Gigamon 장비는 제품별로 다양한 Packet 처리가 가능하다.
Mirror 트래픽을 전달 받아 가공을 통해 보안/모니터링/분석 장비에 전달함으로 효과를 얻을 수도 있고
Inline에 직접 개입하여 보안 장비들을 효과적으로 사용할 수 있게 구성이 가능하다.
참 재미난 Concept 이다.
As-Is의 구성은 현재 많이 사용되는 이중화 구성이다. 예전에는 이 구성이 최적화된 구성이었으나 시대가 바뀌었고
예전 구성에서의 문제점들을 해결할 수 있는 방법도 생겨났다.
| Firemon SIQL (1) | 2018.05.08 |
|---|---|
| Firemon 웹로그인유저 패스워드 복구방법 (0) | 2018.05.08 |
| Firemon CLI (0) | 2018.05.08 |
| Firemon SIQL (0) | 2017.08.08 |
Gigamon 장비 Firmware 업그레이드 방법입니다.
(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install //안해도 됨
(config) # coreboot install //안해도 됨
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem
# Firmware upload 위치
/var/opt/tms/images/
| How To: Packet capture on Gigamon interface (7) | 2024.10.04 |
|---|---|
| Gigamon Mirror packet에 Vlan Tag 넣기 (7) | 2024.10.04 |
| Gigamon Classic Map을 통한 Inline SSL 암복호화 config 샘플 (17) | 2024.10.02 |
| Gigamon Precryption (43) | 2024.09.06 |
| GigaVUE Cloud Suite™ Prerequisites - AWS Ports and Protocols | Gigamon Product Clinic #3 (7) | 2024.09.06 |
port 1/3/x9 params admin enable
port 1/3/x9 alias unused-channel-port
pcap alias nw-side
port 1/3/x17 both (패킷을 캡처하려는 인터페이스)
channel-port 1/3/x9 (트래픽을 복사하는 데 사용되지 않는 포트)
packet-limit 20000
filter ipsrc 10.10.10.10 / 32
exit
show pcap alias nw-side
show pcap
show file pcap
no pcap alias nw-side
or
clear pcap all
or
no pcap all
file pcap upload <filename> ftp://admin:master00@10.10.10.10/dir/folder/<filename>
| Gigamon Precryption (43) | 2024.09.06 |
|---|---|
| GigaVUE Cloud Suite™ Prerequisites - AWS Ports and Protocols | Gigamon Product Clinic #3 (7) | 2024.09.06 |
| Gigamon HC Series CLI를 통한 Firmware upgrade (1) | 2024.09.05 |
| @cloud에서 Gigamon으로 패킷 전송 config (2) | 2024.09.05 |
| Gigamon FM Canvas 사용 시 주의할 점 (1) | 2024.08.01 |
(config) # show images
(config) # show version
(config) # no boot next fallback-reboot enable
(config) # image fetch scp://user:password@192.168.1.25/builds/hdd511xx.img
(config) # image install hdd511xx.img
(config) # show uboot
(config) # uboot install
(config) # coreboot install
(config) # image boot next
(config) # write mem
(config) # reload
(config) # write mem
HC 장비 image 위치
/var/opt/tms/images/
| GigaVUE Cloud Suite™ Prerequisites - AWS Ports and Protocols | Gigamon Product Clinic #3 (7) | 2024.09.06 |
|---|---|
| Gigamon HC Series에서 pcap 받는 방법 (17) | 2024.09.05 |
| @cloud에서 Gigamon으로 패킷 전송 config (2) | 2024.09.05 |
| Gigamon FM Canvas 사용 시 주의할 점 (1) | 2024.08.01 |
| Gigamon FM Canvas Export & Import에 관하여 (0) | 2024.08.01 |
##
## Network interface configuration
##
interface eth0
no dhcp
ip address 192.168.1.13 /24
exit
##
## Network interface IPv6 configuration
##
interface eth0
no ipv6 dhcp client enable
exit
##
## Routing configuration
##
ip default-gateway 192.168.1.1 eth0
##
## Other IP configuration
##
hostname HC1
ip domain-list inner
ip name-server 168.126.63.1
##
## Other IPv6 configuration
##
no ipv6 enable
##
## Logging configuration
##
logging 192.168.1.245
logging 192.168.1.245 trap warning
##
## Port level configurations
##
port 1/1/g1 type network
port 1/1/g1 params admin enable
port 1/1/g2 type tool
port 1/1/g2 params admin enable
##
## Gigastream hash configurations
##
gigastream advanced-hash slot 1/cc1 default
##
## Gsgroup configurations
##
gsgroup alias GSHS port-list 1/1/e1
##
## IP Interface configurations
##
ip interface alias IN-VPN
attach 1/1/g1
ip address 192.168.1.10 /24
gw 192.168.1.1
gsgroup add GSHS
exit
##
## Gs params configurations
##
gsparams gsgroup GSHS
cpu utilization type total rising 80
dedup-action drop
dedup-ip-tclass include
dedup-ip-tos include
dedup-tcp-seq include
dedup-timer 50000
dedup-vlan ignore
diameter-packet timeout 2
diameter-s6a-session limit 10000
diameter-s6a-session timeout 30
eng-watchdog-timer 60
erspan3-timestamp format none
flow-mask disable
flow-sampling-rate 5
flow-sampling-timeout 1
flow-sampling-type device-ip
generic-session-timeout 5
gtp-control-sample enable
gtp-flow timeout 48
gtp-persistence disable
gtp-persistence file-age-timeout 30
gtp-persistence interval 10
gtp-persistence restart-age-time 30
gtp-randomsample disable
gtp-randomsample interval 12
ip-frag forward enable
ip-frag frag-timeout 10
ip-frag head-session-timeout 30
lb failover disable
lb failover-thres lt-bw 80
lb failover-thres lt-pkt-rate 1000
lb replicate-gtp-c disable
lb use-link-spd-wt disable
node-role disable
resource buffer-asf disable
resource cpu overload-threshold 90
resource hsm-ssl buffer disable
resource hsm-ssl packet-buffer 1000
resource inline-ssl standalone enable
resource metadata disable
resource packet-buffer overload-threshold 80
resource xpkt-pmatch num-flows 0
session logging level none
sip-media timeout 30
sip-nat disable
sip-session timeout 30
sip-tcp-idle-timeout 20
ssl-decrypt decrypt-fail-action drop
ssl-decrypt enable
ssl-decrypt hsm-pkcs11 dynamic-object enable
ssl-decrypt hsm-pkcs11 load-sharing enable
ssl-decrypt hsm-timeout 1000
ssl-decrypt key-cache-timeout 10800
ssl-decrypt non-ssl-traffic drop
ssl-decrypt pending-session-timeout 60
ssl-decrypt session-timeout 300
ssl-decrypt tcp-syn-timeout 20
ssl-decrypt ticket-cache-timeout 10800
tunnel-health-check action pass
tunnel-health-check disable
tunnel-health-check dstport 54321
tunnel-health-check interval 600
tunnel-health-check protocol icmp
tunnel-health-check rcvport 54321
tunnel-health-check retries 5
tunnel-health-check roundtriptime 1
tunnel-health-check srcport 54321
xpkt-pmatch disable
exit
##
## Gsop configurations
##
gsop alias gsope1 strip-header vxlan 0 port-list GSHS
##
## Traffic map connection configurations
##
map alias 01.G2-G1_HS_MAP
type regular byRule
roles replace admin to owner_roles
use gsop gsope1
rule add pass ipver 4
rule add pass ipver 6
to 1/1/g2
from 1/1/g1
exit
##
## SNMP configuration
##
no snmp-server host 192.168.1.245 disable
snmp-server host 192.168.1.245 traps port 162 version 2c public
| Gigamon HC Series에서 pcap 받는 방법 (17) | 2024.09.05 |
|---|---|
| Gigamon HC Series CLI를 통한 Firmware upgrade (1) | 2024.09.05 |
| Gigamon FM Canvas 사용 시 주의할 점 (1) | 2024.08.01 |
| Gigamon FM Canvas Export & Import에 관하여 (0) | 2024.08.01 |
| Gigamon Config Backup 및 수정을 통한 Config Restore 방법 (0) | 2024.01.18 |
Gigamon Config를 Backup 받는 방법은 2가지가 있다.
1. Binary Download
2. Text로 변환 후 Download
Binary 포맷으로 config를 Backup 받았을 경우 Backup 받은 동일한 파일을 다시 upload 하여 "Switch To Active" 를 통해 Restore가 가능하다.
하지만 Backup 받은 Config를 수정을 통한 Restore는 불가능하다.
이런 경우 아래와 같이 작업을 진행하면 Backup 받은 Config에 대한 수정 및 Apply 적용이 가능하다.
처음 할 일은 기존 Active 되어 있는 Config에 대해 "Save As Text"를 클릭하여 Text 포맷으로 변경을 한다.
저장할 파일 명을 작성한다. 참고로 Configuration는 "Traffic Only"를 선택한다.
생성된 Text 포맷의 Config를 선택 후 "Download" 한다.
다운로드된 Config 파일을 TXT 편집기를 통해 열어 필요한 부분을 수정한다.
예를 들어 아래의 "iT-sslva-1-1-A" 부분을 "iT-SSLVA-1-1-A" 로 수정하고
inline-tool alias "WAF-3" 을 삭제하고
WAF-LB 그룹에서 WAF-3을 삭제하고
map alias "sbbaek"를 "test"로 수정한다.
기존 TXT 포맷으로 저장한 Cofnig를 삭제 후 다시 수정된 Text 포맷의 Config 파일을 Gigamon에 upload 한다.
upload된 "Backup_Text" 를 선택 후 "Apply"를 클릭한다.
2개의 옵션을 선택 (Fail Continue, Clear Config) 후 "Apply"를 클릭한다.
(Clear Config 옵션은 기존 맵을 다 삭제 후 다시 작성이 됨으로 Collector 맵도 사라짐...따라서 반듯이 inline-network physical bypass로 변경 후 작업 하시기 바람)
"Notifications" 를 통해 정상 적용 여부를 확인한다.
적용된 Config를 확인한다.
sslva -> SSLVA
WAF-3 삭제 확인
WAF-LB에서 WAF-3 삭제 확인
map alias 수정 확인 "sbbaek" -> "test"
## 참고사항
1. Traffic 관련 Config에 대해서만 수정이 가능하다. 아래와 같이 Traffic 관련 Config가 아닌 경우는 수정을 하더라도 적용이 되지 않는다.
Logging Configuration
Local user accoint configuration
etc
2. HeartBeat Check를 Custom PCAP을 사용한 경우 우선 Default Profile로 변경 후 Custom PCAP Profile도 삭제 후 작업 진행 하고 Restore가 완료 되면 이후 Custom PCAP 작업을 해야 됨
업로드된 Config를 "Apply" 할때 옵션에 "Clear Config" 에 의해 적용시 기존 Config를 Clear 하고 다시 적용하는 방식으로 보임. 따라서 패킷 통신 중에 적용이 될 경우 순단에 대한 Effect 발생 여부에 대해서는 별도로 테스트가 필요함
| Gigamon FM Canvas 사용 시 주의할 점 (1) | 2024.08.01 |
|---|---|
| Gigamon FM Canvas Export & Import에 관하여 (0) | 2024.08.01 |
| GigaVUE-FM에 등록된 Node의 비밀번호 변경 시 (0) | 2024.01.08 |
| Gigamon HC Series iSSL에 관하여 2탄 (1) | 2023.11.28 |
| Gigamon HC Series의 이중화 및 iSSL에 관하여 (1) | 2023.11.15 |
GigaVUE-FM에 등록된 Node의 비밀번호 변경 시 지금까지 변경 방법을 찾지 못해 고객사에 고정 계정을 권고해 왔다.
그런데...장비 등록 하는 페이지에서는 안되던 "EDIT"가 다른 곳에서 지원되는 것을 찾았다.
장비 등록 후 등록된 장비의 비밀번호 변경 시 아래와 같이 "설정/Node Details" 변경될 장비 선택 후 "Actions/Edit"에서 변경된 사항을 수정 하면 된다.
| Gigamon FM Canvas Export & Import에 관하여 (0) | 2024.08.01 |
|---|---|
| Gigamon Config Backup 및 수정을 통한 Config Restore 방법 (0) | 2024.01.18 |
| Gigamon HC Series iSSL에 관하여 2탄 (1) | 2023.11.28 |
| Gigamon HC Series의 이중화 및 iSSL에 관하여 (1) | 2023.11.15 |
| Gigamon Process 상태 정보 확인 by Rest-API (0) | 2023.07.06 |
지난번에는 Gigamon HC Series iSSL 구성이 각각 Standalone 상태에서 회선별 연결된 좌우형 구성에서 발생할 수 있는 iSSL에 대해 글을 작성하였다.
이번에는 GRIP 구성과 같이 Gigamon을 상하단 구성으로 사용 시...대신 GRIP 설정 없이 아래와 같이 구성 시 발생될 수 있는 iSSL에 대해 이야기 하고자 한다.
내부에서 테스트를 목적으로 구성한 LAB 이며, HC2의 단종으로 인해 HC1의 interface 부족을 해결하기 위해 막연하게 생각해본 구성에서 iSSL도 같이 테스트를 진행 하였는데 약간의 문제점이 발견 되었다.
구성도에서의 iSSL Reverse는 편의상 외부에 있는 서버중 인증서를 포함하고 있기 때문에 상하단 방향이 바뀐 상태로 테스트 진행
하단 Client에서 외부 사이트의 URL로 접속시 인증서가 없을 경우 복호화 되지 않은 상태에서 정상적인 사이트 접속이 가능하다.
하지만 IP로 접속 시도 시 페이지가 연결 안되는 증상이 발견 되었다.
동일하게 외부 웹사이트의 경우도 URL를 통한 접속시에는 문제가 없으나 IP로 접속 시 페이지가 안열리는 증상이 발생한다.
물론 Gigamon 장비를 Standalone으로 상하단 구성을 하는 사례가 없을 수도 있으나 GRIP 구성 중 Stack interface의 다운으로 상하단 2대의 Gigamon 장비가 Standalone 상태가 될 수 있는 상황이기에 이때 iSSL를 사용하고 있다면 내부에서 IP로 접속하는 장비들에 대해서는 페이지 안열림 증상이 발생 될수도 있다.
아직 원인파악은 안된 상태이나, Gigamon 이중화 중 iSSL 구성 시 해당 내용은 참고가 필요하다.
P.S
Gigamon 1대를 Standalone으로 구성 시에는 IP or URL 로 접속 시 정상 작동이 되었다.
| Gigamon Config Backup 및 수정을 통한 Config Restore 방법 (0) | 2024.01.18 |
|---|---|
| GigaVUE-FM에 등록된 Node의 비밀번호 변경 시 (0) | 2024.01.08 |
| Gigamon HC Series의 이중화 및 iSSL에 관하여 (1) | 2023.11.15 |
| Gigamon Process 상태 정보 확인 by Rest-API (0) | 2023.07.06 |
| Gigamon GigaVUE-OS upgrade CLI (0) | 2023.07.06 |