インライン構成/ワンアーム構成比較【ネットワーク構成の疑問解消】

中~大規模ネットワークの構築に欠かせない「インライン構成」や「ワンアーム構成」について、
2つの構成の特徴や構成例、メリット・デメリットを解説します。

とりあえず結論

拡張性を考慮するならワンアーム構成が優秀。
インターネットの接続点ではインライン構成が優秀。
構成によっては将来的な通信要件に対応出来ない可能性もあるので、
設計段階で構成ごとに、出来ること/出来ないことをユーザに説明しておきましょう。

以下で詳しく解説します。

ネットワーク構成構成でメジャーな2種類

企業ネットワーク内に、ファイアウォールで保護されたサーバ収容ネットワークを構築する際の例で解説します。

インライン構成

インライン構成は「in line」の意味の通り、列をなしている構成です。

インライン構成

上図の通り、上位L3SWとサーバ収容L3SWの間にファイアウォールを挟んで1列にすることで、
ユーザがサーバと通信する時に、ファイアウォールを経由させることが可能になります。
シンプルな構成です。

ワンアーム構成

ワンアーム構成は「one arm」の意味の通り、腕が1本生えてる構成です。

ワンアーム構成

上図の通り、L3SWから腕1本生やしてファイアウォールを接続しています。

この構成、どうやってファイアウォールを経由させられる?と疑問に思いますが、
論理構成で見ると、インライン構成と同じ様な経路を通ることが分かります。

ワンアーム構成の論理構成

2つの構成のメリット・デメリット

どちらの構成が最強なんてことはなく、構成ごとにメリットとデメリットがあります。
要件に合わせて最適な構成を提案しましょう。
参考にいくつか例を記載します。

インライン構成のメリット・デメリット

メリット>
物理的にファイアウォールが機器の間に入るので、設定ミスやケーブル接続ミスなどにより、
誤ってファイアウォールを経由しない経路となるといったトラブルに陥る可能性が低いです。
(なのでインターネットの接続点ではインライン構成をオススメします)

また、構成がシンプルなので構築難易度も低めです。

デメリット>
同じコンポーネントに新しいサーバを収容したいが、ファイアウォールは経由させたくない。
といった特殊な要件が後から発生した場合、インライン構成では要件を満たすのが難しいです。
(ロードバランサも同じ理由でインライン構成を避けることがあります)

ファイアウォールやロードバランサなどの専用機は物理ポート数が少なく、
ポート1個当たりの単価が高いので、構成よっては拡張コストが多めにかかる可能性あり。

ワンアーム構成のメリット・デメリット

<メリット>
論理設計を頑張れば様々な要件に対して柔軟に対応可能。
同じコンポーネントにロードバランサも追加したい。といった要件が発生した場合、
物理構成を大きく変更することなく移行可能です。
インライン構成に比べて物理筐体は減るので、運用管理は多少楽になります。

<デメリット>
図中L3SWの様に、1つの物理筐体に複数の機能を持たせるため、機器の負担が大きいです。
また、障害による影響範囲も大きくなります。

レイヤ2~4の仮想化技術を身に付けよう

冗長化されたワンアーム構成など、複雑な設計をするには、
VLAN(仮想スイッチ)、VRF(仮想ルータ)、Context(仮想ファイアウォール)といった
仮想化技術に対する知識が必須になります。

VLANとVRFはCisco認定資格で学べます。
Conttext等のファイアウォール技術は実機で触らないと分かりにくい領域。
今の職場で触るチャンスが無いなら転職してでも覚えたい技術です。

本ブログではそういった学びにくい技術解説も掲載していく予定です。

スポンサーリンク

タイトルとURLをコピーしました