ISP機器設定ファイルをもとに トポロジモデルを抽出し 仮想検証環境構築と運用手順確認に 利用する手法 2024/05/17 ITRC meet55 1 萩原 学 (TIS株式会社), 滝口 敏行, 前野 洋史 (ビッグローブ株式会社) 山口 大樹, 武藤 匠汰 (伊藤忠テクノソリューションズ株式会社), 新里 康晃 (一般社団法人 沖縄オープンラボラトリ) NTTコミュニケーションズ株式会社 田島 照久

本番環境の変更に向けた試行錯誤 …に使用する検証環境 • 本番NW環境作業のリスクが大きい → 机上予測には限界があり事前の確認が重要 • ISPのようなマルチベンダ・大規模・複雑なNW → 適切な状態の検証環境を作成するにも知識と経験が必要 2 本番環境 検証環境 XXを作りたい ・変更したい 検証環境を 立ち上げよう 試行錯誤 結果を 反映しよう

検証の意味 ＝ 不確実性の低減 ① リハーサル：やってみないとわからない ② レビュー：目視のレビューだけでは不安 ③ 手順書作成：どんな作業か事前に知りたい 3 本番環境 検証環境 XXを作りたい ・変更したい 検証環境を 立ち上げよう 試行錯誤 結果を 反映しよう 1 2 3

エンジニアリング (例) 4 製品製造 注文伝票(紙) 製造指示API (実世界との インタフェース) 注文・在庫DB (標準化・一元管理できる データベース) 業務の流れを再現できる 情報全体 大量の伝票をもとに 製造や在庫を考えて 人力でさばくのはもう限界…

エンジニアリング (NW運用) 5 Network 設定ポリシ・パラシー (config, document, etc) Configuration (NWとの インタフェース) NW構成情報 (標準化・一元管理できる データベース) 業務の流れを再現できる 情報全体 大量のポリシやパラメタをもとに コンフィグを考えて 人力でさばくのはもう限界…

構成情報中心アプローチのねらい 6 あらゆる情報処理、判断を人が行い ボトルネックになる 人が扱える情報量には限界がありスケールしない 人には揺らぎがある システムで情報処理し 不確実性の低減を支援する 人は重要な判断にシフトする 情報量や複雑さに マシンパワーとロジックで対抗する 構成情報と ロジック

レイヤ毎のトポロジ表現（構成情報）で 不確実性を低減する 7 本番環境 検証環境 XXを作りたい ・変更したい 検証環境を 立ち上げよう 試行錯誤 結果を 反映しよう ① configの変換で、高速に構築 できる検証環境が利用可能 ② 構成情報構築時にレビュー 項目をロジックで記述可能 ③ before/after の比較可能 Topology Data

本取り組みのモチベーション ねらうもの ねらわないもの • 新規基盤で新しい技術を導入する • 一様な構成ルールでフラットに展開され る大規模システムとその自動化 8 • 既存のネットワーク(Brown Field) • 個別の例外ルール・運用により 一度に全体を自動化しにくいシステム 運用者自らでの「エンジニアリング」を可能にする ネットワークの構成情報を中心としたオペレーション • 構成情報を介することで人の理解や判断を助けるシステム • 計算機のパワー・アルゴリズム・ベストプラクティスの導入と蓄積 • 自分たちで自分たちのやり方を継続的に開発・改善する

関連する取り組み 9 IIJ Engineers Blog, IXP 管理のフルスタック自動化, https://eng-blog.iij.ad.jp/archives/8668 白紙から構成情報を作る： トポロジをGUIで入力すると configが出力されるシステム 設定から構成情報を再構築する： AWS上の既存コンポーネントの 依存関係を図示するシステム AWS ソリューションライブラリ, AWS でのワークロード検出, https://aws.amazon.com/jp/solutions/implementati ons/workload-discovery-on-aws/ グラフ形式ではない構成情報： Cisco Configをクラスのインスタ ンスの依存関係で示すシステム 他、Intent Based Networking 多数 藤田ら, 静的解析によるネットワーク構成モデルの 自動検証, IPSJ SIG Technical Reports Vol.2024-IOT-64 No.5

構成情報を中心に本番環境と検証環境を 相互に変換するシステム 10 Original Env. Emulated Env. Model Diff Model Diff Model Diff Model Diff Convert Convert Hardware Container Config Topology Data Config ① ④ ② ③ As-is To-be Operator Operator ① 本番configをパースし 構成情報を作成 ② 構成情報から検証環境 を立ち上げ ③ 検証環境configから 構成情報を作成 ④ 構成情報を比較し差分 configを作成

構成情報データ： RFC 8345 を拡張 11 Hardware Container 本番環境 検証環境 構成 情報 NWの構造を抽象化 • 各レイヤのトポロジを グラフとして表現する 各環境へ翻訳 • 各環境の文法をテンプレ エンジンで生成する それぞれ完璧なパーサ・テンプレは無いので 自ら作りメンテする必要がある

ISP模擬環境の再現 12 実験の詳細はJANOG53 BIGLOBE AS2518をま るごと仮想環境へ”コ ピー”してみた にあります edge-tk01 edge-tk02 edge-tk03 PNI01 POI-East endpoint01-XX (iperf) endpoint02-XX (iperf) core-tk01 core-tk02 AS65550 AS65520 AS65518 AS65550からedge-tk01優先 でトラフィック流れているけど、 このままだとあふれてしまいそ うだ… 一部を別なedgeに流してtk01 側は総量の60%くらいに減らし たい RR ルータはXRv/vMXで構成 各ASBRピアで広告経路を route-policyで制御

ISP模擬環境の再現 13 実験の詳細はJANOG53 BIGLOBE AS2518をま るごと仮想環境へ”コ ピー”してみた にあります Hardware 本番環境 構成 情報 Container 検証環境 ASレイヤ BGPレイヤ

確認できたこと・難しかったこと ① configの変換で、高速に構築できる検証環境が利用可能 • C/J混在の本番環境から、cRPDで検証環境を構築できた （必要メモリ1.6GB） • BGPポリシを含めてOS間で翻訳しTEのユースケースが実施できた ② モデル構築時にレビュー項目をロジックで記述可能 • L2/L3/OSPF/BGPの各レイヤのパラメタ誤りは検出できた （ネットワークアドレス不一致・timer不一致など） • ポリシなど複雑なロジックは未着手 ③ before/afterの比較可能 • OSPFやBGPのパラメタ等は差分からconfig生成できた • L3のI/Fが追加などグラフ全体が変わる場合の差分取得が難しい 14 実験の詳細はJANOG53 BIGLOBE AS2518をま るごと仮想環境へ”コ ピー”してみた にあります

まとめ と 今後の発展課題 • レイヤごとのトポロジ（構成情報）を抽出、検証環境構築に活用し、 不確実性が低減されるよう試行錯誤できるようにしました • ISPを模擬した環境およびBIGLOBE AS2518でのユースケースの検 証ができました 15 • 構成がマシンリーダブルになったので、今後は各種探索が可能 • 複数面の検証環境が建てられる（検証のスケールアウト）

appendix • (関連資料) BIGLOBE AS2518をまるごと仮想環境へ”コピー”してみた • JANOG53, 2024/1 • https://www.janog.gr.jp/meeting/janog53/as2518/ • (デモ動画) ISPネットワークのモデルベース再現とBGP運用シミュレーション • https://www.youtube.com/watch?v=kdPh17xdPiM • (沖縄オープンラボのプロジェクト紹介) Model Driven Network DevOps PJ • https://www.okinawaopenlabs.org/mdnd • (既発表の報告) • 機器設定ファイルからのトポロジモデル抽出による机上検査を含めたネットワーク設計支援システ ム / Support System of Designing and Verifying Network by Abstracting Topology Model from Configuration Files,電子情報通信学会 情報通信マネジメント研究会（ICM） 信学技報, vol. 122, no. 96, ICM2022-20, pp. 54-59, 2022年7月. • 本番機器設定ファイルから BGP 設定を含むモデルを抽出する仮想検証環境構築方法の検討,イン ターネットと運用技術シンポジウム論文集, vol. 2023, pp. 91 – 92, 2023年12月. 16