onibi graffiti note

네트워크 패킷 미러링 시스템 구축을 진행

추진 배경 

당사와 전용 회선을 같이 사용 중이 관계사에서 패킷을 전송시 문제가 있는 패킷을 전송하는 여부에 대해 관찰하기 위해

이 시스템을 만들려고 한다.

필요 물품

1. OS 설치 가능한 PC

2. 운영이 가볍고 보안상에 문제가 없는 리눅스

    (윈도우로 설치 시 여러가지 문제점이 예상되어 리눅스로 진행 하려고 한다.)

3. LAN 카드

4. 시리얼 RS232 케이블

5. 24포트 or 48 포트 스위치

6. UTP 케이블 각각 20M, 30M 등등

아직은 시작하는 계획만을 만들고 구상 중에 있으나 조금더 구체적이면 조금씩 업데이트 하겠습니다.

1. Configuration 모드 

system-view 

2. 유저에 대한 aaa 인증 설정

[aaa]
 undo local-user policy security-enhance
 local-user mobile password irreversible-cipher [password]
 local-user mobile service-type terminal telnet ssh
 local-user mobile level 3

3. 타임존 설정

clock timezone KST add 09:00:00

4. interface 설정

interface 25GE1/0/1
 undo portswitch
 description "## NN0002029, X.X.X.2 ##"
 ip address X.X.X.1 255.255.255.248
 trap-threshold crc-statistics 2 interval 10
 device transceiver 10GBASE-FIBER
 port mode 10G  
#

5. Static route 설정

ip route-static 192.168.1.0 255.255.255.0 10.10.10.1

6. NTP 설정

ntp server disable
ntp ipv6 server disable
ntp sync-interval 180
ntp source-interface LoopBack0
ntp unicast-server 1.1.1.1
ntp unicast-server 1.1.1.2 preferred

[초기화]

cd /flash/working
rm boot.cfg    
delete boot.cfg
reload working no rollback-timeout

[아이디 생성]
user admin password [password 지정] read-write all 

[계정 삭제]
no user admin

[접속시 인증]
aaa authentication telnet "local" 
aaa authentication ftp "local" 
aaa authentication snmp "local" 

[접속시 프롬프트]
session prompt default "ROOT-SW>"

[로그 기능 생성]
command-log enable

[NTP]
ntp server X.X.X.X
ntp client enable

[snmp] 
user [server] password [server] no auth read-write all
user [server] password [server] no auth read-write all
 snmp station X.X.X.X "comm" v2 enable
 snmp security no security
 snmp community map mode enable
 snmp community map "XXXX" user "XXXX" enable

[static 설정]
ip static-route 0.0.0.0/0 gateway 1.1.1.1 metric 1

[CPU 최대 사용 량 ]
health threshold temperature 78

[호스트 네임]
system name "ROOT-SW>"

[ntp]
system timezone KST

[vlan 생성]
vlan 13 enable name "vlan-13"

vlan 14 enable name "vlan-14"

[Trunk 설정]
vlan 1034 802.1q 1/23 "TAG AGGREGATE 1 VLAN 13"
vlan 1034 802.1q 1/23 "TAG AGGREGATE 1 VLAN 14"

[VLAN IP 넣는 방법]
ip interface "MGMT13" address X.X.X.X mask 255.255.255.0 vlan 13

[vlan에 포트 할당 (access)]
vlan 154 port default 1/7

[포트 디스크립션]
interfaces 1/9 alias "main-SW#3"

[루프백 디텐션]
loopback-detection enable
loopback-detection port 1/1 enable

[LACP 설정 방법]
lacp linkagg 2 size 2 admin state enable
linkagg ID는 2이고 port 2개를 Aggregation한다.

lacp linkagg 2 name "VMwarelink"
linkagg name을 Vmwarelink설정

lacp linkagg 2 actor admin key 2
lacp agg 16/6 actor admin key 2
lacp agg 16/8 actor admin key 2
16/6과 16/8를  Aggregation한다.
Switch상에서는 0/1으로 한 개의 Port로 인식한다

[저장 방법] 
 
write memory  
현재 DRAM상에 운용 중인 running configuration을 /working/boot.cfg 로 저장

write memory flash-synchro
현재 DRAM상에 운용 중인 running configuration을 /working/boot.cfg 로 저장

copy working certified flash-synchro
기본적으로 write memory 명령어는 /flash/working/boot.cfg 만 변경함. 
장비의 저장 후, 반드시 /flash/working, 과 /flash/certified의 동기화가 필요함

안녕하세요 군산_꿀도깨비 입니다.

처음으로 소개할 운영에 필요한 프로그램인 iperf3를 사용할려고 합니다.

운영을 하다 보면 양쪽 클라이언트간 대역폭이 얼마나 나오는지 확인해야 할 때가 있습니다.

요즘 장비들은 다 1G를 사용하고 있지만 실질적으로 1G의 속도가 나오는지 확인 하기 어렵습니다.

서론이 길었고 사용하는 프로그램은 Iperf3 입니다.

download 하는 사이트는 아래와 같습니다.

https://iperf.fr/iperf-download.php

귀찮으즘으로 인한 테스트는 간소화 하겠습니다.

망 만들기 귀찮 ㅎㅎㅎ;;;;

클릭시 나오는 화면 입니다.

windows OS 사용자라면 windows 버전을

Mac OS 사용자라면 Mac 버전을

Linux OS 사용자라면 Linux 버전을

특히 Linux는 여러버전이 다르게 있어 반드시 확인을 하셔야 합니다.

보다보니 안드로이드 버전도 있네요;;;;

두번 download 하기 귀찮지만 어쩔수 없습니다.

두 곳의 PC가 한 쪽은 서버를 다른 한 쪽은 클라이언트를 만들어야 테스트가 가능 합니다.

[사실 전용회선 구간에 많이 사용하면 좋습니다.]

download 후 압축을 풀고 저는 위치를 C 드라이브 아래에 저장 했습니다. (쓸때마다 경로 변경의 귀찮음)

그리고 CMD 창을 열어 한쪽 PC는 서버 설정을

C:\iperf>iperf3 -s

다른 PC에서는 클라이언트 설정을 그리고 서버의 IP를 입력 하시면 됩니다.

C:\iperf>iperf3 -c 172.31.40.184

해당 클라이언트에서는 200Mbits/sec 정도 in/out 가능 한걸로 나옵니다.

서버에서는 

서버에서는 받아만 주기때문에 receiver에서만 속도가 나오는 것을 알수 있습니다.

해당 옵션은 아래와 같다

• New Features in iPerf 3.0 :
  • Dynamic server (client/server parameter exchange) – Most server options from iPerf2 can now be dynamically set by the client
  • Client/server results exchange
  • A iPerf3 server accepts a single client simultaneously (multiple clients simultaneously for iPerf2)
  • iPerf API (libiperf) – Provides an easy way to use, customize and extend iPerf functionality
  • -R, Reverse test mode – Server sends, client receives
  • -O, --omit N : omit the first n seconds (to ignore TCP slowstart)
  • -b, --bandwidth n[KM] for TCP (only UDP for IPERF 2): Set target bandwidth to n bits/sec (default 1 Mbit/sec for UDP, unlimited for TCP).
  • -V, --verbose : more detailed output than before
  • -J, --json : output in JSON format
  • -Z, --zerocopy : use a 'zero copy' sendfile() method of sending data. This uses much less CPU.
  • -T, --title str : prefix every output line with this string
  • -F, --file name : xmit/recv the specified file
  • -A, --affinity n/n,m : set CPU affinity (cores are numbered from 0 - Linux and FreeBSD only)
  • -k, --blockcount #[KMG] : number of blocks (packets) to transmit (instead of -t or -n)
  • -4, --version4 : only use IPv4
  • -6, --version6 : only use IPv6
  • -L, --flowlabel : set IPv6 flow label (Linux only)
  • -C, --linux-congestion : set congestion control algorithm (Linux and FreeBSD only) (-Z in iPerf2)
  • -d, --debug : emit debugging output. Primarily (perhaps exclusively) of use to developers.
  • -s, --server : iPerf2 can handle multiple client requests. iPerf3 will only allow one iperf connection at a time

하지만 잘 안쓸것 같다