Cisco ACI 6.x vs VMware NSX 4.2 vs NX-OS VXLAN EVPN: 2026年のデータセンターファブリック

2026年におけるデータセンターネットワークファブリックの選択は、単にパケット転送にとどまりません。自動化、マルチクラウド戦略、きめ細かなセキュリティ、運用オーバーヘッドも考慮する必要があります。本稿では、Cisco ACI 6.x、VMware NSX 4.2、および制御プレーンとしてBGPを使用する従来のNX-OS VXLAN EVPNの強みと弱みを分析します。これは理論的な演習ではなく、数百万ドル規模のインフラストラクチャを支えるシステムに関する考察です。

アーキテクチャの思想とコントロールプレーン

Cisco ACI (Application Centric Infrastructure) は、Application Policy Infrastructure Controller (APIC) を使用した宣言型ポリシー駆動モデルで動作します。APICは事実上の頭脳として機能し、高レベルのアプリケーションポリシーを、Nexus 9000シリーズのリーフおよびスパインスイッチ上の具体的なネットワーク構成に変換します。この中央集中型コントローラは、VXLANトンネルエンドポイントからセキュリティグループポリシー (EPGとコントラクト) までを管理します。コントロールプレーンはプロプライエタリであり、APICクラスターと密接に結合しています。ACI 6.xでは、地理的に分散したAPICドメイン間でポリシー配信を一元化するために、Multi-Site Orchestrator (MSO) の洗練が進んでいます。

VMware NSX-T (現在は単にNSX) は、ネットワークとセキュリティサービスを基盤となるハードウェアから抽象化するSDN (Software-Defined Networking) アプローチを採用しています。そのコントロールプレーンは、NSX Manager (中央管理用) と、ハイパーバイザvSwitch (例: vSphere Distributed Switch、またはNSX固有のコンポーネントを備えたN-VDS/VDS) およびNSX Edgeをプログラムするコントローラネットワークに分散されています。NSXは物理ネットワークファブリックと統合できますが、その強みはVMwareエコシステムとの緊密な統合にあり、マイクロセグメンテーションとL4-L7サービスをハイパーバイザ層に直接拡張します。NSX Federationは、複数のNSX Managerインスタンスにわたるポリシー配信を可能にします。

BGPを使用するNX-OS VXLAN EVPNは、オープンな標準ベースのアプローチです。BGPをVXLAN EVPNルート配信のコントロールプレーンとして活用し、プロプライエタリなSDNコントローラなしで分散型ネットワークファブリックを実現します。各BGPスピーカー (通常はCisco Nexus 9000シリーズ、Arista 7000シリーズ、またはJuniper QFXシリーズスイッチ) がピアとして機能し、アンダーレイ上でMACおよびIP到達可能性情報を交換します。これにより、中央集中型コントローラでよく指摘される「単一障害点」の懸念が解消されますが、多くのデバイスにわたるBGP構成の管理へと複雑性が移行します。自動化は通常、Ansible、Python、または外部オーケストレータを介して実現され、統合されたベンダー固有のコントローラではありません。

スケーラビリティとマルチサイト運用

ACI 6.xファブリックは、数百のリーフスイッチと数万のエンドポイントにスケールします。Multi-Podは、メトロポリタンエリア内の複数の物理サイトに単一のAPICクラスタを拡張し、Multi-Site Orchestrator (MSO) は複数のAPICドメインを連携させ、地理的に多様なデータセンター間で一貫したポリシー展開とワークロードモビリティを可能にします。例えば、Nexus 93180YC-FX3を使用する8リーフACIファブリックは、Nexus 9332C-FX2/9364C-FX2をスパインとして使用することで最大128リーフまでスケールできます。単一のMSOデプロイメントは最大16のACIファブリックを管理できます。

NSX 4.2デプロイメントは、数百のNSX Edgeにスケールし、NSX Managerインスタンスあたり数万のVM/ワークロードをサポートします。NSX Federationはマルチサイトソリューションを提供し、ポリシーを一度定義して、最大3つのGlobal Manager (それぞれが複数のLocal Managerを管理) にわたって一貫して適用できます。これにより、アクティブ-アクティブまたはアクティブ-スタンバイのデータセンターアーキテクチャがサポートされます。Tanzu Kubernetes Gridと統合すると、NSXは数十万のコンテナPodにスケールし、NSX Container Plugin (NCP) またはAntreaがネットワークサービスを提供します。

VXLAN EVPNのスケーラビリティは、主に基盤となるハードウェア機能とBGP設計に依存します。Nexus 93180YC-FX3やArista 7050SX3-48YC12のような最新のスイッチは、数十万のMAC/ルートエントリを処理できます。典型的なVXLAN EVPNファブリックは、適切なスパイン容量があれば数百のリーフスイッチまでスケールできます。マルチサイトは、MPLSまたはIPを介したEVPNを用いたDCI (Data Center Interconnect) 、またはL3接続のためのIP/VPNルーティングを備えたスタンドアロンファブリックを介して実現されます。その分散型特性により、中央コントローラのハードリミットに達することなく「スケールアウト」モデルが可能です。

マイクロセグメンテーションとセキュリティ

ACIのマイクロセグメンテーションは、そのポリシーモデルに内在しています。Endpoint Group (EPG) は、同様のネットワークおよびセキュリティポリシーを必要とするエンドポイント (VM、ベアメタル、コンテナ) の論理的なグループ化です。コントラクトは、EPG間の許可される通信を定義し、レイヤー2からレイヤー4で動作します。このモデルは効果的にZero Trustの原則を実装し、EPG間のトラフィックに対して明示的に許可されない限り、デフォルトで拒否するスタンスをとります。ACIは、サービスグラフを介してL4-L7サービスアプライアンス (FortiGate 1800FやPalo Alto PA-5440のようなファイアウォール) とも統合され、挿入とポリシーのステアリングを自動化します。

NSXは、ハイパーバイザーカーネルで直接適用される堅牢な分散ファイアウォール (DFW) 機能を提供します。これにより、VM名、OS、セキュリティタグ、またはActive Directoryグループなどのさまざまな属性に基づいて、個々のVM NICに至るまで、極めてきめ細かなマイクロセグメンテーションが可能になります。NSX DFWルールはL2-L7トラフィックに適用でき、アプリケーションレベルのセキュリティをサポートします。NSX Gateway Firewall (NSX Edge上) は境界セキュリティ (North-Southトラフィック) を提供し、DFWはEast-Westトラフィックを処理します。NSXは、サービス挿入を介したIDS/IPS、サンドボックス、ネットワークインスペクションなどの高度なセキュリティサービスもサポートします。

VXLAN EVPNは、VNI (VXLAN Network Identifier) を介してネットワークセグメンテーションをネイティブに提供し、事実上個別の仮想ネットワークとして機能します。マイクロセグメンテーション機能は通常、North-SouthおよびEast-Westトラフィック用の外部ファイアウォール、またはセキュリティアプライアンスへのトラフィックリダイレクトのためのポリシーベースルーティング (PBR) を介して実現されます。Nexus 9000のようなスイッチはACLと基本的なポリシー適用をサポートしますが、ACIのコントラクトやNSXのDFWのようなきめ細かなID認識機能は欠いています。EVPNにおけるより高度なマイクロセグメンテーションは、多くの場合、ホストベースのファイアウォール (例: Linux iptables, Windows Firewall) や、Kubernetes環境向けのCiliumのような補完的なSDNオーバーレイに依存します。

! Cisco ACI Contract Example (simplified XML)

  


  
     
      
    
  


! NSX DFW Rule Example (Conceptual - via API/UI)
Source: Security_Group_Web_Servers
Destination: Security_Group_DB_Servers
Services: TCP 3306
Action: ALLOW
Applied To: Security_Group_Web_Servers

! NX-OS VXLAN EVPN BGP config snippet for VNI mapping
feature bgp
router bgp 65001
  address-family l2vpn evpn
    retain route-target all
  vrf context Tenant_A
    address-family ipv4 unicast
      route-target export 65001:1001
      route-target import 65001:1001
    address-family ipv6 unicast
      route-target export 65001:1001
      route-target import 65001:1001
  vlan 100
    vn-segment 10001
interface nve1
  no shutdown
  source-interface loopback0
  host-reachability protocol bgp
  member vni 10001
    mcast-group 239.1.1.1

クラウドネイティブ (Kubernetes) およびL4-L7サービスとの統合

ACIはKubernetes用のACI CNIプラグインを提供し、そのポリシーモデルをコンテナ環境に拡張します。これにより、Kubernetes PodをACI EPGとして扱い、ファブリックポリシーを直接適用できます。L4-L7サービスの場合、ACIのサービスグラフは物理または仮想アプライアンスの挿入と構成を自動化し、EPGコントラクトに基づいてFortiGate 1800FやF5 Big-IPのようなロードバランサーを介してトラフィックを転送します。これにより、ネットワークおよびセキュリティサービスの一元的なオーケストレーションが提供されます。

NSXはKubernetesとの強力な統合を備えており、特にAntrea (オープンソースCNI) と独自のContainer Plugin (NCP) が注目されます。AntreaはKubernetes Podにネットワークとセキュリティポリシーを提供し、マイクロセグメンテーションのためにNSX DFWを活用し、ネットワーク可視性を拡張します。NSX Advanced Load Balancer (旧Avi Networks) は、L4-L7ロードバランシングとWAFサービスに完全に統合され、自動デプロイとスケーリングを可能にします。NSXはさまざまなセキュリティアプライアンスのサービス挿入もサポートしており、クラウドネイティブワークロード向けに包括的なプラットフォームを提供します。

VXLAN EVPNの場合、Kubernetes統合は通常、CalicoやCiliumのような独立したCNIに依存します。特にCiliumは、eBPFを活用して高性能なネットワークポリシー適用と可観測性を提供し、基盤となるファブリックに直接依存することなくKubernetesネイティブのマイクロセグメンテーションを提供します。L4-L7サービス挿入は通常、Leafスイッチ上のPBRを介してトラフィックステアリングを行うことで、個別のベンダー (例: NGINX、HAProxy、ベンダーファイアウォール) を統合し、それらを管理するか、Kubernetes Ingress/Egressコントローラに依存することになります。このアプローチは非常に柔軟ですが、ACIやNSXよりも手動でのオーケストレーションが多くなります。

総所有コスト (TCO) と運用上の考慮事項

TCOは重要な差別化要因です。ACIは、APICコントローラ (冗長性のために通常3または5ノードのクラスタ) と、特定のライセンス (例: Advantage/Premier) を備えたNexus 9000シリーズスイッチに対して、多額の初期コストを必要とします。自動化により運用タスクは削減されますが、ACIのポリシーモデルの学習曲線は急峻である可能性があります。APICとNexusスイッチの保守契約は高額です。アップグレード (例: ACI 5.xから6.x) は複雑になる可能性があり、多くの場合、綿密な計画とファブリック全体のメンテナンスウィンドウを必要とします。

NSXもまた、高額なライセンスコストがかかり、多くの場合CPUソケットあたりまたはVMあたりの課金のため、大規模な環境ではすぐに高額になります。NSX Edgeのハードウェアコストは別途必要ですが、コモディティサーバー上で実行できます。運用上の複雑さは、ストレッチオーバーレイの管理と、既存の物理アンダーレイとの統合から生じます。NSX ManagerとEdgeノードのアップグレードは、慎重に計画しないと中断を招く可能性があります。NSX Federationは管理の複雑さとコストをさらに増加させます。しかし、自動化されたセキュリティとネットワークプロビジョニングによる運用上のメリットは大きいです。

NX-OS VXLAN EVPNは、ライセンスの観点からは最も低いCAPEXオプションに見え、標準のネットワークOS機能とBGPに依存しています。Nexus 9000スイッチのハードウェアコストはACIと同等ですが、APICクラスターは必須ではありません。しかし、EVPNのOPEXは、コントロールプレーンの分散型性質と、多くのデバイス間で一貫性を維持するための堅牢な自動化ツール (Ansible、Puppetなど) の必要性により、高くなる可能性があります。APICやNSX Managerのような集中型の相関エンジンがないため、トラブルシューティングはより困難になる可能性があります。アップグレードは通常、スイッチごとに行われ、ファブリック全体への影響を最小限に抑えますが、個々のデバイス管理が増加します。

データセンターファブリック比較マトリックス (2026年予測)

機能	Cisco ACI 6.x	VMware NSX 4.2	NX-OS VXLAN EVPN (BGP)
コントロールプレーン	集中型 (APIC)、プロプライエタリ	分散型 (NSX Managers + Controllers)、プロプライエタリ Overlay	分散型 (BGP EVPN)、標準ベース
マイクロセグメンテーション	EPG & Contracts (L2-L4)、サービスグラフ	分散ファイアウォール (DFW) (L2-L7)、ID認識	VLAN/VNI、外部ファイアウォール、ACL、(K8s向けCilium)
Kubernetes統合	ACI CNI (EPGモデル)	Antrea / NCP (DFWポリシー)	Calico / Cilium (独立)
マルチサイト	Multi-Pod、Multi-Site Orchestrator	NSX Federation	EVPN/MPLSによるDCI、IP VPN
学習曲線	高 (ポリシーモデル)	中〜高 (Overlay、分散サービス)	中 (BGP EVPN概念、自動化)
ベンダーロックイン	高 (Cisco Nexus)	中 (VMwareエコシステム)	低 (マルチベンダーハードウェアサポート)
見積もりCAPEX (8リーフファブリック)	35万ドル - 60万ドル (APIC、Nexus 93180YC-FX3含む)	28万ドル - 50万ドル (NSXライセンス、Edges含む)	18万ドル - 30万ドル (Nexus 93180YC-FX3含む)
見積もりOPEX (年間)	6万ドル - 10万ドル (保守、専任管理者)	5万ドル - 9万ドル (保守、専任管理者)	4万ドル - 8万ドル (保守、自動化の取り組み)

アップグレードサイクルとベンダーロックイン

ACIのアップグレードパス (例: ACI 5.2から6.0、その後6.xの暫定リリースへ) は、伝統的に慎重なステージングが必要であり、メジャーバージョンではファブリック全体の再ロードを伴うため、メンテナンスウィンドウに影響を与える可能性があります。Ciscoはこれを改善していますが、APICとNexusスイッチ上のネットワークOSの密接な結合は、柔軟性の低下を意味します。ベンダーロックインは、Cisco NexusハードウェアとAPICソフトウェアを中心に構築された完全なエコシステムであるため、ACIが最も高いと言えるでしょう。

NSXのアップグレードには、NSX Manager、NSX Edge、およびホストVIBが含まれます。一般的にACIのファブリックアップグレードよりも中断は少ないですが、大規模なNSX Federation環境でのパッチ適用には依然として綿密な計画が必要です。NSXは特定のハードウェアにACIほど縛られていませんが、VMware仮想化スタックに深く統合されています。vSphereに多額の投資をしている顧客は、NSXを自然な選択肢と見なすでしょう。多様なハイパーバイザーや重要なベアメタル資産を持つ顧客は、NSX固有のコンポーネントなしでは統合がより困難であると感じるかもしれません。

VXLAN EVPNは最大の柔軟性を提供します。アップグレードは通常デバイスごとに行われるため、単一スイッチの再ロードが必要な場合のリスクを最小限に抑えられます。標準ベースであるため、ファブリックの異なる部分でベンダーのハードウェア (例: Cisco Nexus 9000、Arista 7000、Juniper QFX) を組み合わせて使用でき、ベンダーロックインを軽減します。ただし、混在するベンダー間で相互運用性と一貫した機能セットを確保するには、設計と運用に複雑性が加わります。これらの多様なコンポーネントを一貫して管理するには、自動化が重要な役割を果たします。

結論

• Greenfield、Cisco中心の環境向け: Cisco ACI 6.xが最適です。 新しいデータセンターをゼロから構築し、主にCisco Nexusを使用しており、ネットワークとセキュリティの一元的な管理と宣言型ポリシー駆動のアプローチを重視する場合、ACIは特にMSOによるマルチサイトの一貫性において強力な機能を提供します。Ciscoエコシステムへの投資は大きいですが、従来のモノリシックおよび仮想化されたワークロードに対して高い自動化を実現します。
• VMware中心、マルチクラウド戦略向け: VMware NSX 4.2が最適です。 プライマリワークロードがVMware vSphere上で仮想化されており、ハイパーバイザに直接統合されたアジャイルできめ細かなマイクロセグメンテーションとL4-L7サービスが必要な場合、NSXは比類のない機能を提供します。Antrea/NCPとNSX Advanced Load Balancerにより、クラウドネイティブ環境にも強みを拡張し、ハイブリッドクラウド全体でVMとコンテナのセキュリティを統合されたoverlayで提供します。
• ハイブリッド環境、コスト重視、またはベンダーロックインの回避向け: NX-OS VXLAN EVPN with BGPが最適です。 最高の柔軟性が必要で、分散型コントロールプレーンに慣れており、強力なNetDevOps能力をすでに持っている場合、および/または複数のネットワークハードウェアベンダーを活用したい場合、VXLAN EVPNは実用的な選択肢です。プロプライエタリなコントローラのオーバーヘッドなしで、スケーラブルでオープンなファブリックの基盤を提供し、高度にカスタマイズされた自動化とCiliumのようなオープンソースのクラウドネイティブツールとの統合を可能にします。これは、アーキテクチャの自由を重視し、内部の自動化専門知識に投資できる組織にとっての選択肢です。

関連資料

• FortiGate 7.6 NGFW設計: 大規模データセンター向けセキュリティの拡張
• Ansible vs. Python for ネットワーク自動化: 2026年のツールチェーン選択
• Cisco Catalyst Center vs. DNA Center: エンタープライズネットワーク管理の進化
• Zero Trustの実装: FortinetとPalo Altoを用いた設計原則
• Cilium & eBPF: Kubernetesネットワーキングとセキュリティの未来