Gigamon HC Series의 이중화 및 iSSL에 관하여

Gigamon HC Series는 패킷 미러 처리 뿐 아니라 inline에 직접 연결해 다양한 inline-tool에게 최적의 패킷을 전달 하는 역활을 한다.

보통의 Gigamon 이중화는 GRIP이라는 Gigamon에서 제공하는 이중화 프로토콜을 통해 이중화를 구성하며, 회선별 구성이 아닌 아래와 같이 상하단 구성을 주로 한다.

기존 회선 이중화 방식에서 발생되는 문제점들을 Gigamon을 통해 다양한 문제점들의 해결이 가능해진다.
- 보안 장비로 인한 네트워크 성능 저하
- 여러 장애 포인트 존재
- 비대칭 라우팅으로 인한 보안 장비 탐지의 어려움
- 보안 장비 확장의 어려움
- 보안장비 Firmware 업그레이드 혹은 교체시 네트워크 단절 위험
- 네트워크 증속 시 보안도 동일 증속을 위한 투자
- 보안 장비 한대 장애로 인한 망 전환
- 불필요한 패킷이 보안 장비에 전달 됨으로 인한 성능 저하
- Active/Standby 회선에서 Standby쪽에 연결된 보안장비의 휴무
- 각자 SSL 암복호화를 수행함에 따른 성능 지연 및 인증서 관리 문제

Gigamon의 GRIP 구성은 처음 접하면 이해하기 어려우나, 상당히 추천할 만한 구성이다.

이에 반해 Gigamon을 각각의 회선별로 Standalone으로 구성하는 사례도 있다. 아래와 같이...

위의 구성 시 주의 사항은 아래와 같다.
- Asymmetric 문제 발생
- Gigamon 장애 시 트래픽 바이패스 또는 망 전환 (inline-network 구성을 bypass 모듈에 할지 일반 포트에 구성하는지에 따라 다름)
- SSL 암복호화 시 발생될 수 있는 Mac Flapping

3가지 주의 사항 중 오늘 언급하고자 하는 부분은 SSL 암복호화 부분이다.
특히 Gigamon의 좌/우 구성에서 iSSL 암복호화를 Gigamon에서 수행할 경우 장애 발생 여지가 있다.
결론부터 얘기하자면 Gigamon에서 iSSL 암복호화를 수행 시 Proxy 형태로 GigaSMART에서 연결된 SSL Session에 대해 유지를 하게 된다. 기존 SSL Session이 유지되는 상태에서 망 전환이 발생이 되고, SSL Session Timeout에 의해 기존 연결된 Session에 reset 패킷을 발생 시키게 됨으로 Standby쪽 하단 스위치에 reset 패킷이 도달하게 되며 그로 인해 하단 스위치에서 Mac Flapping이 발생하게 된다.

해결 방법으로는 Gigamon 6.x 버전 이상에서는 "Active Visibility"라는 기능에서 Condition에 따른 Action을 수행할수 있기에 망 전환시 발생되는 회선 포트 다운 event에 iSSL Session Clear를 할수 있는 Action을 통해 해결이 가능하다.

Gigamon의 상/하단 구성인 GRIP 구성에서는 SSL Session이 유지된 상태에서 장비 Fail-over가 발생된다 해도 Standby쪽 장비에서는 Physical Bypass 상태를 유지하므로 SSL Session Timeout에 의해 Reset 패킷이 발생한다 하더라도 이로 인한 영향은 없다.

단 Gigamon에서 iSSL의 암복호화 수행이 아닌 별도의 SSL 암복호화 솔루션을 쓰게 될 경우에 해결 방법에 대해서는 아직 미지수이다.

SSL 암복호화를 수행 하는 경우 Gigamon 구성에 대해서는 반드시 확인이 필요하다.