반응형

Gigamon 장비는 제품별로 다양한 Packet 처리가 가능하다.
Mirror 트래픽을 전달 받아 가공을 통해 보안/모니터링/분석 장비에 전달함으로 효과를 얻을 수도 있고
Inline에 직접 개입하여 보안 장비들을 효과적으로 사용할 수 있게 구성이 가능하다.
참 재미난 Concept 이다. 
As-Is의 구성은 현재 많이 사용되는 이중화 구성이다. 예전에는 이 구성이 최적화된 구성이었으나 시대가 바뀌었고
예전 구성에서의 문제점들을 해결할 수 있는 방법도 생겨났다.

반응형

'업무이야기 > 정책관리솔루션' 카테고리의 다른 글

Firemon SIQL  (1) 2018.05.08
Firemon 웹로그인유저 패스워드 복구방법  (0) 2018.05.08
Firemon CLI  (0) 2018.05.08
Firemon SIQL  (0) 2017.08.08
반응형

Gigamon 장비 Firmware 업그레이드 방법입니다.

(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install          //안해도 됨
(config) # coreboot install      //안해도 됨
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem

# Firmware upload 위치
/var/opt/tms/images/

반응형
반응형

port 1/3/x9 params admin enable
port 1/3/x9 alias unused-channel-port
pcap alias nw-side
port 1/3/x17 both (패킷을 캡처하려는 인터페이스)  
channel-port 1/3/x9 (트래픽을 복사하는 데 사용되지 않는 포트)
packet-limit 20000
filter ipsrc 10.10.10.10 / 32
exit
show pcap alias nw-side
show pcap
show file pcap
no pcap alias nw-side
or
clear pcap all
or
no pcap all
file pcap upload <filename> ftp://admin:master00@10.10.10.10/dir/folder/<filename>

반응형
반응형

(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install
(config) # coreboot install
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem

HC 장비 image 위치
/var/opt/tms/images/

반응형
반응형

##
## Network interface configuration
##
interface eth0
  no dhcp
  ip address 192.168.1.13 /24
  exit
##
## Network interface IPv6 configuration
##
interface eth0
  no ipv6 dhcp client enable
  exit
##
## Routing configuration
##
ip default-gateway 192.168.1.1 eth0
##
## Other IP configuration
##
hostname HC1
ip domain-list inner
ip name-server 168.126.63.1
##
## Other IPv6 configuration
##
no ipv6 enable
##
## Logging configuration
##
logging 192.168.1.245
logging 192.168.1.245 trap warning
##
## Port level configurations
##
port 1/1/g1 type network
port 1/1/g1 params admin enable
port 1/1/g2 type tool
port 1/1/g2 params admin enable
##
## Gigastream hash configurations
##
gigastream advanced-hash slot 1/cc1 default
##
## Gsgroup configurations
##
gsgroup alias GSHS port-list 1/1/e1
##
## IP Interface configurations
##
ip interface alias IN-VPN
  attach 1/1/g1
  ip address 192.168.1.10 /24
  gw 192.168.1.1
  gsgroup add GSHS
  exit
##
## Gs params configurations
##
gsparams gsgroup GSHS
  cpu utilization type total rising 80
  dedup-action drop
  dedup-ip-tclass include
  dedup-ip-tos include
  dedup-tcp-seq include
  dedup-timer 50000
  dedup-vlan ignore
  diameter-packet timeout 2
  diameter-s6a-session limit 10000
  diameter-s6a-session timeout 30
  eng-watchdog-timer 60
  erspan3-timestamp format none
  flow-mask disable
  flow-sampling-rate 5
  flow-sampling-timeout 1
  flow-sampling-type device-ip
  generic-session-timeout 5
  gtp-control-sample enable
  gtp-flow timeout 48
  gtp-persistence disable
  gtp-persistence file-age-timeout 30
  gtp-persistence interval 10
  gtp-persistence restart-age-time 30
  gtp-randomsample disable
  gtp-randomsample interval 12
  ip-frag forward enable
  ip-frag frag-timeout 10
  ip-frag head-session-timeout 30
  lb failover disable
  lb failover-thres lt-bw 80
  lb failover-thres lt-pkt-rate 1000
  lb replicate-gtp-c disable
  lb use-link-spd-wt disable
  node-role disable
  resource buffer-asf disable
  resource cpu overload-threshold 90
  resource hsm-ssl buffer disable
  resource hsm-ssl packet-buffer 1000
  resource inline-ssl standalone enable
  resource metadata disable
  resource packet-buffer overload-threshold 80
  resource xpkt-pmatch num-flows 0
  session logging level none
  sip-media timeout 30
  sip-nat disable
  sip-session timeout 30
  sip-tcp-idle-timeout 20
  ssl-decrypt decrypt-fail-action drop
  ssl-decrypt enable
  ssl-decrypt hsm-pkcs11 dynamic-object enable
  ssl-decrypt hsm-pkcs11 load-sharing enable
  ssl-decrypt hsm-timeout 1000
  ssl-decrypt key-cache-timeout 10800
  ssl-decrypt non-ssl-traffic drop
  ssl-decrypt pending-session-timeout 60
  ssl-decrypt session-timeout 300
  ssl-decrypt tcp-syn-timeout 20
  ssl-decrypt ticket-cache-timeout 10800
  tunnel-health-check action pass
  tunnel-health-check disable
  tunnel-health-check dstport 54321
  tunnel-health-check interval 600
  tunnel-health-check protocol icmp
  tunnel-health-check rcvport 54321
  tunnel-health-check retries 5
  tunnel-health-check roundtriptime 1
  tunnel-health-check srcport 54321
  xpkt-pmatch disable
  exit
##
## Gsop configurations
##
gsop alias gsope1 strip-header vxlan 0 port-list GSHS
##
## Traffic map connection configurations
##
map alias 01.G2-G1_HS_MAP
  type regular byRule
  roles replace admin to owner_roles
  use gsop gsope1
  rule add pass ipver 4
  rule add pass ipver 6
  to 1/1/g2
  from 1/1/g1
  exit
##
## SNMP configuration
##
no snmp-server host 192.168.1.245 disable
snmp-server host 192.168.1.245 traps port 162 version 2c public

반응형
반응형

Gigamon Config를 Backup 받는 방법은 2가지가 있다.
1. Binary Download
2. Text로 변환 후 Download
Binary 포맷으로 config를 Backup 받았을 경우 Backup 받은 동일한 파일을 다시 upload 하여 "Switch To Active" 를 통해 Restore가 가능하다.
하지만 Backup 받은 Config를 수정을 통한 Restore는 불가능하다.
이런 경우 아래와 같이 작업을 진행하면 Backup 받은 Config에 대한 수정 및 Apply 적용이 가능하다.

처음 할 일은 기존 Active 되어 있는 Config에 대해 "Save As Text"를 클릭하여 Text 포맷으로 변경을 한다.

저장할 파일 명을 작성한다. 참고로 Configuration는 "Traffic Only"를 선택한다.

생성된 Text 포맷의 Config를 선택 후 "Download" 한다.

다운로드된 Config 파일을 TXT 편집기를 통해 열어 필요한 부분을 수정한다.

예를 들어 아래의 "iT-sslva-1-1-A" 부분을 "iT-SSLVA-1-1-A" 로 수정하고

inline-tool alias "WAF-3" 을 삭제하고

WAF-LB 그룹에서 WAF-3을 삭제하고

map alias "sbbaek"를 "test"로 수정한다.

기존 TXT 포맷으로 저장한 Cofnig를 삭제 후 다시 수정된 Text 포맷의 Config 파일을 Gigamon에 upload 한다.

upload된 "Backup_Text" 를 선택 후 "Apply"를 클릭한다.

2개의 옵션을 선택 (Fail Continue, Clear Config) 후 "Apply"를 클릭한다.
(Clear Config 옵션은 기존 맵을 다 삭제 후 다시 작성이 됨으로 Collector 맵도 사라짐...따라서 반듯이 inline-network physical bypass로 변경 후 작업 하시기 바람)

"Notifications" 를 통해 정상 적용 여부를 확인한다.

적용된 Config를 확인한다.

sslva -> SSLVA

WAF-3 삭제 확인

WAF-LB에서 WAF-3 삭제 확인

map alias 수정 확인 "sbbaek" -> "test"

 

## 참고사항

1. Traffic 관련 Config에 대해서만 수정이 가능하다. 아래와 같이 Traffic 관련 Config가 아닌 경우는 수정을 하더라도 적용이 되지 않는다.
Logging Configuration
Local user accoint configuration
etc

2. HeartBeat Check를 Custom PCAP을 사용한 경우 우선 Default Profile로 변경 후 Custom PCAP Profile도 삭제 후 작업 진행 하고 Restore가 완료 되면 이후 Custom PCAP 작업을 해야 됨

업로드된 Config를 "Apply" 할때 옵션에 "Clear Config" 에 의해 적용시 기존 Config를 Clear 하고 다시 적용하는 방식으로 보임. 따라서 패킷 통신 중에 적용이 될 경우 순단에 대한 Effect 발생 여부에 대해서는 별도로 테스트가 필요함

반응형
반응형

GigaVUE-FM에 등록된 Node의 비밀번호 변경 시 지금까지 변경 방법을 찾지 못해 고객사에 고정 계정을 권고해 왔다.
그런데...장비 등록 하는 페이지에서는 안되던 "EDIT"가 다른 곳에서 지원되는 것을 찾았다.
장비 등록 후 등록된 장비의 비밀번호 변경 시 아래와 같이 "설정/Node Details" 변경될 장비 선택 후 "Actions/Edit"에서 변경된 사항을 수정 하면 된다.

반응형
반응형

지난번에는 Gigamon HC Series iSSL 구성이 각각 Standalone 상태에서 회선별 연결된 좌우형 구성에서 발생할 수 있는 iSSL에 대해 글을 작성하였다.

이번에는 GRIP 구성과 같이 Gigamon을 상하단 구성으로 사용 시...대신 GRIP 설정 없이 아래와 같이 구성 시 발생될 수 있는 iSSL에 대해 이야기 하고자 한다.

내부에서 테스트를 목적으로 구성한 LAB 이며, HC2의 단종으로 인해 HC1의 interface 부족을 해결하기 위해 막연하게 생각해본 구성에서 iSSL도 같이 테스트를 진행 하였는데 약간의 문제점이 발견 되었다.

구성도에서의 iSSL Reverse는 편의상 외부에 있는 서버중 인증서를 포함하고 있기 때문에 상하단 방향이 바뀐 상태로 테스트 진행

하단 Client에서 외부 사이트의 URL로 접속시 인증서가 없을 경우 복호화 되지 않은 상태에서 정상적인 사이트 접속이 가능하다.
하지만 IP로 접속 시도 시 페이지가 연결 안되는 증상이 발견 되었다.

* URL 접속의 경우 임의의 DNS Server를 구성하여 사용.

동일하게 외부 웹사이트의 경우도 URL를 통한 접속시에는 문제가 없으나 IP로 접속 시 페이지가 안열리는 증상이 발생한다.

물론 Gigamon 장비를 Standalone으로 상하단 구성을 하는 사례가 없을 수도 있으나 GRIP 구성 중 Stack interface의 다운으로 상하단 2대의 Gigamon 장비가 Standalone 상태가 될 수 있는 상황이기에 이때 iSSL를 사용하고 있다면 내부에서 IP로 접속하는 장비들에 대해서는 페이지 안열림 증상이 발생 될수도 있다.

아직 원인파악은 안된 상태이나, Gigamon 이중화 중 iSSL 구성 시 해당 내용은 참고가 필요하다.

P.S
Gigamon 1대를 Standalone으로 구성 시에는 IP or URL 로 접속 시 정상 작동이 되었다.

반응형

+ Recent posts