ネットワーク運用をしていると，ホストアドレスから経路をルックアップしたいことが結構ある．

たとえばDDoS を受けたとき．いろいろな対処が考えられるが，網内のルーターでパケットフィルターする際に「src address → src prefix の変換をしてからガバッと止めたい」とか．

そんな面倒くさいことはBot にやってもらいたい．

実装のアイデア

ルーターにログインして変換してもいいし，ルーティングテーブルを別に持って検索してもいい．

ルーターにログインしてshow route するのはIO バウンドな処理なのでnode との相性はよさそうだが，「src address が100コ」みたいな場合では遅いと思われる．よくあるルーターだと「まとめて引数を渡して，まとめて結果を受け取る」みたいなことができないため「1コ引数を渡して，1コ結果を受け取る」を100回やらないといけない．

一方，ルーティングテーブルを別に持つのってどう実装しよう？とか自前でpatricia tree つくんの？という面倒くささがある．

MRT TABLE DUMP + patricia tree でやってみる

実は，後者の面倒くさいところを解決してくれるbgpdump2 というツールがある．「node バインディング書けばいいのでは」と思ってやってみたら，結構うまく動くっぽかった．(まだ最小限の実装しかできてないです)

github.com

これを使うとlongest match の結果を返してくれる．

var BGPDump = require('node-bgpdump2');
var bgpdump = new BGPDump('path_to_rib.bz2');
console.log(bgpdump.lookup('8.8.8.8'));

// =>
// { prefix: '8.8.8.0/24',
//   nexthop: '202.249.2.169',
//   origin_as: 15169,
//   as_path: '2497 15169' }

Hubot から使うのもカンタンで，

npm install node-bgpdump2 --save
npm install https://github.com/codeout/node-mrt.git --save

たとえばshow route モドキを返すやつ．

# scripts/route.coffee

BGPDump = require('node-bgpdump2')
MRT = require('node-mrt')
mrt = new MRT('wide')

module.exports = (robot) ->
  robot.respond /route (.*)/, (msg) ->
    mrt.get (text)->
      msg.send text
    , (path)->
      bgpdump = new BGPDump(path)
      msg.send JSON.stringify(bgpdump.lookup(msg.match[1]))

ちなみに node-mrt はarchive.routeviews.org からMRT アーカイブをダウンロードしてキャッシュしてくれるライブラリです．

もうちょい複雑なことを: DDoS 対策手順を作ってもらう

一例だけれど，たとえばDDoS を検知後に

1. src address → src prefix に変換
2. src prefix ベースで帯域制限する手順をつくり，GitHub Issue としてオープン

というところまでHubot にお願いしたい．
(今回は例としてsrc prefix だけの条件)

hubot-github-templated-issues というの流用すれば結構ラクにできて，8.8.8.8, 8.8.4.4, 64.6.64.6, 64.6.65.6 からのDDoS を検知したときに

hubot anti ddos packet_filter/ratelimit_2g DDoS対策
src: [
8.8.8.8,
8.8.8.8,
64.6.64.6,
64.6.65.6
]

とHubot にお願いすると，

手順書をIssue 化してくれる．
(↑ ではMRT アーカイブをダウンロードしているが，キャッシュがあればそれをつかう)

https://github.com/codeout/sandbox/issues/108

この手順書はテンプレート にパラメーターを埋めて作ったもので，hubot-github-templated-issues がよしなにやってくれます．

今回つかったスクリプト: scripts/anti_ddos.coffee

まとめ

node-bgpdump2 を使うと，Hubot にlongest match 機能をつけられてけっこう便利だと思う．

bgpdump2 自体，少しコンセプト実装っぽい側面があって完全にライブラリ化されていないため，できたら作者の方に今後のロードマップについて聞きたいところです．

ネットワーク運用がどんどん便利になって「手軽にメトリック監視できる」「ネットワークリソース管理がほら簡単」みたいな話はけっこう聞く．ところが，本丸であるネットワーク本体への変更については「慎重に人手で」という運用をしているところが多いと思う．

それが悪いということではなくて，たぶん「頻度低いから手動がコストバランス良い」のような理由があるんだけど，じゃあ「それに合う形でワークフローを良くしたいよね」と思う．

たとえばCI を導入することで，ネットワークデバイスへの変更について議論しやすくなったり，レビューしやすくなるといいなあと．

ネットワークでのCI って難しい

ネットワークデバイスに変更を加える場合，ソフトウェア開発のように「あらかじめふるまいを確認する」のはけっこうなコストがかかる．しかし，変更はコマンドのリストとして表現できて，コマンド文法が既知だから「シンタックスが正しい」ことくらいは事前に確認できるはず．

コマンドが誤っていて手戻りが発生することも日常的にあるので，CI でシンタックスを確認するだけでもだいぶマシになるはず，と思って作ったのがこれ．

github.com

netconf 用xsd からPEG パーサーを自動生成するためのツール群と，生成されたPEG パーサーが含まれていて

• JUNOS のシンタックスチェック
• show configuration 形式と| display set 形式の相互変換

ができる．詳しくは JANOG36 でのLT 資料 をご覧ください．

CI やってみると どんな感じか

無料でできる Gitlab + Gitlab-CI を使った例．eBGP neighbor を1つ加え，eBGP 全体を微調整するケースを考える．

サンプルレポジトリー: https://github.com/codeout/junos-ci/tree/gitlab

1. 変更案をGitlab にプッシュする

まず，これから加えたい変更について議論したり レビューしてもらうために，変更したい内容をGitlab に掲載する．

# gitlab プロジェクトをローカルにもってくる
$ git clone ssh://git@192.168.99.100:10022/codeout/junos-ci.git
$ cd junos-ci
...

# いま master ブランチにいる
junos-ci $ git branch
* master

# 変更用ブランチをつくる
junos-ci $ git checkout -b add-neighbor
...

config/junos.conf を修正して変更したい内容を記載する．

junos-ci $ git diff
diff --git a/config/junos.conf b/config/junos.conf
index 1331682..e860cc4 100644
--- a/config/junos.conf
+++ b/config/junos.conf
@@ -14,6 +14,8 @@ protocols {
                 }
                 local-address 198.51.100.1;
             }
+            neighbor 192.0.2.3;
+            invalid statement;  # わざとエラーを混ぜる
         }
     }
 }

ここでテストを回してパスするのを確認 → git commit → Gitlab にプッシュするのが本筋だが，今回はテストが落ちることをみるためにテストせずコミット & プッシュ．

junos-ci $ git commit -am "xxxx 開通準備"
junos-ci $ git push origin add-neighbor

2. Merge Request をつくる

Gitlab プロジェクトページに “Create Merge Request” ボタンが現れる．流れに沿ってMerge Request を作成する． こうすることで，他のメンバーに「こんな変更を加えたいので，議論 / レビューしてほしい」と伝えることができる．

作成が終わると勝手にCI が作動し Gitlab 上に “failed” と表示されるので，すぐシンタックスエラーがあることがわかる．(下図)

また，将来変更を適用した際 コンフリクトが発生しそうな場合も (下の例にはないが) warning が表示される．

さらにリンクをたどれば，どの行がおかしいかわかる．
(この場合 protocols bgp group ebgp-peers invalid statement)

失敗したテストをパスさせるには，適宜修正してコミット & プッシュすればよい．再度CI が作動して “passed” に変化する．

• Gitlab にプッシュしてから “failed” に気づくと二度手間になるので，Merge Request オーナーがプッシュ前にテストするといい
• レビューする側はプッシュ前にテストされたかどうかわからないが，Gitlab のCI ステータスが “passed” であれば シンタックスは正しい = セマンティクスだけ議論 / レビューすればいい ことがわかる

3. Gitlab で議論 / レビュー

シンタックスチェックはCI 任せにできるので，変更内容だけを議論 / レビューすればいい．

手動でテストする

サンプルレポジトリー のRakefile に，junoser を使ったテストのサンプルがある．

ディレクトリ構造やファイル拡張子がちがうと動かないかもしれないので，適宜修正ください．

junos-ci $ rake
skip ./config/cisco.conf
verifying ./config/junos.conf ... done

議論 / レビュー後のデプロイフロー

ネットワークデバイスのMerge Request にはひとつ問題がある．

1. Merge Request をマージ
2. デプロイ
3. show configuration

を行ったときの 1. と 3. の結果が必ずしも一致しない．セマンティクスは同じでも コマンド構造や順序がちがうかもしれない．今回のようにネットワークデバイスの設定を直接管理している場合，ネットワークデバイスが吐く設定をマスターにしたいということもあって，単に「Merge Request をマージして完了」にできない場合がある．

取りうる戦略がいくつかあって，

• 変更をmaster ブランチにマージ → 変更後の設定全体をデプロイ
• 変更をマージしない → 差分だけをデプロイ → トピックブランチ*1 を変更後の設定にrebase

それぞれ少しだけ説明します．

変更をmaster ブランチにマージ → 変更後の設定全体をデプロイ

シンプルなので，こちらがオススメ．

1. Merge Request をmaster にマージ
2. マージ結果をload override
3. show configuration をmaster にcommit

ほぼ コマンド投入漏れが発生しないし，変にコンフリクトしていてもshow | compare などで気づくことができる．1. と3. のセマンティクスの整合は取れていると思われるので，そのままcommit する．

可能な限りこちらに寄せたほうが良いと思う．

変更をマージしない → 差分だけをJuniper にデプロイ → トピックブランチを変更後の設定にrebase

数ステップに分けて投入したい場合など．

junos-ci $ ./bin/patch master add-neighbor
# config/junos.conf -> config/junos.conf

set protocols bgp group ebgp-peers neighbor 192.0.2.3
set protocols bgp group ebgp-peers invalid statement

上のように差分をset コマンドに変換して投入した場合，コンフリクトに気付けない可能性がある．

1. Merge Request をmaster にマージせず，差分をデプロイ
2. この時点のshow configuration がトピックブランチと一致するかは保証されない
3. なので，トピックブランチをrebase して確認する
4. Merge Request をマージ

rebase 時にコンフリクトした場合，設定順序含めてトピックブランチを整理するのがかなり面倒．ただし大きなMerge Request だと 途中で確認を挟まないといけないため，こちらの戦略を取らざるを得ない．

まとめ

• junoser を使えばJUNOS でCI できる
  • シンタックスエラーに気づける
  • コンフリクトに気づける
• Gitlab のようなツールを使えば，議論 / レビューが楽になる
• ネットワークへのデプロイ方法によってマージ方法が変わるが，なるべくマージ → 設定全体をデプロイしたほうがいい

ツールの具体的な設定方法を飛ばして「できた後はどんな感じか？」について書きましたが，ネットワークデバイスの設定をGitlab / Github 管理したらワークフローがどうなるか，CI し始めたらワークフローがどうなるか，イメージしてもらえるとうれしいです．

「どの程度お手軽にフルルートを注入できるか？」の続編です．

2015/08/12 追記 : gobgp の不具合，修正されました

codeout.hatenablog.com

今回 gobgp のコミッターさんから「mrt 実装しましたー，もしお時間あったら試してみてください！」と連絡もらったので 試しました．

MRT TABLE_DUMP からフルルートを注入してみます．

gobgp ?

BGP Daemon のGo 実装です． 速そうだしガンガン機能が足されていて 注目のbgpd．

• Go なので，マルチコアをうまく使ってくれそう
• gobgpd (サーバー) とgobgp (CLI) で構成されている
• サーバー <-> CLI 間はgrpc
• MRT から経路生成できるし，MRT Dump もできる
• 経路フィルター書けたり，VRF つくれたり，RPKI できたり，route server できたり，EVPN できたりしそう (未確認)
• ドキュメント

特にサーバーはgrpc を話すので，「手軽にクライアント作れるかもしれないな」とも思ってます．

bgpsimple vs. gobgp

フルルート注入スピードについて，bgpsimple *1と比べてみると

gobgp めっちゃ速い！！！

bgpsimple がシングルスレッドなのに対し，gobgpd はマルチスレッドで CPU バウンドな処理と相性よさそう．実際にマルチコアをうまく使ってくれます．

環境

• MacBook Pro (Retina, Mid 2012) + VMWare
• Guest
  • 4x Intel(R) Core(TM) i7-3820QM CPU @ 2.70GH
  • 2GB RAM
  • Debian Linux wheezy 3.2.0-4-amd64
• bgpsimple 0.12 + perl 5.14.2
• gobgp 2015/08/10 + go1.4.2

経路受信側は別Hypervisor のvSRX．ボトルネックにならないよう，経路はすべてreject する設定．

gobgp の長所

• 速い！！！
• CLI から多少コントロールできる
• MRT を読んで一旦RIB に格納しているため，経路広告前にbest path selection が走っている
  • 経路の整合性が取れていて，受信側の負荷が下がる
• MRT を直接入力できる (bgpdump 不要)

gobgp の短所

• 不具合ありそう
  • eBGP UPDATE メッセージにLP 属性が入っている
  • eBGP UPDATE メッセージのAS_PATH 属性に，自分のAS が入っていない

  見つけた不具合はすぐ修正してもらえました．ありがとうございます

• サポートOS が少ないかも？

  UNIX 系OS のうち，TCP-MD5 がきちんと実装されているのはLinux くらいだが

  • gobgp「TCP-MD5 サポートのためにLinux 以外は一旦忘れます」
  • 他bgpd「TCP-MD5 は動かないかもしれないけど，他のOS もサポートします」

個人的にはデバッグのためOSX で動くとうれしいが，Linux も手に入りやすい部類だと思う．上記の不具合が解決したら 積極的に使っていきたい．