コア
|-
!レイヤ
!レイヤ 2
!レイヤ 2 / 3
! colspan="3" |レイヤ 3
|-
!セグメント
!ローエンド1
!ローエンド2
!ローエンド3
!ミッドレンジ
!ハイエンド
|-
|Cisco Catalyst
旧世代
|WS-C2960L
|WS-C2960X
WS-C2960XR

WS-C3560CX (1G)
|WS-C3650
WS-C3850
|WS-C3850X
WS-C4500-E / -X

C9500 (10G/40G 2024/04 EoS)
|WS-C6500
C6800
|-
|Cisco Catalyst
現世代
|C1000
C1200

C1300
|WS-C3560CX(10G)
C9200L
C9200

C9200CX
|C9300L
C9300LM

C9300
|C9300B
C9300X

'''C9350'''

C9400
|C9500H
C9500X

C9600

'''C9610'''

C9600X
|-
|Juniper EX
旧世代
| -
|EX2200
EX3300
|EX3200
|EX4200
EX4500

EX6200
|EX8200
EX9251

EX9253
|-
|Juniper EX
現世代
| -
|EX2300
EX4000 (New !)
|EX4100-F
EX3400
|EX4100
EX4300

EX4400
|EX4400-24X
EX4600
EX4650

EX9200
|}

=== Cisco Catalyst ===
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。

ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。

==== Catalyst 旧世代 - Sasquatch / Strider ASIC 系 ====

===== Catalyst 2960 / 2960-Plus =====

* 100 Base-TX モデル

===== Catalyst 2960L =====

* 1000 Base-T 最廉価モデル

===== Catalyst 2960S / 2960X =====

* 1000 Base-T モデル
* モジュール追加でスタックに対応

===== Catalyst 3560 / 3750 =====

* 100 Base-TX ローエンドレイヤ 3 スイッチ
* スタック対応

===== Catalyst 3560G / 3750G =====

* 1000 Base-T ローエンドレイヤ 3 スイッチ
* スタック対応

===== Catalyst 3560X / 3750X =====

* 1000 Base-T ローエンドレイヤ 3 スイッチ
* スタック対応
* アップリンクモジュールで 10G に対応する
* PAK ライセンスが必要なため、自宅ラボには非推奨

===== Catalyst 3560CG =====

* 1000 Base-T ローエンドコンパクトレイヤ 3 スイッチ
* Cisco のコンパクト系にしては珍しく、BGP に対応しない

==== Catalyst 1000 ====

* 2960L の後継機
* 一部 SKU で 10G アップリンクが搭載されるようになりました
* スタックは組めず、Single IP Management という Horizontal Stack ライクな機能にデグレードされています
* Cross Stack EtherChannel が組めないのは、特に要注意です

==== Catalyst 3560CX ====

* 最上位機種で 1000 Base-T + 10G-T + 10G-SFP ローエンドコンパクトレイヤ 3 スイッチ
* BGP や UPoE に対応するため、中古で安く手に入れば、自宅ラボにおすすめの一台

==== Catalyst 旧世代 - UADP ASIC 系 ====

===== Catalyst 3650 / 3850 =====

* UADP ASIC + IOS-XE 搭載
* スタック帯域幅やアップリンクモジュールの有無などで差別化されている

==== Catalyst 旧世代 - K5 チップセット系 ====

===== Catalyst 4500 =====

* ミッドレンジシャーシ型レイヤ 3 スイッチ

===== Catalyst 4948 / 4500X =====

* ミッドレンジレイヤ 3 スイッチ

==== Catalyst 旧世代 - EARL チップセット系 ====

===== Catalyst 6500 / 6800 =====

* ハイエンドシャーシ型レイヤ 3 スイッチ

==== Catalyst 現世代 - UADP ASIC 系 ====

===== Catalyst 9200 / 9200CX =====

* ローエンドレイヤ 3 スイッチ
* Essential ライセンスのルーティングは役割が限定されるため、設計でカバーする必要があります
** EIGRP Stub : 論理 2 台でルーティング冗長構成にできない
** OSPF 1000 ルートまで
* Advantage ライセンスにしても、TCAM のルート数が多く無いため、デフォルトルートのみ受信させるなどの工夫が必要

===== Catalyst 9300 / 9300L / 9300LM =====

* ローエンドレイヤ 3 スイッチ
* 旧世代の 3850 とほぼ変わらないですが、EVPN など機能追加があります
* 9300LM が追加された
** 9300LM : 25G 固定アップリンク + mGig 8 ポート

===== Catalyst 9300X =====

* ミッドレンジボックス型レイヤ 3 スイッチ
* 9300X は StackWise-1T / 100G アップリンクモジュールに対応

===== C9350 =====

* ミッドレンジボックス型レイヤ 3 スイッチ
* UADP ASIC から Silicon One に変更になった
* Catalyst ブランドが外れて、スマートスイッチに
** Meraki と IOS-XE の両対応
* 詳細は [[C9350 スマートスイッチ移行設計]] を参照

===== Catalyst 9400 =====

* ミッドレンジシャーシ型レイヤ 3 スイッチ

===== Catalyst 9500 =====

* 10G / 40G 対応ミッドレンジレイヤ 3 スイッチ
* 価格と速度のバランスが一番良いモデル

===== Catalyst 9500H =====
* 25G / 100G 対応ハイエンドレイヤ 3 スイッチ
* TCAM がかなり大きいため、高集約の環境で使いやすい

===== Catalyst 9500X =====
* 100G / 400G 対応ハイエンドレイヤ 3 スイッチ
* 9500 , 9600 の X 系は ASIC が異なり、Silicon One を搭載している
* 動作する機能は UADP よりも少なく、これから実装される機能も
* 最近 StackWise Virtual に対応しました 17.12.x が Extended Maintenance Release になれば、商用導入できそう
** C9500X-28C8D : 17.10.x-
** C9500X-60L4D : 17.11.x-

===== Catalyst 9600 / 9600X =====

* ハイエンドシャーシ型レイヤ 3 スイッチ
* 9500X のシャーシ版
* 2025/06 に C9610R は発表になった

===== C9610R =====

* Silicon One + 新型ラインカード対応 10 スロットシャーシ
* Catalyst 9600 の旧型ラインカードは、アダプタを使うと使用可能
* エンタープライズ市場初の'''パッシブケーブルバックプレーンを持つ、中央モジュラーアーキテクチャ'''<ref>[https://www.cisco.com/c/en/us/products/collateral/networking/switches/c9610-series-smart-switches/c9610-series-smart-switches-architecture-wp.html Cisco C9610 Series Smart Switches Architecture]

Centralized modular architecture with a passive cable backplane.</ref>を採用

==== Catalyst 現世代 - Linux カスタマイズ OS ====

===== Catalyst 1200 / 1300 =====

* IOS すら動かないスイッチですが、LAG , RSTP , dot1x auth , QoS などそれなりの機能はある模様
** OS が IOS から '''Customized Linux''' になりました
* Catalyst 1000 の後継機
* スモール , ミディアムサイズビジネス向け <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-1200-series-switches/nb-06-cat1200-1300-ser-upgrade-cte-en.html The Cisco® Catalyst® 1200 and 1300 Series switches provide simplicity, flexibility, and security for small and medium-sized businesses.]</ref>、とあることからラージエンタープライズ市場向けとしては対象外と思われます
* C1300 10G アップリンク搭載モデルでスタック対応です
** クロススタック EtherChannel にも対応します
* CLI と GUI があるらしいですが・・・GUI でも 100% コンフィグできる模様
* 3rd パーティトランシーバにも対応しています
* あと、ライセンス購入が必要ないです
* Gigabit 8 ポートの SKU に PoE 受電モデルがあって、ちょっとおもしろい
* 新人さんに Catalyst 9200 との機能差分レポートを書いてもらうと、トレーニングにちょうど良いかも

=== Juniper EX ===
筆者は Juniper スイッチのプロダクトポートフォリオの把握にあまり自信がないです。

数字でどれが旧製品なのか見分けづらい・・・

EX では L2 / L3 でプロダクトの物理的な作り分けをせず、ライセンスで分けています。

L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。

* EX2200-C で確認

===== EX4000 =====

* 2025/02 発表のアクセス層に位置するスイッチ
* OSPF / BGP も動作可能
** ARP やルート数は慎ましい値なため、規模が大きい NW では使えない
* コンパクトスイッチモデルあり

===== EX4100-F =====

* 2022/07 発表のアクセス・アグリゲーション層に位置するスイッチ
* EVPN VXLAN に対応
* アップリンクは 10G のみ
* コンパクトスイッチ EX2300-C の後継として、10G x4 のアップリンクを持つ EX4100-F-12P/T があります
** EX4000 が発売になったため、こちらのコンパクトスイッチは上位版の位置づけに変更

===== EX4100 =====

* 2022/07 発表の mGig アクセス・アグリゲーション層に位置するスイッチ
* EVPN VXLAN に対応
* アップリンクは 10G / 25G を備えます

== データセンタースイッチ ==
[[ファイル:ToR.png|サムネイル|ToR]]
データセンタースイッチでは、主に以下の 4 種類の役割に分かれます。

トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要があります。

IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。

また、SAN を使用できるストレージスイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。

初心者は Nexus9300-FX を覚えていくと良いでしょう。

参考 : [[2023-10-05 Broadcom ASIC まとめ]]

=== ToR ===

* Top of Rack スイッチ
* ラックの最上部 or 中央部 or 最下部にマウントし、サーバへネットワーク接続を提供します

[[ファイル:Leaf.png|サムネイル|Leaf]]

=== Leaf ===

* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
* キャンパススイッチとは異なり、速度が重視される場合には 4 台以上の Spine と接続する場合があります
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合があります

[[ファイル:Spine.png|サムネイル|Spine]]

=== Spine ===

* Leaf を束ねる上位スイッチ
* Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
** 例) Leaf に 25G x 48 + 100G x 8 ポートの機種、Spine に 100G x 32 ポートの機種
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine (名称違いなだけで役割は一緒)を構成する場合があります

[[ファイル:DCI.png|サムネイル|DCI]]

=== DCI / OTV / Boarder Leaf ===

* データセンター間を接続するスイッチ
* 2023 年においては、OTV 対応のルータ・スイッチが高価なため、別の機種で行えないか要件を検討したほうが良いです
* 最近は DCI でも BGP EVPN + Boarder Leaf が流行りだと思います

{| class="wikitable"
|+データセンタースイッチ
!用途
!ToR
! colspan="2" |Leaf
! colspan="5" |Spine
!Super Spine /
ルータ
|-
!速度
!1G / 25G / 100G
!10G / 40G
超低遅延
!25G / 100G
!100G
!特殊シャーシ型
!400G
!800G
!1.6T
!BOX /
シャーシ型
|-
|Cisco Nexus
旧世代
|Nexus2000 (FEX モード)
|Nexus3500
Nexus5000
|Nexus3100
Nexus3200

Nexus9300-EX
|
|
|Nexus3400-S
|
|
|Nexus7000
Nexus7700
|-
|Cisco Nexus
現世代
|Nexus9200
Nexus9300 (FEX モード)
| Nexus3500
|Nexus9300-FX
|Nexus3600 (Jericho+)
Nexus9332C

Nexus9336C
|Nexus9400
|Nexus9300-GX
|
|
|Nexus9500
Nexus9800
|-
|Juniper QFX
現世代
|
| -
| colspan="2" |QFX5120
QFX5130
|QFX5700
|QFX5220
QFX5230
|QFX5240
|QFX5250
|QFX10002
QFX10008

QFX10016
|-
|Arista DCS
現世代
|DCS-7010X
| -
| colspan="2" |DCS-7050SX3
|DCS-7358X4
DCS-7368X4

DCS-7388X5
|DCS-7050X4
DCS-7060X4

DCS-7060X5
|DCS-7060X5
|
|7300X3
7280R3

7280R3A

7500R3

7800R3
|}

=== Cisco Nexus ===
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)

あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。最初は Nexus9300 を覚えましょう。

===== Nexus2000 =====

* FEX モード : Fabric Extender として'''のみ'''動作する、特殊なスイッチ
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレントスイッチ) として接続すると使用できます
** NX-OS・コンフィグは、親スイッチで管理します
** オークションで安く売っていても、これ単体では動作しません
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model]

The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信します
** このため同一スイッチ内のトラフィックが多いサーバには向きません

==== Nexus3500 ====

* HFT (高頻度取引 / 高速度取引) 用、超低遅延スイッチ

==== Nexus3600 ====

* ディープバッファのルータライクスイッチ

===== Nexus5000 / 7000 =====

* 旧世代の Nexus BOX 型とシャーシ型
* 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します

===== Nexus9200 =====

* Nexus9300 の機能を削ったモデルで、VxLAN が使えなかったりする機種がある
** その分お安い

===== Nexus9232E =====

* Silicon One 搭載期の Nexus で、箱が Cisco 8200 と一緒

===== Nexus9300 =====

* '''9300-FX が 2022 年現在一番メジャー'''な機種まずこれを覚えます
* Cisco LSE (Leaf Spine Engine) ASIC 搭載
* 一番売れ筋の型式は以下
** N9K-C93180YC-EX -> N9K-C93180YC-FX -> N9K-C93180YC-FX3
*** YC-EX は 2022/08 に End of Sale

==== Nexus9400 ====

* 縦型ラインカードのシャーシ型
* Cloud Scale ASIC (GX2A) 搭載 <ref>[[Classification TCAM with Cisco CloudScale ASICs for Nexus 9000 Series Switches White Paper]]

'''CloudScale ASIC'''

LS 25600 GX2A

LS 12800 GX2B

'''Nexus 9000 Family'''

9300-GX2A, 9300-GX2B, 9408</ref>

===== Nexus9500 =====
*9300 のシャーシ版

===== Nexus7700 =====

* Nexus7000 の後継
* 9000 シリーズでサポートしない機能も、こいつは持っています
** 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する
** 例) VDC でラインカードを論理分割して、複数のシャーシとして扱う
* 近年は EVPN Border Leaf で DCI するため、お役御免気味

===== Nexus 400G 800G Family =====

* 2022/10/18 Nexus 9232E 発表、Cisco 8111-32EH のように Silicon One G100 搭載で 800G x 32 ポート 2.56Tbps を実現

===== Nexus9800 =====

* Cisco 8000 ルータと共通と思われるシャーシを持つ
* 400G / 800G 世代のシャーシ型スイッチ
* Cisco Silicon One Q200 搭載 (2023 年の情報)

=== Juniper QFX ===
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。

採用するなら以下のような観点からとなります。

* Juniper 独自機能を使いたい
** バーチャルシャーシ (VC)
** バーチャルシャーシファブリック (VCF)
** Junos Fusion
* Apstra で管理したい
* Junos の知見を持つエンジニアが、導入する企業に多く在籍する
VC / VCF は不具合が起こるとトラシューが難しい + トラフィック片寄せの Verup が困難なため、[https://www.janog.gr.jp/meeting/janog47/wp-content/uploads/2020/11/JANOG47_FHRP_kawakami_4.pdf 大規模では避けるケース]があります。

QFX51xx が Leaf 向け、QFX52xx が Spine 向け、という理解で良さそうです。

Apstra で自動化したり、AI 基盤で機械学習させて自動チューニングとかやらせると良さそうなスイッチです。

===== QFX5000 =====

* Broadcom Trident ASIC 搭載

===== QFX5100 =====
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
* Leaf 向け

===== QFX5200 =====

* Broadcom Tomahawk ASIC 搭載
* Spine 向け

===== QFX5230 =====

* 5200 の 400G 版
* Spine 向け

===== QFX5240 =====

* 5200 の 800G 版
* Spine 向け

===== QFX5250 =====

* 5200 の 1.6T 版
* Tomahawk 6 ASIC 搭載
* Spine 向け

===== QFX10000 =====

* Juniper Q5 ASIC 搭載

=== Arista ===
Arista のスイッチはだいたい Broadcom の ASIC で作られています。他には Intel / Cavium が少し。

スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 5M 程度。

==== スイッチ系 ====

===== DCS-7050SX3 =====

* Nexus9300 の対抗馬まずはこいつを覚えると良いです
* Broadcom Trident 3 ASIC を搭載

===== DCS-7060X4 =====

* Broadcom Tomahawk 3 ASIC を搭載

==== ルータ系 ====

===== DCS-7280R3 =====

* Broadcom Jericho2 ASIC を搭載
* FIB は最大 2M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズデータセンター・スイッチ・ルーターデータシート]

'''FlexRoute'''

IPv4 と IPv6 の両方のルート・スケールを 140 万ルート以上に拡張するための十分な余裕を備えています。</ref>

===== DCS-7280R3K =====

* Broadcom Jericho2C ASIC を搭載
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズデータセンター・スイッチ・ルーターデータシート]

'''FlexRoute'''

大規模な 7280R3K シリーズは、FlexRouteサポートを 500 万以上のルートに拡張します。</ref> (K 付きだとハイスケール)

===== DCS-7280R3AK =====

* Broadcom Jericho2C+ ASIC を搭載
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3A-Modular-Datasheet.pdf 7280R3A Modular Data Center Switch Router Data Sheet]

'''Routing Table Scale and FlexRoute'''

Scaling to more than 5 million routes in 7280R3AK</ref> (K 付きだとハイスケール)
* 縦型ラインカードシャーシ型

==== DCS-7800R4 , DCS-7700R4 ====

* Broadcom Jericho3-AI ASIC を搭載 <ref>[https://www.arista.com/en/company/news/press-release/19493-arista-unveils-etherlink-ai-networking-platforms Arista Unveils Etherlink AI Networking Platforms]

'''The 7700R4 AI Distributed Etherlink Switch (DES)''' supports the largest AI clusters, offering customers massively parallel distributed scheduling and congestion-free traffic spraying based on the Jericho3-AI architecture</ref>
* AI Networking 用
* 7800 は巨大シャーシ、7700 は分散スケールアウト用

=== リファレンス ===
*[https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Cisco Nexus 9000 Series Switches] [https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Compare Models]
*[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 Nexus 9000 Nexus 3000 シリーズの ASIC] [https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 名と該当するプロダクト]
*[https://isp-tech.ru/en/switch-asic/ Network switch comparison Table] [https://isp-tech.ru/en/switch-asic/ including ASIC and packet buffer]
*[https://www.juniper-ne.jp/common/file/2021ProductGuide_val18.pdf ジュニパーネットワークス製品カタログ]
*[https://mpls.jp/2024/presentations/mpls2024-shtsuchi.pdf 分散イーサネットリンクとAIセンター]

== ファイアウォール ==
[[ファイル:FW.png|サムネイル|FW]]
ファイアウォールは主に 2 種類に分かれます。

=== Classic Firewall ===

* 主にサーバを防御します
* 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
* レイヤ 3 / 4 ヘッダをルックアップして転送すれば良いため高速です
* 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています

=== Next Generation Firewall (NGFW) ===

* 主にクライアントのアクセス先を見える化・制御します
* アプリケーション層もコントロールできる、次世代のファイアウォール
* TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
* また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
* 細かくなった分、設計や構築の費用が増大します

UTM や IPS , VPN という役割もありますが、今回は割愛します。
{| class="wikitable"
|+ファイアウォール
|-
!
!ローエンド1
!ローエンド2
!ローエンド3
!ミッドレンジ
10 - 40Gbps
!ハイエンド
40 - 200Gbps
|-
|Cisco ASA
旧世代
|ASA5505
ASA5506-X
|ASA5515
ASA5525-X
|ASA5540
ASA5545-X
|ASA5550
ASA5555-X
|ASA5585-X
|-
|Cisco Firepower
現世代
|FPR-1010
FPR-1120
|FPR-1120
FPR-1140
|FPR-2110
FPR-2120

FPR-2130
|FPR-2140
FPR-3100

|FPR-4100
FPR-9300
|-
|Juniper SRX
旧世代
|SRX100
|SRX210
SRX220
|SRX240
SRX550
|SRX650
|SRX5400
|-
|Juniper SRX
現世代
|SRX300
|SRX320
|SRX340
SRX345

SRX380
|SRX550
|SRX4700
SRX5600
SRX5800
|-
|Fortigate
|
|
|
|
|
|-
|Paloalto
|
|
|
|
|
|}

===== Cisco ASA / Firepower =====

* Firepower は FXOS / FTD / ASA が動作します
** プラットフォームモード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
** アプライアンスモード : 旧来の ASA を OS として使うモードほとんど ASA と同じように使えます
* FPR2100 を除いて CPU で動作し、ASIC は搭載しません <ref>[https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214572-firepower-data-path-troubleshooting-ove.html Firepower Data Path Troubleshooting: Overview]

'''Firepower 2100 Appliances'''

However, there is a major difference in the 2100 series devices compared to the other devices, and that is the presence of the Application-specific integrated circuit (ASIC).</ref>
** FPR2100 は ASA の機能を持つ、Lina ASIC を搭載
*最近はパケットが RFC に準拠しているか、パケットインスペクションで適合性チェックを行えたり、脅威検出によってホストを自動で隔離できたりします <s>余計なことしやがって</s>
**デフォルトで動作してサーバが自動で隔離されたりするので、切替や Verup など再送が多く発生するときには要注意

===== Juniper SRX =====

* NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します
* 2025/06 の Interop で SRX4700 が発表に Trio ASIC を積んで 1.4Tbps を叩き出す化け物

===== Fortinet Fortigate =====

* ハードウェア処理を行う、プロセッサを搭載します
** Security Processing Unit 5 (SP5)
** Networking Processing Unit 7 (NP7)
** Content Processing Unit 9 (CP9)
* 複数の機能を使用すると、逐次処理を行いパフォーマンスが劣化するため、必要な帯域幅と相談する必要があります

===== Paloalto Networks PA =====

* 並列ハードウェア処理を行うため、[https://media.paloaltonetworks.com/documents/Single_Pass_Parallel_Processing_Architecture.pdf 複数のプロセッサを搭載]します
** シグネチャーマッチハードウェアエンジン
** マルチコアセキュリティプロセッサ
** ネットワークプロセッサ
* 各種機能を 1 度に処理するため、パフォーマンスの劣化が起こりにくいアーキテクチャになっています

== 更新履歴 ==
2023/05/18 : 初版

2023/07/31 : Catalyst 1200 を追加

2023/09/30 : Catalyst 1300 を追加

2025/07/03 : Cisco 8000 Secure Router / MX301 , C9350 / C9610R , SRX4700 を追加

2025/08/13 : C921J , C1110 を前世代に移動、C1121 を追加

2026/02/05 : 全体的に追記

2026/04/14 : Arista AI 向け製品を追記

== 引用 ==
<references />
[[カテゴリ:その他]]

2026-04-14 メーカー横断プロダクトポートフォリオ比較

2026-04-14T05:46:08Z

Hkatou:

ネットワーク機器メーカーの製品が、全体からどこに位置するのか書き出してみました。

全部書き出すと煩雑なので、メジャーな機種だけ。End of Sale が確定した機器を旧世代としています。

現状ではルータ・スイッチ・ファイアウォールのみを記載。[[ファイル:ネットワーク機器の使用位置.png|なし|サムネイル|858x858ピクセル|ネットワーク機器の使用位置]]

== 目的 ==

* メーカー横断で対抗となる機種を調べられるようにしたい。
** 各メーカーごとのプロダクトマッピング (下位機種・上位機種 / 種類) はカタログを読めばわかりますが、メーカー横断の資料は公開されていない
* ビギナーエンジニアが機種全体から見て、自分が対応する機種の位置づけを知ることができる。

== 想定する読者 ==
エンタープライズ / ISP 市場の、SIer / NIer ビギナーエンジニア

== ルータ ==
ルータは主に 3 つの役割に分かれます。初心者は、まず Cisco のブランチルータを把握すると良いでしょう。
[[ファイル:PE.png|サムネイル|PE]]
[[ファイル:CE.png|サムネイル|CE]]

=== P = Provider Router ===

* インターネットサービスプロバイダ (ISP) が内部で使用するルータ
* 大型で高価なものが使用されます
* メガキャリアの場合は、あまり複雑なことをやらせないように設計する模様
* 右図からは省略している

=== PE = Provider Edge Router ===

* ISP が外部ネットワークや法人顧客と接する位置に置かれるルータ
* 用途によって導入する機種が選定されます
** L2VPN / L3VPN を提供 -> メトロ系
** 固定 IP インターネット接続を提供 -> ミッドレンジ・ハイエンド系
** BGP フルルートインターネット接続を提供 -> ハイエンド系
* P ルータと比べ、法人顧客の多様な要求に答えるため、複雑な機能を実装します

=== CE = Customer Edge Router ===

* ユーザが外部ネットワークと接する位置に置かれるルータ
* L3SW が持っていない機能を使って、インターネットや多拠点への接続を提供します
** WAN 機能 : PPPoE
** アドレス変換 : NAT , PAT
** VPN : IPsec VPN
* コストを下げるため、ルータを使用せずにスイッチで収容できる回線を選択する場合もあります

エンタープライズ系では、DC など大きい拠点に置く'''センタールータ'''、小さい拠点に置く'''ブランチルータ、'''

という分類もあります。
{| class="wikitable"
|+ルータ
!役割
! colspan="2" |CE
!PE
!CE / PE
!PE / P
!P
|-
!セグメント
!ブランチ
!ローエンド
!メトロ
!ミッドレンジ
!ハイエンド
!ウルトラハイエンド
|-
|Cisco ISR / ME / ASR
旧世代
|C892J
C891FJ
C921J
|ISR4200
ISR4300

ISR4400

C1100
|ME3400
ME3800
|ASR1000
|ASR9000
|CRS-1
CRS-3

CRS-X
|-
|Cisco ISR / NCS / ASR
現世代
|C1121
|'''C8100-G2'''
C8200
'''C8200-G2'''
C8300
'''C8300-G2'''
|ASR900
NCS520

NCS540
NCS5500

NCS5700

'''8400'''
|ASR1000X
'''C8400-G2'''
C8500

'''C8500-G2'''
|ASR9900
8100

8200

8600

'''8700'''
|8800
|-
|Juniper MX / PTX
旧世代
| -
| MX5
MX10
|ACX5048
ACX5096
|MX40
MX80

MX10003
|PTX1000
PTX3000

PTX5000
|MX10016
PTX10008

PTX10016
|-
|Juniper ACX / MX / PTX
現世代
| -
| -
|ACX4000
ACX5448
|ACX5000
MX204

MX301

MX304

MX480
|MX960

MX10004

MX10008

MX2000

PTX
|MX2008
MX2010

MX2020

PTX
|}
ルータは、WAN で使用される機能が充実しています。

* WAN プロトコル : PPPoE / MPLS
* VPN : IPsec / FlexVPN / L2TP
* IP Addressing : NAT

一方でレイヤ 3 スイッチと比較してポート単価が高いため、ポート消費量を抑える設計や

レイヤ 3 スイッチに代替出来ないか、検討する知見が求められます。

* 最近は C9300 スイッチなど IPsec や NAT をサポートしているケースがあります

筆者は初心者のころにブロードバンドルータを置き換える目的で Catalyst 3560 を買ったのですが、

PPPoE / NAT が動作しないことを知りませんでした。。

=== Cisco ISR / ME / ASR ===
最新世代のルータは、スイッチのブランド名だった Catalyst を名乗りだしたので要注意です。

逆に 2025 年の最新機種では、Cisco 8000 Secure Router と改名し、Catalyst の名前はなくなりました。

* Catalyst : C8200 , C8300 , C8500
* Cisco 8000 と数字がカブるだろ ! いい加減にしろ ! (biim 兄貴風に)

==== ISR800 / 900 (C892J , C921J) ====

* パケット転送用に特別なハードウェアを搭載せず、Classic IOS が動作します
** VPN は暗号化・復号化モジュールを搭載している場合があります
* Cisco のブランチ (拠点) 向けルータ
* PowerPC , MIPS など組み込み向けの CPU を長らく採用していましたが、C921J はついに x86 CPU を搭載しました
* J がつくと日本向けの特別バージョンになり、パフォーマンスが増加されています
** C1812J の頃の話で、当時は Yamaha 対向だった最近の機種は未調査

==== ISR1100 / 1100X / 1121X / 1127X / 1131X / 1161X ====
ちょっと高性能なブランチルータ。

* LTE / WiFi 対応モデルあり

==== C8100-G2 ====
2025 年 6 月発表、ISR1100 の後継機。

==== C1121 ====
C921J の後継機。

==== ISR4000 ====
デフォルトではめっちゃ遅いスループットのモデルも存在する、高性能なブランチルータ。
* ASR1000 の QFP (Quantum Flow Processor) を、ソフトウェア実装で動作させるアーキテクチャを持ち、IOS-XE が動作します
** CPU コアを、IOS-XE の動作するコントロールプレーンと、QFP エミュレーション用のデータプレーンに振り分けています
* 他のソフトウェア転送系ルータと異なり、帯域幅が保証されるように (=HW ライクに) 動作します
** 保証帯域幅以上のパフォーマンスを発揮する、ブーストライセンスが途中から追加されました

==== Catalyst 8200L / 8200 / 8300 ====

* IOS-XE で動作する'''ルータ'''で、ISR4000 の後継機
* Intel マルチコア CPU の QAT と DPDK が動作し、ASIC ほどではないがハードウェア転送になったアーキテクチャ <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/catalyst-8200-series-edge-platforms/catalyst-8300-8200-series-edge-platforms-architecture-wp.html#Dataplanearchitecture Data plane architecture]</ref> を持ちます
** Intel QuickAssist Technology (QAT) : 暗号化・復号化を高速に行う IPSec 用の機能
** Data Plane Development Kit (DPDK) : パケット処理にカーネルを挟まず、NIC に CPU コアを割り当ててパケット転送の間隔でポーリングし、転送処理することで高速なパケット転送を行います
*** ポーリング処理に CPU コアを専有するため、8 - 12 コアを搭載しています

==== C8200-G2 / C8300-G2 ====

* Catalyst 8200 / 8300 の後継機。

==== C8400-G2 ====

* C8300 と C8500 の間を埋める機種。

==== C8500 ====

* QFP を搭載した、ASR1000 の後継機
* この世代から 1U BOX タイプのみになっています

==== ASR900 / 920 ====

* Cisco 独自 Carrier Ethernet ASIC 搭載 <ref>[https://www.cisco.com/c/en/us/products/collateral/routers/asr-920-series-aggregation-services-router/datasheet-c78-733397.html Cisco ASR 920 Series Aggregation Services Routers: High-Port-Density Models Data Sheet]

Major Differentiators

Powered by the Cisco Carrier Ethernet ASIC</ref> で、IOS-XE が動作します
** MPLS / VPLS などキャリア向け機能が充実し、ISP が回線サービスを外販する箇所などに導入するのがメトロ系ルータとなります
** 前世代の ME3400 / ME3800X も、IOS でこの系統の ASIC を搭載していました
*** 当時はメトロ系'''スイッチ'''で、ルータではありませんでした
**小型で奥行きが小さいくせに可用性が重視されるため、ルートスイッチプロセッサ (RSP) が冗長化できます
* 携帯の基地局と拠点をつなぐ、モバイルバックホールなどにも使用されます
** 無線 LAN でいうと PoE アクセススイッチの位置づけ
*** RF : 無線 LAN -> '''L2SW : PoE SW''' -> ディストリ・コア : L3SW
*** RF : LTE -> '''モバイルバックホール RT : ASR920''' -> 基地局集約ルータ

==== ASR1000 / -X ====

* Cisco 独自 Quantum Flow Processor (QFP) 搭載、IOS-XE が動作します
* エンタープライズでセンターの VPN 装置や、キャリアの NAT 用途などで使用されます

==== NCS520 , NCS540 ====

* マーチャントシリコン搭載、IOS-XE が動作します
* NCS540 は broadcom Qumran 2A (J2 系)
* メトロ (都市間) イーサネット系ルータとして MPLS などをサポート
* ASR9x0 系と被ってます

==== NCS5500 / NCS5700 ====

* マーチャントシリコン搭載、IOS-XR が動作します
* NCS5504 , 5508 , 5516 は Nexus9500 とシャーシを共通化しています
* ルータにしてはポート数が多いため、ASR9000 よりポート単価は安いはず (グロスで安いとは言っていない)

==== CRS-1 , 3 , X ====

* Cisco Silicon Packet Processor (CRS-1) Cisco QuantumFlow Array Processor を搭載 (CRS-3) し、IOS-XR を採用
* 日本ではメガキャリアの P ルータで採用例あり
* IOS-XR は Cisco と Fujitsu で共同開発されました

==== ASR9000 ====

* Cisco 独自 Network Processor を搭載し、IOS-XR が動作します
* 第5世代ラインカードは Lightspeed+ 搭載
* ラインカードの世代はここ <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/116726-qanda-product-00.html Understand ASR 9000 Series Line Card Types]</ref> を参照
* Typhoon, Tomahawk based の場合、FIB は IPv4 4M / IPv6 2M <ref>[https://www.cisco.com/c/en/us/support/docs/routers/asr-9000-series-aggregation-services-routers/213255-asr-9000-ethernet-line-cards-tr-and-se.html ASR 9000 Ethernet Line Cards -TR and -SE Comparison Table and Common Error Messages]</ref> を持つ
* Cisco でフルルート BGP ルータといえばこいつだったが、今は高価な機種ばかりであまり好きじゃないです

==== Cisco8000 ====

* 固定 BOX 型
** Cisco 8010
** Cisco 8100 , 8200
** Cisco 8711 : 800G Box タイプ
** Cisco 8712 : MPA 搭載タイプ (1U / 2U)
* 中央処理 + ポートアダプタ型
** Cisco 8400 : コンパクトシャーシタイプ (ASR920 系と似たタイプ)
** Cisco 8608 : 縦型 MPA シャーシタイプ
* シャーシ + ラインカード型
** Cisco 8800 : 4 , 8 , 12 , 18 スロットモジュラーシャーシタイプ
* Cisco Silicon One を搭載し、IOS-XR が動作します
* P4 言語に対応するため別の OS も選択でき、SONiC も動作します
* Juniper の PTX に近いシリーズで、Feature は少なめになりそう ?
* 2022/10/18 8111-32EH が発表、Silicon One G100 を搭載する 800G x 32 ポート 25.6Tbps の化け物
* シャーシ型は、おそらく Nexus 9800 とほぼ共通化されていると思われる
* Interop2023 で、Cisco 8608 が発表された

=== Juniper ACX / MX / PTX ===
Juniper のブランチ・ローエンドルータは、筆者の観測範囲では見てないのでよくわかりません。

* MX5 / MX150 って売れてたんですかね ?? EoS 後の後継機もよくわからないし・・・

今までは代わりに SRX のブランチ系でカバーしていた気が。今後は SSR を展開していく模様。

あと <s>MX204 /</s> MX10003 は何ですぐ EoS で死んでしまうん・・・

* MX204 は復活しました。 -> [https://supportportal.juniper.net/s/article/End-of-Life-Announcement-MX204 Revoke End of Life Announcement: MX204]
MX の Trio ASIC と PTX の Express ASIC の違いは、

* Trio : 複数のパケット処理エンジンを持つ
* Express : プログラマブルパイプライン <ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-packet-forwarding/ HC34 Juniper Express 5 Packet Forwarding]</ref> を持ち、スループットが高いためポート密度を高くできる

点が異なります。<ref>[https://www.servethehome.com/juniper-express-5-28-8tbps-network-routing-asic-at-hc34/hc34-juniper-express-5-juniper-routing-asics/ HC34 Juniper Express 5 Juniper Routing ASICs]</ref>

基本的に

* MX : Feature リッチで要件が不明確な PE ルータに向く (こいつでできなきゃしょうがない)
* PTX : 速度重視でポート単価が MX よりも安い <ref>[https://www.juniper-ne.jp/common/file/PTX10001-36MR.pdf コアネットワークに最適な性能を提供！ 400GEにも対応する最新ルーターは？]

P.16-17</ref>

リンク : [https://hc34.hotchips.org/assets/program/conference/day2/Network%20and%20Switches/HC2022.Juniper.ChangHong_Wu.v03.pdf Juniper’s Express 5: A 28.8Tbps Network Routing ASIC and Variations]

==== ACX ====

* マーチャントシリコン (Broadcom) を使ったルータで、Junos が動作します
** ルータというよりはスイッチのルートスケール版、と言ったほうが正しいと思われます
* Cisco NCS 5500 , 5700 / ASR900 の対抗馬として、メトロイーサネット用ルータと捉えるのが良さそう
* ACX4000 : MX80 のシャーシを改造したような見た目

==== MX ====

* Juniper 独自 Trio チップセットを使ったルータで、Junos が動作します
* Cisco ASR の対抗馬
* Juniper のルータで、'''最も機能が充実しているのは Trio 搭載の MX''' となります
** 豊富な機能で PE ルータに必要な様々な回線を収容できるため、PE / CE ルータに向きます
*** 例) IPsec VPN / BNG / QoS
*** [https://apps.juniper.net/feature-explorer/ Feature Explorer] で機能比較をするとよさげ
** 要件定義で将来使う機能が曖昧なときは、PTX よりも MX を選定します
** 反面ポート密度と速度は、他の機種と比べて低くなります
* '''Trio 4 の MX204''' は 100G x 4 を持ち、フルルート収容可能なルータとしては圧倒的なコストパフォーマンスを持っています
* 2024 年時点の最新は Trio 6 世代の MX304 , MX10004 , MX10k LC9600 ラインカード <ref>[https://blogs.juniper.net/en-us/service-provider-transformation/juniper-introduces-new-trio-6-based-mx-portfolio Juniper Introduces New Trio 6-based MX Portfolio]</ref>
* MX204 の後継機として、MX301 が 2025 年に発売予定 400Gbps -> 1.6Tbps に

==== PTX ====

* Juniper 独自 Express 系シリコンを使用しており、Junos が動作します
** Express 4 ASIC : Triton 400G x 36 ポート = 9.6 Tbps
*** PTX10001-36MR に搭載
** Express 5 ASIC : <コードネーム不明> 800G x 36 ポート = 28.8Tbps
* Cisco 8000 の対抗馬
*'''機能の充実よりも速度にフォーカス''' <ref>[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択：業務に適したツールの選定が重要]

'''Juniper Trio 6 – 未知の要件向け'''

'''Juniper Express 5'''：Juniper Express 5は、8 Tという業界最高のノンブロッキングスループットを1つのパッケージで提供します。
</ref> しています
** 複雑なことをやらせたくない + 速度を重視したい、P ルータ (メガキャリアのコア) に向いています
** MX と比べると、同じ価格であればより高いポート密度を実現できるのがメリット

==== SSR (Session Smart Router) ====

* IPsec を使わないトンネルレス VPN な SD-WAN ルータ
* 再暗号化せずオーバーヘッドの少ない VPN
* App-ID でアプリケーションを識別、音声や動画をローカルブレイクアウト
* 専用アプライアンス以外に、汎用ハードウェア上に VM で展開可能
** Juniper NFX
** 認定ハードウェアメーカー : Lenovo , Lanner , Silicom
** クラウド : AWS , Azure , Google
* QR コードで ZTP

=== リファレンス ===
[https://www.cisco.com/c/dam/global/ja_jp/products/catalog/pdf/cisco-service-provider-products-catalog.pdf Cisco IOS XR ルータカタログ]

参考になる URL : [https://www.juniper-ne.jp/router/recommend/ お勧めの製品と選び方]

[https://blogs.juniper.net/ja-jp/japanese-blog/choosing-a-silicon-architecture-its-all-about-finding-the-right-tool-for-the-job-jp シリコンアーキテクチャの選択：業務に適したツールの選定が重要]

== キャンパススイッチ ==
[[ファイル:L2SW.png|サムネイル|L2SW]]
キャンパススイッチは、主に 3 つの役割に分かれます。

* キャンパススイッチ = 大学の構内 (キャンパス) などの広大な敷地や、企業の入居するビルに導入されるスイッチ

下記の 3 種類で、'''3 層ネットワーク'''と呼ばれ、上位から下位 (North <-> South) への帯域幅を重視したトポロジーを構成します。

初心者は Cisco の C9200 / C9300 を覚えていくと良いでしょう。

=== アクセススイッチ - レイヤ 2 スイッチ ===

* 島ハブやフロアごとに設置されるスイッチ
* ユーザから見て一番近い位置に使用されます
* サーバを収容するスイッチとして使用されることも

=== ディストリビューション (アグリゲーション) スイッチ - レイヤ 2 / 3 スイッチ ===

* アクセススイッチを複数収容するスイッチ
* 小規模ネットワークの場合は省略されます
* 規模が大きいネットワークでは、ディストリビューションスイッチが CPE アドレスを持ちます

[[ファイル:L3SW.png|サムネイル|L3SW]]

=== コアスイッチ - レイヤ 3 スイッチ ===

* アクセススイッチ or ディストリビューションスイッチを複数収容する、LAN のボスとなるスイッチ
** 設計中級者の目指す目標としては、コアスイッチのリプレース案件を統括できるか、というのが良い目標になると思います
* コアスイッチの設定を簡素に保つのが、トラブルの範囲を小さくするコツ
* 規模が大きいネットワークや、小規模でも簡易な運用を求められるネットワークでは、シャーシ型スイッチを導入します
* 小規模ネットワークではコアスイッチが CPE アドレスを持ち、ルーティングでルータへアドレスを広報する場合が多いです
** CPE アドレス = Customer Premises Equipment アドレス
** アクセス層配下の、ユーザが持つアドレスのこと
* 大規模になるに従って、複雑な設定をディストリビューションスイッチへ移植して、負担を減らしていくように設計します
{| class="wikitable"
|+キャンパススイッチ
!役割
! colspan="2" |アクセス
!アクセス /
ディストリビューション
!ディストリビューション /
コア
!ディストリビューション /
コア
|-
!レイヤ
!レイヤ 2
!レイヤ 2 / 3
! colspan="3" |レイヤ 3
|-
!セグメント
!ローエンド1
!ローエンド2
!ローエンド3
!ミッドレンジ
!ハイエンド
|-
|Cisco Catalyst
旧世代
|WS-C2960L
|WS-C2960X
WS-C2960XR

WS-C3560CX (1G)
|WS-C3650
WS-C3850
|WS-C3850X
WS-C4500-E / -X

C9500 (10G/40G 2024/04 EoS)
|WS-C6500
C6800
|-
|Cisco Catalyst
現世代
|C1000
C1200

C1300
|WS-C3560CX(10G)
C9200L
C9200

C9200CX
|C9300L
C9300LM

C9300
|C9300B
C9300X

'''C9350'''

C9400
|C9500H
C9500X

C9600

'''C9610'''

C9600X
|-
|Juniper EX
旧世代
| -
|EX2200
EX3300
|EX3200
|EX4200
EX4500

EX6200
|EX8200
EX9251

EX9253
|-
|Juniper EX
現世代
| -
|EX2300
EX4000 (New !)
|EX4100-F
EX3400
|EX4100
EX4300

EX4400
|EX4400-24X
EX4600
EX4650

EX9200
|}

=== Cisco Catalyst ===
2022 年は Catalyst 9300 , 9400 , 9500 , 9600 に X シリーズが登場しました。

ASIC に UADP 3.0 や Silicon One Q200 を積んで、高速化 + 次期モデルの不具合を露払いしたいように見えます。

==== Catalyst 旧世代 - Sasquatch / Strider ASIC 系 ====

===== Catalyst 2960 / 2960-Plus =====

* 100 Base-TX モデル

===== Catalyst 2960L =====

* 1000 Base-T 最廉価モデル

===== Catalyst 2960S / 2960X =====

* 1000 Base-T モデル
* モジュール追加でスタックに対応

===== Catalyst 3560 / 3750 =====

* 100 Base-TX ローエンドレイヤ 3 スイッチ
* スタック対応

===== Catalyst 3560G / 3750G =====

* 1000 Base-T ローエンドレイヤ 3 スイッチ
* スタック対応

===== Catalyst 3560X / 3750X =====

* 1000 Base-T ローエンドレイヤ 3 スイッチ
* スタック対応
* アップリンクモジュールで 10G に対応する
* PAK ライセンスが必要なため、自宅ラボには非推奨

===== Catalyst 3560CG =====

* 1000 Base-T ローエンドコンパクトレイヤ 3 スイッチ
* Cisco のコンパクト系にしては珍しく、BGP に対応しない

==== Catalyst 1000 ====

* 2960L の後継機
* 一部 SKU で 10G アップリンクが搭載されるようになりました
* スタックは組めず、Single IP Management という Horizontal Stack ライクな機能にデグレードされています
* Cross Stack EtherChannel が組めないのは、特に要注意です

==== Catalyst 3560CX ====

* 最上位機種で 1000 Base-T + 10G-T + 10G-SFP ローエンドコンパクトレイヤ 3 スイッチ
* BGP や UPoE に対応するため、中古で安く手に入れば、自宅ラボにおすすめの一台

==== Catalyst 旧世代 - UADP ASIC 系 ====

===== Catalyst 3650 / 3850 =====

* UADP ASIC + IOS-XE 搭載
* スタック帯域幅やアップリンクモジュールの有無などで差別化されている

==== Catalyst 旧世代 - K5 チップセット系 ====

===== Catalyst 4500 =====

* ミッドレンジシャーシ型レイヤ 3 スイッチ

===== Catalyst 4948 / 4500X =====

* ミッドレンジレイヤ 3 スイッチ

==== Catalyst 旧世代 - EARL チップセット系 ====

===== Catalyst 6500 / 6800 =====

* ハイエンドシャーシ型レイヤ 3 スイッチ

==== Catalyst 現世代 - UADP ASIC 系 ====

===== Catalyst 9200 / 9200CX =====

* ローエンドレイヤ 3 スイッチ
* Essential ライセンスのルーティングは役割が限定されるため、設計でカバーする必要があります
** EIGRP Stub : 論理 2 台でルーティング冗長構成にできない
** OSPF 1000 ルートまで
* Advantage ライセンスにしても、TCAM のルート数が多く無いため、デフォルトルートのみ受信させるなどの工夫が必要

===== Catalyst 9300 / 9300L / 9300LM =====

* ローエンドレイヤ 3 スイッチ
* 旧世代の 3850 とほぼ変わらないですが、EVPN など機能追加があります
* 9300LM が追加された
** 9300LM : 25G 固定アップリンク + mGig 8 ポート

===== Catalyst 9300X =====

* ミッドレンジボックス型レイヤ 3 スイッチ
* 9300X は StackWise-1T / 100G アップリンクモジュールに対応

===== C9350 =====

* ミッドレンジボックス型レイヤ 3 スイッチ
* UADP ASIC から Silicon One に変更になった
* Catalyst ブランドが外れて、スマートスイッチに
** Meraki と IOS-XE の両対応
* 詳細は [[C9350 スマートスイッチ移行設計]] を参照

===== Catalyst 9400 =====

* ミッドレンジシャーシ型レイヤ 3 スイッチ

===== Catalyst 9500 =====

* 10G / 40G 対応ミッドレンジレイヤ 3 スイッチ
* 価格と速度のバランスが一番良いモデル

===== Catalyst 9500H =====
* 25G / 100G 対応ハイエンドレイヤ 3 スイッチ
* TCAM がかなり大きいため、高集約の環境で使いやすい

===== Catalyst 9500X =====
* 100G / 400G 対応ハイエンドレイヤ 3 スイッチ
* 9500 , 9600 の X 系は ASIC が異なり、Silicon One を搭載している
* 動作する機能は UADP よりも少なく、これから実装される機能も
* 最近 StackWise Virtual に対応しました 17.12.x が Extended Maintenance Release になれば、商用導入できそう
** C9500X-28C8D : 17.10.x-
** C9500X-60L4D : 17.11.x-

===== Catalyst 9600 / 9600X =====

* ハイエンドシャーシ型レイヤ 3 スイッチ
* 9500X のシャーシ版
* 2025/06 に C9610R は発表になった

===== C9610R =====

* Silicon One + 新型ラインカード対応 10 スロットシャーシ
* Catalyst 9600 の旧型ラインカードは、アダプタを使うと使用可能
* エンタープライズ市場初の'''パッシブケーブルバックプレーンを持つ、中央モジュラーアーキテクチャ'''<ref>[https://www.cisco.com/c/en/us/products/collateral/networking/switches/c9610-series-smart-switches/c9610-series-smart-switches-architecture-wp.html Cisco C9610 Series Smart Switches Architecture]

Centralized modular architecture with a passive cable backplane.</ref>を採用

==== Catalyst 現世代 - Linux カスタマイズ OS ====

===== Catalyst 1200 / 1300 =====

* IOS すら動かないスイッチですが、LAG , RSTP , dot1x auth , QoS などそれなりの機能はある模様
** OS が IOS から '''Customized Linux''' になりました
* Catalyst 1000 の後継機
* スモール , ミディアムサイズビジネス向け <ref>[https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-1200-series-switches/nb-06-cat1200-1300-ser-upgrade-cte-en.html The Cisco® Catalyst® 1200 and 1300 Series switches provide simplicity, flexibility, and security for small and medium-sized businesses.]</ref>、とあることからラージエンタープライズ市場向けとしては対象外と思われます
* C1300 10G アップリンク搭載モデルでスタック対応です
** クロススタック EtherChannel にも対応します
* CLI と GUI があるらしいですが・・・GUI でも 100% コンフィグできる模様
* 3rd パーティトランシーバにも対応しています
* あと、ライセンス購入が必要ないです
* Gigabit 8 ポートの SKU に PoE 受電モデルがあって、ちょっとおもしろい
* 新人さんに Catalyst 9200 との機能差分レポートを書いてもらうと、トレーニングにちょうど良いかも

=== Juniper EX ===
筆者は Juniper スイッチのプロダクトポートフォリオの把握にあまり自信がないです。

数字でどれが旧製品なのか見分けづらい・・・

EX では L2 / L3 でプロダクトの物理的な作り分けをせず、ライセンスで分けています。

L3 機能を使っても commit で warning が出るだけなので、自宅ラボ用ではなかなか良いです。

* EX2200-C で確認

===== EX4000 =====

* 2025/02 発表のアクセス層に位置するスイッチ
* OSPF / BGP も動作可能
** ARP やルート数は慎ましい値なため、規模が大きい NW では使えない
* コンパクトスイッチモデルあり

===== EX4100-F =====

* 2022/07 発表のアクセス・アグリゲーション層に位置するスイッチ
* EVPN VXLAN に対応
* アップリンクは 10G のみ
* コンパクトスイッチ EX2300-C の後継として、10G x4 のアップリンクを持つ EX4100-F-12P/T があります
** EX4000 が発売になったため、こちらのコンパクトスイッチは上位版の位置づけに変更

===== EX4100 =====

* 2022/07 発表の mGig アクセス・アグリゲーション層に位置するスイッチ
* EVPN VXLAN に対応
* アップリンクは 10G / 25G を備えます

== データセンタースイッチ ==
[[ファイル:ToR.png|サムネイル|ToR]]
データセンタースイッチでは、主に以下の 4 種類の役割に分かれます。

トポロジが 3 層ネットワークと異なるため、IP Clos のドキュメント <ref>[https://yuyarin.hatenablog.com/entry/2021/01/11/152109 RFC7938 - 大規模データセンター内でのルーティングのためのBGPの利用方法]</ref> を参照して違いを確認する必要があります。

IP Clos ではサーバ間 (East <-> West) の帯域幅が重視されるのが最大の特徴です。

また、SAN を使用できるストレージスイッチも存在しますが、筆者に知見が無く、用途が全く異なるため割愛します。

初心者は Nexus9300-FX を覚えていくと良いでしょう。

参考 : [[2023-10-05 Broadcom ASIC まとめ]]

=== ToR ===

* Top of Rack スイッチ
* ラックの最上部 or 中央部 or 最下部にマウントし、サーバへネットワーク接続を提供します

[[ファイル:Leaf.png|サムネイル|Leaf]]

=== Leaf ===

* 下位の ToR を束ねて、上位の Spine へ接続するスイッチ
* キャンパススイッチとは異なり、速度が重視される場合には 4 台以上の Spine と接続する場合があります
* 別のネットワークと接続する Leaf は Border Leaf と呼ばれ、外部接続用にレイヤ 3 の GW を設ける場合があります

[[ファイル:Spine.png|サムネイル|Spine]]

=== Spine ===

* Leaf を束ねる上位スイッチ
* Leaf <-> Leaf 間で帯域幅が必要な場合、かなり高速なスイッチが選定されます
** 例) Leaf に 25G x 48 + 100G x 8 ポートの機種、Spine に 100G x 32 ポートの機種
* Spine 間を接続したいときには、更に上位に Super Spine や Spine of Spine (名称違いなだけで役割は一緒)を構成する場合があります

[[ファイル:DCI.png|サムネイル|DCI]]

=== DCI / OTV / Boarder Leaf ===

* データセンター間を接続するスイッチ
* 2023 年においては、OTV 対応のルータ・スイッチが高価なため、別の機種で行えないか要件を検討したほうが良いです
* 最近は DCI でも BGP EVPN + Boarder Leaf が流行りだと思います

{| class="wikitable"
|+データセンタースイッチ
!用途
!ToR
! colspan="2" |Leaf
! colspan="5" |Spine
!Super Spine /
ルータ
|-
!速度
!1G / 25G / 100G
!10G / 40G
超低遅延
!25G / 100G
!100G
!特殊シャーシ型
!400G
!800G
!1.6T
!BOX /
シャーシ型
|-
|Cisco Nexus
旧世代
|Nexus2000 (FEX モード)
|Nexus3500
Nexus5000
|Nexus3100
Nexus3200

Nexus9300-EX
|
|
|Nexus3400-S
|
|
|Nexus7000
Nexus7700
|-
|Cisco Nexus
現世代
|Nexus9200
Nexus9300 (FEX モード)
| Nexus3500
|Nexus9300-FX
|Nexus3600 (Jericho+)
Nexus9332C

Nexus9336C
|Nexus9400
|Nexus9300-GX
|
|
|Nexus9500
Nexus9800
|-
|Juniper QFX
現世代
|
| -
| colspan="2" |QFX5120
QFX5130
|QFX5700
|QFX5220
QFX5230
|QFX5240
|QFX5250
|QFX10002
QFX10008

QFX10016
|-
|Arista DCS
現世代
|DCS-7010X
| -
| colspan="2" |DCS-7050SX3
|DCS-7358X4
DCS-7368X4

DCS-7388X5
|DCS-7050X4
DCS-7060X4

DCS-7060X5
|DCS-7060X5
|
|7300X3
7280R3

7280R3A

7500R3

7800R3
|}

=== Cisco Nexus ===
Nexus は基本的に Cisco 独自 ASIC で作られていて、たまにマーチャントシリコンの Broadcom が混ざります。(Nexus3000 とか)

あと、製品のバリエーションが多すぎて、上記の表は一部でしかないです。最初は Nexus9300 を覚えましょう。

===== Nexus2000 =====

* FEX モード : Fabric Extender として'''のみ'''動作する、特殊なスイッチ
* 単体では動作せず、Nexus5000 や 9000 を親 (ペアレントスイッチ) として接続すると使用できます
** NX-OS・コンフィグは、親スイッチで管理します
** オークションで安く売っていても、これ単体では動作しません
* ローカルシャーシ内で折り返し通信はできない <ref>[https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus2000/sw/configuration/guide/rel_6_2/b_Cisco_Nexus_2000_Series_NX-OS_Fabric_Extender_Software_Configuration_Guide_Release_6-x/b_Configuring_the_Cisco_Nexus_2000_Series_Fabric_Extender_rel_6_2_chapter_01.html#con_1197054 Forwarding Model]

The Cisco Nexus 2000 Series Fabric Extender does not perform any local switching. </ref> ため、親スイッチを経由して通信します
** このため同一スイッチ内のトラフィックが多いサーバには向きません

==== Nexus3500 ====

* HFT (高頻度取引 / 高速度取引) 用、超低遅延スイッチ

==== Nexus3600 ====

* ディープバッファのルータライクスイッチ

===== Nexus5000 / 7000 =====

* 旧世代の Nexus BOX 型とシャーシ型
* 7000 は特殊で、F ラインカードと機能が豊富な M ラインカードが存在します

===== Nexus9200 =====

* Nexus9300 の機能を削ったモデルで、VxLAN が使えなかったりする機種がある
** その分お安い

===== Nexus9232E =====

* Silicon One 搭載期の Nexus で、箱が Cisco 8200 と一緒

===== Nexus9300 =====

* '''9300-FX が 2022 年現在一番メジャー'''な機種まずこれを覚えます
* Cisco LSE (Leaf Spine Engine) ASIC 搭載
* 一番売れ筋の型式は以下
** N9K-C93180YC-EX -> N9K-C93180YC-FX -> N9K-C93180YC-FX3
*** YC-EX は 2022/08 に End of Sale

==== Nexus9400 ====

* 縦型ラインカードのシャーシ型
* Cloud Scale ASIC (GX2A) 搭載 <ref>[[Classification TCAM with Cisco CloudScale ASICs for Nexus 9000 Series Switches White Paper]]

'''CloudScale ASIC'''

LS 25600 GX2A

LS 12800 GX2B

'''Nexus 9000 Family'''

9300-GX2A, 9300-GX2B, 9408</ref>

===== Nexus9500 =====
*9300 のシャーシ版

===== Nexus7700 =====

* Nexus7000 の後継
* 9000 シリーズでサポートしない機能も、こいつは持っています
** 例) OTV 機能で DC 間を接続 (DCI = Data Center Interconnect) する
** 例) VDC でラインカードを論理分割して、複数のシャーシとして扱う
* 近年は EVPN Border Leaf で DCI するため、お役御免気味

===== Nexus 400G 800G Family =====

* 2022/10/18 Nexus 9232E 発表、Cisco 8111-32EH のように Silicon One G100 搭載で 800G x 32 ポート 2.56Tbps を実現

===== Nexus9800 =====

* Cisco 8000 ルータと共通と思われるシャーシを持つ
* 400G / 800G 世代のシャーシ型スイッチ
* Cisco Silicon One Q200 搭載 (2023 年の情報)

=== Juniper QFX ===
基本はマーチャントシリコンを採用する、Juniper の DC 用スイッチ。

採用するなら以下のような観点からとなります。

* Juniper 独自機能を使いたい
** バーチャルシャーシ (VC)
** バーチャルシャーシファブリック (VCF)
** Junos Fusion
* Apstra で管理したい
* Junos の知見を持つエンジニアが、導入する企業に多く在籍する
VC / VCF は不具合が起こるとトラシューが難しい + トラフィック片寄せの Verup が困難なため、[https://www.janog.gr.jp/meeting/janog47/wp-content/uploads/2020/11/JANOG47_FHRP_kawakami_4.pdf 大規模では避けるケース]があります。

QFX51xx が Leaf 向け、QFX52xx が Spine 向け、という理解で良さそうです。

Apstra で自動化したり、AI 基盤で機械学習させて自動チューニングとかやらせると良さそうなスイッチです。

===== QFX5000 =====

* Broadcom Trident ASIC 搭載

===== QFX5100 =====
* QFX5120-48Y は Trident3 搭載で、Arista DCS-7050SX3-48YC8 とほぼ一緒です
* Leaf 向け

===== QFX5200 =====

* Broadcom Tomahawk ASIC 搭載
* Spine 向け

===== QFX5230 =====

* 5200 の 400G 版
* Spine 向け

===== QFX5240 =====

* 5200 の 800G 版
* Spine 向け

===== QFX5250 =====

* 5200 の 1.6T 版
* Tomahawk 6 ASIC 搭載
* Spine 向け

===== QFX10000 =====

* Juniper Q5 ASIC 搭載

=== Arista ===
Arista のスイッチはだいたい Broadcom の ASIC で作られています。他には Intel / Cavium が少し。

スイッチの SX 系とルータよりの R 系がありますが、TCAM のルート数は多くても 5M 程度。

==== スイッチ系 ====

===== DCS-7050SX3 =====

* Nexus9300 の対抗馬まずはこいつを覚えると良いです
* Broadcom Trident 3 ASIC を搭載

===== DCS-7060X4 =====

* Broadcom Tomahawk 3 ASIC を搭載

==== ルータ系 ====

===== DCS-7280R3 =====

* Broadcom Jericho2 ASIC を搭載
* FIB は最大 2M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズデータセンター・スイッチ・ルーターデータシート]

'''FlexRoute'''

IPv4 と IPv6 の両方のルート・スケールを 140 万ルート以上に拡張するための十分な余裕を備えています。</ref>

===== DCS-7280R3K =====

* Broadcom Jericho2C ASIC を搭載
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3-Data-Sheet_jp.pdf 7280R3 シリーズデータセンター・スイッチ・ルーターデータシート]

'''FlexRoute'''

大規模な 7280R3K シリーズは、FlexRouteサポートを 500 万以上のルートに拡張します。</ref> (K 付きだとハイスケール)

===== DCS-7280R3AK =====

* Broadcom Jericho2C+ ASIC を搭載
* FIB は最大 5M 程度 <ref>[https://www.arista.com/assets/data/pdf/Datasheets/7280R3A-Modular-Datasheet.pdf 7280R3A Modular Data Center Switch Router Data Sheet]

'''Routing Table Scale and FlexRoute'''

Scaling to more than 5 million routes in 7280R3AK</ref> (K 付きだとハイスケール)
* 縦型ラインカードシャーシ型

==== DCS-7800R4 , DCS-7700R4 ====

* Broadcom Jericho3-AI ASIC を搭載 <ref>[https://www.arista.com/en/company/news/press-release/19493-arista-unveils-etherlink-ai-networking-platforms Arista Unveils Etherlink AI Networking Platforms]

'''The 7700R4 AI Distributed Etherlink Switch (DES)''' supports the largest AI clusters, offering customers massively parallel distributed scheduling and congestion-free traffic spraying based on the Jericho3-AI architecture</ref>
* AI Networking 用
* 7800 は巨大シャーシ、7700 は分散スケールアウト用

=== リファレンス ===
*[https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Cisco Nexus 9000 Series Switches] [https://www.cisco.com/c/en/us/products/switches/nexus-9000-series-switches/models-comparison.html#~nexus-9300-series Compare Models]
*[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 Nexus 9000 Nexus 3000 シリーズの ASIC] [https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000-nexus-3000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%AE-asic-%E5%90%8D%E3%81%A8%E8%A9%B2%E5%BD%93%E3%81%99%E3%82%8B%E3%83%97%E3%83%AD%E3%83%80%E3%82%AF%E3%83%88/ta-p/3165023 名と該当するプロダクト]
*[https://isp-tech.ru/en/switch-asic/ Network switch comparison Table] [https://isp-tech.ru/en/switch-asic/ including ASIC and packet buffer]
*[https://www.juniper-ne.jp/common/file/2021ProductGuide_val18.pdf ジュニパーネットワークス製品カタログ]
*[https://mpls.jp/2024/presentations/mpls2024-shtsuchi.pdf 分散イーサネットリンクとAIセンター]

== ファイアウォール ==
[[ファイル:FW.png|サムネイル|FW]]
ファイアウォールは主に 2 種類に分かれます。

=== Classic Firewall ===

* 主にサーバを防御します
* 送信元 / 送信先 IP , TCP / UDP ポート番号でフィルタする、昔ながらのファイアウォールです
* レイヤ 3 / 4 ヘッダをルックアップして転送すれば良いため高速です
* 最近は様々なアプリが TCP 443 で動作するため、きめ細かい制御には向かなくなってきています

=== Next Generation Firewall (NGFW) ===

* 主にクライアントのアクセス先を見える化・制御します
* アプリケーション層もコントロールできる、次世代のファイアウォール
* TCP 443 であってもアプリごとに通信可否や帯域幅を制御できたりします
* また AD と連携して、IP だけでなくユーザやグループごとに通信可否を決定できます
* 細かくなった分、設計や構築の費用が増大します

UTM や IPS , VPN という役割もありますが、今回は割愛します。
{| class="wikitable"
|+ファイアウォール
|-
!
!ローエンド1
!ローエンド2
!ローエンド3
!ミッドレンジ
10 - 40Gbps
!ハイエンド
40 - 200Gbps
|-
|Cisco ASA
旧世代
|ASA5505
ASA5506-X
|ASA5515
ASA5525-X
|ASA5540
ASA5545-X
|ASA5550
ASA5555-X
|ASA5585-X
|-
|Cisco Firepower
現世代
|FPR-1010
FPR-1120
|FPR-1120
FPR-1140
|FPR-2110
FPR-2120

FPR-2130
|FPR-2140
FPR-3100

|FPR-4100
FPR-9300
|-
|Juniper SRX
旧世代
|SRX100
|SRX210
SRX220
|SRX240
SRX550
|SRX650
|SRX5400
|-
|Juniper SRX
現世代
|SRX300
|SRX320
|SRX340
SRX345

SRX380
|SRX550
|SRX4700
SRX5600
SRX5800
|-
|Fortigate
|
|
|
|
|
|-
|Paloalto
|
|
|
|
|
|}

===== Cisco ASA / Firepower =====

* Firepower は FXOS / FTD / ASA が動作します
** プラットフォームモード : FX-OS / FTD で IPS エンジンの Snort をメインに使用します
** アプライアンスモード : 旧来の ASA を OS として使うモードほとんど ASA と同じように使えます
* FPR2100 を除いて CPU で動作し、ASIC は搭載しません <ref>[https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214572-firepower-data-path-troubleshooting-ove.html Firepower Data Path Troubleshooting: Overview]

'''Firepower 2100 Appliances'''

However, there is a major difference in the 2100 series devices compared to the other devices, and that is the presence of the Application-specific integrated circuit (ASIC).</ref>
** FPR2100 は ASA の機能を持つ、Lina ASIC を搭載
*最近はパケットが RFC に準拠しているか、パケットインスペクションで適合性チェックを行えたり、脅威検出によってホストを自動で隔離できたりします <s>余計なことしやがって</s>
**デフォルトで動作してサーバが自動で隔離されたりするので、切替や Verup など再送が多く発生するときには要注意

===== Juniper SRX =====

* NetScreen の Screen OS を搭載していた NS / ISG の後継で、Junos で動作します
* 2025/06 の Interop で SRX4700 が発表に Trio ASIC を積んで 1.4Tbps を叩き出す化け物

===== Fortinet Fortigate =====

* ハードウェア処理を行う、プロセッサを搭載します
** Security Processing Unit 5 (SP5)
** Networking Processing Unit 7 (NP7)
** Content Processing Unit 9 (CP9)
* 複数の機能を使用すると、逐次処理を行いパフォーマンスが劣化するため、必要な帯域幅と相談する必要があります

===== Paloalto Networks PA =====

* 並列ハードウェア処理を行うため、[https://media.paloaltonetworks.com/documents/Single_Pass_Parallel_Processing_Architecture.pdf 複数のプロセッサを搭載]します
** シグネチャーマッチハードウェアエンジン
** マルチコアセキュリティプロセッサ
** ネットワークプロセッサ
* 各種機能を 1 度に処理するため、パフォーマンスの劣化が起こりにくいアーキテクチャになっています

== 更新履歴 ==
2023/05/18 : 初版

2023/07/31 : Catalyst 1200 を追加

2023/09/30 : Catalyst 1300 を追加

2025/07/03 : Cisco 8000 Secure Router / MX301 , C9350 / C9610R , SRX4700 を追加

2025/08/13 : C921J , C1110 を前世代に移動、C1121 を追加

2026/02/05 : 全体的に追記

2026/04/14 : Arista AI 向け製品を追記

== 引用 ==
<references />
[[カテゴリ:その他]]

設定に再起動が必要なコンフィグまとめ

2026-04-09T23:00:30Z

Hkatou: /* A10 */

いろいろなメーカーのネットワーク機器について、再起動しないと有効にならないコンフィグを集めました。

以下のようなシチュエーションで役に立ちます。

* 作業の役務を見積もるとき、夜間作業が必要か調べたい
* 保守交換後、OS Ver と running-config で diff が無くても、動作に差分があるとき
** TCAM サイズを変更するコマンドは、ROMMON / Boot Loader の変数に書き込まれて running-config に表示されない機器があります
* 初期構築時に設定追加・変更しておくことで運用に入ってからの停止作業を回避

== Cisco ==

=== ISR4000 / ASR1000 ===

==== ASR1000 : license boot level { adventerprise | advipservices | ipbase } <ref>Chapter: License Verification

https://www.cisco.com/c/en/us/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG/b_ASR1001HX-1002HX_HIG_chapter_0110.html

license boot level <License_Level></ref> ====

* Universal イメージの IOS / IOS-XE はコマンドでライセンスレベルを変更可能

==== ISR4000 : platform hardware throughput level { 2500000 | 5000000 } <ref>Performance

https://www.cisco.com/c/en/us/td/docs/routers/access/4400/software/configuration/guide/isr4400swcfg/bm_isr_4400_sw_config_guide_chapter_0101.html#concept_3F15D3B0CBA64CA9BADC3C84FE0C63FB

To configure the throughput level, perform the following steps and to upgrade the throughput level use the platform hardware throughput level { 2500000 | 5000000} command.

In the user EXEC configuration mode, enter the enable command.

Enter configure terminal command to enter the global configuration mode.

To upgrade the throughput level, enter the platform hardware throughput level{2500000|5000000} command.

To exit global configuration mode, enter exit.

To save the configuration, enter the copy running-config startup-config command.

To reload the router enter reload. '''A reload is required to activate the throughput level.'''</ref> ====

==== ISR4000 : platform hardware throughput level boost <ref>platform hardware throughput level boost

https://www.cisco.com/c/en/us/td/docs/routers/access/4400/software/configuration/guide/isr4400swcfg/bm_isr_4400_sw_config_guide_chapter_0101.html#concept_x2p_pkj_ndb

Save the configuration and reload the device to enable Boost performance license. '''After the reload,''' the Boost Performance is activated as shown in this example.</ref>====

==== ASR1000 : platform hardware throughput level <ref>スループットレベルの設定

https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001-x/asr1hig-book/asr1hig-book_chapter_0101.html#con_1060881

Cisco ASR 1001-X ルータの組み込みエンベデッドサービスプロセッサは、ソフトウェアライセンスに応じて、2.5 Gbps（デフォルト）、5 Gbps、10 Gbps、および 20 Gbps のスループットをサポートします。

ソフトウェアアクティベーションによるパフォーマンスアップグレードライセンスを適用してから、ルータをリロードすることによって、ESP のスループットを 2.5 Gbps（デフォルト）から 5 Gbps にアップグレードできます。ESP のスループットは、任意のライセンスレベルから別のライセンスレベルにアップグレードできます。

ESP の現在のスループットレベルを決定するには、show platform hardware throughput level

コマンドを実行します。

次に、20 Gbps パフォーマンスアップグレードライセンスの適用と'''ルータのリロード後'''の

このコマンドの出力例を示します。</ref>====
* デフォルトは'''双方向'''で合計 2.5Gbps のスループット
* '''双方向'''で 20Gbps の最大スループットを設定可能
** 10G ポートの Rx / Tx の合計で 20Gbps を捌けるのと、同一の意味

* CSR1000V は再起動が不要と記載あり

==== ASR1001-HX : platform hardware crypto-throughput level { 8g | 8-16g } <ref>暗号化スループットレベルの設定<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG.pdf

Cisco ASR 1001-HX ルータの暗号化スループットレベルを設定するには、次のコマンドを入力します。<syntaxhighlight lang="diff">
Router(config)# platform hardware crypto-throughput level ?
8-16g crypto throughput upgrade, bits per second
8g crypto throughput level, bits per second
Router(config)# platform hardware crypto-throughput level 8g
% Crypto Bandwidth set to 8G bps.
Router(config)# platform hardware crypto-throughput level 8-16g
% Crypto Bandwidth set to 16G bps.
</syntaxhighlight></ref> ====

* こちらは再起動が必要無いように読める

==== ASR1002-HX : platform hardware crypto-throughput level { 8g | 8-16g | 8-25g | 16-25g } <ref>暗号化スループットレベルの設定<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG.pdf

Cisco ASR 1002-HX ルータの暗号化スループットレベルを設定するには、次のコマンドを入力します。<syntaxhighlight lang="diff">
Router(config)# platform hardware crypto-throughput level ?
16-25g crypto throughput upgrade, bits per second
8-16g crypto throughput upgrade, bits per second
8-25g crypto throughput upgrade, bits per second
8g crypto throughput level, bits per second
</syntaxhighlight></ref> ====

* こちらは再起動が必要無いように読める

=== Catalyst8200 / 8300 ===

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/isr9000swcfg-xe-16-12-book_chapter_010.html#concept_0FBABD5F74924D36895FEF9912A283CF platform resource { service-plane-heavy | data-plane-heavy }] ====

* Catalyst 8200 , 8300 は複数の CPU コアを、サービスプレーンとデータプレーンに振り分ける割合を変えることが可能
* 最小 8 コアを備えている
* デフォルトは service-plane-heavy
* show platform software cpu alloc コマンドで、割り当て状況を確認可能
<syntaxhighlight lang="diff">
show platform software cpu alloc

CPU alloc information:
Control plane cpu alloc: 0
Data plane cpu alloc: 1-7
Service plane cpu alloc: 0
Template used: CLI-data_plane_heavy
</syntaxhighlight>

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_3e328700-9d53-4aa0-92d7-39de3006cc7f platform hardware throughput crypto] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_3e328700-9d53-4aa0-92d7-39de3006cc7f platform hardware throughput level MB] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_34eb5481-3d5e-431a-9c39-6e19c76d893e (EXEC) license throughput crypto auto-convert] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_34eb5481-3d5e-431a-9c39-6e19c76d893e (EXEC) license throughput level auto-convert] ====

=== Cisco 8000 ===

==== [https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8000/ip-addresses/b-ip-addresses-cr-8k/m-cisco-express-forwarding-commands.html#wp1459049907 hw-module profile route scale] lpm tcam-banks <ref>[https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8000/ip-addresses/b-ip-addresses-cr-8k/m-cisco-express-forwarding-commands.html#wp1459049907 hw-module profile route scale]</ref> ====

=== Catalyst 2960 / 3560 / 3750 ===

==== 3750 : sdm prefer { access | default | dual-ipv4-and-ipv6 { default | routing | vlan } | indirect-ipv4-and-ipv6-routing | routing | vlan } <ref>Chapter: Configuring SDM Templates

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swsdm.html</ref>====

* PBR / IPv6 はデフォルトで TCAM が割り当てられていないため、routing / dual stack テンプレートに変更＋再起動が必要

==== system mtu jumbo <1500-9000> | <1500-9198> ====

* show run に出てこない
* show system mtu コマンドで確認可能
* 機種により対応範囲が異なる
** 3750G : 1500-9000
** 3560CX : 1500-9198 
=== Catalyst 4500 Sup6E ===

==== hw-module uplink mode { shared-backplane| tengigabitethernet } <ref>Supervisor Engine 6-E でのアップリンクモードの選択

https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat4500swt/cg/009/confg-gd/sw-int.html#18105

（注） hw-module uplink mode shared-backplane コマンドを使用して

アップリンクモードを'''変更する場合は、システムをリロードする必要'''が

あります。コンソールには、リロードを示すメッセージが表示されます。</ref> ====

* 要再起動
* 最初に TenGig を使っていなくて、増速で TenGig にするときに要注意

==== hw-module module <module_num> port-group <port_num> select [ gigabitethernet | tengigabitethernet ] ====
* WS-X4606-10GE-E で TwinGig コンバーターを使用するときに使用
* こちらは'''再起動の必要無し'''

=== Catalyst 6500 Sup720 / Sup720-10G ===

==== mls cef maximum-routes <ref>CAT 6500 and 7600 Series Routers and Switches TCAM Allocation Adjustment Procedures

https://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/117712-problemsolution-cat6500-00.html#anc3

You can enter the mls cef maximum-routes ip <number in thousands> command in order to adjust the number of routing entries that are allocated to the IPv4. This does not increase the overall size of the FIB TCAM, but it reduces the number of routing entries that are allocated to the IPv6 in order to increase the amount of TCAM space for the IPv4.</ref>====

=== Catalyst 6500 / 6800 Sup2T / Sup6T ===

==== 共通 : vlan internal allocation policy { ascending | descending } <ref>Configuring the Internal VLAN Allocation Policy<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Note

The internal VLAN allocation policy is applied only following a reload. </ref> ====

==== 共通 : platform hardware acl reserve qos-banks { 1 | 2} <ref>Chapter 23 Restrictions for PFC QoS<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Changes to the supported number of '''QoS TCAM entries take effect after a reload'''. Enter the show platform hardware acl

global-config command to display the QoS TCAM entry configuration:</ref> ====

==== Sup6T : hw-module switch {switch-id} slot {sup slot no.} operation-mode port-group {Port-group no. } { TenGigabitEthernet | FortyGigabitEthernet } <ref name=":0">Chapter 4 Virtual Switching Systems<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Note - The entire '''systems reloads after any mode conversion'''.</ref> ====

==== Sup6T : hw-module switch {switch-id} slot {sup slot no.} performance { TenGigabitEthernet | FortyGigabitEthernet } <ref name=":0" /> ====

=== Catalyst 3850 / 3650 / 9000 ===

==== license boot level <license_level> <ref>Configuring Base and Add-On Licenses

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-6/configuration_guide/sys_mgmt/b_176_sys_mgmt_9300_cg/licenses.html#Cisco_Task.dita_f126c327-a647-4235-b1a2-930771e49f9d

license boot level <license_level></ref>====

* Universal イメージの IOS / IOS-XE はコマンドでライセンスレベルを変更可能
* グローバルコンフィギュレーションで実施

==== 9000 : license right-to-use [activate <kbd>|</kbd> deactivate ] [network-essentials <kbd>|</kbd> network-advantage ] [all <kbd>|</kbd> evaluation {all <kbd>|</kbd> slot <var>slot-number <1-8></var>}] [acceptEULA] <ref name=":1">[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-6/configuration_guide/sys_mgmt/b_166_sys_mgmt_9300_cg/b_166_sys_mgmt_9300_cg_chapter_011.html#task_gfk_vvj_n1b Activating a License]</ref> ====

* こちらは EXEC モードで実施
* Evaluation (評価) モードで動作している場合は、ライセンスを購入して right-to-use で Permanent モードに変更します

==== 9000 : license right-to-use [activate | deactivate ] addon [dna-essentials | dna-advantage ] [all | evaluation | subscription {all | slot slot-number <1-8>}] [ acceptEULA] <ref name=":1" /> ====

* こちらは EXEC モードで実施
* Evaluation (評価) モードで動作している場合は、ライセンスを購入して right-to-use で Permanent モードに変更します

==== 9500 : sdm prefer { core <kbd>|</kbd> nat <kbd>|</kbd> distribution <kbd>|</kbd> custom } <ref>Chapter: Configuring SDM Templates

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-6/configuration_guide/sys_mgmt/b_176_sys_mgmt_9500_cg/configuring_sdm_templates.html</ref>====

* 9500H デフォルトの Core テンプレートの場合は MAC アドレステーブルや ARP が少ないため、Distribution に変更するケースがあります

=== Catalyst 3850XS 16.3.3- / 9400 / 9500 / 9600 ===

==== stackwise-virtual -> domain <domain_id> <ref>Configuring Cisco StackWise Virtual Settings

<nowiki>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_lbj_yyx_31b</nowiki>

Step 5

Device(config)#stackwise-virtual

Step 6

Device(config-stackwise-virtual)#domain 2

'''Step 10'''

reload</ref> ====

==== secure-stackwise-virtual authorization-key <128-bits> <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-6/configuration_guide/ha/b_176_ha_9600_cg/configuring_cisco_stackwise_virtual.html Configuring Secure StackWise Virtual]

Step 3

secure-stackwise-virtual authorization-key <128-bits>

Example:
<code>Device(config)#<kbd>'''secure-stackwise-virtual authorization-key <128-bits>'''</kbd></code>

Step 4

reload

Example:
<code>Device#<kbd>'''reload'''</kbd></code>
</ref> ====
* 初期設定時のみと思われるため、特に問題なし

==== (config-if)# stackwise-virtual link 1 <ref>Configuring Cisco StackWise Virtual Link<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_wly_zyx_31b

Step 4

Device(config-if)#stackwise-virtual link 1

'''Step 7'''

Device#reload</ref> ====

* VSS とは異なり、SWV では SVL の増速に reload が必要になりました

==== (config-if)# stackwise-virtual dual-active-detection <ref>Configuring StackWise Virtual Fast Hello Dual-Active-Detection Link<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_yqn_bzx_31b</ref>====

* VSS とは異なり、UADP 系 ASIC の SWV では DAD の設定に reload が必要になりました
** Silicon One 系は reload が必要ありません

==== stackwise-virtual -> dual-active detection pagp <ref>Enabling ePAgP Dual-Active-Detection<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_ump_ptf_r1b</ref>====

* dual-active detection pagp trust channel-group channel-group <id> の追加に再起動が必要無いか、要調査

==== switch stack-speed [high | low] ====
* C9300X から導入された、StackWise-1T を、C9300 の StackWise-480 に混在させるためのコマンド

=== Catalyst 9400 ===

==== (config-if)# enable <ref>アップリンクポート<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9400/software/release/17-3/configuration_guide/int_hw/b_173_int_and_hw_9400_cg/configuring_interface_characteristics.html#concept_ayd_y5q_p1b

速度 10G、25G、および 40G はポートグループごとに相互に排他的です。

ポートグループでは任意の 1 つの速度をいつでも有効にできます。</ref>====

* スーパーバイザエンジンの'''再起動は必要ない'''けど、ポートグループごとに速度は 1 つに制限される模様

=== Catalyst 9500 ===

==== hw-module breakout module ====

* 9600 を見たあとだといかにも必要そうだが、'''この機種は reload が必要ありません'''

=== Catalyst 9600 ===

==== hw-module breakout-enable <ref>Configuring a Breakout Interface<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-2/configuration_guide/int_hw/b_172_int_and_hw_9600_cg/configuring_interface_characteristics.html#task_slc_34x_1jb

Step 3

hw-module breakout-enable

'''Step 5'''

reload</ref> ====

* 運用に入ってから再起動が必要とわかるとめんどい
* グローバルコンフィグの部分で再起動が必要に見えるため、予め入れといたほうが良さそう

=== Catalyst 9400X / 9500X / 9600X ===
Silicon One 系は SWV の SVL / DAD の変更で再起動が必要なくなりました <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-10/configuration_guide/ha/b_1710_ha_9500_cg/configuring_cisco_stackwise_virtual.html#configuring_cisco_stackwise_virtual_link Dynamic addition and removal of SVL links are supported on the C9500X-28C8D model of Cisco Catalyst 9500 Series Switches, and therefore, a reload is not required for adding or removing the SVL links when the device is already operating in SVL mode.]</ref>

=== Nexus3000 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-1189404436 Nexus 3000 シリーズ]

switch(config)# hardware profile portmode ?
48x10g+4x40g 48x10G+4x40G port mode
52x10g+3x40g 52x10G+3x40G port mode
56x10g+2x40g 56x10G+2x40G port mode
60x10g+1x40g 60x10G+1x40G port mode
64x10g 64x10G port mode</ref> ===

==== hardware profile portmode <port_mode> ====

=== Nexus 3100 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId--618050027 Nexus 3100/3200 シリーズ]

switch(config)# interface breakout module 1 port 49 map 10g-4x
Interface breakout configured. Please poweroff and no poweroff the module</ref> ===

==== 例) interface breakout module 1 port 49 map 10g-4x ====

=== Nexus 5600/6000 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-1869462806 Nexus 5600/6000 シリーズ]
switch(config)# interface breakout slot 2 port 1-4 map 10g-4x

Interface breakout configured. Please poweroff and no poweroff the module
</ref> ===

==== 例) interface breakout slot 2 port 1-4 map 10g-4x ====

=== Nexus 7000 / 7700 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-62008343 Nexus 7000/7700 シリーズ]</ref> ===

==== 例) interface breakout slot 2 port 1-4 map 10g-4x ====

=== Nexus9000 共通 ===

==== fips mode enable <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/security/cisco-nexus-9000-series-nx-os-security-configuration-guide-release-105x/m-configuring-fips.html Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 10.5(x)]</ref> ====
'''hardware access-list tcam label''' <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/security/cisco-nexus-9000-series-nx-os-security-configuration-guide-release-105x/m-configuring-ip-acls.html Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 10.5(x)]

Chapter: Configuring IP ACLs

The label size can be increased to 62 when you enter the '''hardware access-list tcam label ing-ifacl 6''' command and reload the switch.</ref>

==== hardware access-list tcam region <feature_name> <feature_size> <ref>Understand how to Carve TCAM Space - Nexus 9000<nowiki/>https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/119032-nexus9k-tcam-00.html#anc7

Configuration

In order to reconfigure a TCAM region, use the

hardware access-list tcam region <feature_name>

<feature_size> command in the configuration terminal.

Once you have changed the regions to be the intended sizes,

'''you must reload the device.''' </ref> ====

* TCAM の領域を変更するコマンド要再起動
* [https://community.cisco.com/t5/%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-tcam-region-%E3%81%AE%E8%A8%AD%E5%AE%9A-tcam-resource-%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3163235 IPv6 ACL を設定するときは、デフォルトが 0 のケース]があり、領域を割り当てる必要があります

==== max-metric router-lsa external-lsa include-stub on-startup summary-lsa ====
* コマンド投入後、次回の再起動時に有効になる旨のメッセージが表示されます
* ただ、これは起動時に発動するコマンドのため、reload が必要とは違う気がします

==== system vlan <vlan-id> reserve <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/layer-2-switching/cisco-nexus-9000-series-nx-os-layer-2-switching-configuration-guide-105x/m-configuring-vlans.html Cisco Nexus 9000 Series NX-OS Layer 2 Switching Configuration Guide, Release 10.5(x)]

Chapter: Configuring VLANs

About Reserved VLANs

The new reserved range takes effect after the running configuration is saved and the device is reloaded.</ref> ====

* Nexus がデフォルトで使用できない Vlan-ID の 3968 ～ 4095 を、別の Vlan-ID に変更するコマンド
* 1 個指定すると、続けて 127 個、合計 128 個の Vlan-ID が使用できなくなる
* Nexus 3000 , 5000 , 7000 でも使用可能

[https://www.cisco.com/c/ja_jp/td/docs/dcn/nx-os/nexus9000/102x/configuration/layer-2-switching/cisco-nexus-9000-nx-os-layer-2-switching-configuration-guide-102x/m-configuring-vlans.html#concept_D5ED0AAC38C94ED2B8DFFE88B4951EF2 VLAN 予約の例]
**************************************************
CONFIGURE NON-DEFAULT RANGE, "COPY R S" AND RELOAD
**************************************************
switch(config)# system vlan 400 reserve
"vlan configuration 400-527" will be deleted automatically.
Vlans, SVIs and sub-interface encaps for vlans 400-527 need to be removed by the user.
Continue anyway? (y/n) [no] y
Note: After switch reload, VLANs 400-527 will be reserved for internal use.
This requires copy running-config to startup-config before
switch reload. Creating VLANs within this range is not allowed.

switch(config)# show system vlan reserved

system current running vlan reservation: 3968-4095

system future running vlan reservation: 400-527

switch(config)# copy running-config startup-config
[########################################] 100%

switch(config)# reload
This command will reboot the system. (y/n)? [n] y

************
AFTER RELOAD
************

switch# show system vlan reserved

system current running vlan reservation: 400-527

=== Nexus9200 <ref name=":2">[https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus9000/sw/93x/scalability/guide-935/cisco-nexus-9000-series-nx-os-verified-scalability-guide-935.html Cisco Nexus 9000 シリーズ NX-OS 検証済みスケーラビリティガイドリリース 9.3(5)]</ref> <ref name=":3">[https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus9000/sw/93x/unicast/configuration/guide/b-cisco-nexus-9000-series-nx-os-unicast-routing-configuration-guide-93x/b-cisco-nexus-9000-series-nx-os-unicast-routing-configuration-guide-93x_chapter_011001.html Cisco Nexus 9000 シリーズ NX-OS ユニキャストルーティング設定ガイド]</ref> ===

==== system routing template-dual-stack-host-scale ====

==== system routing template-lpm-heavy ====

==== system routing template-l2-heavy ====

=== Nexus 9300 <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-l2-heavy ====

==== system routing max-mode l3 ====

=== Nexus9300-EX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-dual-stack-host-scale ====

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-l2-heavy ====

=== Nexus9300-FX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus9300-FX2 <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus9300-GX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus-9500 用 9700-EX or 9700-FX ラインカード <ref name=":2" /> <ref name=":3" /> ===

==== system routing max-mode host ====

==== system routing non-hierarchical-routing [max-l3-mode] ====

==== system routing mode hierarchical 64b-alpm ====

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

=== Nexus-9500-R 用 9600-R ラインカード <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-internet-peering ====

== Juniper ==

=== MX204 ===
ポートの割当を変更したい場合は、以下を参照。変更後は PIC のリセットが必要。

==== set chassis fpc <fpc_num> pic <pic_num> port <port_num> speed <speed> <ref>Port Speed on MX204 Overview<nowiki/>https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/port-speed-configuration.html#concept-mx204

To change the default speed, you must select a port

and configure a different port speed on it

and '''reset both the PICs for the configuration to take effect.'''

For example, select 40GE or 100GE on PIC0 and 10GE on PIC1.

For this configuration to take effect, you must reset both PICs.</ref> ====

* シャーシ全体の再起動 + Junos 起動は必要無いけど、両方の PIC = 全ポートを Offline + Online で reset する必要あり
* reload と比較するとあまり時間はかからないが、全断なのでインパクト自体は変わらない
* [https://www.juniper.net/documentation/us/en/software/junos/cli-reference/topics/ref/command/request-chassis-pic.html request chassis pic]

==== [https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/port-speed-mx-routers.html Port Speed on MX Routers] ====
<syntaxhighlight lang="diff">
Table 1: Port Speed for MX204
PIC Port Port Speed Supported
PIC 0 0-3 4x10-Gigabit Ethernet
40-Gigabit Ethernet
100-Gigabit Ethernet
Default: 4x10-Gigabit Ethernet
Supports 1-Gbps speed on 10 Gigabit Ethernet ports (Junos OS Release 18.1 onwards)

PIC 1 0-7 10-Gigabit Etherner
Supports 1-Gbps speed on 10 Gigabit Ethernet ports (Junos OS Release 18.1 onwards)
</syntaxhighlight>[https://www.juniper.net/documentation/en_US/day-one-books/DO_MX5G.pdf Figure 1.3 MX204 Packet Forwarding Engine]
[[ファイル:MX204_PFE.png|代替文=MX204 PFE|なし|フレーム|MX204 PFE]]

==== [https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/configure-port.html#xd_44b04e84b48f8267--22641f22-18c8148309f--7fb1__section_d2k_thb_dzb Configure Port Speed - PIC Level] ====

==== [https://apps.juniper.net/port-checker/mx204/ MX204 Port Checker] ====

=== MX304 ===
ポートの割当を変更したい場合は、以下を参照。変更後は PIC のリセットが必要。

==== [https://community.juniper.net/blogs/reema-ray/2023/03/28/mx304-deepdive MX304 Deepdive] ====
<syntaxhighlight lang="diff">
PIC Mode / Port Mode

Examples (X varies from 1 to 16 depending on the port speed):

set chassis fpc 0 pic0 pic-mode 100g number-of-ports X

set chassis fpc 0 pic0 pic-mode 400g number-of-ports X

set chassis fpc 0 pic0 pic-mode 10g number-of-ports X

set chassis fpc 0 pic0 pic-mode 25g number-of-ports X

set chassis fpc 0 pic0 pic-mode 50g number-of-ports X
</syntaxhighlight>

==== [https://apps.juniper.net/port-checker/mx304/ MX304 Port Checker] ====

=== PIC リセットコマンド例 ===
<syntaxhighlight lang="diff">
request chassis pic pic-slot 0 fpc-slot 0 offline
request chassis pic pic-slot 0 fpc-slot 0 online

</syntaxhighlight>

=== SRX300 ===
IPv4 のデフォルト動作は flow-based でファイアウォールとして動作しますが、ルータとして動作可能な packet-based に変更可能です。<ref name=":4">[https://www.juniper.net/documentation/us/en/software/junos/flow-packet-processing/flow-packet-processing.pdf Junos® OS Flow-Based and Packet-Based Processing User Guide for Security Devices]

Platform-Specific IPv4 Traffic Behavior

On SRX300 series devices that support IPv4 traffic, you must reboot the device when you switch between flow mode, packet mode, and drop mode.</ref>

有効化に再起動が必要です。<syntaxhighlight lang="diff">
set security forwarding-options family inet6 mode packet-based
set security forwarding-options family mpls mode packet-based
</syntaxhighlight>

=== SRX4100, SRX4200, SRX5400, SRX5600, SRX5800, SRX ===
flow / packet / drop の変更に再起動は必要ありません。<ref name=":4" />

== Arista ==

==== zerotouch cancel <ref>Canceling Zero Touch Provisioning

https://www.arista.com/en/um-eos/eos-initial-switch-access#xx1131266

To avoid entering ZTP mode on subsequent reboots, create a startup-config file as described in Step 8 of Ethernet Management Port.</ref> ====

* 最初は startup-config が存在しないため、ZTP モードで起動する
* cancel すると自動で再起動がかかる

==== service routing protocols model { ribd | multi-agent } <ref><syntaxhighlight lang="diff">
localhost(config)#service routing protocols model multi-agent
! Change will take effect only after switch reboot
localhost(config)#
</syntaxhighlight></ref>====

* 2022/09 現在は ribd がデフォルト
** EOS-4.32.0F 以降から RIBd が削除された <ref>[https://arista.my.site.com/AristaCommunity/s/article/EOS%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E5%BE%8C%E3%81%AB%E8%A6%8B%E3%82%89%E3%82%8C%E3%82%8B%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB%E5%8B%95%E4%BD%9C%E3%81%AE%E9%81%95%E3%81%84 EOSアップグレード後に見られるルーティングプロトコル動作の違い]

EOSバージョン4.32.0Fからribdが削除。</ref>
* 最近は multi-agent を使うのが主流
** EOS-4.30.1 からデフォルトで動作するようになった
* EVPN などでは multi-agent を使用する必要がある

=== DCS-7280R, DCS-7280R2, DCS-7500R, DCS-7500R2, DCS-7020R ===

==== hardware access-list mechanism tcam <ref>Support for Private VLAN

https://www.arista.com/en/um-eos/eos-virtual-lans-vlans?searchword=reload

On DCS-7280R, DCS-7280R2, DCS-7500R, DCS-7500R2, DCS-7020R

Private VLAN and Algomatch features are mutually exclusive. Disable algomatch with the hardware access-list mechanism tcam command . Note that '''this requires a reload''' of the system to take effect.</ref> ====

=== 7050X3 ===
[https://arista.my.site.com/AristaCommunity/s/article/7050X3-Logical-Port 7050X3でのLogical Portの管理]<syntaxhighlight lang="diff">
7050SX3-48YC8, 7050SX3-48C8, 7050TX3-48C8ではスイッチのLogical Portの数が64でインタフェースの総数より少なくなっています。
</syntaxhighlight>

* 25G x 48 + ブレークアウト 25G x 4 波長 x 8 ポート = 80 ポートが最大だが、そのうち 64 ポートしか使えないことを意味する
* platform trident reset でトラフィック中断の発生するリセットが必要な場合がある 

== A10 ==
<s>A10 のマニュアルはインターネット上に公開されておらず、アカウント作成とログインが必要。</s>

2026/04 現在、[https://documentation.a10networks.com/ Product Documentation] で公開されていることを確認しました。

=== Thunder 3030S CGN ===

==== system resource-usage nat-pool-addr-count <ref>system resource-usage

https://documentation.a10networks.com/ACOS/271x/271-P6/ACOS_2_7_1-P6/html/ax-cli-reference-Responsive%20HTML5/ax-cli-reference/ax-cli-globalcfg-cmds/system_resource-usage.htm?rhsearch=system%20resource-usage%20nat-pool-addr-count&rhsyns=%20

nat-pool-addr-count --- Total IP source NAT pools

Reload or Reboot Required

To place a change to l4-session-count into effect, a reboot is required. A reload will not place this change into effect. For changes to any of the other system resources, a reload is required but a reboot is not required.</ref> ====

* CGN 用 NAT プールアドレス

=== Thunder 3040S CFW ===

==== system resource-usage nat-pool-addr-count <ref>system resource-usage

https://documentation.a10networks.com/ACOS/414x/ACOS_4_1_4-GR1-P1/html/cli-reference-Responsive%20HTML5/cli-reference/cli-globalcfg-cmds/system_resource-usage.htm?rhsearch=system%20resource-usage&rhsyns=%20

nat-pool-addr-count num --- Total number of NAT pool addresses available for configuration in the system. The range is platform specific.

Usage

To place a change to l4-session-count into effect,

a reboot is required.

A reload will not place this change into effect.

For changes to any of the other system resources,

a reload is required but a reboot is not required.</ref> ====

==== system resource-usage l4-session-count <ref>ACOS 5.2.1-P8 Command Line Interface Reference Guide

'''Usage'''

To place a change to l4-session-count into effect, a reboot is required.</ref> ====

==== cgnv6 resource-usage lsn-nat-addr-count <ref>cgnv6 resource-usage

https://documentation.a10networks.com/ACOS/414x/ACOS_4_1_4-GR1-P11/html/cliv6-Responsive%20HTML5/cliv6/cliv6_cgn_aka_lsn_cmds/cgnv6_resource-usage.htm?rhsearch=cgnv6%20resource-usage%20lsn-nat-addr-count&rhsyns=%20</ref> <ref><syntaxhighlight lang="diff">
(config)#cgnv6 resource-usage lsn-nat-addr-count 2048
Changes will come into effect next time you reload the Software.
</syntaxhighlight></ref> ====

* こちらはコマンドリファレンスに reload 必須との記載が無いが、コマンドを打つと reload が必要と出てくる

==== system promiscuous-mode ====

==== system-jumbo-global enable-jumbo ====

* non-FTA モデルでは変更時に reboot が必要 <ref>ACOS5.2.1-P8

Command_Line_Interface_Reference.pdf

NOTE:

On non-FTA models, after you enable (or disable) jumbo frame support, you must save the configuration (write memory command) and reboot (reboot command) to place the change into effect.</ref>

== Extreme VSP ==

==== boot config flags spbm-config-mode <ref>[https://documentation.extremenetworks.com/VOSS/SW/89/VOSSUserGuide/GUID-DCBDDD6D-57E4-486A-83A9-4D33886AA891.shtml#GUID-CD735C3D-7B32-466C-BB24-973CDB3B8C94 Virtual interswitch trunk (vIST)]
enable
configure terminal
no boot config flags spbm-config-mode
Save the configuration and reboot the switch.</ref> ====

==== boot config flags advanced-feature-bandwidth-reservation <ref>[https://documentation.extremenetworks.com/FABRICENGINE/SW/810/FabricEngineUserGuide/GUID-E463D2F1-8B68-4E81-8434-36C2114F13C7.shtml If you change the configuration, you must save the configuration, and then reboot the switch for the change to take effect.]</ref> ====
* 他の boot config flags コマンドも再起動が必要なものがある

== Apresia NP ==

==== counter-mode txdiscard only-buffer-overflow <ref>[https://www.apresia.jp/products/ent/support/docs/CommandReference_AEOS8.42_TD61-7819.pdf CommandReference_AEOS8.42_TD61-7819.pdf]

カウンターモードを変更した場合は、必ず、装置を再起動してください。再起動するまでは、カウンターの値が正常に表示されません。</ref> ====

==== license erase <ref>[https://www.apresia.jp/products/ent/support/docs/CommandReference_AEOS8.42_TD61-7819.pdf CommandReference_AEOS8.42_TD61-7819.pdf]

<code>(config)# license l3 erase Layer3 license erase? (y/n): y License information was erased. The license for Layer3 will be invalid after rebooting.</code></ref> ====

== リファレンス ==
<references />
[[カテゴリ:その他]]

設定に再起動が必要なコンフィグまとめ

2026-04-09T22:53:27Z

Hkatou:

いろいろなメーカーのネットワーク機器について、再起動しないと有効にならないコンフィグを集めました。

以下のようなシチュエーションで役に立ちます。

* 作業の役務を見積もるとき、夜間作業が必要か調べたい
* 保守交換後、OS Ver と running-config で diff が無くても、動作に差分があるとき
** TCAM サイズを変更するコマンドは、ROMMON / Boot Loader の変数に書き込まれて running-config に表示されない機器があります
* 初期構築時に設定追加・変更しておくことで運用に入ってからの停止作業を回避

== Cisco ==

=== ISR4000 / ASR1000 ===

==== ASR1000 : license boot level { adventerprise | advipservices | ipbase } <ref>Chapter: License Verification

https://www.cisco.com/c/en/us/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG/b_ASR1001HX-1002HX_HIG_chapter_0110.html

license boot level <License_Level></ref> ====

* Universal イメージの IOS / IOS-XE はコマンドでライセンスレベルを変更可能

==== ISR4000 : platform hardware throughput level { 2500000 | 5000000 } <ref>Performance

https://www.cisco.com/c/en/us/td/docs/routers/access/4400/software/configuration/guide/isr4400swcfg/bm_isr_4400_sw_config_guide_chapter_0101.html#concept_3F15D3B0CBA64CA9BADC3C84FE0C63FB

To configure the throughput level, perform the following steps and to upgrade the throughput level use the platform hardware throughput level { 2500000 | 5000000} command.

In the user EXEC configuration mode, enter the enable command.

Enter configure terminal command to enter the global configuration mode.

To upgrade the throughput level, enter the platform hardware throughput level{2500000|5000000} command.

To exit global configuration mode, enter exit.

To save the configuration, enter the copy running-config startup-config command.

To reload the router enter reload. '''A reload is required to activate the throughput level.'''</ref> ====

==== ISR4000 : platform hardware throughput level boost <ref>platform hardware throughput level boost

https://www.cisco.com/c/en/us/td/docs/routers/access/4400/software/configuration/guide/isr4400swcfg/bm_isr_4400_sw_config_guide_chapter_0101.html#concept_x2p_pkj_ndb

Save the configuration and reload the device to enable Boost performance license. '''After the reload,''' the Boost Performance is activated as shown in this example.</ref>====

==== ASR1000 : platform hardware throughput level <ref>スループットレベルの設定

https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001-x/asr1hig-book/asr1hig-book_chapter_0101.html#con_1060881

Cisco ASR 1001-X ルータの組み込みエンベデッドサービスプロセッサは、ソフトウェアライセンスに応じて、2.5 Gbps（デフォルト）、5 Gbps、10 Gbps、および 20 Gbps のスループットをサポートします。

ソフトウェアアクティベーションによるパフォーマンスアップグレードライセンスを適用してから、ルータをリロードすることによって、ESP のスループットを 2.5 Gbps（デフォルト）から 5 Gbps にアップグレードできます。ESP のスループットは、任意のライセンスレベルから別のライセンスレベルにアップグレードできます。

ESP の現在のスループットレベルを決定するには、show platform hardware throughput level

コマンドを実行します。

次に、20 Gbps パフォーマンスアップグレードライセンスの適用と'''ルータのリロード後'''の

このコマンドの出力例を示します。</ref>====
* デフォルトは'''双方向'''で合計 2.5Gbps のスループット
* '''双方向'''で 20Gbps の最大スループットを設定可能
** 10G ポートの Rx / Tx の合計で 20Gbps を捌けるのと、同一の意味

* CSR1000V は再起動が不要と記載あり

==== ASR1001-HX : platform hardware crypto-throughput level { 8g | 8-16g } <ref>暗号化スループットレベルの設定<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG.pdf

Cisco ASR 1001-HX ルータの暗号化スループットレベルを設定するには、次のコマンドを入力します。<syntaxhighlight lang="diff">
Router(config)# platform hardware crypto-throughput level ?
8-16g crypto throughput upgrade, bits per second
8g crypto throughput level, bits per second
Router(config)# platform hardware crypto-throughput level 8g
% Crypto Bandwidth set to 8G bps.
Router(config)# platform hardware crypto-throughput level 8-16g
% Crypto Bandwidth set to 16G bps.
</syntaxhighlight></ref> ====

* こちらは再起動が必要無いように読める

==== ASR1002-HX : platform hardware crypto-throughput level { 8g | 8-16g | 8-25g | 16-25g } <ref>暗号化スループットレベルの設定<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/routers/asr1000/install/guide/1001HX_1002HX/b_ASR1001HX-1002HX_HIG.pdf

Cisco ASR 1002-HX ルータの暗号化スループットレベルを設定するには、次のコマンドを入力します。<syntaxhighlight lang="diff">
Router(config)# platform hardware crypto-throughput level ?
16-25g crypto throughput upgrade, bits per second
8-16g crypto throughput upgrade, bits per second
8-25g crypto throughput upgrade, bits per second
8g crypto throughput level, bits per second
</syntaxhighlight></ref> ====

* こちらは再起動が必要無いように読める

=== Catalyst8200 / 8300 ===

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/isr9000swcfg-xe-16-12-book_chapter_010.html#concept_0FBABD5F74924D36895FEF9912A283CF platform resource { service-plane-heavy | data-plane-heavy }] ====

* Catalyst 8200 , 8300 は複数の CPU コアを、サービスプレーンとデータプレーンに振り分ける割合を変えることが可能
* 最小 8 コアを備えている
* デフォルトは service-plane-heavy
* show platform software cpu alloc コマンドで、割り当て状況を確認可能
<syntaxhighlight lang="diff">
show platform software cpu alloc

CPU alloc information:
Control plane cpu alloc: 0
Data plane cpu alloc: 1-7
Service plane cpu alloc: 0
Template used: CLI-data_plane_heavy
</syntaxhighlight>

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_3e328700-9d53-4aa0-92d7-39de3006cc7f platform hardware throughput crypto] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_3e328700-9d53-4aa0-92d7-39de3006cc7f platform hardware throughput level MB] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_34eb5481-3d5e-431a-9c39-6e19c76d893e (EXEC) license throughput crypto auto-convert] ====

==== [https://www.cisco.com/c/en/us/td/docs/routers/cloud_edge/c8300/software_config/cat8300swcfg-xe-17-book/m-available-licenses.html#Cisco_Task.dita_34eb5481-3d5e-431a-9c39-6e19c76d893e (EXEC) license throughput level auto-convert] ====

=== Cisco 8000 ===

==== [https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8000/ip-addresses/b-ip-addresses-cr-8k/m-cisco-express-forwarding-commands.html#wp1459049907 hw-module profile route scale] lpm tcam-banks <ref>[https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8000/ip-addresses/b-ip-addresses-cr-8k/m-cisco-express-forwarding-commands.html#wp1459049907 hw-module profile route scale]</ref> ====

=== Catalyst 2960 / 3560 / 3750 ===

==== 3750 : sdm prefer { access | default | dual-ipv4-and-ipv6 { default | routing | vlan } | indirect-ipv4-and-ipv6-routing | routing | vlan } <ref>Chapter: Configuring SDM Templates

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swsdm.html</ref>====

* PBR / IPv6 はデフォルトで TCAM が割り当てられていないため、routing / dual stack テンプレートに変更＋再起動が必要

==== system mtu jumbo <1500-9000> | <1500-9198> ====

* show run に出てこない
* show system mtu コマンドで確認可能
* 機種により対応範囲が異なる
** 3750G : 1500-9000
** 3560CX : 1500-9198 
=== Catalyst 4500 Sup6E ===

==== hw-module uplink mode { shared-backplane| tengigabitethernet } <ref>Supervisor Engine 6-E でのアップリンクモードの選択

https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat4500swt/cg/009/confg-gd/sw-int.html#18105

（注） hw-module uplink mode shared-backplane コマンドを使用して

アップリンクモードを'''変更する場合は、システムをリロードする必要'''が

あります。コンソールには、リロードを示すメッセージが表示されます。</ref> ====

* 要再起動
* 最初に TenGig を使っていなくて、増速で TenGig にするときに要注意

==== hw-module module <module_num> port-group <port_num> select [ gigabitethernet | tengigabitethernet ] ====
* WS-X4606-10GE-E で TwinGig コンバーターを使用するときに使用
* こちらは'''再起動の必要無し'''

=== Catalyst 6500 Sup720 / Sup720-10G ===

==== mls cef maximum-routes <ref>CAT 6500 and 7600 Series Routers and Switches TCAM Allocation Adjustment Procedures

https://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/117712-problemsolution-cat6500-00.html#anc3

You can enter the mls cef maximum-routes ip <number in thousands> command in order to adjust the number of routing entries that are allocated to the IPv4. This does not increase the overall size of the FIB TCAM, but it reduces the number of routing entries that are allocated to the IPv6 in order to increase the amount of TCAM space for the IPv4.</ref>====

=== Catalyst 6500 / 6800 Sup2T / Sup6T ===

==== 共通 : vlan internal allocation policy { ascending | descending } <ref>Configuring the Internal VLAN Allocation Policy<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Note

The internal VLAN allocation policy is applied only following a reload. </ref> ====

==== 共通 : platform hardware acl reserve qos-banks { 1 | 2} <ref>Chapter 23 Restrictions for PFC QoS<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Changes to the supported number of '''QoS TCAM entries take effect after a reload'''. Enter the show platform hardware acl

global-config command to display the QoS TCAM entry configuration:</ref> ====

==== Sup6T : hw-module switch {switch-id} slot {sup slot no.} operation-mode port-group {Port-group no. } { TenGigabitEthernet | FortyGigabitEthernet } <ref name=":0">Chapter 4 Virtual Switching Systems<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-5SY/config_guide/sup6T/15_5_sy_swcg_6T.pdf

Note - The entire '''systems reloads after any mode conversion'''.</ref> ====

==== Sup6T : hw-module switch {switch-id} slot {sup slot no.} performance { TenGigabitEthernet | FortyGigabitEthernet } <ref name=":0" /> ====

=== Catalyst 3850 / 3650 / 9000 ===

==== license boot level <license_level> <ref>Configuring Base and Add-On Licenses

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-6/configuration_guide/sys_mgmt/b_176_sys_mgmt_9300_cg/licenses.html#Cisco_Task.dita_f126c327-a647-4235-b1a2-930771e49f9d

license boot level <license_level></ref>====

* Universal イメージの IOS / IOS-XE はコマンドでライセンスレベルを変更可能
* グローバルコンフィギュレーションで実施

==== 9000 : license right-to-use [activate <kbd>|</kbd> deactivate ] [network-essentials <kbd>|</kbd> network-advantage ] [all <kbd>|</kbd> evaluation {all <kbd>|</kbd> slot <var>slot-number <1-8></var>}] [acceptEULA] <ref name=":1">[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-6/configuration_guide/sys_mgmt/b_166_sys_mgmt_9300_cg/b_166_sys_mgmt_9300_cg_chapter_011.html#task_gfk_vvj_n1b Activating a License]</ref> ====

* こちらは EXEC モードで実施
* Evaluation (評価) モードで動作している場合は、ライセンスを購入して right-to-use で Permanent モードに変更します

==== 9000 : license right-to-use [activate | deactivate ] addon [dna-essentials | dna-advantage ] [all | evaluation | subscription {all | slot slot-number <1-8>}] [ acceptEULA] <ref name=":1" /> ====

* こちらは EXEC モードで実施
* Evaluation (評価) モードで動作している場合は、ライセンスを購入して right-to-use で Permanent モードに変更します

==== 9500 : sdm prefer { core <kbd>|</kbd> nat <kbd>|</kbd> distribution <kbd>|</kbd> custom } <ref>Chapter: Configuring SDM Templates

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-6/configuration_guide/sys_mgmt/b_176_sys_mgmt_9500_cg/configuring_sdm_templates.html</ref>====

* 9500H デフォルトの Core テンプレートの場合は MAC アドレステーブルや ARP が少ないため、Distribution に変更するケースがあります

=== Catalyst 3850XS 16.3.3- / 9400 / 9500 / 9600 ===

==== stackwise-virtual -> domain <domain_id> <ref>Configuring Cisco StackWise Virtual Settings

<nowiki>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_lbj_yyx_31b</nowiki>

Step 5

Device(config)#stackwise-virtual

Step 6

Device(config-stackwise-virtual)#domain 2

'''Step 10'''

reload</ref> ====

==== secure-stackwise-virtual authorization-key <128-bits> <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-6/configuration_guide/ha/b_176_ha_9600_cg/configuring_cisco_stackwise_virtual.html Configuring Secure StackWise Virtual]

Step 3

secure-stackwise-virtual authorization-key <128-bits>

Example:
<code>Device(config)#<kbd>'''secure-stackwise-virtual authorization-key <128-bits>'''</kbd></code>

Step 4

reload

Example:
<code>Device#<kbd>'''reload'''</kbd></code>
</ref> ====
* 初期設定時のみと思われるため、特に問題なし

==== (config-if)# stackwise-virtual link 1 <ref>Configuring Cisco StackWise Virtual Link<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_wly_zyx_31b

Step 4

Device(config-if)#stackwise-virtual link 1

'''Step 7'''

Device#reload</ref> ====

* VSS とは異なり、SWV では SVL の増速に reload が必要になりました

==== (config-if)# stackwise-virtual dual-active-detection <ref>Configuring StackWise Virtual Fast Hello Dual-Active-Detection Link<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_yqn_bzx_31b</ref>====

* VSS とは異なり、UADP 系 ASIC の SWV では DAD の設定に reload が必要になりました
** Silicon One 系は reload が必要ありません

==== stackwise-virtual -> dual-active detection pagp <ref>Enabling ePAgP Dual-Active-Detection<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-3/configuration_guide/ha/b_173_ha_9500_cg/configuring_cisco_stackwise_virtual.html#task_ump_ptf_r1b</ref>====

* dual-active detection pagp trust channel-group channel-group <id> の追加に再起動が必要無いか、要調査

==== switch stack-speed [high | low] ====
* C9300X から導入された、StackWise-1T を、C9300 の StackWise-480 に混在させるためのコマンド

=== Catalyst 9400 ===

==== (config-if)# enable <ref>アップリンクポート<nowiki/>https://www.cisco.com/c/ja_jp/td/docs/switches/lan/catalyst9400/software/release/17-3/configuration_guide/int_hw/b_173_int_and_hw_9400_cg/configuring_interface_characteristics.html#concept_ayd_y5q_p1b

速度 10G、25G、および 40G はポートグループごとに相互に排他的です。

ポートグループでは任意の 1 つの速度をいつでも有効にできます。</ref>====

* スーパーバイザエンジンの'''再起動は必要ない'''けど、ポートグループごとに速度は 1 つに制限される模様

=== Catalyst 9500 ===

==== hw-module breakout module ====

* 9600 を見たあとだといかにも必要そうだが、'''この機種は reload が必要ありません'''

=== Catalyst 9600 ===

==== hw-module breakout-enable <ref>Configuring a Breakout Interface<nowiki/>https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9600/software/release/17-2/configuration_guide/int_hw/b_172_int_and_hw_9600_cg/configuring_interface_characteristics.html#task_slc_34x_1jb

Step 3

hw-module breakout-enable

'''Step 5'''

reload</ref> ====

* 運用に入ってから再起動が必要とわかるとめんどい
* グローバルコンフィグの部分で再起動が必要に見えるため、予め入れといたほうが良さそう

=== Catalyst 9400X / 9500X / 9600X ===
Silicon One 系は SWV の SVL / DAD の変更で再起動が必要なくなりました <ref>[https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9500/software/release/17-10/configuration_guide/ha/b_1710_ha_9500_cg/configuring_cisco_stackwise_virtual.html#configuring_cisco_stackwise_virtual_link Dynamic addition and removal of SVL links are supported on the C9500X-28C8D model of Cisco Catalyst 9500 Series Switches, and therefore, a reload is not required for adding or removing the SVL links when the device is already operating in SVL mode.]</ref>

=== Nexus3000 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-1189404436 Nexus 3000 シリーズ]

switch(config)# hardware profile portmode ?
48x10g+4x40g 48x10G+4x40G port mode
52x10g+3x40g 52x10G+3x40G port mode
56x10g+2x40g 56x10G+2x40G port mode
60x10g+1x40g 60x10G+1x40G port mode
64x10g 64x10G port mode</ref> ===

==== hardware profile portmode <port_mode> ====

=== Nexus 3100 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId--618050027 Nexus 3100/3200 シリーズ]

switch(config)# interface breakout module 1 port 49 map 10g-4x
Interface breakout configured. Please poweroff and no poweroff the module</ref> ===

==== 例) interface breakout module 1 port 49 map 10g-4x ====

=== Nexus 5600/6000 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-1869462806 Nexus 5600/6000 シリーズ]
switch(config)# interface breakout slot 2 port 1-4 map 10g-4x

Interface breakout configured. Please poweroff and no poweroff the module
</ref> ===

==== 例) interface breakout slot 2 port 1-4 map 10g-4x ====

=== Nexus 7000 / 7700 <ref>[https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-cvr-qsfp-sfp10g-%E3%81%AE%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3689358#toc-hId-62008343 Nexus 7000/7700 シリーズ]</ref> ===

==== 例) interface breakout slot 2 port 1-4 map 10g-4x ====

=== Nexus9000 共通 ===

==== fips mode enable <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/security/cisco-nexus-9000-series-nx-os-security-configuration-guide-release-105x/m-configuring-fips.html Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 10.5(x)]</ref> ====
'''hardware access-list tcam label''' <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/security/cisco-nexus-9000-series-nx-os-security-configuration-guide-release-105x/m-configuring-ip-acls.html Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 10.5(x)]

Chapter: Configuring IP ACLs

The label size can be increased to 62 when you enter the '''hardware access-list tcam label ing-ifacl 6''' command and reload the switch.</ref>

==== hardware access-list tcam region <feature_name> <feature_size> <ref>Understand how to Carve TCAM Space - Nexus 9000<nowiki/>https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/119032-nexus9k-tcam-00.html#anc7

Configuration

In order to reconfigure a TCAM region, use the

hardware access-list tcam region <feature_name>

<feature_size> command in the configuration terminal.

Once you have changed the regions to be the intended sizes,

'''you must reload the device.''' </ref> ====

* TCAM の領域を変更するコマンド要再起動
* [https://community.cisco.com/t5/%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/nexus-9000%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-tcam-region-%E3%81%AE%E8%A8%AD%E5%AE%9A-tcam-resource-%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3163235 IPv6 ACL を設定するときは、デフォルトが 0 のケース]があり、領域を割り当てる必要があります

==== max-metric router-lsa external-lsa include-stub on-startup summary-lsa ====
* コマンド投入後、次回の再起動時に有効になる旨のメッセージが表示されます
* ただ、これは起動時に発動するコマンドのため、reload が必要とは違う気がします

==== system vlan <vlan-id> reserve <ref>[https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/105x/configuration/layer-2-switching/cisco-nexus-9000-series-nx-os-layer-2-switching-configuration-guide-105x/m-configuring-vlans.html Cisco Nexus 9000 Series NX-OS Layer 2 Switching Configuration Guide, Release 10.5(x)]

Chapter: Configuring VLANs

About Reserved VLANs

The new reserved range takes effect after the running configuration is saved and the device is reloaded.</ref> ====

* Nexus がデフォルトで使用できない Vlan-ID の 3968 ～ 4095 を、別の Vlan-ID に変更するコマンド
* 1 個指定すると、続けて 127 個、合計 128 個の Vlan-ID が使用できなくなる
* Nexus 3000 , 5000 , 7000 でも使用可能

[https://www.cisco.com/c/ja_jp/td/docs/dcn/nx-os/nexus9000/102x/configuration/layer-2-switching/cisco-nexus-9000-nx-os-layer-2-switching-configuration-guide-102x/m-configuring-vlans.html#concept_D5ED0AAC38C94ED2B8DFFE88B4951EF2 VLAN 予約の例]
**************************************************
CONFIGURE NON-DEFAULT RANGE, "COPY R S" AND RELOAD
**************************************************
switch(config)# system vlan 400 reserve
"vlan configuration 400-527" will be deleted automatically.
Vlans, SVIs and sub-interface encaps for vlans 400-527 need to be removed by the user.
Continue anyway? (y/n) [no] y
Note: After switch reload, VLANs 400-527 will be reserved for internal use.
This requires copy running-config to startup-config before
switch reload. Creating VLANs within this range is not allowed.

switch(config)# show system vlan reserved

system current running vlan reservation: 3968-4095

system future running vlan reservation: 400-527

switch(config)# copy running-config startup-config
[########################################] 100%

switch(config)# reload
This command will reboot the system. (y/n)? [n] y

************
AFTER RELOAD
************

switch# show system vlan reserved

system current running vlan reservation: 400-527

=== Nexus9200 <ref name=":2">[https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus9000/sw/93x/scalability/guide-935/cisco-nexus-9000-series-nx-os-verified-scalability-guide-935.html Cisco Nexus 9000 シリーズ NX-OS 検証済みスケーラビリティガイドリリース 9.3(5)]</ref> <ref name=":3">[https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus9000/sw/93x/unicast/configuration/guide/b-cisco-nexus-9000-series-nx-os-unicast-routing-configuration-guide-93x/b-cisco-nexus-9000-series-nx-os-unicast-routing-configuration-guide-93x_chapter_011001.html Cisco Nexus 9000 シリーズ NX-OS ユニキャストルーティング設定ガイド]</ref> ===

==== system routing template-dual-stack-host-scale ====

==== system routing template-lpm-heavy ====

==== system routing template-l2-heavy ====

=== Nexus 9300 <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-l2-heavy ====

==== system routing max-mode l3 ====

=== Nexus9300-EX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-dual-stack-host-scale ====

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-l2-heavy ====

=== Nexus9300-FX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus9300-FX2 <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus9300-GX <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

==== system routing template-dual-stack-host-scale ====

=== Nexus-9500 用 9700-EX or 9700-FX ラインカード <ref name=":2" /> <ref name=":3" /> ===

==== system routing max-mode host ====

==== system routing non-hierarchical-routing [max-l3-mode] ====

==== system routing mode hierarchical 64b-alpm ====

==== system routing template-lpm-heavy ====

==== system routing template-internet-peering ====

=== Nexus-9500-R 用 9600-R ラインカード <ref name=":2" /> <ref name=":3" /> ===

==== system routing template-internet-peering ====

== Juniper ==

=== MX204 ===
ポートの割当を変更したい場合は、以下を参照。変更後は PIC のリセットが必要。

==== set chassis fpc <fpc_num> pic <pic_num> port <port_num> speed <speed> <ref>Port Speed on MX204 Overview<nowiki/>https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/port-speed-configuration.html#concept-mx204

To change the default speed, you must select a port

and configure a different port speed on it

and '''reset both the PICs for the configuration to take effect.'''

For example, select 40GE or 100GE on PIC0 and 10GE on PIC1.

For this configuration to take effect, you must reset both PICs.</ref> ====

* シャーシ全体の再起動 + Junos 起動は必要無いけど、両方の PIC = 全ポートを Offline + Online で reset する必要あり
* reload と比較するとあまり時間はかからないが、全断なのでインパクト自体は変わらない
* [https://www.juniper.net/documentation/us/en/software/junos/cli-reference/topics/ref/command/request-chassis-pic.html request chassis pic]

==== [https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/port-speed-mx-routers.html Port Speed on MX Routers] ====
<syntaxhighlight lang="diff">
Table 1: Port Speed for MX204
PIC Port Port Speed Supported
PIC 0 0-3 4x10-Gigabit Ethernet
40-Gigabit Ethernet
100-Gigabit Ethernet
Default: 4x10-Gigabit Ethernet
Supports 1-Gbps speed on 10 Gigabit Ethernet ports (Junos OS Release 18.1 onwards)

PIC 1 0-7 10-Gigabit Etherner
Supports 1-Gbps speed on 10 Gigabit Ethernet ports (Junos OS Release 18.1 onwards)
</syntaxhighlight>[https://www.juniper.net/documentation/en_US/day-one-books/DO_MX5G.pdf Figure 1.3 MX204 Packet Forwarding Engine]
[[ファイル:MX204_PFE.png|代替文=MX204 PFE|なし|フレーム|MX204 PFE]]

==== [https://www.juniper.net/documentation/us/en/software/junos/interfaces-ethernet/topics/topic-map/configure-port.html#xd_44b04e84b48f8267--22641f22-18c8148309f--7fb1__section_d2k_thb_dzb Configure Port Speed - PIC Level] ====

==== [https://apps.juniper.net/port-checker/mx204/ MX204 Port Checker] ====

=== MX304 ===
ポートの割当を変更したい場合は、以下を参照。変更後は PIC のリセットが必要。

==== [https://community.juniper.net/blogs/reema-ray/2023/03/28/mx304-deepdive MX304 Deepdive] ====
<syntaxhighlight lang="diff">
PIC Mode / Port Mode

Examples (X varies from 1 to 16 depending on the port speed):

set chassis fpc 0 pic0 pic-mode 100g number-of-ports X

set chassis fpc 0 pic0 pic-mode 400g number-of-ports X

set chassis fpc 0 pic0 pic-mode 10g number-of-ports X

set chassis fpc 0 pic0 pic-mode 25g number-of-ports X

set chassis fpc 0 pic0 pic-mode 50g number-of-ports X
</syntaxhighlight>

==== [https://apps.juniper.net/port-checker/mx304/ MX304 Port Checker] ====

=== PIC リセットコマンド例 ===
<syntaxhighlight lang="diff">
request chassis pic pic-slot 0 fpc-slot 0 offline
request chassis pic pic-slot 0 fpc-slot 0 online

</syntaxhighlight>

=== SRX300 ===
IPv4 のデフォルト動作は flow-based でファイアウォールとして動作しますが、ルータとして動作可能な packet-based に変更可能です。<ref name=":4">[https://www.juniper.net/documentation/us/en/software/junos/flow-packet-processing/flow-packet-processing.pdf Junos® OS Flow-Based and Packet-Based Processing User Guide for Security Devices]

Platform-Specific IPv4 Traffic Behavior

On SRX300 series devices that support IPv4 traffic, you must reboot the device when you switch between flow mode, packet mode, and drop mode.</ref>

有効化に再起動が必要です。<syntaxhighlight lang="diff">
set security forwarding-options family inet6 mode packet-based
set security forwarding-options family mpls mode packet-based
</syntaxhighlight>

=== SRX4100, SRX4200, SRX5400, SRX5600, SRX5800, SRX ===
flow / packet / drop の変更に再起動は必要ありません。<ref name=":4" />

== Arista ==

==== zerotouch cancel <ref>Canceling Zero Touch Provisioning

https://www.arista.com/en/um-eos/eos-initial-switch-access#xx1131266

To avoid entering ZTP mode on subsequent reboots, create a startup-config file as described in Step 8 of Ethernet Management Port.</ref> ====

* 最初は startup-config が存在しないため、ZTP モードで起動する
* cancel すると自動で再起動がかかる

==== service routing protocols model { ribd | multi-agent } <ref><syntaxhighlight lang="diff">
localhost(config)#service routing protocols model multi-agent
! Change will take effect only after switch reboot
localhost(config)#
</syntaxhighlight></ref>====

* 2022/09 現在は ribd がデフォルト
** EOS-4.32.0F 以降から RIBd が削除された <ref>[https://arista.my.site.com/AristaCommunity/s/article/EOS%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E5%BE%8C%E3%81%AB%E8%A6%8B%E3%82%89%E3%82%8C%E3%82%8B%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB%E5%8B%95%E4%BD%9C%E3%81%AE%E9%81%95%E3%81%84 EOSアップグレード後に見られるルーティングプロトコル動作の違い]

EOSバージョン4.32.0Fからribdが削除。</ref>
* 最近は multi-agent を使うのが主流
** EOS-4.30.1 からデフォルトで動作するようになった
* EVPN などでは multi-agent を使用する必要がある

=== DCS-7280R, DCS-7280R2, DCS-7500R, DCS-7500R2, DCS-7020R ===

==== hardware access-list mechanism tcam <ref>Support for Private VLAN

https://www.arista.com/en/um-eos/eos-virtual-lans-vlans?searchword=reload

On DCS-7280R, DCS-7280R2, DCS-7500R, DCS-7500R2, DCS-7020R

Private VLAN and Algomatch features are mutually exclusive. Disable algomatch with the hardware access-list mechanism tcam command . Note that '''this requires a reload''' of the system to take effect.</ref> ====

=== 7050X3 ===
[https://arista.my.site.com/AristaCommunity/s/article/7050X3-Logical-Port 7050X3でのLogical Portの管理]<syntaxhighlight lang="diff">
7050SX3-48YC8, 7050SX3-48C8, 7050TX3-48C8ではスイッチのLogical Portの数が64でインタフェースの総数より少なくなっています。
</syntaxhighlight>

* 25G x 48 + ブレークアウト 25G x 4 波長 x 8 ポート = 80 ポートが最大だが、そのうち 64 ポートしか使えないことを意味する
* platform trident reset でトラフィック中断の発生するリセットが必要な場合がある 

== A10 ==
A10 のマニュアルはインターネット上に公開されておらず、アカウント作成とログインが必要。

=== Thunder 3030S CGN ===

==== system resource-usage nat-pool-addr-count <ref>system resource-usage

https://documentation.a10networks.com/ACOS/271x/271-P6/ACOS_2_7_1-P6/html/ax-cli-reference-Responsive%20HTML5/ax-cli-reference/ax-cli-globalcfg-cmds/system_resource-usage.htm?rhsearch=system%20resource-usage%20nat-pool-addr-count&rhsyns=%20

nat-pool-addr-count --- Total IP source NAT pools

Reload or Reboot Required

To place a change to l4-session-count into effect, a reboot is required. A reload will not place this change into effect. For changes to any of the other system resources, a reload is required but a reboot is not required.</ref> ====

* CGN 用 NAT プールアドレス

=== Thunder 3040S CFW ===

==== system resource-usage nat-pool-addr-count <ref>system resource-usage

https://documentation.a10networks.com/ACOS/414x/ACOS_4_1_4-GR1-P1/html/cli-reference-Responsive%20HTML5/cli-reference/cli-globalcfg-cmds/system_resource-usage.htm?rhsearch=system%20resource-usage&rhsyns=%20

nat-pool-addr-count num --- Total number of NAT pool addresses available for configuration in the system. The range is platform specific.

Usage

To place a change to l4-session-count into effect,

a reboot is required.

A reload will not place this change into effect.

For changes to any of the other system resources,

a reload is required but a reboot is not required.</ref> ====

==== system resource-usage l4-session-count <ref>ACOS 5.2.1-P8 Command Line Interface Reference Guide

'''Usage'''

To place a change to l4-session-count into effect, a reboot is required.</ref> ====

==== cgnv6 resource-usage lsn-nat-addr-count <ref>cgnv6 resource-usage

https://documentation.a10networks.com/ACOS/414x/ACOS_4_1_4-GR1-P11/html/cliv6-Responsive%20HTML5/cliv6/cliv6_cgn_aka_lsn_cmds/cgnv6_resource-usage.htm?rhsearch=cgnv6%20resource-usage%20lsn-nat-addr-count&rhsyns=%20</ref> <ref><syntaxhighlight lang="diff">
(config)#cgnv6 resource-usage lsn-nat-addr-count 2048
Changes will come into effect next time you reload the Software.
</syntaxhighlight></ref> ====

* こちらはコマンドリファレンスに reload 必須との記載が無いが、コマンドを打つと reload が必要と出てくる

==== system promiscuous-mode ====

==== system-jumbo-global enable-jumbo ====

* non-FTA モデルでは変更時に reboot が必要 <ref>ACOS5.2.1-P8

Command_Line_Interface_Reference.pdf

NOTE:

On non-FTA models, after you enable (or disable) jumbo frame support, you must save the configuration (write memory command) and reboot (reboot command) to place the change into effect.</ref>

== Extreme VSP ==

==== boot config flags spbm-config-mode <ref>[https://documentation.extremenetworks.com/VOSS/SW/89/VOSSUserGuide/GUID-DCBDDD6D-57E4-486A-83A9-4D33886AA891.shtml#GUID-CD735C3D-7B32-466C-BB24-973CDB3B8C94 Virtual interswitch trunk (vIST)]
enable
configure terminal
no boot config flags spbm-config-mode
Save the configuration and reboot the switch.</ref> ====

==== boot config flags advanced-feature-bandwidth-reservation <ref>[https://documentation.extremenetworks.com/FABRICENGINE/SW/810/FabricEngineUserGuide/GUID-E463D2F1-8B68-4E81-8434-36C2114F13C7.shtml If you change the configuration, you must save the configuration, and then reboot the switch for the change to take effect.]</ref> ====
* 他の boot config flags コマンドも再起動が必要なものがある

== Apresia NP ==

==== counter-mode txdiscard only-buffer-overflow <ref>[https://www.apresia.jp/products/ent/support/docs/CommandReference_AEOS8.42_TD61-7819.pdf CommandReference_AEOS8.42_TD61-7819.pdf]

カウンターモードを変更した場合は、必ず、装置を再起動してください。再起動するまでは、カウンターの値が正常に表示されません。</ref> ====

==== license erase <ref>[https://www.apresia.jp/products/ent/support/docs/CommandReference_AEOS8.42_TD61-7819.pdf CommandReference_AEOS8.42_TD61-7819.pdf]

<code>(config)# license l3 erase Layer3 license erase? (y/n): y License information was erased. The license for Layer3 will be invalid after rebooting.</code></ref> ====

== リファレンス ==
<references />
[[カテゴリ:その他]]

2025-08-21 お仕事リスト

2026-04-09T03:08:17Z

Hkatou: Hkatou がページ「2025-08-21 お仕事リスト」を「2026-04-09 お仕事リスト」に移動しました: telco クラウドを追記

#転送 [[2026-04-09 お仕事リスト]]

2026-04-09 お仕事リスト

2026-04-09T03:08:17Z

Hkatou: Hkatou がページ「2025-08-21 お仕事リスト」を「2026-04-09 お仕事リスト」に移動しました: telco クラウドを追記

筆者のネットワークエンジニアとしてのお仕事履歴をまとめるページです。

== 資格リスト ==
{| class="wikitable"
|+資格リスト
!
!取得年度
!備考
|-
|基本情報技術者 (2005年4月取得)
|2005/04
|選択 : C 言語
|-
|シスコ認定技術者(CCNA)
|2005 ?
|v2.5 と 3.0 の過渡期にネットワークアカデミーを受講
|-
|テクニカルエンジニア(ネットワ－ク) （2008年12月取得）
|2008/12
|2025 年現在のネットワークスペシャリスト試験に相当
|}

== 職歴 ==
{| class="wikitable"
|+
職歴
!
!役割
!職位
!開始
!終了
!業務内容
|-
|ネットワーク機器ベンダー
|カスタマーサポートエンジニア
|メンバー
|2008/04
|2011/03
|月に最大 25 件のサービスリクエストを対応
|-
|国内製造業
|ネットワークエンジニア
|メンバー
|2011/03
|2011/08
|社内ネットワークの運用を対応
|-
|ネットワークインテグレータ
|ネットワークエンジニア
|技術リーダー
プロジェクトリーダー
|2012/03
|現職
|チーム立ち上げ時から参画し、ネットワーク機器のプリセールス・設計・構築 (・保守) を担当
チームの作業品質に責任を持つ
|}

== プロダクトリスト ==
{| class="wikitable"
|+扱ったことのあるプロダクトリスト
!
!
!ローエンド
!ミッドレンジ
!ハイエンド
!ウルトラハイエンド
|-
|ADVA / Adtran
|ROADM 対応 WDM
|
|FSP3000R7 , SH1R
|
|
|-
| rowspan="8" |Cisco
|ルータ
|Cisco 800 , 1700 , 1800 , 1900 , 2900 , '''ISR4200 、C8200L'''
|'''Cisco7200 , 3600 , 3700 , 3800 , 3900 , ISR4300 , 4400''' , ASR903 , ASR907 , ASR920
|'''ASR1001/X , ASR9001''' ''', 9901 ,''' ASR9903
|GSR12000 , ASR9004 , ASR9904
|-
|CMTS
|'''uBR7225'''
|'''uBR10012'''
|'''cBR-8'''
|<nowiki>-</nowiki>
|-
|キャンパス
スイッチ
|Catalyst 2950 , 2970 , '''2960'''/G/'''S'''/L/'''X''' , 3560/G/X , '''3750/G/X''' , '''3650''' , '''3850/XS''' , '''1000''' , '''9300'''
|'''Catalyst 4500/X''' ''', 4948E , 9500/H'''
|'''Catalyst 6500 , 6800'''
|<nowiki>-</nowiki>
|-
|DC
スイッチ
| -
|'''Nexus 9300'''
|Nexus 7000
|
|-
|ファイアウォール
|VPN : ASA5505 , 5508-X , 5512 , 5515
VPN : FPR1k
|DMZ FW : ASA5525-X , '''5555-X , FPR2110 (ASA)'''
VPN : FPR2k , 3k
|VPN : ASA5585-X
|
|-
|DHCP サーバ
|
|'''CNR , PNR'''
|
|
|-
|WLAN
|Catalyst 9115
|Catalyst 9800
|
|
|-
|セキュリティ
|
|ISE
|
|
|-
|
|
|
|
|
|
|-
|Dell
|スイッチ
|
|S5232F-ON (TR3) , Z9664F-ON (TH4)
|
|
|-
|
|
|
|
|
|
|-
|Extreme (旧 Avaya)
|DC
スイッチ
|
|VSP7400 (VOSS)
|
|
|-
|
|
|
|
|
|
|-
| rowspan="3" |Juniper
|ルータ
|
|MX80 , '''MX204'''
|
|
|-
|ファイアウォール
|FW : SRX300
|
|
|
|-
|IPv6 PoC 用 NAT 装置
|NAT : SSG
|
|
|
|-
|
|
|
|
|
|
|-
|NOKIA (旧アルカテル)
|ルータ
|
|7750-SR2e
|
|
|-
|
|
|
|
|
|
|-
|Arista
|DC
スイッチ
|DCS-7010T
|'''DCS-7050SX3'''
DCS-7280SR3

Cloud Vision Portal
|
|
|-
|
|
|
|
|
|
|-
|Alaxala
|
|
|AX3600S
|
|
|-
|
|
|
|
|
|
|-
|Apresia
|
|
|AP15000
|
|
|-
|
|
|
|
|
|
|-
| rowspan="2" |A10
|CGN
|
|'''Thunder3030-CGN , 3040-CFW'''
|'''TH5840-11'''
|
|-
|TPS
|
|TH4435-TPS
|
|
|-
|
|
|
|
|
|
|-
|Paloalto
|ファイアウォール
|
|NGFW : PA-5050 (vsys)
|
|
|-
|F5
|ロードバランサ
|BIG-IP i850-LTM
|
|
|
|-
|
|
|
|
|
|
|-
|Genie
|NMS
|Genie-ATM
|
|
|
|-
|
|
|
|
|
|
|-
| rowspan="2" |CentOS
|DHCPv6 サーバ
|IPv6 PoC 検証用 DHCPv6 サーバ
|
|
|
|-
|DNSv6 サーバ
|IPv6 PoC 検証用 DNSv6 (bind) サーバ
|
|
|
|-
|
|
|
|
|
|
|-
|FXC
|WDM / M/C
|LEX1881-2F
|'''LightEdge4020 , LEX1012-15 , LE200M'''
|
|
|-
|
|
|
|
|
|
|-
|IXIA
| rowspan="5" |トラフィックジェネレータ
|IxExplorer
|Ix Network
|IxLoad
|
|-
|Spirent
|
|TestCenter
|
|
|-
|Agilent
|
|N2X
|
|
|-
|Cisco
|Trex (CGN サイジング検証)
|
|
|
|-
|Xtramus
|NuDOG-301
|
|
|
|}
太字は設計から対応可能、一部はプリセールスも実績あり。

== プロトコルリスト ==
{| class="wikitable"
|+扱ったことのあるプロトコルリスト
!
!大項目
!小項目1
!小項目2
|-
| rowspan="6" |LAN スイッチング
|STP
|'''PVST+'''
|'''RSTP'''
|-
|LAG
|'''Arista MLAG'''
'''Nexus vPC'''

'''Avaya SMLT'''
|'''Cattalyst スタッククロススタックイーサチャネル'''
'''Cattalyst''' '''マルチシャーシイーサチャネル'''
|-
|'''FlexLink'''
FlexLink+
|Vlan ロードバランス
|
|-
|'''Storm Control'''
|
|
|-
|'''Cisco Catalyst QoS'''
|PQ
|CBWFQ
|-
|L2VPN
|BGP EVPN-VXLAN
|
|-
|
|
|
|
|-
| rowspan="9" |ルーティング
|Static
|Static v4 , v6
|
|-
|RIP
|
|
|-
|'''OSPF'''
|'''OSPFv2 , v3'''
|
|-
|IS-IS
|'''Avaya SPBm'''
|
|-
|'''BGP'''
|'''BGP4 , BGP v6'''
|'''MP-BGP , BGP-EVPN'''
|-
|MPLS
|EoMPLS
|VPLS / Pseudowire
|-
|マルチキャスト
|PIM-SSM
|
|-
|'''Cisco ルータ QoS'''
|PQ
|CBWFQ
|-
|FHRP
|'''HSRP (v4v6)'''
|VRRP
|-
|
|
|
|
|-
|AI/ML スイッチング
|QoS
|RoCEv2
|PFC / ECN
|-
|AI/ML ルーティング
|LB
|ARS (Adaptive Routing and Switching)
|
|-
|
|
|
|
|-
| rowspan="4" |IP アドレッシング
|NAT
|'''Cisco ルータ/ASA'''
'''送信元 NAT'''
|'''CGN'''
|-
| rowspan="3" |DHCP
|'''DHCP サーバ'''
|
|-
|DHCPv6 サーバ
|
|-
|DHCPv6-PD サーバ
|
|-
|
|
|
|
|-
| rowspan="2" |VPN
|IPsec
|Site-to-Site VPN
|ASA
|-
|SSL-VPN
|Remote Access VPN
|Firepower ASA
|-
|
|
|
|
|-
|FW
|AV
|WildFire
|
|-
|
|
|
|
|-
| rowspan="2" |高可用性
|Catalyst StackWise / -480
|'''Cat3750 Stack'''
'''Cat3850 Stack'''
|'''Cat9300 Stack'''
|-
|Catalyst StackWise Virtual
|'''Cat4500X VSS'''
'''Cat6500 VSS'''
|'''Cat9500 SWV'''
|}
複数回の経験がある・設計対応できるプロトコルは太字。

== ネットワーク設計 ==
{| class="wikitable"
|+設計
!大項目
!小項目
! colspan="4" |プロダクト or 案件例
|-
| rowspan="7" |機器選定
|BGP ルータ
|ASR9001
|'''MX204'''
|
|
|-
|コア/ディストリ/アクセススイッチ
|'''Cat9500/H'''
|'''Cat9300'''
'''C9300X'''
|'''Cat3850/XS'''
|
|-
|CGN
|'''TH3040-CFW'''
|'''TH5840-11'''
|
|
|-
|ファイアウォール
|'''ASA5555-X'''
|'''FPR2110 (ASA)'''
|
|
|-
|トランシーバ
|1/10/25/40/100G
|
|
|
|-
|WDM / M/C
|10/100G
|FXC
|
|
|-
|ブレークアウトパッチパネル
|40G -> 4x10G
|
|
|
|-
|
|
|
|
|
|
|-
| rowspan="3" |物理設計
|ポート設計
|ルータ・スイッチ・ファイアウォール
|
|
|
|-
|ラック図
|
|
|
|
|-
|配線手配
|ルータ・スイッチ・ファイアウォール
|
|
|
|-
|
|
|
|
|
|
|-
| rowspan="4" |論理設計
|Vlan ID 設計
|
|
|
|
|-
|IPv4 / IPv6 アドレッシング
|IPv6 ISP 設計・導入案件
|IPv6 DC 設計・導入案件
|
|
|-
|採番設計・サブネット分割
|IPv6 ISP 設計・導入案件
|
|
|
|-
|BGP IPv6 ルーティングデザイン
|公共系 IPv6 DCNW 案件
|
|
|
|-
|
|
|
|
|
|
|-
| rowspan="7" |セキュリティ設計
|ACL
|Catalyst
|
|
|
|-
|DDoS ミティゲーション
|TH4435-TPS
|
|
|
|-
|DMZ ファイアウォール
|'''ASA5555-X , FPR2110 (ASA)'''
|
|
|
|-
|プライベート Vlan
|'''Catalyst 2k,3k,4k,9k'''
|
|
|
|-
|IPoE , VPLS
|
|'''7750-SR2e'''
|
|
|-
|IPv4 プロキシ ARP
|'''Catalyst 2k,3k,4k,9k'''
|'''7750-SR2e'''
|
|
|-
|IPv6 IANA L3 セグメント分離
|'''Catalyst 9k'''
|'''7750-SR2e'''
|
|
|-
|
|
|
|
|
|
|-
| rowspan="4" |サイジング
|スイッチ FIB サイジング
|'''Cat9500/H'''
|
|
|
|-
|BGP ルータ FIB サイジング
|ASR9001
|'''MX204'''
|
|
|-
|IPv6 CPE TCAM サイジング
|'''Cat3850 , 9500/H'''
|
|
|
|-
|NAT プール / ポート数サイジング
|'''Thunder 3040S CFW'''
|
|
|
|-
|
|
|
|
|
|
|-
| rowspan="5" |全体設計
|帯域幅設計
|'''LAG'''
|'''ECMP'''
|FlexLink Vlan ロードバランシング
|
|-
|QoS 設計
|'''Catalyst 2k , 4k , 6k End-to-End QoS 設計'''
|出力キューバッファチューニング
|
|
|-
|移行設計
|スタティックルーティングマルチ VRF -> 単一デフォルト VRF
|'''ルータ/スイッチ/ファイアウォールリプレース'''
|'''DHCP サーバ''' '''リプレース'''
|'''IP リナンバリング'''
|-
|冗長設計
|'''ルーティング'''
|'''FHRP'''
|'''LAN スイッチング'''
|'''筐体間冗長'''
|-
|IPv6
|'''FTTH 用 IPv6 バックボーン設計・全体設計・セキュリティ設計'''
|
|
|
|}
複数回対応履歴のある設計は太字。

== 代表的な案件リスト (お仕事) ==
{| class="wikitable"
|+
代表的な案件リスト
!カテゴリ
!顧客
!件名
!プロダクト
!プリ
!設計
!構築
!保守
!備考
|-
| rowspan="3" |ポストセールスサポート
|EP
ISP
|ルータハードウェアサポート
|Cisco 1800,2600,2800,3600.3700,3800,7200,12000
|
|
|
|◯
|ハードウェア不具合とソフトウェア不具合の切り分け
再現試験
各不具合の詳細解析、ソースコード・既知不具合の調査
|-
|EP

ISP
|LAN スイッチハードウェアサポート
|Catalyst 2950,2960/G,3560/G/X,3750G/E/X,4500,4900M,6500
|
|
|
|◯
|〃
|-
|EP

ISP
|ルーティング・LAN プロトコルサポート
|〃
|
|
|
|◯
|不具合の再現検証・回避策調査、海外の開発エンジニアへエスカレーション、ソフトウェア不具合修正依頼
|-
|
|
|
|
|
|
|
|
|
|-
| rowspan="39" |設計・構築
|ISP
|CMTS 設計・構築
|Cisco uBR10012 , cBR-8
Arris C4 , E6000
|△
|◯
|◯
|
|ラインカードリプレース、新規シャーシ構築など
|-
|ISP
|LAN コアスイッチリプレース
|Catalyst 6500/6800 VSS , Catalyst 4500X VSS
|
|◯
|◯
|
|10 案件以上実績あり
ほぼすべて上位 BGP , 下位 OSPF
|-
|ISP
|集約 FTTH 用 LAN スイッチ・ルータ新規構築
|Catalyst 4500X VSS , 3850 Stack , 9500 SWV
Nokia 7750-SR2e
|
|◯
|◯
|◯
|10 案件以上実績あり
FTTH LAN スイッチ TCAM サイジング、全体設計、セキュリティ設計など
|-
|ISP
|FTTH 用 IPv6 バックボーン設計
|ASR9001 , Catalyst 6800 VSS , 4500X , 3850 , 9500
|△
|◯
|◯
|◯
|3 案件
|-
|ISP
|BGP CE ルータリプレース
|MLX4e -> Catalyst 4500X
CMTS (CPE IP 収容)
|
|◯
|◯
|
|30 万 IPv4 収容ルータのリプレースと CPE IP 正常性確認
|-
|ISP
|BGP ルータ新規導入
|ASR9001 , MX204
|◯
|◯
|◯
|◯
|FIB サイジング、全体設計、Cisco と Juniper の設計すり合わせ -> 基本設計の落とし込みなど
|-
|ISP
|'''大規模 NW 統合案件'''
|Catalyst 3750 , 4500X , 6500 , uBR , C4 , etc
|
|△
|◯
|
|合計 600-1200 万程度の IPv4 リナンバリング、移行詳細設計・切り替え
|-
|ISP
|DHCP サーバ切り替え・新規設計 / 構築
|Cisco CNR , PNR , Infoblox
|
|◯
|◯
|
|モデム・CPE アドレス用 DHCP サーバのリプレース、新規設計・構築
|-
|ISP
|'''コアネットワーク切り替え'''
|Catalyst 6800 , 4500X , 3850 , A10 CGN , uBR
|◯
|◯
|◯
|◯
|Static IP WAN 回線 xN を、BGP AS の WAN 回線 x3 に全面切り替え
Static + Multi-VRF + PBR -> BGP + OSPF 化でシンプルに
|-
|ISP
|センター拠点 x2 冗長化
|ASR9001 , MX204 , Catalyst 9500H SWV , 9500 , 4500X
|◯
|◯
|◯
|◯
|MX204 + C9500H でセンター拠点を複数に冗長化、切り替え
|-
|ISP
|DDoS ミティゲーション
|A10 Thunder TPS
|◯
|
|
|
|PoC 検証
|-
|ISP
|CGN 装置導入
|A10 Thunder 3030S CGN , 3040S CFW , 5840-11
|◯
|◯
|◯
|◯
|CGN 装置のサイジング・プリセールス、切り替え、N+1 クラスタ化など
|-
|ISP
|DMZ ファイアウォール設計構築
|ASA5555-X , FPR2110 (ASA)
|◯
|◯
|◯
|◯
|DNS , DHCP サーバ防御用 IPv4 / v6 対応ファイアウォール
|-
|ISP
|FTTH 用 CMTS , 10G L2 リング設計・構築
|uBR10012 , 7225 , Catalyst 3650 , 3850 , 2960X
|△
|◯
|◯
|
|CMTS OSPF 化、Catalyst RSTP リング設計・構築
|-
|ISP
|IX 用 L2SW 構築
|VSP7400
|
|△
|◯
|
|IS-IS で冗長化、マルチシャーシ LAG、英語保守ドキュメント作成
|-
|ISP
|WDM Version Up
|FSP3000R7
|
|
|△
|
|Verup 検証、現地作業
メンバーとして参加
|-
|ISP
|運用サポート・プリセールス
|ASR9001 , MX204 , Catalyst9500 , FirePower2K(ASA)
|◯
|
|
|◯
|運用相談、トラブル対応、機器選定、基本設計
|-
|ISP
|BGP ルータ Verup
|MX204
|◯
|
|◯
|
|脆弱性調査、Verup 互換性調査、動作検証、現地作業
|-
|ISP
|FW Verup
|FirePower2K(ASA)
|◯
|
|◯
|
|脆弱性調査、Verup 互換性調査、動作検証、現地作業
|-
|ISP
|L2SW ダウンサイジング
|Catalyst 6800 x2 VSS 1G Linecard -> Catalyst 9200L x2 Stack
|◯
|◯
|◯
|
|L2SW 化した旧コアスイッチを、サイジング・キャパシティ調査して低コストの機器へリプレース
|-
|ISP
|100G コアスイッチ設計・構築
|Catalyst 9500H
|◯
|◯
|◯
|
|40G -> 4x10G ブレークアウトを含む、100G 32 ポートスイッチのプリセールス・新規設計・導入
|-
|ISP
|法人向け VPN FW リプレース
|FPR1k , 2k , 3k (ASA)
|
|◯
|◯
|
|検証環境の作成、負荷試験をメインに担当
|-
|ISP
|FTTH 用バックボーン・ユーザ GW スイッチリプレース提案
|Catalyst 4500X -> 9300X , 9500H
|◯
|
|
|
|現行 NW のサイジング調査、移行先機器選定、機器・役務見積もり
|-
|ISP
|DC 移転・移行作業
|MX204 , Catalyst 9500H , A10 Thunder , FirePower2K(ASA) , ISR4K , 遠距離用トランシーバ
|◯
|◯
|◯
|
|移行設計素案・詳細版作成、新規導入機器見積もり、新規導入機能設計、検証、現地作業など
|-
|ISP
|BGP ルータセキュリティ設計
|MX204
|
|◯
|◯
|◯
|uRPF + Firewall Filter + Route Filter で詐称 IP をブロック
対応パターンの一覧化と対策立案、検証、切替
|-
|
|
|
|
|
|
|
|
|-
|DC
|法人回線用 LAN スイッチ構築
|Apresia AP15000
|
|
|◯
|
|MLAG / MMRP-Plus 検証、構築
|-
|DC
|HaaS NW
|Arist DCS 7050SX3 , 7010T , SRX300 , MX204
合計 50 台くらい
|
|△
|◯
|
|BGP EVPN VXLAN + 相互接続ルータ・FW の一部設計・構築・検証
|-
|DC
|telco クラウド POD 増設
|ASR9901 , ASR1001X , Nexus 9300 , Catalyst 9300
|
|△
|◯
|
|相互接続ルータ、インターネットゲートウェイルータ、BGP EVPN-VXLAN , 管理 NW の構築
|-
|DC
|ルーティングプロトコル移行
|Catalyst 3650 , 2960X
|
|◯
|◯
|
|RIP / Static の環境から、OSPF のダイナミックルーティングへ移行設計・切り替え
1 回目は失敗・切り戻し、2 回目で成功
|-
|DC
|CVP 導入
|Arista CVP
|
|
|◯
|
|NW 可視化・GUI から複数台設定変更の PoC
|-
|DC
|IPv6 設計
|Nexus9000 , FirePower1K(ASA) , Catalyst 9200
|
|◯
|
|
|各機器実装調査、セキュリティ機能動作検証、ルーティング設計
|-
|DC
|BGP IPv6 PoC 検証・プリセールス
|Catalyst 9300 , 9500X
|◯
|◯
|
|
|機器仕様調査、BGP ルートリーク検証、BGP 冗長検証、GIR 機能検証
仮想環境を用いてルーティング / スイッチングのデザイン検証を実施
|-
|DC
|telco クラウド基盤構築
|Nexus 9300 , FirePower1K(ASA) , A10 1060 ADC
|
|
|◯
|
|管理系・外接 L3GW 構築、現地試験、作業標準化、トラブルシュートをメインに担当
|-
|
|
|
|
|
|
|
|
|-
|EP
|東西接続 MPLS WAN ルータ
|ASR9004 , Alaxala AX3600S
|
|△
|◯
|
|MPLS + EoMPLS で 10G 回線に多数の L3SW を東西間接続
|-
|EP
|広域接続 MPLS WAN ルータ
|ASR9004 , 9001 , ASR1001-X
|
|△
|◯
|
|広域 MPLS L2VPN , L3VPN の PoC 検証
|-
|
|
|
|
|
|
|
|
|-
|PUB
|VDI インフラ Verup
|F5 BIG-IP LTM , Nexus9000
|
|
|◯
|
|Verup 互換性調査、検証、現地作業
|-
|
|
|
|
|
|
|
|
|
|}
ISP : インターネットサービスプロバイダー

DC : データセンター

EP : エンタープライズ

PUB : パブリック (公共系)

== プライベートネットワーク (誤家庭) ==

=== 種別 ===
RT : ルータ

SW : スイッチ

FW : ファイアウォール

SV : サーバ

=== 代表的な案件リスト ===
{| class="wikitable"
|+
代表的な案件リスト
!
!種別
!件名
!プロダクト
!備考
|-
| rowspan="8" |西日本
|SV
|公開 Web サーバ導入
|CentOS 7 + Apache + DRBD + HA
|この Wiki が動いていたサーバ
CentOS 7 が老朽化しているため、Wiki としては退役済み
|-
|SV
|公開 Web サーバリプレース
|CentOS 9 + Apache
|この Wiki が動いているサーバ
|-
|RT
|BGP ルータ導入
|ER-X x2
|管理系セグメントのルータに転用済み
|-
|RT
|WAN ルータリプレース
BGP ルータ VM 化
|VyOS ベアメタル

VyOS VM
|PPPoE で外部向けサーバ用ルータ
IPoE で内部クライアント向けルータ
|-
|RT
|管理系 MPLS BGP-EVPN 導入
|C8000V x2
|東日本と接続
IPv6 FlexVPN 経由
|-
|SW
|コア L2SW 導入
|EX2200-C-12T-2G x2 Vritual Chassis
|
|-
|SW
|コア L3SW リプレース
|WS-C3850-24T x2 Stack
|10G Ready
|-
|AP
|Wireless AP 導入
|AP2702 x2
|自律モード
|-
|
|
|
|
|
|-
| rowspan="23" |東日本
|SW
|レイヤ 3 スイッチ導入
|WS-C3560-8PC
|
|-
|RT
|ブランチルータ導入
|CISCO1812J
|
|-
|FW
|ファイアウォール導入
|SRX210H-PoE
|
|-
|FW
|ファイアウォールリプレース
|SRX240H-PoE x2
|SRX210 を西日本へ移設して、IPsec-VPN で接続
|-
|SW
|管理系 L3 スイッチ導入
|WS-C3750-24T
|
|-
|SV
|コンパクト 10G サーバ導入
|E300-9A
|10G のトラフィックジェネレータを作りたかった
|-
|SW
|コア L3 スイッチ導入
|WS-C3750G-24T
|
|-
|SW
|コア L3 スイッチ 10G 冗長化リプレース
|WS-C3560CX-12XPD x2
|
|-
|SW
|ディストリスイッチ冗長化
|WS-C3750G-24T x2 Stack
|
|-
|SV
|コンパクト 10G サーバ導入
|ThinkCentre M720q
|
|-
|NAS
|Synology 1G NAS 導入
|DS-216j
|
|-
|NAS
|Synology 10G NAS 導入
|DS-1618+
|西日本の VM を遠隔バックアップ
|-
|CON
|コンソールサーバ導入
|DiGi CM 48
|
|-
|SV
|HPC サーバ導入
|Ivy Bridge-EP x2 Server
|ESXi , EVE-NG で DC 検証
|-
|RT
|コンパクトルータ導入
|ER-X x2
|西日本と接続
|-
|RT
|管理系 MPLS BGP-EVPN 導入
|C8000V x2
|西日本と接続
IPv6 FlexVPN 経由
|-
|SW
|ディストリスイッチリプレース
|WS-C3850-24T x2 Stack
|アップリンクを 10G 化
|-
|AP
|Wireless AP 導入
|AP1702
|
|-
|SV
|DNS ブロッカー導入
|Raspberry PI4 + PI-hole
|
|-
|SV
|DNS ブロッカーリプレース
|CentOS 8 + PI-hole
|
|-
|SV
|DHCP サーバリプレース
|ISC-DHCP -> kea-dhcp4
|
|-
|RT/SW
|検証用ラック導入
|ER-X
<s>EX2200-C-12T-2G</s>

WS-C3560-8PC

Raspberry PI4

AP7901

Ivy Bridge-EP x2 Server

<s>SRX240H-PoE</s>

SRX300 x2

WS-C3850-24T x4
|OSPF だろうが BGP だろうがお金次第でなんでもやってのける命知らず。
ラボでならした俺たち検証部隊は、濡れ衣を着せられ当局に雇用されたが、<s>刑務所</s> プロジェクトルームを脱出し地下に潜った。

しかし、地下でくすぶっているような俺たちじゃあない。
機器さえ揃えりゃ金次第でどんなプロトコルだって検証してのける命知らず。不可能を可能にし、巨大な障害を粉砕する、俺たち特攻野郎 A チーム。
{| class="wikitable"
|'''～SRX300～'''
俺はリーダー、SRX300 , 通称 SRX. セキュリティと VPN の名人。俺のような天才アプライアンスでなけりゃ、百戦錬磨の強者どものリーダーは務まらん。
|-
|'''～WS-C3560-8PC～'''
俺は Catalyst 3560、通称 3560。自慢のコンパクトさにエンジニアはみんなイチコロさ。はったりかまして、OSPF から BGP まで何でも揃えてみせるぜ。
|-
|'''～Server～'''
お待ちどう ! SuperMicro Server、通称 SuperServer だ。CPU コア数とメモリ容量は天下一品。奇人 ? 変人 ? だから何 ?
|-
|'''～WS-C3850-24T～'''
Catalyst 3850、通称 3850. スイッチングの天才だ。ラージエンタープライズ企業でもぶん殴ってみせらあ。……でも、JTC だけは勘弁な。
|-
|俺たちは道理の通らぬ予算にあえて挑戦する、頼りになる神出鬼没の特攻野郎 A チーム。助けを借りたい時は、いつでも言ってくれ。
|}
|-
|SW
|デスク用 10G スイッチ導入
|XikeStor SKS8300-8X
|[[2023-12-21 中華な 8x10G L3 スイッチを買ってみた]]
|-
|
|
|
|
|
|-
|
|
|
|
|
|}
[[カテゴリ:その他]]

2026-03-29T22:31:35Z

Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

基本的に ASA OS のみで、FTD はあまり扱いません。

== Cisco コミュニティのまとめページ ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB-%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161736 ファイアウォールトラブルシューティング]

== Firepower のアーキテクチャ ==
FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。

[https://www.cisco.com/c/ja_jp/support/docs/security/firepower-ngfw/214572-firepower-data-path-troubleshooting-ove.html Firepowerデータパスのトラブルシューティング：概要]<syntaxhighlight lang="diff">
2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能（Snort、
URLフィルタリングなど）はすべて従来のx86アーキテクチャ上で実行されます。

</syntaxhighlight>

=== 2025/03 更新 ===
2022 年に発売された、Secure Fairewall 3100 / 4200 は FPGA と Nitrox V 暗号化アクセラレータを搭載したため、この機種は新たにハードウェア転送可能となった。

暗号化・復号化のパフォーマンスがかなり向上しているとのこと。 <ref>[https://gblogs.cisco.com/jp/2022/04/security-the-wait-is-over-for-secure-firewall-3100-series/ Secure Firewall 3100 シリーズが満を持して登場]

この FPGA には（「業界初」、特許取得済みの）次世代フローオフロードエンジンが搭載されており、超高速のシングルフロースループットと高性能コンピューティンググレードの低遅延を実現しています。</ref> <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/fe-fz-commands.html#wp2115547726 flow-offload-dtls]

Cisco Secure Firewall 4200 および 3100 シリーズデバイスは、FPGA および Nitrox V 暗号化アクセラレータを使用して、DTLS 暗号化アクセラレーションをサポートします。</ref>

== ASA と Firepower の違い ==

=== ASA ===
以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower 上でも ASA OS として動作させることが可能な製品が存在する。

=== Firepower ===
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。

Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。

* ASA アプライアンスモード
** レイヤ 4 までのフィルタリング、VPN 機能などを備える
** ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW や S2S / リモート VPN 装置に向いている
** ASA のコンフィグや運用は、ほぼそのまま踏襲可能
* FTD プラットフォームモード
** レイヤ 7 までを含み、脅威の監査などを行う
** IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。

=== 動作モード ===
機種によっても動作可能なモードが異なり、両対応の場合は再イメージで ASA <-> FTD のモード変更を行うことが可能。<ref>[https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html Cisco Secure Firewall ASA and Threat Defense Reimage Guide]</ref>

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

* Cisco Firepower 1000 シリーズ : ASA アプライアンスモード
* Cisco Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォームモード
* Cisco Secure Firewall 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォームモード
* Cisco Secure Firewall 4200 シリーズ : ASA アプライアンスモード、FTD プラットフォームモード
* Cisco Firepower 4100 シリーズ : FTD プラットフォームモード
* Cisco Firepower 9300 シリーズ : FTD プラットフォームモード
機能によってはどちらかの OS でのみ対応する場合がある。

=== Firepower Management Center (FMC) ===

=== Cisco Defense Orchestrator (CDO) ===

=== 再イメージ ===
ASA OS <-> FTD OS を切り替える作業のこと。詳細は以下のドキュメントが詳しい。

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower1000/2100/3100シリーズ: ASA（Appliance Mode）と FTD間のリイメージ手順について]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower Threat Defense（FTD）管理インターフェイスの設定]

== 冗長化 ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-health-monitoring%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3157060 ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて]

* FO Link が全断しても、Data Link 経由でステータスを比較する

* Active / Standby が継続し、デュアルアクティブ障害にはならない

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90-act-stby-%E3%81%A7-active%E6%A9%9F%E3%81%A8standby%E6%A9%9F%E3%81%AE%E5%86%8D%E8%B5%B7%E5%8B%95%E6%96%B9%E6%B3%95-cli/ta-p/3166724 ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-failover-%E3%82%B1%E3%83%BC%E3%82%B9%E5%88%A5%E3%81%AEgarp%E9%80%81%E4%BB%98%E6%9C%89%E7%84%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3224179 ASA Failover: ケース別のGARP送付有無について]

* NAT するなら仮想 MAC を持たせる

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-redundant-interface%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B%E3%81%A8%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D/ta-p/3164055 ASA: Redundant Interfaceの設定例と動作確認]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa5500-x-internet-firewall-%E8%A8%AD%E5%AE%9A%E4%BE%8B-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90/ta-p/3165703 ASA5500-X: Internet Firewall 設定例 (冗長構成)]

== ルーティング ==
Firewall はスタティックルーティングで導入するケースが多く、あまりダイナミックルーティングでは導入されない。

理由としては以下が挙げられる。

* ルーティングで経路が切り替わった時、別のゾーンやセキュリティレベルからトラフィックを受信すると、フィルタリングの挙動も変化してしまう

ダイナミックルーティングで導入するのであれば、LAG で冗長を取るようにして、ルーティングの経路切替は行わせないようなデザインが推奨と言える。

=== Loopback ===
Loopback インターフェースが 9.18(2) からサポートされた。

== パフォーマンスチューニング ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9vpn-%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E6%9C%80%E9%81%A9%E5%8C%96%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%83%99%E3%82%B9%E3%83%88%E3%83%97%E3%83%A9%E3%82%AF%E3%83%86%E3%82%A3%E3%82%B9-anyconnect/ta-p/4061565 ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)]

* Firepower は暗号化エンジン + CPU コア数でぶん殴っている
* シングルフローで VPN 接続のスループット測定はできない
** パフォーマンス測定をするには、AnyConnect 接続が数十 - 数百必要な場合もある

[https://ngfwpe.cisco.com/dashboard?code=9YXXyw2MavnBz0zrCSiI34jgvTvUHiWnejMBPXjc8D4&state=1234 Firewall Performance Estimator]

== FMC 環境下のバックアップ・リストア ==
FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。

また、機能によってはリストアに対応しない機能もあります。

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-6-3%E4%BB%A5%E9%99%8D-ftd%E3%81%AE%E3%83%90%E3%83%83%E3%82%AF%E3%82%A2%E3%83%83%E3%83%97%E3%81%A8%E3%83%AA%E3%82%B9%E3%83%88%E3%82%A2%E6%96%B9%E6%B3%95-fmc%E7%AE%A1%E7%90%86%E6%99%82/ta-p/3945173 Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)]<syntaxhighlight lang="diff">
・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です
</syntaxhighlight>

== 注意するべき内容 ==

=== Portchannel のステータスが ASA OS から確認できない ===
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
</syntaxhighlight>ASA から FXOS にターミナルを切り替えて、コマンドを実施します。

==== show portchannel summary (上記 URL から引用) ====
<syntaxhighlight lang="diff">
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------

Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------

1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
</syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。

=== 電源 off / 再起動は明示的に実施する ===
Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動は FXOS のコマンドや GUI から明示的に実施する必要があります。

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%A8-ftd%E3%81%A8-firepower-module%E3%81%AE-%E5%86%8D%E8%B5%B7%E5%8B%95%E6%89%8B%E9%A0%86/ta-p/3162141#toc-hId-1745265720 Firepower System: FMCと FTDと FirePOWER Moduleの再起動手順]<syntaxhighlight lang="diff">
Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの再起動やシステム停止は避けてください。設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
</syntaxhighlight>ちなみに ASA アプライアンスモード中に電源スイッチで off にした場合、シャットダウンスクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。

データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。

==== ASA 再起動 ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。

FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel: Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca

6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
--- 略 ---
</syntaxhighlight>

==== ASA シャットダウン ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)

FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
--- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes
</syntaxhighlight>

==== FTD 再起動 ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165][https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。

firepower# connect ftd
>
>
> reboot
</syntaxhighlight>

==== FTD シャットダウン ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。

> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES
</syntaxhighlight>

=== インターフェースモードのパッシブコマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニターモードを意味する ===
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager バージョン 6.4.0 用）]<syntaxhighlight lang="diff">
インターフェイスモード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッドインターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブインターフェイスは、スイッチ SPAN（スイッチドポートアナライザ）またはミラーポートを使用してネットワーク全体を流れるトラフィックをモニタします。

</syntaxhighlight>

=== FMC から FTD が削除できない ===
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]

=== ASA の Port-channel はシャーシまたぎに対応しない ===
Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。

ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。
Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2
ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。

* ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある
* Catalyst も Po1 でコンフィグが Stack により共通化されるが、Po1 の存在は Catalyst#1 と #2 で共通 (=シャーシまたぎ) となっている

=== FPR1010 の Vlan ID 制限 ===
3968 〜 4047 は Firepower 内部で使用するため、使用できない。 <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa916/release/notes/asarn916.html Cisco ASA シリーズ 9.16(x) リリースノート]

'''Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性'''：9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。</ref>

=== 低セキュリティ暗号によるプロトコルの廃止 ===

==== ASA OS 9.13 以降 ====
以下が廃止となっている。削除は 9.14(1) <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/vpn/asa-914-vpn-config/vpn-remote-access.html#ID-2444-0000029b リモートアクセス IPSec VPN]

以降のリリース 9.14(1) で削除されます。</ref> から。

* '''[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa913/release/notes/asarn913.html#reference_yw3_ngz_vhb 低セキュリティの暗号の廃止]''' 例としては以下
* IKEv1 : hash md5 / des / 3des / DH group 2 , 5
* IKEv2 : integrity md5 / prf md5 / DH group 2 , 5 , 24 , des , 3des
* IPsec : des , 3des , md5-hmac

==== ASA OS 9.16 以降 ====
以下の方式 / プロトコルが使用不可となった。

* 2048 ビットよりも小さい RSA <ref>'''[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa916/release/notes/asarn916.html Cisco ASA シリーズ 9.16(x) リリースノート]'''

'''2048 よりも小さい RSA キーは、9.16(1) では生成できません'''</ref>
* SSH バージョン 1 <ref>'''[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa916/release/notes/asarn916.html Cisco ASA シリーズ 9.16(x) リリースノート]'''

'''ssh version コマンドは 9.16(1) で削除されました'''</ref>
* DH Group 2 , 5 , 24 <ref>'''[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa916/release/notes/asarn916.html Cisco ASA シリーズ 9.16(x) リリースノート]'''

'''9.16(1) では DH グループ 2、5、24 はサポートされません'''：SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。'''ssl dh-group'''コマンドが更新され、コマンドオプション '''group2'''、'''group5'''および'''group24'''が削除されました。</ref>

== 切り替え時間短縮 TIPS ==
NAT 環境では仮想 MAC を使用する。

* 参考 : [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-health-monitoring%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3157060#toc-hId-1504264965 5. データ処理用Interfaceの仮想MACアドレスの利用について (NAT利用時)]

ブリッジグループまたは IPv6 DAD を使用する場合、failover wait-disable を設定する。

* 参考 : [https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa915/release/notes/asarn915.html フェールオーバー遅延の無効化]

== CLI ==

=== FTD / ASA を移動する ===
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-ftd-os%E3%81%AE%E6%A7%8B%E9%80%A0%E3%81%A8%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%81%AE%E7%A7%BB%E5%8B%95%E6%96%B9%E6%B3%95/ta-p/3303659 FXOS: FTD: OSの構造とコマンドプロンプトの移動方法]

=== FTD から ASA に CLI を変更し、ping 試験を行う ===
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/ftd-cli%E3%81%8B%E3%82%89%E3%81%AEping%E8%A9%A6%E9%A8%93%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3164950 FTD: CLIからのPING試験について]<syntaxhighlight lang="diff">
system support diagnostic-cli
</syntaxhighlight>

== 推奨バージョン ==
[[推奨バージョンまとめ#ASA / FirePower]] を参照。

== Verup ==
ASA OS は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。

両系を同時に再起動することなく、Verup することができる。

[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド]

* 日本語版は情報が古いため、英語版の [https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/planning.html Cisco Secure Firewall ASA Upgrade Guide] を参照したほうが良い

* Upgrade Path でターゲット Version へ移行できるか (=異バージョンで冗長が組めるか) 確認可能

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイフェールオーバーペアのアップグレード]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-asa%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4736810 Firepower1000/2100: ASAのアップグレードについて]

== 注意するべきデフォルトの動作 ==

=== 同一セキュリティレベル間の通信はフィルタリングされる ===
<blockquote>[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/217679-asa-access-control-list-configuration-ex.html シナリオ 5.同じセキュリティレベルのインターフェイス間でのトラフィックの通過を許可する]

デフォルトでは、同じセキュリティレベルのインターフェイス間を通過するトラフィックはブロックされます。セキュリティレベルが等しいインターフェイス間の通信を許可するか、トラフィックが同じインターフェイスから発着信できるようにするには（ヘアピン/Uターン）、グローバルコンフィギュレーションモードで'''same-security-traffic'''コマンドを使用します。

次のコマンドは、同じセキュリティレベルを持つ異なるインターフェイス間の通信を許可する方法を示しています。
same-security-traffic permit inter-interface
次の例は、同じインターフェイスで送受信される通信を許可する方法を示しています。
same-security-traffic permit intra-interface
</blockquote>

=== ステートフルパケットインスペクション (SPI) ===
様々なプロトコルが検査され、RFC に準拠していないパケットは破棄される。

特に DNS はデフォルトのインスペクションが現実と合わなくなっているため、変更は必須。<blockquote>[https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500-xnext-generationf/cg/004/asa-firewall-cli/inspect-basic.html 基本インターネットプロトコルのインスペクション]

==== DNS インスペクションのデフォルト ====
DNS インスペクションは、次のような preset_dns_map インスペクションクラスマップを使用して、デフォルトでイネーブルになっています。

• 最大 DNS メッセージ長は、512 バイトです。</blockquote><blockquote>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/dnssec-%E3%81%AE-asa-%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3123766 DNSSEC の ASA サポートについて]

DNSSEC では DNS サーバが電子署名付きの応答を送信しますが、ASA のデフォルト設定では 512 bytes までしか検査しないため、DNSSEC のパケットを破棄してしまいます。

ciscoasa(config)# '''show running-config policy-map'''

!

policy-map type inspect dns preset_dns_map

parameters

'''message-length maximum 512'''

対応策としては、CSCta35563 で ASA の新しいコマンドが用意され、DNSSEC を対応できるようになっています。

CSCta35563

EDNS0 - Default length for UDP DNS should be increased due to DNSSEC

policy-map type inspect dns preset_dns_map

parameters

'''message-length maximum client auto''' <-- CSCta35563で追加された新しいコマンド

CSCta35563 より前のバージョンでの回避策は、デフォルトの policy-map を変更し、例えば 4096 bytes に増やすことです。

policy-map type inspect dns preset_dns_map

parameters

'''message-length maximum 4096'''</blockquote><blockquote>
=== JPNIC ===

=== [https://www.nic.ad.jp/ja/newsletter/No43/0800.html 3.1 DNS応答パケットサイズの増加] ===
DNSSECでは、応答パケットの中に署名情報が加わるため、従来のDNSと比べてパケットサイズが増大します。従来のDNSでUDPを用いる場合は、パケットサイズが512バイトまでと定められていますので、DNSSECを扱う場合には、この制限について対応する必要があります。扱えるパケットサイズを512バイトより大きくできる、EDNS0という技術を用いることができますが、さらにこのサイズをも超えてしまった場合およびEDNS0を使用できない場合には、TCPにてメッセージをやりとりすることになります。</blockquote>

== threat-detection 脅威検出 ==

=== デフォルトの動作 ===
デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。<blockquote>CLI ブック 2：Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa920/configuration/firewall/asa-920-firewall-config/conns-threat.html#ID-2132-0000006a 脅威検出のデフォルト]

* 表 2. 基本的な脅威の検出のデフォルト設定

* 基本脅威検出は、デフォルトでイネーブルになっています。

* これをディセーブルにするには no threat-detection basic-threat を使用します。

* 任意）攻撃元のホストを遮断する期間を設定します。
** threat-detection scanning-threat shun duration seconds

[https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html ASA脅威の検出機能と設定の確認]</blockquote>

=== ASA OS の threat-detection でパケットが遮断される場合の対処法 ===
ASA OS は threat-detection でパケットを遮断する場合がある。

好ましくないケースの例は、以下が挙げられる。

* 運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくない場合

* Verup などの停止作業
** DNS の再送などで大量のパケットがキューイングされる場合があり、しばらく通信ができなくなってしまう
** DNS サーバがルートサーバへ大量の問い合わせを行い、再送となったときに DoS と判断される閾値を超えた場合

以下で回避可能。

==== 除外する場合 ====
こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。
* show shun でエントリがあるか確認する

* 以下で shun の範囲から除外する

threat-detection scanning-threat shun except ip-address <IP> <mask>

==== 遮断をすぐに解除したい場合 ====
* [https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500nextgenerationfire/cr/001/cmdref80/c3.html#pgfId-2132414 clear threat-detection shun] <IP> で遮断のエントリを削除する

== 脆弱性・不具合情報 ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E6%B3%A8%E6%84%8F%E5%96%9A%E8%B5%B7-asa-9-16-ftd-7-0%E7%B3%BB%E3%81%AE-fpr2100-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%8C%E8%B5%B7%E5%8B%95%E5%BE%8C-125%E6%97%A5%E5%89%8D%E5%BE%8C%E3%81%A7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4999005 【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について]

* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh04730 CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted]
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvy81493 CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION']

[https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-icmpv6-t5TzqwNd Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability]

* CVE-2023-20086
* CSCwd77581

== 機能拡張 ==
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/roadmap/asa_new_features.html Cisco Secure Firewall ASA の新機能（リリース別）]

== パフォーマンス ==

=== crypto engineの最適化コマンド ===
ASA 5585、5580、5545/5555、ASASM、FP4110、FP4120、FP4140、FP4150、FP9300、SM-24、SM-36、および SM-44 に対応するコマンド。

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c5.html#pgfId-2455921 crypto engine accelerator-bias] で SSL 優先有無を設定可能<syntaxhighlight lang="diff">
crypto engine accelerator-bias ssl
</syntaxhighlight>SSL にコアを最適化する。
<syntaxhighlight lang="diff">
crypto engine accelerator-bias balanced
</syntaxhighlight>SSL と IPsec 両方にバランスよくコアを設定する。

=== オフロード ===

==== [https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/fe-fz-commands.html#wp1465167629 flow-offload enable] ====

* FPR4100 , 9300 で対応

==== [https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/fe-fz-commands.html#wp2623066496 flow-offload-ipsec] ====

* FPR3100 ではデフォルトで有効。
* 9.18(1) から対応

==== [https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/fe-fz-commands.html#wp2115547726 flow-offload-dtls] ====

* FPR3100 , 4200 で対応
* 9.22(1) から対応

==== [https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/fe-fz-commands.html#wp2316158549 flow-offload-dtls egress-optimization] ====

* FPR3100 , 4200 で対応
* 9.22(1) から対応

== リモートアクセス VPN ==
[https://www.cisco.com/c/ja_jp/support/docs/security/anyconnect-secure-mobility-client-v4x/222430-understanding-the-anyconnect-ssl-vpn-con.html AnyConnect SSL VPNの接続フローについて]

== デバッグ手法 ==

=== RADIUS ===

==== debug radius + test aaa-server ====
<syntaxhighlight lang="diff">
asav-0/pri/act(config)# test aaa-server authentication Radius-Grp host 172.16.$

INFO: Attempting AuthenticaRADIUS packet decode (authentication request)
tion test to IP address (172.16.0.101) (timeout: 10 seconds)
ERROR: Authentication Server not responding: No active server found
asav-0/pri/act(config)#
--------------------------------------
Raw packet data (length = 87).....
01 12 00 57 06 02 41 2c 05 f9 91 6f 9e 8e a8 1f | ...W..A,...o....
25 1a 7c 8d 01 0a 74 65 73 74 75 73 65 72 02 12 | %.|...testuser..
f5 ba a8 5d 20 4f ed 88 fc f5 67 23 8e 3a ee 64 | ...] O....g#.:.d
04 06 0a 00 00 06 05 06 00 00 00 12 3d 06 00 00 | ............=...
00 05 1a 15 00 00 00 09 01 0f 63 6f 61 2d 70 75 | ..........coa-pu
73 68 3d 74 72 75 65 | sh=true

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 18 (0x12)
Radius: Length = 87 (0x0057)
Radius: Vector: 0602412C05F9916F9E8EA81F251A7C8D
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) =
74 65 73 74 75 73 65 72 | testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
f5 ba a8 5d 20 4f ed 88 fc f5 67 23 8e 3a ee 64 | ...] O....g#.:.d
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.0.0.6 (0x0A000006)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x12
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 21 (0x15)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 15 (0x0F)
Radius: Value (String) =
63 6f 61 2d 70 75 73 68 3d 74 72 75 65 | coa-push=true
un all
</syntaxhighlight>

== 推奨バージョン ==
[[推奨バージョンまとめ#ASA / FirePower]]

== コマンドリスト ==
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。

作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。
{| class="wikitable"
|+Firepower ASA シリーズ事前・事後ログリスト
!大区分
!小区分
!コマンド
!備考
|-
|ターミナル設定
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1640149 terminal pager 0]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1701280 terminal monitor]
|
|-
|サポート
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s13.html#pgfId-1329992 show tech-support]
|
|-
|Common
|System Management
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1333320 show version]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s12.html#pgfId-1490934 show running-config]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/I-R/asa-command-ref-I-R/m_mf-mz.html#wp9874469650 more] system:running-config <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/ref-cli.html#ID-2118-000000c8 実行コンフィギュレーションの確認]

'''（注） '''多くのパスワードは ***** として表示されます。パスワードをプレーンテキストまたは暗号化された形式（マスターパスフレーズを有効にしている場合）で表示するには、'''more''' コマンドを使用します。</ref>

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519478 show logging]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1471958 show ntp associations]
|IOS-XE Version , ライセンス
動作中のコンフィグ

メモリに保存された log

NTP 同期
|-
| rowspan="2" |Layer1
|Hardware
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html?bookSearch=true#pgfId-1648516 show facility-alarm status]
|
|-
|Interface
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1497263 show interface]
|インターフェース
状態カウンタ

エラーカウンタ
|-
| rowspan="2" |Layer2
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1390991 show vlan]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519796 show mac address-table]
|Vlan
MAC アドレステーブル
|-
|Redundancy Protocol
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541047 show port-channel summary] (FX-OS)
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541660 show port-channel load-balance]
|ポートチャネル
負荷分散メソッド
|-
| rowspan="3" |Layer3
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1449611 show arp]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1498091 show interface ip brief]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1458997 show ipv6 neighbors]
|ARP エントリ
IP インターフェース一覧

IPv6 ネイバー
|-
|Security
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1448836 show ip access-lists]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1505394 show ipv6 access-list]
|IPv4 アクセスリスト
IPv6 アクセスリスト
|-
|Routing
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1534280 show route]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1524577 show ospf neighbor]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1817627 show bgp summary]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show bgp neighbor] x.x.x.x advertised-routes

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show ip bgp neighbor] x.x.x.x received-routes

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500797 show ipv6 route]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1569189 show ipv6 ospf neighbor]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500528 show ipv6 interface brief]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1922478 show bgp ipv6 summary]
|IPv4 ルート
OSPF ネイバー

BGP IPv4 ピア一覧

特定ピアの BGP 広報ルート

特定ピアの BGP 受信ルート

IPv4 ルート

IPv6 OSPF ネイバー

IPv6 インターフェース一覧

BGP IPv6 ピア一覧
|-
|High Availability
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1722599 show failover state]
|フェイルオーバー
|-
| rowspan="3" |ASA VPN
|Site-to-Site VPN
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487282 show crypto ikev1 sa]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487767 show crypto ikev2 sa]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1578311 show crypto ipsec sa]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1585923 show crypto isakmp sa]

show crypto ssl

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb l2l]
|セキュリティアソシエーション
|-
|Remote Access VPN
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2163364290 show vpn load-balancing]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2174186898 show vpn-sessiondb summary]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb anyconnect]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb failover]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb ra-ikev1-ipsec]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb ra-ikev2-ipsec]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb license-summary]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_u-show_z.html#wp2807501790 show vpn-sessiondb webvpn]
|
|-
|
|
|
|-
|ASA Threat-detection
|shun
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s12.html#pgfId-1315631 show shun]
|遮断エントリの表示
|-
|Authentication
|Radius
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/T-Z/asa-command-ref-T-Z/m_ta-tk.html#wp1274129074 test aaa-server authentication <aaa-server_name> host <Radius_IP> username <user> password <password>]
|Radius 認証のテスト
ASA は RFC 2058 に準拠してデフォルトで 1645 番ポートを使用する
RFC 2865 では 1812 番ポートを使用するように改められた <ref>[https://www.cisco.com/c/ja_jp/support/docs/security-vpn/remote-authentication-dial-user-service-radius/12433-32.html RADIUS の仕組みを調べる]

RADIUSの初期の導入ではUDPポート番号1645が使用されていましたが、これは「データメトリック」サービスと競合します。この競合が原因となり、<nowiki>RFC 2865</nowiki> は正式に RADIUS に対してポート番号 1812 を割り当てました。</ref>

|}
{| class="wikitable"
|+テストコマンド
!大区分
!小区分
!コマンド
!備考
|-
|Authentication
|Radius
|test aaa-server authentication <aaa-server_name> host <Radius_IP> username <user> password <password> <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/cisco-asa-radius%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9Fasa%E3%81%B8%E3%81%AE%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E8%A8%AD%E5%AE%9A%E3%81%A8%E6%B3%A8%E6%84%8F%E7%82%B9/ta-p/3296554 Cisco ASA：RADIUSを使ったASAへのログイン設定と注意点]</ref>
|Radius 認証のテスト
|}

== トラブルシューティング ==

=== Destination NAT (DNAT) と Source NAT (SNAT) の混在環境で、Source NAT が動作しません ===
NAT の設定順が間違っている可能性があります。

コンフィグ次第ですが、DNAT -> SNAT(SPAT) になっている必要があります。

* SNAT -> DNAT となっていた場合、DNAT の行きパケットは正常に処理されますが、戻りパケットが SNAT で別アドレスになってしまう危険があります

* もしくはアドレスレンジを DNAT と SNAT で分けましょう

詳細は以下にあります。<blockquote>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-nat%E3%83%AB%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E5%88%A5%E3%81%AE%E5%87%A6%E7%90%86%E3%81%AE%E9%81%95%E3%81%84%E3%81%A8-%E8%A8%AD%E5%AE%9A%E4%BE%8B/ta-p/3158769 ASA: NATルールタイプ別の処理の違いと設定例]

7.2. TwiceNAT利用時は、より狭いレンジのルールを上部に設定すること

TwiceNATは上から順にNATルールをチェックする First Match 方式です。</blockquote>

=== ASA の HA 切り替えで断時間を短縮する方法がありますか ===
failover polltime unit , failover polltime interface でチューニングし、短縮できる可能性があります。<blockquote>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/A-H/cmdref1/f1.html#pgfId-2014150 failover polltime unit]

[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/A-H/cmdref1/f1.html#pgfId-2014150 failover polltime interface]</blockquote>詳細は以下にあります。

* [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-health-monitoring%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3157060 ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて]

== リファレンス ==
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3163034 ASA: スマートライセンス認証とトラブルシューティング]

[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9vpn-%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E6%9C%80%E9%81%A9%E5%8C%96%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%83%99%E3%82%B9%E3%83%88%E3%83%97%E3%83%A9%E3%82%AF%E3%83%86%E3%82%A3%E3%82%B9-anyconnect/ta-p/4061565 ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)]

[https://www.cisco.com/c/ja_jp/support/security/adaptive-security-appliance-asa-software/products-command-reference-list.html Cisco Secure Firewall ASA コンフィギュレーションガイド]

[https://www.cisco.com/c/ja_jp/support/security/adaptive-security-appliance-asa-software/products-command-reference-list.html Cisco Secure Firewall ASA コマンドリファレンス]

[https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html Cisco Secure Firewall ASA and Threat Defense Reimage Guide]

== 更新履歴 ==
2024/11/12 : 初版作成

2025/03/27 : FPR3100 について追記

2026/03/17 : トラブルシューティングの項目を追加

2026/03/30 : ルーティングと SPI の項目を追加

= 引用 =
[[カテゴリ:Firepower]]

2026-03-30 Firepower / Cisco Secure Firewall まとめ

2026-03-29T22:31:19Z

Hkatou: /* 更新履歴 */

hkatou_Lab - 利用者の投稿記録 [ja]

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Catalyst 目的別コマンド

Nexus 9000 スイッチ設計

Nexus 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Nexus 9000 スイッチ設計

2026-04-14 メーカー横断 プロダクト ポートフォリオ比較

Nexus 9000 スイッチ設計

Nexus 9000 スイッチ設計

Nexus 9000 スイッチ設計

2024-07-24 Junos まとめ

ネットワーク エンジニア向け ブックマーク

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

Catalyst 9000 スイッチ設計

ファイル:C19.png

Catalyst 9000 スイッチ設計

2024-08-04 Broadcom ASIC まとめ

2026-02-05 メーカー横断 プロダクト ポートフォリオ比較

2026-04-14 メーカー横断 プロダクト ポートフォリオ比較

2026-04-14 メーカー横断 プロダクト ポートフォリオ比較

設定に再起動が必要なコンフィグまとめ

設定に再起動が必要なコンフィグまとめ

2025-08-21 お仕事リスト

2026-04-09 お仕事リスト

2026-04-09 お仕事リスト

ラボで役立つ TIPS 集

A10 CGN 設計

使用不能 Vlan まとめ

ネットワーク エンジニア向け ブックマーク

ネットワーク エンジニア向け ブックマーク

ネットワーク エンジニア向け ブックマーク

ネットワーク エンジニア向け ブックマーク

ネットワーク エンジニア向け ブックマーク

2026-03-17 Firepower / Cisco Secure Firewall まとめ

2026-03-30 Firepower / Cisco Secure Firewall まとめ

2026-03-30 Firepower / Cisco Secure Firewall まとめ

2026-04-14 メーカー横断プロダクトポートフォリオ比較

ネットワークエンジニア向けブックマーク

2026-02-05 メーカー横断プロダクトポートフォリオ比較

2026-04-14 メーカー横断プロダクトポートフォリオ比較

2026-04-14 メーカー横断プロダクトポートフォリオ比較

ネットワークエンジニア向けブックマーク

ネットワークエンジニア向けブックマーク

ネットワークエンジニア向けブックマーク

ネットワークエンジニア向けブックマーク

ネットワークエンジニア向けブックマーク