🍢 💽 🗜️ Batfish। परिचय 🏽 👩🏻‍🏭 🏮

आधुनिक नेटवर्क की समस्याओं में से एक उनकी नाजुकता है। कई फ़िल्टरिंग नियम, सूचना विनिमय नीतियां, डायनामिक रूटिंग प्रोटोकॉल नेटवर्क को भ्रमित करते हैं और मानव कारकों के अधीन होते हैं। रूट-मैप या ACL ( एक , दो ) में परिवर्तन करते समय एक नेटवर्क दुर्घटना अनजाने में हो सकती है। हमारे पास निश्चित रूप से उत्पादन में बदलाव करने से पहले एक नए कॉन्फ़िगरेशन के साथ नेटवर्क के व्यवहार का मूल्यांकन करने के लिए एक उपकरण की कमी है। मैं ठीक से जानना चाहता हूं कि क्या प्रदाता बी से प्राप्त बीजीपी घोषणाओं में से कुछ को फ़िल्टर करने पर नेटवर्क ए मेरे पास उपलब्ध होगा? पैकेट्स नेटवर्क C से सर्वर D तक किस मार्ग से जाएंगे अगर किसी एक ट्रांजिट लिंक पर मैं IGP मीट्रिक दोगुना कर देता हूं? बैटफिश हमें इन और कई अन्य सवालों के जवाब देने में मदद करेगी!

बैटफिश की समीक्षा

बैटफिश एक नेटवर्क मॉडलिंग टूल है। इसका मुख्य उद्देश्य उत्पादन नेटवर्क के लिए उन्हें बनाने से पहले कॉन्फ़िगरेशन परिवर्तनों का परीक्षण करना है। बैटफिश का उपयोग नेटवर्क की वर्तमान स्थिति का विश्लेषण और जांच करने के लिए भी किया जा सकता है। नेटवर्क की दुनिया में मौजूदा CI / CD प्रक्रियाओं में स्पष्ट रूप से नए विन्यासों के परीक्षण के लिए एक उपकरण का अभाव है। बैटफिश इस समस्या को हल करती है।

बैटफिश को मौजूदा नेटवर्क उपकरण तक सीधे सीधे पहुंच की आवश्यकता नहीं होती है, बैटफिश डिवाइस कॉन्फ़िगरेशन फ़ाइलों में निहित डेटा के आधार पर नेटवर्क व्यवहार को मॉडल करता है।

बैटफिश कर सकते हैं:

नेटवर्क में गतिशील रूटिंग प्रोटोकॉल की पड़ोसी स्थिति निर्धारित करें (बीजीपी, आईएस-आईएस, ओएसपीएफ)
प्रत्येक नेटवर्क तत्व के आरआईबी की गणना करें
NTP, AAA, MTU सेटिंग जांचें
यह निर्धारित करने की अनुमति दें कि क्या एसीएल नेटवर्क ट्रैफिक के मार्ग को अवरुद्ध करता है (सिस्को एएसए पर पैकेट-ट्रेसर का एनालॉग)
नेटवर्क के भीतर मेजबान के बीच एंड-टू-एंड कनेक्टिविटी के लिए जाँच करें
नेटवर्क के माध्यम से ट्रैफ़िक का मार्ग दिखाएं (वर्चुअल ट्रेसिंग)

समर्थित प्लेटफ़ॉर्म:

अन्न या घास की बाल
अरूबा
AWS (VPCs, नेटवर्क ACLs, VPN GW, NAT GW, इंटरनेट GW, सुरक्षा समूह)
सिस्को (NX-OS, IOS, IOS-XE, IOS-XR और ASA)
डेल बल 10
फाउंड्री
iptables
जुनिपर (एमएक्स, ईएक्स, क्यूएफएक्स, एसआरएक्स, टी-सीरीज़, पीटीएक्स)
MRV
पालो अल्टो नेटवर्क
कुग्गा / एफआरआर
क्वांटा
VyOS

बैटफिश एक जावा एप्लिकेशन है। इसके साथ सुविधाजनक काम के लिए पायबेटफ़िश - अजगर एसडीके लिखा गया था।

अभ्यास के लिए आगे बढ़ते हैं। मैं आपको एक उदाहरण के साथ बैटफिश की संभावनाओं को दिखाऊंगा।

उदाहरण

हम दो स्वायत्त प्रणालियों का प्रबंधन करते हैं: AS 41214 और AS 10631 के रूप में। IGP के रूप में, AS-41214 IS-IS और AS-10631 का उपयोग करता है - OSPF। प्रत्येक AS के अंदर, IBGP-fullmesh का उपयोग किया जाता है। LDN-CORE-01 ने अपने BGP पड़ोसी उपसर्ग 135.65.0.0/19, MSK-CORE-01 - 140.0.0.0/24 की घोषणा की। स्वायत्त प्रणालियों के बीच रूटिंग सूचनाओं का आदान-प्रदान एचकेआई-कोर -01 - एसपीबी-कोर -01 के जंक्शन पर होता है।

HKI-CORE-01, STH-CORE-01 - जूनोस रूटर्स
LDN-CORE-01, AMS-CORE-01, SPB-CORE-01, MSK-CORE-01 - सिस्को IOS रूटर्स

बटफ़िश और अजगर एसडीके के साथ कंटेनर स्थापित करें:

docker pull batfish/allinone docker run batfish/allinone docker container exec -it <container> bash

पायथन इंटरेक्टिव मोड के माध्यम से पुस्तकालय जानने के लिए:

 root@ea9a1559d88e:/# python3 -------------------- >>> from pybatfish.client.commands import bf_logger, bf_init_snapshot >>> from pybatfish.question.question import load_questions >>> from pybatfish.question import bfq >>> import logging >>> bf_logger.setLevel(logging.ERROR) >>> load_questions() >>> bf_init_snapshot('tmp/habr') 'ss_e8065858-a911-4f8a-b020-49c9b96d0381'

bf_init_snapshot ('tmp / habr') - फ़ंक्शन बैटफ़िश में कॉन्फ़िगरेशन फ़ाइलों को लोड करता है और उन्हें विश्लेषण के लिए तैयार करता है।

/ tmp / habr - राउटर कॉन्फ़िगरेशन फ़ाइलों के साथ एक निर्देशिका।

 root@ea9a1559d88e:/tmp/habr# tree . `-- configs |-- AMS-CORE-01.cfg |-- HKI-CORE-01.cfg |-- LDN-CORE-01.cfg |-- MSK-CORE-01.cfg |-- SPB-CORE-01.cfg `-- STH-CORE-01.cfg 1 directory, 6 files

अब LDN-CORE-01 राउटर पर BGP सत्रों की स्थिति निर्धारित करते हैं:

 >>> bgp_peers = bfq.bgpSessionStatus(nodes='LDN-CORE-01').answer().frame() >>> bgp_peers Node VRF Local_AS Local_IP Remote_AS Remote_Node Remote_IP Session_Type Est_Status 0 ldn-core-01 default 41214 172.20.20.1 41214 sth-core-01 172.20.20.2 IBGP EST 1 ldn-core-01 default 41214 172.20.20.1 41214 ams-core-01 172.20.20.3 IBGP EST 2 ldn-core-01 default 41214 172.20.20.1 41214 hki-core-01 172.20.20.4 IBGP EST

वैसे कैसे? सच लगता है?

 LDN-CORE-01#show ip bgp summary … Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 172.20.20.2 4 41214 629 669 9 0 0 00:56:51 0 172.20.20.3 4 41214 826 827 9 0 0 01:10:18 0 172.20.20.4 4 41214 547 583 9 0 0 00:49:24 1

अब आइए देखें कि आईएसआई-आईएस मार्ग बाबीफ़िश के अनुसार एचआईआई-कोर -01 राउटर पर आरआईबी में क्या हैं:

 >>> isis_routes = bfq.routes(nodes='HKI-CORE-01', protocols='isis').answer().frame() >>> isis_routes Node VRF Network Next_Hop Next_Hop_IP Protocol Admin_Distance Metric Tag 0 hki-core-01 default 172.20.20.3/32 ams-core-01 10.0.0.6 isisL2 18 20 None 1 hki-core-01 default 172.20.20.1/32 ams-core-01 10.0.0.6 isisL2 18 30 None 2 hki-core-01 default 172.20.20.2/32 sth-core-01 10.0.0.4 isisL2 18 10 None 3 hki-core-01 default 172.20.20.1/32 sth-core-01 10.0.0.4 isisL2 18 30 None 4 hki-core-01 default 10.0.0.0/31 sth-core-01 10.0.0.4 isisL2 18 20 None 5 hki-core-01 default 10.0.0.2/31 ams-core-01 10.0.0.6 isisL2 18 20 None

कमांड लाइन पर:

 showroute@HKI-CORE-01# run show route table inet.0 protocol isis inet.0: 18 destinations, 18 routes (18 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.0.0.0/31 *[IS-IS/18] 00:51:25, metric 20 > to 10.0.0.4 via ge-0/0/0.0 10.0.0.2/31 *[IS-IS/18] 00:51:45, metric 20 > to 10.0.0.6 via ge-0/0/1.0 172.20.20.1/32 *[IS-IS/18] 00:51:25, metric 30 to 10.0.0.4 via ge-0/0/0.0 > to 10.0.0.6 via ge-0/0/1.0 172.20.20.2/32 *[IS-IS/18] 00:51:25, metric 10 > to 10.0.0.4 via ge-0/0/0.0 172.20.20.3/32 *[IS-IS/18] 00:51:45, metric 20 > to 10.0.0.6 via ge-0/0/1.0

बहुत बढ़िया! मुझे लगता है कि यह आपके लिए स्पष्ट हो गया है कि बैटफिश है।

लेख की शुरुआत में, मैंने लिखा कि बैटफिश का उपयोग "लड़ाई" नेटवर्क पर लाने से पहले कॉन्फ़िगरेशन परिवर्तनों की जांच करने के लिए किया जा सकता है। अब मैं रोबोटफ्रेमवर्क पर आधारित नेटवर्क परीक्षण की प्रक्रिया पर विचार करने का प्रस्ताव करता हूं । ऐसा करने के लिए, मैंने PyBatfish पर आधारित एक छोटा मॉड्यूल लिखा जो आपको निम्नलिखित जांच करने की अनुमति देता है:

नेटवर्क पर बीजीपी सत्रों की स्थिति निर्धारित करें
आईएस-आईएस पड़ोसी की स्थिति निर्धारित करें
ट्रेस प्रदर्शन के साथ नेटवर्क पर नोड्स के बीच एंड-टू-एंड कनेक्टिविटी की जांच करें
एक विशिष्ट डायनामिक रूटिंग प्रोटोकॉल के लिए राउटर पर आरआईबी का आकार निर्धारित करें

LibraryBatfish.py

 import logging from pybatfish.client.commands import bf_logger, bf_init_snapshot from pybatfish.question.question import load_questions, list_questions from pybatfish.question import bfq from pybatfish.datamodel.flow import HeaderConstraints, PathConstraints from robot.api import logger class LibraryBatfish(object): def __init__(self, snapshot): bf_logger.setLevel(logging.ERROR) load_questions() bf_init_snapshot(snapshot) def check_bgp_peers(self): not_established_peers = list() bgp_peers = bfq.bgpSessionStatus().answer() for peer in bgp_peers.rows: if peer.get('Established_Status') != 'ESTABLISHED': not_established_peers.append(dict.fromkeys(peer.get('Local_IP').split(), peer.get('Remote_IP').get('value'))) if len(not_established_peers) == 0: return 1 else: logger.warn('BGP neighbors are not in an established state:') for neighborship in not_established_peers: for peer in neighborship: logger.warn('{} - {}'.format(peer, neighborship.get(peer))) return 0 def check_routes(self, node, protocol): routes = bfq.routes(nodes=node, protocols=protocol).answer() return len(routes.rows) def check_isis_neighbors(self, description): not_isis_enabled_links = list() for link in self._get_isis_enabled_links(description): if link not in self._get_isis_neighbors(): not_isis_enabled_links.append(link) if len(not_isis_enabled_links) == 0: return 1 else: for link in not_isis_enabled_links: logger.warn('{} {} has no IS-IS neighbor'.format(link.get('hostname'), link.get('interface'))) return 0 def ping(self, source_ip, destination_ip): ip_owners = bfq.ipOwners().answer() traceroute = self._get_traceroute_status(source_ip, destination_ip, ip_owners) reverse_traceroute = self._get_traceroute_status(destination_ip, source_ip, ip_owners) if traceroute == True and reverse_traceroute == True: self._show_trace(source_ip, destination_ip, ip_owners) return 1 else: logger.warn('Ping {} -> {} failed'.format(source_ip, destination_ip)) return 0 def _get_traceroute_status(self, source_ip, destination_ip, addresses): tracert = self._unidirectional_virtual_traceroute(source_ip, destination_ip, addresses) isAccepted = True if tracert != None: for trace in tracert.rows[0].get('Traces'): if trace.get('disposition') != 'ACCEPTED': isAccepted = False if isAccepted == True: return True else: return False def _get_paths(self, source_ip, destination_ip, addresses): tracert = self._unidirectional_virtual_traceroute(source_ip, destination_ip, addresses) traces = tracert.rows[0].get('Traces') paths = dict() path_number = 1 for trace in traces: if trace.get('disposition') == 'ACCEPTED': path = list() for hop in trace.get('hops'): path.append(hop.get('node').get('name')) paths[path_number] = path path_number += 1 return paths def _unidirectional_virtual_traceroute(self, source_ip, destination_ip, addresses): for address in addresses.rows: if address.get('IP') == source_ip: node = address.get('Node').get('name') int = address.get('Interface') headers = HeaderConstraints(srcIps=source_ip, dstIps=destination_ip, ipProtocols=['ICMP']) try: tracert = bfq.traceroute(startLocation="{}[{}]".format(node,int), headers=headers).answer() return tracert except: logger.warn('{} address has not been found'.format(source_ip)) def _get_isis_enabled_links(self, description='core-link'): isis_enabled_links = list() interfaces = bfq.interfaceProperties().answer() for int in interfaces.rows: if int.get('Description') != None and description in int.get('Description'): isis_enabled_links.append({'hostname' : int.get('Interface').get('hostname'), 'interface' : int.get('Interface').get('interface')}) return isis_enabled_links def _get_isis_neighbors(self): isis_neighbors = list() isis_adjacencies = bfq.edges(edgeType='isis').answer() for neighbor in isis_adjacencies.rows: isis_neighbors.append(neighbor.get('Interface')) return isis_neighbors def _show_trace(self, source_ip, destination_ip, addresses): logger.console('\nTraceroute to {} from {}'.format(destination_ip, source_ip)) paths = self._get_paths(source_ip, destination_ip, addresses) path_num = 1 for path in paths: n = 1 logger.console('\n Path N{}'.format(path_num)) for hop in paths.get(path): logger.console(' {} {}'.format(n, hop)) n += 1 path_num += 1

batfish-test.robot

परिदृश्य N १

मेरे नियंत्रण में अब भी वही नेटवर्क है। मान लीजिए कि मुझे 41214 और AS 10631 की सीमा पर फिल्टर लगाने की आवश्यकता है और BOGONS रेंज से स्रोत या गंतव्य आईपी पते वाले जंक्शन पैकेटों को ब्लॉक करें।

परिवर्तन करने से पहले परीक्षण चलाएँ।

टेस्ट पास हुए।

हम HKI-CORE-01 राउटर के परीक्षण विन्यास में परिवर्तन करेंगे - /tmp/habr/configs/HKI-CORE-01.cfg:

 set firewall family inet filter BOGONS term TERM010 from address 0.0.0.0/8 set firewall family inet filter BOGONS term TERM010 from address 10.0.0.0/8 set firewall family inet filter BOGONS term TERM010 from address 100.64.0.0/10 set firewall family inet filter BOGONS term TERM010 from address 127.0.0.0/8 set firewall family inet filter BOGONS term TERM010 from address 169.254.0.0/16 set firewall family inet filter BOGONS term TERM010 from address 172.16.0.0/12 set firewall family inet filter BOGONS term TERM010 from address 192.0.2.0/24 set firewall family inet filter BOGONS term TERM010 from address 192.88.99.0/24 set firewall family inet filter BOGONS term TERM010 from address 192.168.0.0/16 set firewall family inet filter BOGONS term TERM010 from address 198.18.0.0/15 set firewall family inet filter BOGONS term TERM010 from address 198.51.100.0/24 set firewall family inet filter BOGONS term TERM010 from address 203.0.113.0/24 set firewall family inet filter BOGONS term TERM010 from address 224.0.0.0/4 set firewall family inet filter BOGONS term TERM010 from address 240.0.0.0/4 set firewall family inet filter BOGONS term TERM010 then discard set firewall family inet filter BOGONS term PERMIT-IP-ANY-ANY then accept set interfaces ge-0/0/2.0 family inet filter input BOGONS set interfaces ge-0/0/2.0 family inet filter output BOGONS

परीक्षण चलाएं।

मैं बहुत करीब था, लेकिन परीक्षण आउटपुट शो के रूप में, बीजीपी में किए गए बदलावों के बाद, पड़ोस 192.168.30.0 - 192.168.30.1 स्थापित राज्य में नहीं है -> परिणामस्वरूप, अंक 135.65.1.1 <-> 140.0.0.1 के बीच आईपी कनेक्टिविटी खो जाती है। क्या गलत है? हम HKI-CORE-01 कॉन्फ़िगरेशन को ध्यान से देखते हैं और देखते हैं कि eBGP peering निजी पते पर स्थापित है:

 showroute@HKI-CORE-01# show interfaces ge-0/0/2 | display set set interfaces ge-0/0/2 description SPB-CORE-01 set interfaces ge-0/0/2 unit 0 family inet filter input BOGONS set interfaces ge-0/0/2 unit 0 family inet filter output BOGONS set interfaces ge-0/0/2 unit 0 family inet address 192.168.30.0/31

निष्कर्ष: जंक्शन पर पतों को बदलना या अपवाद के लिए 192.168.30.0/31 सबनेट जोड़ना आवश्यक है।

मैं अपवाद पर जंक्शन में एक नेटवर्क जोड़ूंगा, मैं /tmp/habr/configs/HKI-CORE-01.cfg को फिर से अपडेट करूंगा:

 set firewall family inet filter BOGONS term TERM005 from address 192.168.0.0/31 set firewall family inet filter BOGONS term TERM005 then accept

परीक्षण चलाएं।

अब अवांछित ट्रैफ़िक ebgp इंटरफ़ेस के माध्यम से नहीं जाएगा 41214 - AS 10631 के रूप में। आप परिणामों के डर के बिना सुरक्षित रूप से बदलाव कर सकते हैं।

परिदृश्य N2

यहां मुझे MSK-CORE-01 राउटर पर नेटवर्क 150.0.0.0/24 को समाप्त करने और अंक 135.65.0.1 और 150.0.0.1 के बीच कनेक्टिविटी सुनिश्चित करने की आवश्यकता है।

मैं MSK-CORE-01 राउटर के परीक्षण विन्यास में निम्नलिखित पंक्तियों को जोड़ता हूं - tmp / habr / configs / MSK-CORE-01.cfg:

 interface Loopback2 ip address 150.0.0.1 255.255.255.255 ! ip route 150.0.0.0 255.255.255.0 Null0 ! router bgp 10631 ! address-family ipv4 network 150.0.0.0 mask 255.255.255.0 !

मैं परीक्षण स्क्रिप्ट को बदलता हूं और परीक्षण चलाता हूं:

 git diff HEAD~ diff --git a/batfish-robot.robot b/batfish-robot.robot index 8d963c5..ce8cb6a 100644 --- a/batfish-robot.robot +++ b/batfish-robot.robot @@ -5,7 +5,7 @@ Library LibraryBatfish.py tmp/habr ${ISIS-ENABLED-LINK-DESCRIPTION} ISIS-LINK ${NODE} HKI-CORE-01 ${PROTOCOL} ebgp -${RIB-SIZE} 1 +${RIB-SIZE} 2 *** Test Cases *** ISIS @@ -27,3 +27,8 @@ Ping [Documentation] Test end-to-end ICMP connectivity & show traceroute ${result}= Ping 135.65.0.1 140.0.0.1 Should Be Equal As Integers ${result} 1 + +Ping2 + [Documentation] Test end-to-end ICMP connectivity & show traceroute + ${result}= Ping 135.65.0.1 150.0.0.1 + Should Be Equal As Integers ${result} 1

अब मुझे HKI-CORE-01 राउटर पर दो eBGP मार्गों को देखने की उम्मीद है, एक अतिरिक्त कनेक्टिविटी चेक जोड़ा गया है

135.65.0.1 और 150.0.0.1 के बीच कोई संबंध नहीं है, इसके अलावा, HKI-CORE-01 राउटर पर दो के बजाय केवल एक ईजीजीपी मार्ग है।

MSK-CORE-01 राउटर में एक नया विन्यास जोड़ने पर HKI-CORE-01 पर RIB की सामग्री की जाँच करें:

 showroute@HKI-CORE-01# run show route table inet.0 protocol bgp inet.0: 20 destinations, 20 routes (19 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 135.65.0.0/19 *[BGP/170] 02:25:38, MED 0, localpref 100, from 172.20.20.1 AS path: I, validation-state: unverified > to 10.0.0.4 via ge-0/0/0.0 to 10.0.0.6 via ge-0/0/1.0 140.0.0.0/24 *[BGP/170] 01:38:02, localpref 100 AS path: 10631 I, validation-state: unverified > to 192.168.30.1 via ge-0/0/2.0 showroute@HKI-CORE-01# run show route table inet.0 protocol bgp hidden detail inet.0: 20 destinations, 20 routes (19 active, 0 holddown, 1 hidden) 150.0.0.0/24 (1 entry, 0 announced) BGP /-101 Next hop type: Router, Next hop index: 563 Address: 0x940f43c Next-hop reference count: 4 Source: 192.168.30.1 Next hop: 192.168.30.1 via ge-0/0/2.0, selected Session Id: 0x9 State: <Hidden Ext> Local AS: 41214 Peer AS: 10631 Age: 1:42:03 Validation State: unverified Task: BGP_10631.192.168.30.1+179 AS path: 10631 I Localpref: 100 Router ID: 10.68.1.1 Hidden reason: rejected by import policy

SPB-CORE-01 से प्राप्त उपसर्गों के लिए आयात नीति पर ध्यान दें:

 set protocols bgp group AS10631 import FROM-AS10631 set protocols bgp group AS10631 neighbor 192.168.30.1 description SPB-CORE-01 set protocols bgp group AS10631 neighbor 192.168.30.1 peer-as 10631 set policy-options policy-statement FROM-AS10631 term TERM010 from route-filter 140.0.0.0/24 exact set policy-options policy-statement FROM-AS10631 term TERM010 then accept set policy-options policy-statement FROM-AS10631 term DENY then reject

150.0.0.0/24 की अनुमति वाला नियम गायब है। इसे परीक्षण कॉन्फ़िगरेशन में जोड़ें और परीक्षण चलाएँ:

 showroute@HKI-CORE-01# show | compare [edit policy-options policy-statement FROM-AS10631 term TERM010 from] route-filter 140.0.0.0/24 exact { ... } + route-filter 150.0.0.0/24 exact; [edit]

महान, नेटवर्क के बीच कनेक्टिविटी है, सभी परीक्षण पारित किए जाते हैं! तो आप इन परिवर्तनों को "मुकाबला" नेटवर्क के काम में कर सकते हैं।

निष्कर्ष

मेरी राय में, बत्तीफ़िश एक शक्तिशाली उपकरण है जिसमें बड़ी क्षमता है। इसे आज़माएं और अपने लिए देखें।

यदि यह विषय आपके लिए दिलचस्प है - सुस्त चैट में शामिल हों, तो बैटफ़िश डेवलपर्स किसी भी प्रश्न का उत्तर देने और कीड़े को जल्दी ठीक करने में प्रसन्न होंगे।

batfish-org.slack.com

आपका ध्यान के लिए धन्यवाद।

संदर्भ

www.batfish.org

www.youtube.com/channel/UCA-OUW_3IOt9U_s60KvmJYA

github.com/batfish/batfish

media.readthedocs.org/pdf/pybatfish/latest/pybatfish.pdf

github.com/showroute/batfish-habr