쫑콩아빠의 지금 이 순간...

소요장비 :
- Gigamon HC2 1ea
- SSL VA 2ea
- WAF 2ea
- Switch 2ea

구성
- Gigamon에 1회선 수용을 위해 상하단 Switch 구성
- SSL VA는 복호화 구간, 암호화 구간 각각 이중화(LB) 구성
- WAF 이중화(LB) 구성

### SSL VA PoC를 위해 지원한 Gigamon 설정값 ###

port 1/3/x1..x6,1/4/x1..x6,1/4/x17..x18 param admin enable
port 1/3/x1..x6,1/4/x1..x6 type inline-tool

inline-tool alias SSL-1-1
  pair tool-a 1/3/x1 and tool-b 1/3/x2
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-1-2
  pair tool-a 1/3/x3 and tool-b 1/3/x4
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-2-1
  pair tool-a 1/4/x1 and tool-b 1/4/x2
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-2-2
  pair tool-a 1/4/x3 and tool-b 1/4/x4
  enable
  heart-beat
  shared true
  exit
  
  
inline-tool alias WAF-1
  pair tool-a 1/3/x5 and tool-b 1/3/x6
  enable
  heart-beat
  shared true
  exit
inline-tool alias WAF-2
  pair tool-a 1/4/x5 and tool-b 1/4/x6
  enable
  heart-beat
  shared true
  exit
  
inline-tool-group alias SSL-DEC-LB
  tool-list SSL-1-1,SSL-2-1
  enable
  exit
inline-tool-group alias SSL-ENC-LB
  tool-list SSL-1-2,SSL-2-2
  enable
  exit
inline-tool-group alias WAF-LB-1
  tool-list WAF-1,WAF-2
  enable
  exit
  
  
map alias iN5_HTTPS_VLAN501
  type flexinline byRule
  roles replace admin to owner_roles
  rule add pass portdst 443 protocol tcp bidir
  from default_inline_net_1_4_1
  a-to-b SSL-DEC-LB,WAF-LB-1,SSL-ENC-LB
  b-to-a reverse
  tag 501
  exit
map alias iN5_HTTP_VLAN502
  type flexinline byRule
  roles replace admin to owner_roles
  rule add pass portdst 80 protocol tcp bidir
  from default_inline_net_1_4_1
  a-to-b WAF-LB-1
  b-to-a reverse
  tag 502
  exit
map alias iN5_Other_VLAN520
  type flexinline collector
  roles replace admin to owner_roles
  from default_inline_net_1_4_1
  a-to-b bypass
  b-to-a bypass
  tag 520
  exit
  
  inline-network alias default_inline_net_1_4_1 physical-bypass disable
  inline-network alias default_inline_net_1_4_1 traffic-path to-inline-tool
  inline-network alias default_inline_net_1_4_1 lfp enable

Gigamon 장비는 제품별로 다양한 Packet 처리가 가능하다.
Mirror 트래픽을 전달 받아 가공을 통해 보안/모니터링/분석 장비에 전달함으로 효과를 얻을 수도 있고
Inline에 직접 개입하여 보안 장비들을 효과적으로 사용할 수 있게 구성이 가능하다.
참 재미난 Concept 이다. 
As-Is의 구성은 현재 많이 사용되는 이중화 구성이다. 예전에는 이 구성이 최적화된 구성이었으나 시대가 바뀌었고
예전 구성에서의 문제점들을 해결할 수 있는 방법도 생겨났다.

지난번에는 Gigamon HC Series iSSL 구성이 각각 Standalone 상태에서 회선별 연결된 좌우형 구성에서 발생할 수 있는 iSSL에 대해 글을 작성하였다.

이번에는 GRIP 구성과 같이 Gigamon을 상하단 구성으로 사용 시...대신 GRIP 설정 없이 아래와 같이 구성 시 발생될 수 있는 iSSL에 대해 이야기 하고자 한다.

내부에서 테스트를 목적으로 구성한 LAB 이며, HC2의 단종으로 인해 HC1의 interface 부족을 해결하기 위해 막연하게 생각해본 구성에서 iSSL도 같이 테스트를 진행 하였는데 약간의 문제점이 발견 되었다.

구성도에서의 iSSL Reverse는 편의상 외부에 있는 서버중 인증서를 포함하고 있기 때문에 상하단 방향이 바뀐 상태로 테스트 진행

하단 Client에서 외부 사이트의 URL로 접속시 인증서가 없을 경우 복호화 되지 않은 상태에서 정상적인 사이트 접속이 가능하다.
하지만 IP로 접속 시도 시 페이지가 연결 안되는 증상이 발견 되었다.

동일하게 외부 웹사이트의 경우도 URL를 통한 접속시에는 문제가 없으나 IP로 접속 시 페이지가 안열리는 증상이 발생한다.

물론 Gigamon 장비를 Standalone으로 상하단 구성을 하는 사례가 없을 수도 있으나 GRIP 구성 중 Stack interface의 다운으로 상하단 2대의 Gigamon 장비가 Standalone 상태가 될 수 있는 상황이기에 이때 iSSL를 사용하고 있다면 내부에서 IP로 접속하는 장비들에 대해서는 페이지 안열림 증상이 발생 될수도 있다.

아직 원인파악은 안된 상태이나, Gigamon 이중화 중 iSSL 구성 시 해당 내용은 참고가 필요하다.

P.S
Gigamon 1대를 Standalone으로 구성 시에는 IP or URL 로 접속 시 정상 작동이 되었다.

Gigamon HC Series는 패킷 미러 처리 뿐 아니라 inline에 직접 연결해 다양한 inline-tool에게 최적의 패킷을 전달 하는 역활을 한다.

보통의 Gigamon 이중화는 GRIP이라는 Gigamon에서 제공하는 이중화 프로토콜을 통해 이중화를 구성하며, 회선별 구성이 아닌 아래와 같이 상하단 구성을 주로 한다.

기존 회선 이중화 방식에서 발생되는 문제점들을 Gigamon을 통해 다양한 문제점들의 해결이 가능해진다.
- 보안 장비로 인한 네트워크 성능 저하
- 여러 장애 포인트 존재
- 비대칭 라우팅으로 인한 보안 장비 탐지의 어려움
- 보안 장비 확장의 어려움
- 보안장비 Firmware 업그레이드 혹은 교체시 네트워크 단절 위험
- 네트워크 증속 시 보안도 동일 증속을 위한 투자
- 보안 장비 한대 장애로 인한 망 전환
- 불필요한 패킷이 보안 장비에 전달 됨으로 인한 성능 저하
- Active/Standby 회선에서 Standby쪽에 연결된 보안장비의 휴무
- 각자 SSL 암복호화를 수행함에 따른 성능 지연 및 인증서 관리 문제

Gigamon의 GRIP 구성은 처음 접하면 이해하기 어려우나, 상당히 추천할 만한 구성이다.

이에 반해 Gigamon을 각각의 회선별로 Standalone으로 구성하는 사례도 있다. 아래와 같이...

위의 구성 시 주의 사항은 아래와 같다.
- Asymmetric 문제 발생
- Gigamon 장애 시 트래픽 바이패스 또는 망 전환 (inline-network 구성을 bypass 모듈에 할지 일반 포트에 구성하는지에 따라 다름)
- SSL 암복호화 시 발생될 수 있는 Mac Flapping

3가지 주의 사항 중 오늘 언급하고자 하는 부분은 SSL 암복호화 부분이다.
특히 Gigamon의 좌/우 구성에서 iSSL 암복호화를 Gigamon에서 수행할 경우 장애 발생 여지가 있다.
결론부터 얘기하자면 Gigamon에서 iSSL 암복호화를 수행 시 Proxy 형태로 GigaSMART에서 연결된 SSL Session에 대해 유지를 하게 된다. 기존 SSL Session이 유지되는 상태에서 망 전환이 발생이 되고, SSL Session Timeout에 의해 기존 연결된 Session에 reset 패킷을 발생 시키게 됨으로 Standby쪽 하단 스위치에 reset 패킷이 도달하게 되며 그로 인해 하단 스위치에서 Mac Flapping이 발생하게 된다.

해결 방법으로는 Gigamon 6.x 버전 이상에서는 "Active Visibility"라는 기능에서 Condition에 따른 Action을 수행할수 있기에 망 전환시 발생되는 회선 포트 다운 event에 iSSL Session Clear를 할수 있는 Action을 통해 해결이 가능하다.

Gigamon의 상/하단 구성인 GRIP 구성에서는 SSL Session이 유지된 상태에서 장비 Fail-over가 발생된다 해도 Standby쪽 장비에서는 Physical Bypass 상태를 유지하므로 SSL Session Timeout에 의해 Reset 패킷이 발생한다 하더라도 이로 인한 영향은 없다.

단 Gigamon에서 iSSL의 암복호화 수행이 아닌 별도의 SSL 암복호화 솔루션을 쓰게 될 경우에 해결 방법에 대해서는 아직 미지수이다.

SSL 암복호화를 수행 하는 경우 Gigamon 구성에 대해서는 반드시 확인이 필요하다.

request chassis cluster failover redundancy-group

request chassis cluster failover node node-number redundancy-group redundancy-group-number
Release Information
Command introduced in Junos OS Release 9.0.

Description
For chassis cluster configurations, initiate manual failover in a redundancy group from one node to the other, which becomes the primary node, and automatically reset the priority of the group to 255. The failover stays in effect until the new primary node becomes unavailable, the threshold of the redundancy group reaches 0, or you use the request chassis cluster failover reset command.

After a manual failover, you must use the request chassis cluster failover reset command before initiating another failover.

Options
node node-number—Number of the chassis cluster node to which the redundancy group fails over.

Range: 0 or 1

redundancy-group group-number—Number of the redundancy group on which to initiate manual failover. Redundancy group 0 is a special group consisting of the two Routing Engines in the chassis cluster.

Range: 0 through 255

Required Privilege Level
maintenance

RELATED DOCUMENTATION
Initiating a Chassis Cluster Manual Redundancy Group Failover

Verifying Chassis Cluster Failover Status

List of Sample Output
request chassis cluster failover redundancy-group
Output Fields
When you enter this command, you are provided feedback on the status of your request.

Sample Output
request chassis cluster failover redundancy-group

user@host> request chassis cluster failover redundancy-group 0 node 1
content_copy zoom_out_map
{primary:node0}

user@host> request chassis cluster failover redundancy-group 0 node 1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Initiated manual failover for redundancy group 0

1. VDOM enable
conf sys global
set vdom-admin enable
end

2. Create VDOM
conf vdom
edit test

3. VDOM mode setting
TP
conf vdom
edit test
conf sys setting
set opmode transparent
set manageip 10.10.10.1/32
end
end

4. Management Port setting
conf sys interface
edit mgmt
set vdom root
set ip 10.10.10.1/24
next
edit port1
set vdom test
next
edit port2
set vdom test
next
edit port4
set ip 192.168.12.1/24
set allowaccess ping https ssh snmp telnet
next
end

5. Sessins-sync setting
conf system session-sync
edit 1
set peerip 192.168.12.2
set syncvd test
next
end

6. HA setting
conf sys ha
set hbdev port3 100
set session-sync-dev port4
set hb-interval 4
set hb-lost-threshold 12
set ha-uptime-diff-margin 1
set session-pickup enable
set session-pickup-connectionless enable
set session-pickup-expectation enable
set session-pickup-nat enable
set standalone-config-sync enable
set override disable
end