TechLeague

    Fortinet

    FortiSwitch vs. Cisco Catalyst 9000: キャンパススイッチング比較 2026

    TechLeague Editorial··14 分で読了

    キャンパススイッチングプラットフォームの評価は、ポート数やアップリンク速度以上の要素を含みます。2026年現在、FortiGateによって管理されるFortiSwitchエコシステムは、CiscoのDNA Centerを搭載したCatalyst 9000シリーズに直接対抗しています。この記事では、中規模から大規模なエンタープライズ展開における技術的能力、自動化パラダイム、ライセンスオーバーヘッド、および総所有コスト (TCO) を分析します。FortiSwitch 400-2000シリーズとCisco Catalyst 9300、9400、9500プラットフォームに焦点を当てます。

    アーキテクチャと管理パラダイム

    FortiSwitchはFortiLink管理モデルで動作し、FortiGate NGFWが接続されているすべてのFortiSwitchの一元的なコントローラとして機能します。このシングルペインオブグラスアプローチにより、ファイアウォール、スイッチング、およびワイヤレス管理(FortiAPを使用する場合)が一元化されます。FortiSwitch 448D、1048E、224F、および2048Fの構成、監視、ファームウェア更新は、FortiGateのGUIまたはCLIから直接実行されます。これにより、FortiGateに精通しているチームの日常業務が簡素化されます。大規模なキャンパス環境では、FortiGate 1800FまたはFortiGate 7000シリーズが、複数の物理的に離れたクローゼットにある数百台のスイッチを管理することができます。

    CiscoのCatalyst 9000シリーズ(例:Catalyst 9300X-48HXN、Catalyst 9407R、Catalyst 9500-48Y4C)はIOS-XE 17.xを実行し、伝統的にはCLI、SNMP、またはより一般的にはCisco DNA Center(DNAC)を介して管理されます。DNACは、CiscoのSoftware-Defined Access (SDA) アーキテクチャに沿って、一元的なオーケストレーション、ポリシー適用、およびアシュアランスを提供します。スイッチは自律的に機能できますが、SDAのすべてのメリットを得るには、DNACライセンスと展開が必要です。このデュアルシステム管理(スイッチ上のIOS-XE、オーケストレーション用のDNAC)はFortiLinkとは異なる運用モデルであり、特に複雑なVXLAN/EVPNファブリック展開では両方のプラットフォームに関する習熟度が求められます。

    スイッチング機能とパフォーマンス指標

    両プラットフォームは包括的なスイッチング機能を提供します。FS-1048EのようなFortiSwitch 1000シリーズモデルは176 Gbpsのスイッチング容量を提供し、よりハイエンドのFS-2048Fは25GbEおよび100GbEアップリンクをサポートし、1.6Tbpsに達します。主な機能には、QoS、Link Aggregation (LAG/LACP)、STPのバリエーション、および基本的なLayer 3ルーティング(スタティック、OSPF、RIP)が含まれます。キャンパスアグリゲーションの場合、FS-2048Fは最大48x 25GE SFP28および8x 100GE QSFPDDポートを提供します。Power over Ethernet (PoE) バジェットも競争力があります。FortiSwitch 448Dは最大740Wを提供し、PoE+ (802.3at) をサポートし、FS-124Fのような一部のモデルはPoE++ (802.3bt) によりポートあたり最大90Wを消費するデバイスをサポートします。

    Cisco Catalyst 9300Xシリーズのアクセススイッチは、マルチギガビット (mGig) ポート (1/2.5/5/10Gbps) をサポートし、C9300X-48HXNのような特定のモデルでは最大90W PoE (802.3bt Type 4) をサポートし、C9300X-48HXNのシステムバジェットは最大1390Wです。Catalyst 9400 (モジュール式) および9500 (固定) シリーズは、ディストリビューション/コアとして機能し、高密度10/25/50/100/400GbEオプションを提供します。例えば、Catalyst C9500-48Y4Cは4.8Tbpsのスイッチング容量を提供します。Ciscoのエンタープライズグレードルーティング機能(BGP、EIGRP、OSPF、PIM、VRF-Lite、MPLS)はIOS-XEでより広範であり、特に複雑なルーテッドアクセス設計やコアネットワークにとって重要です。

    機能比較: キャンパス向けFortiSwitch vs. Cisco Catalyst (2026)
    機能セット FortiSwitch (FortiLink) Cisco Catalyst 9000 (IOS-XE/DNAC)
    管理 FortiGate (CLI/GUI) 、FortiManager CLI、SNMP、Cisco DNA Center
    自動化 FortiGate CLIスクリプト、FortiManager Playbooks、FortiAPI DNAC API、PyATS、Ansible、NETCONF/YANG
    Layer 3機能 スタティック、OSPF、RIP、VRF-Lite (基本) スタティック、OSPF、EIGRP、BGP、PIM、ISIS、VRF、MPLS (包括的)
    セグメンテーション 動的VLAN割り当て、FortiSwitch MACベースポリシー Cisco TrustSec (SGTs)、VXLAN、Group-Based Policy
    スタッキング/HA FortiLink HA (アクティブ/パッシブFortiGate)、ディストリビューションでのMCLAG StackWise Virtual、StackWise-1T、シャーシベースHA (9400)
    セキュリティ連携 FortiNACによるZero-Trust Network Access (ZTNA)、Sandbox内蔵 TrustSec、Encrypted Traffic Analytics (ETA)、Cisco Security Suite
    ライセンスモデル 永続、FortiGate向けFortiCare/UTM 永続 (Network Advantage/Essentials)、サブスクリプション (DNA Advantage/Premier)

    セグメンテーションとセキュリティ連携

    FortiSwitchは、FortiGate Security Fabricを活用してきめ細やかなセグメンテーションを実現します。FortiNAC駆動型認証 (802.1X、MAC認証) に基づく動的VLAN割り当てにより、ユーザーとデバイスが適切なネットワークセグメントに配置されます。これはFortiGateポリシーにも拡張され、スイッチインフラストラクチャを通過する異なるユーザーロールやデバイスタイプに対して特定のファイアウォールルールを許可します。FortiGateからのFortiGuard Indicators of Compromise (IoC) のような高度な機能は、スイッチ上のセキュリティポリシーに直接影響を与えることができます。FortiSwitchは、FortiGateまたはFortiSandboxからのアラートに基づいて、手動介入なしに侵害されたホストを動的に隔離することができます。

    Ciscoのキャンパス向け主要セグメンテーション戦略は、Security Group Tags (SGTs) を用いたCisco TrustSecを採用しています。SGTは認証時(Cisco ISE経由の802.1X)に割り当てられ、カプセル化されたEgress Policy List (EPL) フィールドまたはSGT Exchange Protocol (SXP) を介して伝達されます。これにより、IPアドレスやVLANに依存せず、送信元および送信先SGTに基づいてネットワーク全体でポリシー適用が可能になります。完全なSoftware-Defined Access (SDA) 展開の場合、VXLANとGroup-Based Policy (GBP) は、さらなる抽象化とマクロ/マイクロセグメンテーション機能を提供します。Catalyst 9000のEncrypted Traffic Analytics (ETA) も、復号化せずに暗号化されたトラフィック内の異常を検出するための組み込みセキュリティ機能を提供します。

    自動化、プロビジョニング、TCO

    FortiManagerはFortiGateとFortiSwitchの展開をオーケストレートし、一元的なポリシー管理とZTP (Zero-Touch Provisioning) を提供します。例えば、リモートサイトに出荷された新しいFortiSwitch 424Fは、FortiManagerで事前設定され、ローカルのFortiGateが接続時に自動的にオンボーディングできます。FortiAPIは、スクリプト作成やサードパーティツールとの連携を可能にします。FortiManagerのPlaybooksは、繰り返しタスクを簡素化します。FortiSwitchの基本的なTCOには、ハードウェアコストと、それらを管理するFortiGateのFortiCareサポートが含まれます。FortiSwitch自体は通常、標準サポートサブスクリプション付きの永続ライセンスが付属しています。

    config switch-controller managed-switch
    edit "FS-1048E-Campus-Dist-1"
        set fsw-wan-link "loopback_fortilink"
        set vdom "root"
        config ports
            edit "port1"
                set allowed-vlans "VLAN10 VLAN20 VLAN30"
                set poe-status enable
                set qos-policy "Voice-QoS"
            next
        end
    next
end

    Cisco DNA Center (DNAC) は、ZTP、プラグアンドプレイ、そしてCatalyst 9000スイッチ向けのポリシーベースのプロビジョニングなど、包括的な自動化を提供します。そのAPIは広範で、Ansible、Python、その他のDevOpsツールとの統合をサポートします。しかし、DNAC自体は、ライセンス(DNA Advantage/Premierサブスクリプション)、サーバーハードウェアまたはアプライアンス、および運用専門知識に対する多大な投資を必要とします。Catalyst 9000のCiscoのライセンスモデルには、永続的なNetwork Advantage/Essentialsライセンス(高度/基本的なIOS-XE機能用)と、すべてのDNAC対応機能(自動化、アシュアランス、SDA)用の更新可能なDNAサブスクリプションが含まれます。この多コンポーネントライセンスは、FortiLinkのみの展開と比較して複雑さを増し、多くの場合TCOを増加させます。

    拡張性と冗長性

    FortiLink HAは、2台のFortiGate (アクティブ/パッシブ) が同じFortiSwitchセットを管理することを可能にし、管理プレーンの冗長性を確保します。データプレーンの冗長性については、FortiSwitchは冗長構成のディストリビューションスイッチに接続するための基本的なMCLAG (Multi-Chassis Link Aggregation Group) をサポートします。FortiSwitchは、単一の論理スイッチをシャーシ全体で実現する真のVSS/StackWise Virtualのような機能は持っていませんが、FortiLinkモデルはFortiGateの背後にスイッチファブリックを抽象化することで、論理スイッチ管理を簡素化します。

    Ciscoは堅牢なスタッキングソリューションを提供しています。Catalyst 9300シリーズのStackWise-1Tは、最大8台のスイッチ間で単一のコントロールプレーンを作成し、高可用性と管理の簡素化を実現しますが、スタッキングポートを消費します。Catalyst 9500/9600シリーズのStackWise Virtualは、これを2台の地理的に離れたスイッチが単一の論理エンティティとして動作するように拡張し、稼働時間を最大化します。Catalyst 9400シリーズは、冗長スーパーバイザーと電源を備えたモジュラーシャーシであり、固有のシャーシレベルの冗長性を提供します。Catalystプラットフォームは通常、より洗練されたルーティング冗長機能(例: BGP Multi-Path、OSPF/EIGRP向けのNSF/SSO)を提供します。

    TCO: 500台のスイッチを持つキャンパスの例

    5年間で500台のスイッチ(アクセス450台、ディストリビューション50台)を持つキャンパスを想定します。Fortinetの場合、これはコアルーティング/FortiLink用に2台のFortiGate 2200E(または大規模向けにFortiGate 7000シリーズ)、450台のFortiSwitch 424F/448D(PoE+アクセス、希望小売価格約4,000〜7,000ドル)、および50台のFortiSwitch 1048E(ディストリビューション、希望小売価格約12,000〜18,000ドル)が必要になる可能性があります。FortiGate 2200Eの希望小売価格は約150,000ドルで、これに5年間のUTP/FortiCareが加わります。スイッチにはFortiCareのみが必要です。ハードウェアと5年間のサポートの合計は約350万〜500万ドルです。FortiManager(アプライアンス/VM)による管理は追加費用ですが、通常はうまくスケールします。

    Ciscoの場合、このシナリオには450台のCatalyst 9300X-48HXN(PoE++アクセス、希望小売価格15,000〜20,000ドル)、50台のCatalyst 9500-48Y4C(ディストリビューション、希望小売価格40,000〜60,000ドル)が含まれる可能性があります。さらに2台のCatalyst 9800-80ワイヤレスコントローラ(該当する場合)。さらに、2台のDNACアプライアンスと、全500台のスイッチに対する5年間のDNA Advantageサブスクリプション。Network Advantageを永続的に含むC9300X-48HXNの希望小売価格は約15,000ドルです。DNA Advantageサブスクリプションは、5年間でポートあたり約500〜1000ドル、またはアクセススイッチあたり2000〜4000ドルを追加します。2台のDNAC物理アプライアンスは、それぞれ希望小売価格で約120,000ドルです。ハードウェアと5年間のサポート/ライセンスの合計は約1000万〜1800万ドルです。DNAサブスクリプションはTCOに大きく影響します。Ciscoはしばしば大幅な割引を提供しますが、希望小売価格の差はかなりのものです。

    結論

    Fortinet Security Fabricに大規模に投資している組織の場合:FortiSwitchは、運用上の相乗効果、FortiLinkによる管理の簡素化、および低いTCOにおいて明確な勝者です。FortiGateから直接の統合セキュリティポリシー適用は、特に統合されたセキュリティとネットワーク管理を優先する中堅から大企業にとって大きな利点です。FortiSwitchが、FortiGateがすでに境界および内部NGFWとして機能している環境で優れた性能を発揮することが期待されます。その動的なVLANとFortiNAC統合は、適切なセグメンテーションを提供します。

    複雑なルーティング要件、厳格な稼働時間SLA、または既存のCiscoインフラストラクチャを持つ大規模エンタープライズの場合:Cisco Catalyst 9000とDNA Centerは依然として有力な選択肢です。その成熟したIOS-XE機能セット、高度なLayer 3ルーティングプロトコル、堅牢なスタッキングオプション(StackWise Virtual)、および包括的なTrustSec/SDAフレームワークは、比類のない柔軟性とスケーラビリティを提供します。DNACサブスクリプションによって増加するTCOは、高度な自動化、詳細な分析、およびCiscoセキュリティ製品の広範なエコシステム、特に大規模なポリシー駆動型SDNアクセス展開を構築する場合に利用されます。Catalystの25/100/400GbE向けのパフォーマンスとポート密度は、コアおよび大規模なディストリビューションレイヤーではFortiSwitchを上回ることがよくあります。

    関連する読み物

    よくある質問

    FortiSwitchがCisco Catalyst 9000と比較して持つ主な利点は何ですか?+

    FortiSwitchは、FortiGate上のFortiLinkを介したよりシンプルで統一された管理体験を提供し、FortiGateを既に利用している組織にとっては運用オーバーヘッドとTCOの削減につながります。Fortinet Security Fabric内での強力なセキュリティ統合は、アクセスレイヤーでのポリシー適用と脅威対応を簡素化します。また、ベース機能に対するDNAのような定期的なサブスクリプションがないため、ライセンスモデルも一般的に複雑さが少なくなっています。

    Cisco Catalyst 9000がFortiSwitchと比較して優れている点はどこですか?+

    Cisco Catalyst 9000は、高度なLayer 3ルーティング機能(BGP、EIGRPなど)、StackWise Virtualのような堅牢な高可用性機能、およびDNA Centerを介した包括的なSDNアーキテクチャ(SDA/TrustSec)で優れています。きめ細やかなポリシー制御、詳細な分析、およびマルチベンダー統合を必要とする非常に大規模で複雑なキャンパスネットワークの場合、Catalyst 9000はより成熟し、機能が豊富なプラットフォームを提供することがよくあります。25/100/400GbEに対するポート密度の高さも、コアおよびディストリビューションレイヤーにとっては重要です。

    FortiSwitchの導入はCisco Catalyst 9000の導入よりも常に安価ですか?+

    常にではありませんが、多くの場合そうです。FortiSwitchの総所有コスト(TCO)は、その管理が既存のFortiGateアプライアンスに統合されており、Cisco DNA CenterとDNA Advantage/Premierライセンスに関連する高額な定期サブスクリプション費用を回避できるため、一般的に低くなります。しかし、DNACを使用せず、永続的なNetwork Advantageライセンスのみを備えたシンプルなCisco展開は、高度な自動化が優先されない小規模な場合は競争力があります。

    FortiSwitchは大規模エンタープライズキャンパス展開を効果的に処理できますか?+

    はい、FortiSwitchは大規模なキャンパス展開を処理できるように進化しました。FortiSwitch 2048FやFortiGate 7000シリーズのようなモデルにより、数千人のユーザーに対して高いポート密度とスイッチング容量をサポートします。FortiLinkアーキテクチャは、単一のFortiGateペアによって管理される数百台のスイッチまで拡張できることが実証されています。主な考慮事項は、完全なCisco SDA展開と比較した場合の高度なルーティングとSDN機能の深さになるでしょう。

    セキュリティセグメンテーションのアプローチにおける主要な違いは何ですか?+

    FortiSwitchは、NAC (FortiNAC) に基づく動的なVLAN割り当てとFortiGateファイアウォールポリシーを活用し、FortiGateがセキュリティポリシーをグローバルに適用できるようにします。Cisco Catalyst 9000、特にSDAを使用する場合、Security Group Tags (SGTs) とVXLAN Group-Based Policiesを備えたCisco TrustSecを使用します。これにより、ネットワークトポロジに依存しないIDベースのセグメンテーションが可能になり、非常に大規模で動的な環境に対してより柔軟で粒度の高いアプローチを提供します。

    ライセンスモデルが調達と予算計画に与える影響は何ですか?+

    FortinetのFortiSwitchライセンスは通常、スイッチ自体は永続的で、FortiCareの継続的なサポートが含まれます。主な定期費用は、管理するFortiGateのUTM/FortiCareバンドルです。Ciscoのモデルは、ハードウェア機能に対する永続的なNetwork Advantage/Essentialsライセンスと、ソフトウェア定義機能、分析、自動化に対する定期的なDNA Advantage/Premierサブスクリプションを含みます。これは予算編成に重要なOpExコンポーネントを導入し、サブスクリプションの更新を慎重に追跡する必要があります。