쫑콩아빠의 지금 이 순간...

Gigamon 장비 Firmware 업그레이드 방법입니다.

(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install          //안해도 됨
(config) # coreboot install      //안해도 됨
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem

# Firmware upload 위치
/var/opt/tms/images/

Gigamon-HC1 (config) # show running-config
##
## Running database "initial"
## Generated at 2023/03/09 22:37:25 +0000
## Software version on which this output was taken: GigaVUE-OS 5.13.03.04 347192 2022-08-29 17:34:04
## Hostname: Gigamon-HC1
##
## Note: If you are not an admin user some command invocations may be omitted
## because you do not have permissions to see them.
##
##
## Network interface configuration
##
interface eth0
  no dhcp
  ip address 10.10.10.125 /24
  exit
##
## Routing configuration
##
ip default-gateway 10.10.10.254 eth0
##
## Other IP configuration
##
hostname Gigamon-HC1
ip name-server 8.8.8.8
##
## Local user account configuration
##
username admin password 7 $1$Awce0nPW$l7aLonymvDzWfArYQcLAs.
##
## AAA remote server configuration
##
# ldap bind-password ********
# radius-server shared-secret ********
# tacacs-server shared-secret ********
##
## Chassis level configurations
##
chassis box-id 1 serial-num H013C type hc1 gdp disable
##
## Card level configurations
##
card slot 1/1 product-code 132-00D7
card slot 1/2 product-code 132-00D9
card slot 1/3 product-code 132-00D8
card slot 1/cc1 product-code 132-00D6
##
## Port level configurations
##
port 1/1/g1 type network
port 1/1/g2 type network
port 1/1/g3 type network
port 1/1/g4 type network
port 1/1/x1 type inline-tool
port 1/1/x1 params admin enable
port 1/1/x2 type inline-tool
port 1/1/x2 params admin enable
port 1/1/x3 type inline-tool
port 1/1/x3 params admin enable
port 1/1/x4 type inline-tool
port 1/1/x4 params admin enable
port 1/1/x5 type inline-tool
port 1/1/x5 params admin enable
port 1/1/x6 type inline-tool
port 1/1/x6 params admin enable
port 1/1/x7 type inline-tool
port 1/1/x7 params admin enable
port 1/1/x8 type inline-tool
port 1/1/x8 params admin enable
port 1/1/x9 type network
port 1/1/x10 type network
port 1/1/x11 type network
port 1/1/x12 type network
port 1/2/x1 type network
port 1/2/x2 type network
port 1/2/x3 type network
port 1/2/x4 type network
port 1/2/x5 type inline-net
port 1/2/x5 params admin enable speed 1000
port 1/2/x6 type inline-net
port 1/2/x6 params admin enable speed 1000
port 1/2/x7 type inline-net
port 1/2/x7 params admin enable speed 1000
port 1/2/x8 type inline-net
port 1/2/x8 params admin enable speed 1000
port 1/3/g1 type network
port 1/3/g1 params taptx passive
port 1/3/g2 type network
port 1/3/g2 params taptx passive
port 1/3/g3 type network
port 1/3/g3 params taptx passive
port 1/3/g4 type network
port 1/3/g4 params taptx passive
port 1/3/g5 type network
port 1/3/g5 params taptx passive
port 1/3/g6 type network
port 1/3/g6 params taptx passive
port 1/3/g7 type network
port 1/3/g7 params taptx passive
port 1/3/g8 type network
port 1/3/g8 params taptx passive
##
## Gigastream hash configurations
##
gigastream advanced-hash slot 1/cc1 default
##
## Apps SSL configuration
##
apps inline-ssl profile alias iSSL-Profile
  certificate expired drop
  certificate invalid drop
  certificate revocation crl disable
  certificate revocation ocsp disable
  certificate self-signed drop
  certificate unknown-ca drop
  decrypt tcp inactive-timeout 5
  decrypt tcp portmap default-out-port disable
  decrypt tool-bypass disable
  default-action decrypt
  ha active-standby disable
  monitor inline
  network-group multiple-entry disable
  no-decrypt tool-bypass disable
  non-ssl-tcp tool-bypass disable
  one-arm disable
  ria disable
  split-proxy disable
  split-proxy server non-pfs-ciphers disable
  tcp delayed-ack disable
  tcp syn-retries 3
  tool early-engage disable
  tool fail-action bypass-tool
  url-cache miss action no-decrypt
  exit
apps inline-ssl signing for primary key ucontech
##
## Gsgroup configurations
##
gsgroup alias iSSL-GS port-list 1/1/e1 hash advanced
##
## Gs params configurations
##
gsparams gsgroup iSSL-GS
  3gpp-node-role disable
  5g-flow timeout 48
  apptcp-lb application broadcast
  apptcp-lb control broadcast
  apptcp-lb disable
  cpu utilization type total rising 80
  dedup-action drop
  dedup-ip-tclass include
  dedup-ip-tos include
  dedup-tcp-seq include
  dedup-timer 50000
  dedup-vlan ignore
  diameter-packet timeout 2
  diameter-s6a-session limit 10000
  diameter-s6a-session timeout 30
  eng-watchdog-timer 60
  erspan3-timestamp format none
  flow-mask disable
  flow-sampling-rate 5
  flow-sampling-timeout 1
  flow-sampling-type device-ip
  generic-session-timeout 5
  gtp-control-sample enable
  gtp-flow timeout 48
  gtp-persistence disable
  gtp-persistence file-age-timeout 30
  gtp-persistence interval 10
  gtp-persistence restart-age-time 30
  gtp-randomsample disable
  gtp-randomsample interval 12
  ip-frag forward enable
  ip-frag frag-timeout 10
  ip-frag head-session-timeout 30
  lb failover disable
  lb failover-thres lt-bw 80
  lb failover-thres lt-pkt-rate 1000
  lb replicate-gtp-c disable
  lb use-link-spd-wt disable
  mobility-sam disable
  resource buffer-asf disable
  resource cpu overload-threshold 90
  resource hsm-ssl buffer disable
  resource hsm-ssl packet-buffer 1000
  resource inline-ssl standalone enable
  resource metadata disable
  resource packet-buffer overload-threshold 80
  resource xpkt-pmatch num-flows 0
  session logging level none
  sip-media timeout 30
  sip-nat disable
  sip-session timeout 30
  sip-tcp-idle-timeout 20
  ssl-decrypt decrypt-fail-action drop
  ssl-decrypt enable
  ssl-decrypt hsm-pkcs11 dynamic-object enable
  ssl-decrypt hsm-pkcs11 load-sharing enable
  ssl-decrypt hsm-timeout 1000
  ssl-decrypt key-cache-timeout 10800
  ssl-decrypt non-ssl-traffic drop
  ssl-decrypt pending-session-timeout 60
  ssl-decrypt session-timeout 300
  ssl-decrypt tcp-syn-timeout 20
  ssl-decrypt ticket-cache-timeout 10800
  tunnel-health-check action pass
  tunnel-health-check disable
  tunnel-health-check dstport 54321
  tunnel-health-check interval 600
  tunnel-health-check protocol icmp
  tunnel-health-check rcvport 54321
  tunnel-health-check retries 5
  tunnel-health-check roundtriptime 1
  tunnel-health-check srcport 54321
  xpkt-pmatch disable
  exit
##
## Gsop configurations
##
gsop alias iSSL-GSOP inline-ssl iSSL-Profile port-list iSSL-GS
##
## Vport configurations
##
vport alias VP1 gsgroup iSSL-GS
vport alias VP1 failover-action vport-bypass
vport alias VP1 outer-traffic-path to-inline-tool
vport alias VP1 inner-traffic-path to-inline-tool
vport alias VP1 deferred-binding disable
vport alias VP1 mmon disable
vport alias VP1 insight-sensor disable
vport alias VP2 gsgroup iSSL-GS
vport alias VP2 failover-action vport-bypass
vport alias VP2 outer-traffic-path to-inline-tool
vport alias VP2 inner-traffic-path to-inline-tool
vport alias VP2 deferred-binding disable
vport alias VP2 mmon disable
vport alias VP2 insight-sensor disable
##
## Inline-network configurations
##
inline-network alias default_inline_net_1_2_1
  pair net-a 1/2/x5 and net-b 1/2/x6
  physical-bypass disable
  traffic-path to-inline-tool
  exit
inline-network alias default_inline_net_1_2_2
  pair net-a 1/2/x7 and net-b 1/2/x8
  physical-bypass disable
  traffic-path to-inline-tool
  exit
##
## Inline-tool configurations
##
inline-tool alias DEC1
  pair tool-a 1/1/x1 and tool-b 1/1/x2
  enable
  exit
inline-tool alias DEC2
  pair tool-a 1/1/x5 and tool-b 1/1/x6
  enable
  exit
inline-tool alias ENC1
  pair tool-a 1/1/x3 and tool-b 1/1/x4
  enable
  exit
inline-tool alias ENC2
  pair tool-a 1/1/x7 and tool-b 1/1/x8
  enable
  exit
##
## Traffic map connection configurations
##
map alias map11
  roles replace admin to owner_roles
  rule add pass portdst 443 bidir
  to VP1
  from default_inline_net_1_2_1
  exit
map alias map21
  roles replace admin to owner_roles
  rule add pass portdst 443 bidir
  to VP2
  from default_inline_net_1_2_2
  exit
map alias map12
  roles replace admin to owner_roles
  use gsop iSSL-GSOP
  to DEC1
  from VP1
  exit
map alias map22
  roles replace admin to owner_roles
  use gsop iSSL-GSOP
  to DEC2
  from VP2
  exit
map-scollector alias map33
  roles replace admin to owner_roles
  from default_inline_net_1_2_2
  collector ENC2
  exit
map-scollector alias map13
  roles replace admin to owner_roles
  from default_inline_net_1_2_1
  collector ENC1
  exit
##
## X.509 certificates configuration
##
#
# Certificate name system-self-signed, ID 6e7c2be346db77d241a438646adbe073ff1e1ab8
# (public-cert config omitted since private-key config is hidden)
##
## Web configuration
##
# web proxy auth basic password ********
##
## E-mail configuration
##
# email auth password ********
# email autosupport auth password ********
Gigamon-HC1 (config) #

port 1/3/x9 params admin enable
port 1/3/x9 alias unused-channel-port
pcap alias nw-side
port 1/3/x17 both (패킷을 캡처하려는 인터페이스)  
channel-port 1/3/x9 (트래픽을 복사하는 데 사용되지 않는 포트)
packet-limit 20000
filter ipsrc 10.10.10.10 / 32
exit
show pcap alias nw-side
show pcap
show file pcap
no pcap alias nw-side
or
clear pcap all
or
no pcap all
file pcap upload <filename> ftp://admin:master00@10.10.10.10/dir/folder/<filename>

(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install
(config) # coreboot install
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem

HC 장비 image 위치
/var/opt/tms/images/

GigaVUE-OS 6.x로 올라가면서 Flexible inline map 구현을 위해 사용되는 Canvas 사용 시 주의 사항입니다.
Gigamon FM Canvas는 Flexible inline map을 구현하는데 편의성을 제공 합니다.

나는 이러한 기능을 사용하기 위한 설명을 작성하는 것은 아니며, 이러한 FM의 Canvas 기능을 사용 시 주의를 요하는 부분을 얘기 하고 싶습니다. 아래 예제를 통해 확인해 보겠습니다.
FM Canvas를 통해 아래와 같이 Rule 하나가 추가 되었습니다.

이후 실수도 동일한 Rule을 추가 하였습니다.

Deploy 하기 전까지는 문제 없이 잘 적용 되었습니다.
이후 Deploy를 수행하면 아래와 같이 실패 원이이 뜹니다.

아 어딘가에 문제가 있구나 하고 실패 원인을 확인 하여 문제를 해결 합니다.
이때까지도 몰랐습니다. 잘못된 부분을 수정하여 다시 적용 하면 되겠지라고 생각 했습니다.
하지만 HC 장비에서는 아래와 같은 증상이 발생 되었습니다.

Deploy 실패와 관련된 inline-network가 "NORMAL" 상태에서 "PHYSICAL BYPASS"로 변환이 되었습니다.
따라서 Canvas 를 통해 Deploy시 실패가 될 경우 inline-network 상태 점검이 꼭 필요합니다.