쫑콩아빠의 지금 이 순간...

Insert VLAN Tag

# port 1/1/x2 type network
# port 1/1/x6 type tool
# gsgroup alias GS1 port-list 1/5/e1
# gsop alias addVLAN add-header lan 101 port-list GS1
# map alias add_VLAN_example
    # use gsop addVLAN
    # rule add pass Ipver 4
    # from 1/1/x2
    # to 1/1/x6
    # exit
# write memory

Gigamon HC Series를 사용하다보면 Map이나 Rule 수정을 위해 HC Series 장비에 직접 CLI로 작업을 해본 경험이 더 있을 것이다.
GigaVUE-OS 6.x로 올라가면서 HC Series에 WebUI 접속이 제한 되면서 FM을 통한 운영을 권고 하고 있다.
문제는 CLI에 익숙한 엔지니어에가 FM을 통해 운영을 하는 입장에서 물론 FM이 보다 쉽게 운영을 할수 있는 장점이 있다는 것을 알고 있다.
하지만 다수의 Map이나 Rule 을 수정할 경우는 얘기가 다르다. 이때는 CLI를 통한 작업이 더 수월해진다.
FM과 HC Series와의 연동 이후에 일반적인 설정은 FM에서 discover를 해 오나 Flexible Inline 설정 부분에 대해서는 FM에서 불러들일 수가 없다. 결국 Flexible Inline 설정 시에는 CLI든 FM에서 제공하는 Canvas등 하나를 택일해야 된다.
그러다 Canvas 사용 시 역시나 다량의 Rule 작업시에 편리함을 위해 Canvas에서 작성된 MAP을 yaml로 export 한 후 yaml 파일을 수정해서 다시 import 하는 작업을 통해 보다 빠른 작업을 수행할 수 있었다.
이때 주의해야 할 문제는 yaml 파일 수정 시 정확한 형식으로 수정이 되어야 한다는 것이다.
예를 들어 아래와 같이 ruleId: 2 뒤에 ruleId: 3을 추가 하였으나 <스페이스>- ruleId:3 앞에 스페이스가 들어 갔을 경우

import 실행 시 무한 루프를 경험하게 된다.

따라서 yaml 파일 수정 시 꼭 주의가 필요하다.

Example 14 combines out-of-band (OOB) maps with a map passall originating from an inline network on GigaVUE-HC2. In Example 14, the map passall sends all traffic to the inline tool. The OOB rule-based map sends traffic to an OOB tool.

When the source port of an OOB map is associated with an inline network, multiple source ports are supported in the port list (the from argument of the map command).

A protected inline network (which uses bypass combo modules) is included in Example 14. You do not need to configure inline network ports because they are created automatically. The port pairs in Example 14 are 1/1/x21 and 1/1/x22. You do not need to configure an inline network because it is also created automatically. The alias of the default inline network in Example 14 is default_inline_net_1_1_3.

On GigaVUE-HC3, protected inline bypass can be configured on the bypass combo module on ports c1..c4.

On GigaVUE-HC1, protected inline bypass can be configured on the bypass combo module, or on the TAP-HC1-G10040 module placed in either bay 2 or bay 3, so the ports will be 1/2/g1..g8 or 1/3/g1..g8. On the TAP module, you will need to configure inline network ports and the inline network because they are not created automatically (as they are on bypass combo modules).

Step

Description

Command

1. Configure a regular tool port of port type (tool) and administratively enable it. This is the OOB tool.

(config) # port 1/1/x12 type tool
(config) # port 1/1/x12 params admin enable

2. Configure two inline tool ports of port type (inline-tool) and administratively enable them.

(config) # port 1/2/x23 type inline-tool
(config) # port 1/2/x23 params admin enable

(config) # port 1/2/x24 type inline-tool
(config) # port 1/2/x24 params admin enable

3. Configure inline tool and enable it.

(config) # inline-tool alias inTool1 pair tool-a 1/2/x23 and tool-b 1/2/x24
(config) # inline-tool alias inTool1 enable

4. Configure a map passall, from the inline network to the inline tool. This sends all the traffic to the inline tool.

(config) # map-passall alias inline_map1
(config map-passall alias inline_map1) # from default_inline_net_1_1_3
(config map-passall alias inline_map1) # to inTool1
(config map-passall alias inline_map1) # exit
(config) #

5. Configure the OOB rule-based map, with both inline network ports in the from argument, and the OOB tool in the to argument.

(config) # map alias OoB_map
(config map alias OoB_map) # type regular byRule
(config map alias OoB_map) # rule add pass ipver 4
(config map alias OoB_map) # to 1/1/x12
(config map alias OoB_map) # from 1/1/x21..x22
(config map alias OoB_map) # exit
(config) #

6. Configure the path of the traffic to inline tool.

(config) # inline-network alias default_inline_net_1_1_3 traffic-path to-inline-tool

7. Disable physical bypass on the default inline network alias.

(config) # inline-network alias default_inline_net_1_1_3 physical-bypass disable

8. Display the configuration and statistics for this example.

(config) # show inline-network
(config) # show inline-tool
(config) # show map
(config) # show port stats

Example 1—Unprotected Flexible Inline, One Collector Map
Example 1 has one inline network, five inline tools, and a collector map that acts as a passall, sending all traffic through all tools.

The inline network alias is n0102, based on ports x1 and x2.

For example, the inline tools can be Web Application Firewall (WAF), Intrusion Prevention System (IPS), Advanced Persistent Threat (APT).

The inline tool aliases are t0708 to t1516, based on ports x7 to x16.

Use the following steps to configure Example 1:

 

Step

Description

Command

1.    
Configure inline network ports, port type (inline-network), and administratively enable inline network ports.

(config) # port 1/3/x1..x2 type inline-network
(config) # port 1/3/x1..x2 params admin enable

2.  
Configure inline network.

(config) # inline-network alias n0102 pair net-a 1/3/x1 and net-b 1/3/x2

3.  
Configure inline tool ports, port type (inline-tool), and administratively enable inline tool ports.

(config) # port 1/3/x7..x16 type inline-tool
(config) # port 1/3/x7..x16 params admin enable

4.  
Configure inline tools, specify that the inline tool is going to be shared by different sources, and enable them.

Note: The tag is optional. The default is auto, which automatically assigns tags.

(config) # inline-tool alias t0708 pair tool-a 1/3/x7 and tool-b 1/3/x8
(config) # inline-tool alias t0708 shared true
(config) # inline-tool alias t0708 enable

(config) # inline-tool alias t0910 pair tool-a 1/3/x9 and tool-b 1/3/x10
(config) # inline-tool alias t0910 shared true
(config) # inline-tool alias t0910 enable

(config) # inline-tool alias t1112 pair tool-a 1/3/x11 and tool-b 1/3/x12
(config) # inline-tool alias t1112 shared true
(config) # inline-tool alias t1112 enable

(config) # inline-tool alias t1314 pair tool-a 1/3/x13 and tool-b 1/3/x14
(config) # inline-tool alias t1314 shared true
(config) # inline-tool alias t1314 enable

(config) # inline-tool alias t1516 pair tool-a 1/3/x15 and tool-b 1/3/x16
(config) # inline-tool alias t1516 shared true
(config) # inline-tool alias t1516 enable

5.  
Configure collector map from inline network to inline tools in both directions, add user-defined tag, and enable map.

(config) # map alias FLEX1
(config map alias FLEX1) # type flexInline collector
(config map alias FLEX1) # from n0102
(config map alias FLEX1) # a-to-b t0708,t0910,t1112,t1314,t1516
(config map alias FLEX1) # b-to-a reverse
(config map alias FLEX1) # tag 100
(config map alias FLEX1) # enable
(config map alias FLEX1) # exit
(config) #

6.  
Configure the path of the traffic to inline tools.

(config) # inline-network alias n0102 traffic-path to-inline-tool