サロにぃのまったりブログ

技術全般を書くと思う。多分。

代わりになる?FortiGate 60Fから見たUnifi Cloud Gateway Ultraについてまとめてみた💫

今回はUnifi Cloud Gateway Ultraの初回記事で触れていた
FortiGate 60Fの代替に十分なり得るかの点についてお話しようと思います。

 

その記事を見てない人は↓を見てみてね。

saroniii.hatenablog.jp

 

結構既に書いたことと被る部分もありますがご理解ください。

 

今回の目次はこちらです。

 

ちなみに、検証記事全然出してないじゃん?と思うかもですが、
記事にしてないだけで検証自体は色々やっています。

 

検証 → スクショを取るために再検証 → 記事作成 → 公開
ってやってます。

 

ただ、一部まだ触れてない機能があるのも事実なのでそこら辺はご容赦ください。

てなわけでやっていきましょうか。

■いきなり結論・・・?

書きたいことは山ほどあるんですが、
いかんせん家庭用かビジネス用で結構変わるので結論から行きたいと思います。

 

■一般のご家庭用

まず、家庭用から。

 

一般のご家庭用途としては、ある程度のNW知識があればありです。

というかそもそもFortiGateを入れている一般のご家庭なんてなさそうですが・・・。

 

ある程度のNW知識があればありというのは、
DS-Lite回線の場合の設定の煩雑さやMAP-Eを使用しているか
というのを事前に確認したりできるかどうかといった部分です。

 

DS-Liteはただただ複雑なだけですがMAP-Eはそもそも対応していません。

なので複雑な設定を入れなくとも、
事前にMAP-Eの回線ではないかを調べるといったことは必要になりそうです。

 

参考:DS-Liteの設定手順
IPv6 IPoE transix IPv4 (DS-Lite)の設定手順|Ubiquiti UniFi |Ubiquiti Japan (UI Japan)

 

あ、あと簡単にそれ1台だけで全てデプロイできる!といった点で見ると、
Wi-Fi付きのUniFi ExpressやDream Routerでもいいのかなとは思います。

 

■逸般の誤家庭用

逸般の誤家庭用途としては、1Gネットワークでいいならありです。

そもそも逸般の誤家庭って10G引いてるのが普通(偏見)だと思うので、
それだったら10G使えるUDM-Proとか買ったほうがいいと思います。

Dream Machine Pro - Ubiquitiストア

 

VLAN切れたり色々できるので、逸般の誤家庭用途でも対応できるプロダクトかなと思っています!

 

逸般の誤家庭にも共通する気になる細かい仕様動作については
後述のビジネス用途で触れるので少々お待ちください!

■ビジネス用

バリバリに設定をいれるビジネス用としては少々妥協になってしまうかなと思います。

 

そう思う理由を4つ触れたいと思います。

 

ファイアウォールのAcceptログが取れない

私の中ではFortiGateの一番いいところは詳細な
転送トラフィックログが見れるところだと思っています。

Accept, Deny共にログが取れるのが私の中でファイアウォール
必須条件かなーと思ってたんですがまさかの取れないっていう・・・。

 

ビジネス用途でファイアウォールを使いたいなら
何かあったときにログを確認するとき許可ログも一緒に見ることになると思うので、
Denyしか見れないのは結構マイナスポイントかなと思いました。
※Accept含め通信ログ見れないか買う前に事前に聞いて
 OKとの回答だったので、認識齟齬があったみたい。。。
 Acceptが見えないのは仕様らしいです。アップデートに期待。


②FortiGateにおけるDeep Inspectionには非対応


SNIを見て判断する動作になるみたいなので
Unifi Cloud Gateway UltraのSSLインスペクションは
Cerificate Inspection相当かな?

 

まぁ、60FのようなエントリーモデルでDeep Inspectionを
使っているところは少なそうですが・・・
※上位機種ではDeep Inspectionができるっぽい?
 UniFi Gateway - NeXT AI SSL Traffic Inspection – Ubiquiti Help Center

 

なので、Deep Inspectionを使ったFortiGate並の検知力を期待して
IPS/IDS機能を使うのは個人的にはおすすめできません。

 

③冗長構成が組めない

これはFortiGateにおけるHAや、一般的なVRRPプロトコルによる冗長構成が組めません。
これも環境によっては致命傷かな?

 

なので運用保守の観点で最低限のダウンタイムに抑えたい場合は、
拠点に予備機をおいて障害発生時に物理的に切り替える運用になりそうです。

コンフィグのバックアップは取れるので、
運用機の配下のLANに予備機を結線だけして設定変更のたびに
Webからリストアかければ事前にリモートで設定同期とかはできる・・・かな?
※1台しかなくて検証は一切できてないので動作保証はできません。

 

④ヘルプページが少なめ

これは検証記事が多い理由にもなりますが、
ヘルプページはそこまで充実していません。

逆に言うとヘルプページが少なくとも設定しやすい製品ではありますが、
記載のない隠れた仕様があったりと意外な落とし穴があります。

 

それ故、導入時にトラブらないようにするには
GUIで設定できるとはいえ事前検証が必要になりそうです。
※逆にFortiGateはたくさんの設定やTipsがメーカードキュメントとして
 用意されているので色々なケースで役に立ってよきです。

 

これらのデメリットに目を瞑れるなら選択肢に入るかなーと思います!

■(ビジネス的に見た)FortiGateからUbiquitiに変えるメリット

次は一般のご家庭、逸般の誤家庭基準のメリットはすごく書きにくいので
ビジネス基準でメリットを書きたいと思います。

 

①機器代、ライセンス代などの費用面がすごく安い

Unifi Cloud Gateway Ultra自体が18,800円、
ライセンス代はただで運用することができます。

Cloud Gateway Ultra - Ubiquitiストア

 

FortiGateでは購入時だけで機器本体+ライセンスや保守で10万円を超えますが
Unifi Cloud Gateway Ultraは2万円を切っています。

 

また、Unifi製品全体でAPなども管理した場合でも、
FortiAPやFortiSwitchといった製品で構成するよりUnifiでまとめて構築したほうが安上がりです。

 

これはFortiGate以外の他社製品と比べても頭一つ出ているメリットだと思います。

 

SaaSベースで機器管理ができる

Cloud Gateway UltraはUnifiのSite Managerから管理することができます。

FortiGateにも似たようなソリューションとしてFortiGate Cloudがありますが、
最近は改悪に改悪を重ねて無料版は自動でOSアップグレードが走るようになる始末。

 

OSアップグレードによってバグるみたいなことも起きるのに
勝手にアップグレードされちゃいます。どうしてこうなった?

 

といった仕様がありますがUnifiは今のところそんな心配はありません。

無料で外出先から実機のGUI相当の機能が触れるのはすごくありがたいですね。

 

③切り分けの対応が簡単・現地担当者がいなくても切り分けできる

まず、ダッシュボード上からMicrosoft, Google, CloudflareへのPing値が見れます。

これが300msとかなってたら回線がラグい可能性があるってわけですね。

スピードテストまでできちゃう

回線の切り分けって意外とめんどくさかったりするんですが、
まさかのインターネット側のPingが見られるのはとてもいいですよね。

 

しかもリモートから見られるので対象の拠点にIT担当者がいなくても切り分けできる。

これはSaaSの強みじゃないかなと思います。

 

さらにありがたいのが、切り分けに使うログがSupport Fileとして
ひとまとめになってダウンロードできる点ですね。

 

これも嬉しいポイントでリモートで取得できるのはもちろん、
通信全断などでリモートが使えないときも機器本体からWebGUIに入ることで
知識がない拠点担当者でもSupport Fileを取得して送ってもらう事ができるのは
とてもいい機能じゃないかなと思いました。

 

事前に手順を用意していてもTeraterm開いてSSHでこのログを取得するといった運用は
未経験者だと大変だったりするので手軽に取得できるのもよきですね。

 

■(全てを束ねた)総評

FortiGate 60FからUnifi Cloud Gateway Ultraにリプレースしたい場合、
前提として商用レベルの様々なNW設定ができるところは共通しています。


ただ価格帯を考慮したうえで比べると優秀ではありますが、
今のところは多くのケースで妥協の選択になってしまう印象です。

一方で運用管理の容易さコストパフォーマンスの2点で考えると
FortiGateよりも遥かに優れていると思います。

 

Unifi Cloud Gateway Ultraのほうが向いているケースとしては、

  • 自社でNWの運用管理を完結させたい(誰かがNWの知識を持っていることが前提)
  • 複数の拠点がありIT管理者がリモートでメンテナンスを完結できるNW構成を用意したい
  • コストを極限まで抑えてFWなどの多機能ルータを導入したい
  • 同じ企業のNW製品で統一したい

といったところでしょうか。

 

日本ではそもそも代理店経由の販売が主流なビジネス用ネットワーク業界ですが、
エンドユーザー自身でメンテナンスができ、
GUIでの設定で全てが完結するUnifiシリーズは
新たな新風を巻き起こす素晴らしいソリューションであると考えています。

 

まだ日本での導入例は少なく発展途上な製品ではありますが、
今後に期待の持てる製品であることは間違いないので、
ぜひ検討してみてはいかがでしょうか。

 

最後になりますが、今回の記事はXで頂いたリプライから作成させていただきました。

ありがとうございました。

 

すべての要望にお答えすることはできませんが、
引き続きリクエストはお待ちしているので、気軽にコメントやリプライ、
この記事が役に立った方はスターなどいただけると嬉しいです!