[F5] SSLO 기능 테스트 (Mirror Service)

앞서 글에서는 Inline 서비스에대한 테스트를 하였고
​이번에는 Mirror 서비스에 대한 테스트를 진행하였습니다.
Inline Service에 이어 진행한 내용이니 이전내용 참고하시기 바랍니다.

SSLO Inline Service 편을 읽지 않으신분은 먼저 아래의 글을 확인하고 오시는 것이 내용이해에 도움이 될것으로 생각됩니다.
https://astin.tistory.com/11

이번 미러테스트 구성은 아래와 같습니다.
​

이번의 테스트 구성은 앞서 Inline 에서 in/out 부분을 각각의 장비로 미러하는 구성으로 변경하였습니다.
설정법은 inline과 크게 다르지 않습니다.

​
이번에는 서비스 생성시 앞서 Inline일때와는 다르게 Generic TAP 을선택해서 테스트 진행하였습니다.
만약 연동하는 제조사의 모델이 검색된다면 해당 장비로 설정하서도 됩니다.

그리고 Inline과는 다르게 미러받는 장비의 MAC 주소가 필요합니다.
MAC 주소를 지정해 주고 미러 인터페이스를 지정해주면 끝입니다.

이번에도 서비스 체인 1개만 먼저 등록해 보겠습니다.

동일하게 Security Policy 에서 해당 Chain 을 적용하여 미러해보도록 하겠습니다.

​
앞서와 동일하게 Ingress 부분을 트레픽이 인입되는 vlan을 지정해주고
나머지 설정들은 기본값으로 동일하게 진행 하였습니다.

Deploy 후 확인해 보면 앞서 Inline 모드와는 다르게
Service 장비로 단방향 화살표 임이 확인됩니다.

실제로 미러구간 패킷을 확인해보면 정상적으로 미러가 됨을 확인가능합니다.

이번에도 추가적인 서비스를 만들어 보겠습니다.

하나의 서비스를 2.2 인터페이스에 연결하여 추가해 주고

기존의 Chain 에서 두번째 서비스를 추가해 주었습니다.

그러면 2개의 서비스가 연동되었음이 확인되고

실제 패킷을 확인해 보면 동일한 패킷이 목적지 Mac 만 다르게해서
두곳이 장비에 모두 미러 되었음 확인 할 수 있었습니다.

Inline 설정과 Mirror 설정의 차이는 Service 추가시에 어떤 type 장비인지 설정할때 차이가 나게되고
Mirror 설정일 경우 서비스 장비의 MAC 까지 입력해주어야 한다는 차이 이외에 설정방식의 차이는 없었습니다.

이번에는 내용이 짧아 SSLO 업그레이드 관련내용을 짧게 추가하겠습니다.

SSLO모듈은 F5 BIGIP Software 와 별개로 버전이 관리 되고 있습니다.
그리고 모듈 upgrade시 영향도에 대해서 사전에 검토하고 진행하시면 됩니다.

세부적인 내용은 아래 링크에서 확인하시기 바랍니다.
https://my.f5.com/manage/s/article/K64003555

 SSLO Configuration 화면의 우상단에서 현재버전 확인이 확인이 가능하고
업그레이드할 이미지 업로드가 가능합니다.

우선 F5의 다운로드 센터에서 업그레이드를 하고자 하는 이미지를 다운받고
(F5 파트너분들은 로그인하셔셔 다운 받으시면됩니다.)
https://cdn.f5.com/websites/product/sites/login/index.html
 

SSLO Configuration 우상단의 업로드 버튼을 통해서 업로드후 install 버튼을 누르면 설치가 완료됩니다.
 

별도의 설치 진행상황이나 절차가 없으며 바로 새로운 버전의 모듈이 구동됨을 확인가능합니다.

F5 장비에 대해서 더 알고 싶으시다면
아래의 브로셔를 통해 확인해 보시기 바랍니다.

https://www.f5.com/pdf/products/ssl-orchestrator-datasheet.pdf