rancid というツールがある．ネットワーク運用するにあたって，もはや手放せなくなっている．rancid のなにが便利かについては別エントリで書こうと思うが，本来の目的よりも付随する xlogin スクリプト (clogin, jlogin, …) を気に入って使っている．

xlogin について簡単に言えば

1. ネットワークデバイスへのログインを自動化する
2. 指定したコマンド群を逐次実行し，標準出力に出す
3. スクリプティングによって実行コマンドを制御する

ようなやつで，1. のための認証情報を~/.cloginrc に書いておく必要がある．パスワード入力が不要になるので「10 台のルーターでshow interfaces descriptions とshow bgp summary とshow ospf neighborを打ってgrep に渡す」とか「100 台のルーターでsyslog の設定を変える」みたいなことが簡単にできる．

問題意識

ネットワークデバイスにログインするために 共有のジャンプサーバーを用意することが多く，xlogin をつかうには そこに~/.cloginrc を置く必要がある．

「共有サーバーに ファイルとして認証情報(id + password) を置く」というのがイマイチだなあと思っていた．*1 というのは，

• パーミッション 600 にできるけれど，super-user には読まれてしまう
• ファイルとして残ってしまうので，不正アクセスの機会がふえる
• 不正アクセスに気づけない

そこでvault を手元のローカルホストで動かしておいて，.cloginrc の情報をそこに格納しておくと ずいぶんマシになった．

• super-user に読まれてしまうのは変わらない
• 認証情報の実体がローカルホストにあり，暗号化される．ssh セッションを切れば認証情報にアクセスできなくなる
• 認証情報へのアクセスログが残るので，不正アクセスに気づける

vault の設定

セットアップ (ローカルホスト)

プラットフォームにあったvault をダウンロード し，PATH のどこかに置く．

設定ファイルを書く．

# ~/.vault

backend "file" {
  path = "/Users/codeout/.vault.d"
}

listener "tcp" {
  address = "localhost:8200"
  tls_disable = 1  # ssh tunnel を通すのでTLS 不要
}

vault server を起動し，初期化する．

$ vault server -config ~/.vault >&/dev/null &
$ export VAULT_ADDR=http://localhost:8200

$ vault init -key-threshold 1 -key-shares 1
vault $ vault init -key-threshold 1 -key-shares 1
Key 1: ced979c0b1c0ff62b2ac2aa08e54b8258bd4d88170ed67627b4c0fc3dd87133c
Initial Root Token: b5aae184-0fcf-3f7d-09db-9928d82eca56

Vault initialized with 1 keys and a key threshold of 1. Please
securely distribute the above keys. When the Vault is re-sealed,
restarted, or stopped, you must provide at least 1 of these keys
to unseal it again.

Vault does not store the master key. Without at least 1 keys,
your Vault will remain permanently sealed.

ローカルホストでの利用なので master key は1つにした．

デフォルト設定ファイルの評価タイミングが雑っぽくて，今日時点では-config ~/.vault やexport VAULT_ADDR=http://localhost:8200 を省略することができない．そのうち~/.vault がきちんと評価されるようになって，省略可能になる気がする．

起動直後はsealed なので unseal しておく．

$ vault unseal ced979c0b1c0ff62b2ac2aa08e54b8258bd4d88170ed67627b4c0fc3dd87133c
Sealed: false
Key Shares: 1
Key Threshold: 1
Unseal Progress: 0

ログの設定．

$ mkdir ~/.vault.d/log

vault $ vault audit-enable file path=/Users/codeout/.vault.d/log/vault_audit.log
Successfully enabled audit backend 'file'!

.cloginrc をvault に格納する．組織ごとに異なる.cloginrc を1つのvault に入れる必要があるので，key を分ける．ついでにpolicy も分けておいて 必要最小限のデータにのみアクセスを許可する．

チームA の.cloginrcをsecret/team-a に格納する例:

$ vault auth b5aae184-0fcf-3f7d-09db-9928d82eca56
Successfully authenticated!
token: b5aae184-0fcf-3f7d-09db-9928d82eca56
token_duration: 0
token_policies: [root]

# ./team-a.hcl

path "sys/*" {
  policy = "deny"
}

path "secret/*" {
  policy = "deny"
}

path "secret/team-a" {
  policy = "write"
}

path "auth/token/lookup-self" {
  policy = "read"
}

$ vault policy-write team-a team-a.hcl
Policy 'team-a' written.

$ vault write secret/team-a cloginrc=@/Users/codeout/.cloginrc
Success! Data written to: secret/team-a

最後に，ポートフォワードと環境変数を転送するよう~/.ssh/config を設定しておく．

# ~/.ssh/config

Host            jump-server
  Hostname      192.168.3.102
  RemoteForward 8200 localhost:8200
  SendEnv       VAULT_TOKEN

確認

5分で失効するトークンを発行して ローカルホストから値が取れることを確認する．

$ vault token-create -lease=5m -policy=team-a
Key             Value
token           ccc70554-da81-4d2f-08be-d0d38232395c
token_duration  300
token_renewable true
token_policies  [team-a]

$ VAULT_TOKEN=ccc70554-da81-4d2f-08be-d0d38232395c vault read secret/team-a
Key             Value
lease_duration  2592000
cloginrc        ### default
add method    *   {ssh} {telnet}
add user      *   codeout
add password  *   {some!secret} {some!secret}

add method    192.168.0.79  {telnet}
add password  192.168.0.79  {another!secret} {another!secret}

ログが残ることも確認．

{"time":"2015-11-28T15:29:11Z","type":"request","auth":{"display_name":"token","policies":["team-a"],"metadata":null},"request":{"operation":"read","path":"secret/team-a","data":null,"remote_address":"127.0.0.1"},"error":""}
{"time":"2015-11-28T15:29:11Z","type":"response","error":"","auth":{"display_name":"","policies":["team-a"],"metadata":null},"request":{"operation":"read","path":"secret/team-a","data":null,"remote_address":"127.0.0.1"},"response":{"secret":{"lease_id":""},"data":{"cloginrc":"hmac-sha256:46ac8a23ac9efff3c42e5b9e31a7854e50f4a4e713810388003dbfcb1c9a607b"},"redirect":""}}

5分後には値が取れなくなっているはず．

セットアップ (ジャンプサーバー)

こちらも プラットフォームにあったvault をダウンロードし，PATH のどこかに置く．

.zshrc などにvault のURL を設定する．外部からジャンプサーバーにssh するときに張るssh tunnel を指定しておく．

# ~/.zshrc

export VAULT_ADDR=http://localhost:8200

rancid がインストールされているものとして，.cloginrc を書き換える．

.cloginrc はtcl スクリプトとして読まれるため，必要に応じてvault から認証情報を取得する動作になる．

# ~/.cloginrc

if [ catch {eval [eval exec "vault read -field=cloginrc secret/team-a"]} reason ] {
    send_user "\nError: $reason\n"
    exit 1
}

可能であれば，ssh クライアントから環境変数VAULT_TOKEN を受け付けるよう sshd を設定する．

# /etc/ssh/sshd_config

AcceptEnv LANG LC_* VAULT_TOKEN

つかいかた

ローカルホストでvault を起動し，トークンを発行する．-lease を指定しなければ30日有効なトークンが発行されるが，期間は適宜．

$ vault server -config ~/.vault >&/dev/null&
$ vault unseal ced979c0b1c0ff62b2ac2aa08e54b8258bd4d88170ed67627b4c0fc3dd87133c
$ vault auth b5aae184-0fcf-3f7d-09db-9928d82eca56

# 普段は上記の状態で動かしっぱなし

$ vault token-create -lease=24h -policy=team-a
Key             Value
token           d78015ad-e903-2122-dea9-6b1bcb970391
token_duration  86400
token_renewable true
token_policies  [team-a]

トークンを渡しつつ，ジャンプサーバーにssh．

$ VAULT_TOKEN=d78015ad-e903-2122-dea9-6b1bcb970391 ssh jump-server

これでxlogin できるようになっているはず．

$ jlogin 192.168.3.103
192.168.3.103
spawn ssh -c 3des -x -l codeout 192.168.3.103
Password:
--- JUNOS 12.1X46-D10 built 2013-12-05 15:04:51 UTC
codeout@vsrx>

ローカルホストでvault がunsealed で動いており，ssh tunnel 経由でジャンプサーバーからvault にアクセスでき，トークンがある場合のみ認証情報にアクセスできるようになった． ローカルホストの~/.vault.d/log/vault_audit.log には認証情報へのアクセスがすべて記録されるので，不正アクセスの調査ができる．

別のチームB のジャンプサーバーにssh する場合は，vault に格納するkey, policy 名を切り替えればよい．

ジャンプサーバーのsshd を設定変更できない場合は クライアントから環境変数を渡せないので，ログイン後にexport VAULT_TOKEN=d78015ad-e903-2122-dea9-6b1bcb970391 する． このとき，一応コマンドヒストリーに残らないよう気をつける．たとえばzsh でhist_ignore_space が設定されている場合は，export の先頭に半角スペースを入れておけばヒストリーに残らない．

どうせsuper-user には/proc/<pid>/environ やps e などで環境変数を読まれてしまうが，いちおう余計なところに残さないほうがいい．

まとめ

.cloginrc をまるまるvault 管理にすることで，より安全にxlogin を使えるようになった．やはりsuper-user は認証情報にアクセスできてしまうため 完全ではないが

• 認証情報の実体がローカルホストにあり，暗号化される．ssh セッションを切れば認証情報にアクセスできなくなる
• 認証情報へのアクセスログが残るので，不正アクセスに気づける

構成を実現できた．

環境変数をsuper-user から隠す方法 もしくはうまく暗号化する方法があれば完璧なので，知見をお持ちのかたはぜひ教えてください．

ネットワーク運用をしていると，ホストアドレスから経路をルックアップしたいことが結構ある．

たとえばDDoS を受けたとき．いろいろな対処が考えられるが，網内のルーターでパケットフィルターする際に「src address → src prefix の変換をしてからガバッと止めたい」とか．

そんな面倒くさいことはBot にやってもらいたい．

実装のアイデア

ルーターにログインして変換してもいいし，ルーティングテーブルを別に持って検索してもいい．

ルーターにログインしてshow route するのはIO バウンドな処理なのでnode との相性はよさそうだが，「src address が100コ」みたいな場合では遅いと思われる．よくあるルーターだと「まとめて引数を渡して，まとめて結果を受け取る」みたいなことができないため「1コ引数を渡して，1コ結果を受け取る」を100回やらないといけない．

一方，ルーティングテーブルを別に持つのってどう実装しよう？とか自前でpatricia tree つくんの？という面倒くささがある．

MRT TABLE DUMP + patricia tree でやってみる

実は，後者の面倒くさいところを解決してくれるbgpdump2 というツールがある．「node バインディング書けばいいのでは」と思ってやってみたら，結構うまく動くっぽかった．(まだ最小限の実装しかできてないです)

github.com

これを使うとlongest match の結果を返してくれる．

var BGPDump = require('node-bgpdump2');
var bgpdump = new BGPDump('path_to_rib.bz2');
console.log(bgpdump.lookup('8.8.8.8'));

// =>
// { prefix: '8.8.8.0/24',
//   nexthop: '202.249.2.169',
//   origin_as: 15169,
//   as_path: '2497 15169' }

Hubot から使うのもカンタンで，

npm install node-bgpdump2 --save
npm install https://github.com/codeout/node-mrt.git --save

たとえばshow route モドキを返すやつ．

# scripts/route.coffee

BGPDump = require('node-bgpdump2')
MRT = require('node-mrt')
mrt = new MRT('wide')

module.exports = (robot) ->
  robot.respond /route (.*)/, (msg) ->
    mrt.get (text)->
      msg.send text
    , (path)->
      bgpdump = new BGPDump(path)
      msg.send JSON.stringify(bgpdump.lookup(msg.match[1]))

ちなみに node-mrt はarchive.routeviews.org からMRT アーカイブをダウンロードしてキャッシュしてくれるライブラリです．

もうちょい複雑なことを: DDoS 対策手順を作ってもらう

一例だけれど，たとえばDDoS を検知後に

1. src address → src prefix に変換
2. src prefix ベースで帯域制限する手順をつくり，GitHub Issue としてオープン

というところまでHubot にお願いしたい．
(今回は例としてsrc prefix だけの条件)

hubot-github-templated-issues というの流用すれば結構ラクにできて，8.8.8.8, 8.8.4.4, 64.6.64.6, 64.6.65.6 からのDDoS を検知したときに

hubot anti ddos packet_filter/ratelimit_2g DDoS対策
src: [
8.8.8.8,
8.8.8.8,
64.6.64.6,
64.6.65.6
]

とHubot にお願いすると，

手順書をIssue 化してくれる．
(↑ ではMRT アーカイブをダウンロードしているが，キャッシュがあればそれをつかう)

https://github.com/codeout/sandbox/issues/108

この手順書はテンプレート にパラメーターを埋めて作ったもので，hubot-github-templated-issues がよしなにやってくれます．

今回つかったスクリプト: scripts/anti_ddos.coffee

まとめ

node-bgpdump2 を使うと，Hubot にlongest match 機能をつけられてけっこう便利だと思う．

bgpdump2 自体，少しコンセプト実装っぽい側面があって完全にライブラリ化されていないため，できたら作者の方に今後のロードマップについて聞きたいところです．

ネットワーク運用がどんどん便利になって「手軽にメトリック監視できる」「ネットワークリソース管理がほら簡単」みたいな話はけっこう聞く．ところが，本丸であるネットワーク本体への変更については「慎重に人手で」という運用をしているところが多いと思う．

それが悪いということではなくて，たぶん「頻度低いから手動がコストバランス良い」のような理由があるんだけど，じゃあ「それに合う形でワークフローを良くしたいよね」と思う．

たとえばCI を導入することで，ネットワークデバイスへの変更について議論しやすくなったり，レビューしやすくなるといいなあと．

ネットワークでのCI って難しい

ネットワークデバイスに変更を加える場合，ソフトウェア開発のように「あらかじめふるまいを確認する」のはけっこうなコストがかかる．しかし，変更はコマンドのリストとして表現できて，コマンド文法が既知だから「シンタックスが正しい」ことくらいは事前に確認できるはず．

コマンドが誤っていて手戻りが発生することも日常的にあるので，CI でシンタックスを確認するだけでもだいぶマシになるはず，と思って作ったのがこれ．

github.com

netconf 用xsd からPEG パーサーを自動生成するためのツール群と，生成されたPEG パーサーが含まれていて

• JUNOS のシンタックスチェック
• show configuration 形式と| display set 形式の相互変換

ができる．詳しくは JANOG36 でのLT 資料 をご覧ください．

CI やってみると どんな感じか

無料でできる Gitlab + Gitlab-CI を使った例．eBGP neighbor を1つ加え，eBGP 全体を微調整するケースを考える．

サンプルレポジトリー: https://github.com/codeout/junos-ci/tree/gitlab

1. 変更案をGitlab にプッシュする

まず，これから加えたい変更について議論したり レビューしてもらうために，変更したい内容をGitlab に掲載する．

# gitlab プロジェクトをローカルにもってくる
$ git clone ssh://git@192.168.99.100:10022/codeout/junos-ci.git
$ cd junos-ci
...

# いま master ブランチにいる
junos-ci $ git branch
* master

# 変更用ブランチをつくる
junos-ci $ git checkout -b add-neighbor
...

config/junos.conf を修正して変更したい内容を記載する．

junos-ci $ git diff
diff --git a/config/junos.conf b/config/junos.conf
index 1331682..e860cc4 100644
--- a/config/junos.conf
+++ b/config/junos.conf
@@ -14,6 +14,8 @@ protocols {
                 }
                 local-address 198.51.100.1;
             }
+            neighbor 192.0.2.3;
+            invalid statement;  # わざとエラーを混ぜる
         }
     }
 }

ここでテストを回してパスするのを確認 → git commit → Gitlab にプッシュするのが本筋だが，今回はテストが落ちることをみるためにテストせずコミット & プッシュ．

junos-ci $ git commit -am "xxxx 開通準備"
junos-ci $ git push origin add-neighbor

2. Merge Request をつくる

Gitlab プロジェクトページに “Create Merge Request” ボタンが現れる．流れに沿ってMerge Request を作成する． こうすることで，他のメンバーに「こんな変更を加えたいので，議論 / レビューしてほしい」と伝えることができる．

作成が終わると勝手にCI が作動し Gitlab 上に “failed” と表示されるので，すぐシンタックスエラーがあることがわかる．(下図)

また，将来変更を適用した際 コンフリクトが発生しそうな場合も (下の例にはないが) warning が表示される．

さらにリンクをたどれば，どの行がおかしいかわかる．
(この場合 protocols bgp group ebgp-peers invalid statement)

失敗したテストをパスさせるには，適宜修正してコミット & プッシュすればよい．再度CI が作動して “passed” に変化する．

• Gitlab にプッシュしてから “failed” に気づくと二度手間になるので，Merge Request オーナーがプッシュ前にテストするといい
• レビューする側はプッシュ前にテストされたかどうかわからないが，Gitlab のCI ステータスが “passed” であれば シンタックスは正しい = セマンティクスだけ議論 / レビューすればいい ことがわかる

3. Gitlab で議論 / レビュー

シンタックスチェックはCI 任せにできるので，変更内容だけを議論 / レビューすればいい．

手動でテストする

サンプルレポジトリー のRakefile に，junoser を使ったテストのサンプルがある．

ディレクトリ構造やファイル拡張子がちがうと動かないかもしれないので，適宜修正ください．

junos-ci $ rake
skip ./config/cisco.conf
verifying ./config/junos.conf ... done

議論 / レビュー後のデプロイフロー

ネットワークデバイスのMerge Request にはひとつ問題がある．

1. Merge Request をマージ
2. デプロイ
3. show configuration

を行ったときの 1. と 3. の結果が必ずしも一致しない．セマンティクスは同じでも コマンド構造や順序がちがうかもしれない．今回のようにネットワークデバイスの設定を直接管理している場合，ネットワークデバイスが吐く設定をマスターにしたいということもあって，単に「Merge Request をマージして完了」にできない場合がある．

取りうる戦略がいくつかあって，

• 変更をmaster ブランチにマージ → 変更後の設定全体をデプロイ
• 変更をマージしない → 差分だけをデプロイ → トピックブランチ*1 を変更後の設定にrebase

それぞれ少しだけ説明します．

変更をmaster ブランチにマージ → 変更後の設定全体をデプロイ

シンプルなので，こちらがオススメ．

1. Merge Request をmaster にマージ
2. マージ結果をload override
3. show configuration をmaster にcommit

ほぼ コマンド投入漏れが発生しないし，変にコンフリクトしていてもshow | compare などで気づくことができる．1. と3. のセマンティクスの整合は取れていると思われるので，そのままcommit する．

可能な限りこちらに寄せたほうが良いと思う．

変更をマージしない → 差分だけをJuniper にデプロイ → トピックブランチを変更後の設定にrebase

数ステップに分けて投入したい場合など．

junos-ci $ ./bin/patch master add-neighbor
# config/junos.conf -> config/junos.conf

set protocols bgp group ebgp-peers neighbor 192.0.2.3
set protocols bgp group ebgp-peers invalid statement

上のように差分をset コマンドに変換して投入した場合，コンフリクトに気付けない可能性がある．

1. Merge Request をmaster にマージせず，差分をデプロイ
2. この時点のshow configuration がトピックブランチと一致するかは保証されない
3. なので，トピックブランチをrebase して確認する
4. Merge Request をマージ

rebase 時にコンフリクトした場合，設定順序含めてトピックブランチを整理するのがかなり面倒．ただし大きなMerge Request だと 途中で確認を挟まないといけないため，こちらの戦略を取らざるを得ない．

まとめ

• junoser を使えばJUNOS でCI できる
  • シンタックスエラーに気づける
  • コンフリクトに気づける
• Gitlab のようなツールを使えば，議論 / レビューが楽になる
• ネットワークへのデプロイ方法によってマージ方法が変わるが，なるべくマージ → 設定全体をデプロイしたほうがいい

ツールの具体的な設定方法を飛ばして「できた後はどんな感じか？」について書きましたが，ネットワークデバイスの設定をGitlab / Github 管理したらワークフローがどうなるか，CI し始めたらワークフローがどうなるか，イメージしてもらえるとうれしいです．

「どの程度お手軽にフルルートを注入できるか？」の続編です．

2015/08/12 追記 : gobgp の不具合，修正されました

codeout.hatenablog.com

今回 gobgp のコミッターさんから「mrt 実装しましたー，もしお時間あったら試してみてください！」と連絡もらったので 試しました．

MRT TABLE_DUMP からフルルートを注入してみます．

gobgp ?

BGP Daemon のGo 実装です． 速そうだしガンガン機能が足されていて 注目のbgpd．

• Go なので，マルチコアをうまく使ってくれそう
• gobgpd (サーバー) とgobgp (CLI) で構成されている
• サーバー <-> CLI 間はgrpc
• MRT から経路生成できるし，MRT Dump もできる
• 経路フィルター書けたり，VRF つくれたり，RPKI できたり，route server できたり，EVPN できたりしそう (未確認)
• ドキュメント

特にサーバーはgrpc を話すので，「手軽にクライアント作れるかもしれないな」とも思ってます．

bgpsimple vs. gobgp

フルルート注入スピードについて，bgpsimple *1と比べてみると

gobgp めっちゃ速い！！！

bgpsimple がシングルスレッドなのに対し，gobgpd はマルチスレッドで CPU バウンドな処理と相性よさそう．実際にマルチコアをうまく使ってくれます．

環境

• MacBook Pro (Retina, Mid 2012) + VMWare
• Guest
  • 4x Intel(R) Core(TM) i7-3820QM CPU @ 2.70GH
  • 2GB RAM
  • Debian Linux wheezy 3.2.0-4-amd64
• bgpsimple 0.12 + perl 5.14.2
• gobgp 2015/08/10 + go1.4.2

経路受信側は別Hypervisor のvSRX．ボトルネックにならないよう，経路はすべてreject する設定．

gobgp の長所

• 速い！！！
• CLI から多少コントロールできる
• MRT を読んで一旦RIB に格納しているため，経路広告前にbest path selection が走っている
  • 経路の整合性が取れていて，受信側の負荷が下がる
• MRT を直接入力できる (bgpdump 不要)

gobgp の短所

• 不具合ありそう
  • eBGP UPDATE メッセージにLP 属性が入っている
  • eBGP UPDATE メッセージのAS_PATH 属性に，自分のAS が入っていない

  見つけた不具合はすぐ修正してもらえました．ありがとうございます

• サポートOS が少ないかも？

  UNIX 系OS のうち，TCP-MD5 がきちんと実装されているのはLinux くらいだが

  • gobgp「TCP-MD5 サポートのためにLinux 以外は一旦忘れます」
  • 他bgpd「TCP-MD5 は動かないかもしれないけど，他のOS もサポートします」

個人的にはデバッグのためOSX で動くとうれしいが，Linux も手に入りやすい部類だと思う．上記の不具合が解決したら 積極的に使っていきたい．