ارے حبر!
حال ہی میں یہاں ایک مضمون پاپ اپ ہوا۔ جہاں اسی طرح کا مسئلہ فوسل ذرائع کا استعمال کرتے ہوئے حل کیا گیا تھا۔ اور اگرچہ کام مکمل طور پر عام ہے، Habré پر اس سے ملتا جلتا کچھ نہیں ہے۔ میں قابل احترام آئی ٹی کمیونٹی کو اپنی سائیکل پیش کرنے کی جسارت کرتا ہوں۔
اس طرح کے کام کے لیے یہ پہلی موٹر سائیکل نہیں ہے۔ پہلا آپشن کئی سال پہلے لاگو کیا گیا تھا۔ جواب دہ ورژن 1.x.x سائیکل شاذ و نادر ہی استعمال ہوتی تھی اس لیے اسے مسلسل زنگ لگ رہا تھا۔ اس معنی میں کہ ٹاسک بذات خود پیدا نہیں ہوتا جتنی بار ورژن اپ ڈیٹ ہوتے ہیں۔ جواب دہ. اور جب بھی آپ کو گاڑی چلانے کی ضرورت ہوتی ہے، زنجیر گر جاتی ہے یا پہیہ گر جاتا ہے۔ تاہم، پہلا حصہ، تشکیلات تیار کرنا، خوش قسمتی سے ہمیشہ بہت واضح طور پر کام کرتا ہے۔ jinja2 انجن طویل عرصے سے قائم ہے. لیکن دوسرا حصہ - کنفیگس کو رول آؤٹ کرنا - عام طور پر حیرت لایا۔ اور چونکہ مجھے کنفیگریشن کو ریموٹ سے آدھے سو ڈیوائسز پر لانا ہے، جن میں سے کچھ ہزاروں کلومیٹر دور واقع ہیں، اس لیے اس ٹول کا استعمال تھوڑا بورنگ تھا۔
یہاں مجھے یہ تسلیم کرنا ضروری ہے کہ میری غیر یقینی صورتحال زیادہ تر ممکنہ طور پر میری واقفیت کی کمی ہے۔ جواب دہاس کی کوتاہیوں کے مقابلے میں۔ اور یہ، ویسے، ایک اہم نکتہ ہے۔ جواب دہ ایک مکمل طور پر الگ ہے، اس کے اپنے DSL (ڈومین اسپیسیفک لینگویج) کے ساتھ علم کا اپنا علاقہ ہے، جسے اعتماد کی سطح پر برقرار رکھا جانا چاہیے۔ ٹھیک ہے، اس لمحے جواب دہ یہ کافی تیزی سے ترقی کر رہا ہے، اور پسماندہ مطابقت کے لیے خاص خیال کیے بغیر، یہ اعتماد میں اضافہ نہیں کرتا ہے۔
لہذا، کچھ عرصہ پہلے نہیں سائیکل کا دوسرا ورژن لاگو کیا گیا تھا. اس بار پادری، یا اس کے بجائے ایک فریم ورک پر لکھا ہوا ہے۔ پادری اور کے لئے پادری کہا جاتا
تو - نورنیر میں لکھا ہوا ایک مائیکرو فریم ورک ہے۔ پادری اور کے لئے پادری اور آٹومیشن کے لیے ڈیزائن کیا گیا ہے۔ کے ساتھ کیس میں کے طور پر ایک ہی جواب دہیہاں مسائل کو حل کرنے کے لیے، قابل ڈیٹا تیاری کی ضرورت ہے، یعنی میزبانوں اور ان کے پیرامیٹرز کی انوینٹری، لیکن اسکرپٹ الگ ڈی ایس ایل میں نہیں لکھی جاتی ہیں، بلکہ اس میں بہت پرانی نہیں، لیکن بہت اچھی p[i|i]ton ہے۔
آئیے دیکھتے ہیں کہ یہ مندرجہ ذیل زندہ مثال کا استعمال کیا کر رہا ہے۔
میرے پاس ملک بھر میں کئی درجن دفاتر کے ساتھ ایک برانچ نیٹ ورک ہے۔ ہر دفتر میں ایک WAN راؤٹر ہوتا ہے جو مختلف آپریٹرز سے متعدد مواصلاتی چینلز کو ختم کرتا ہے۔ روٹنگ پروٹوکول BGP ہے۔ WAN راؤٹرز دو اقسام میں آتے ہیں: Cisco ISG یا Juniper SRX۔
اب کام: آپ کو برانچ نیٹ ورک کے تمام WAN راؤٹرز پر علیحدہ پورٹ پر ویڈیو سرویلنس کے لیے ایک وقف شدہ سب نیٹ ترتیب دینے کی ضرورت ہے - BGP میں اس سب نیٹ کی تشہیر کریں - وقف شدہ پورٹ کی رفتار کی حد کو ترتیب دیں۔
سب سے پہلے، ہمیں چند ٹیمپلیٹس تیار کرنے کی ضرورت ہے، جن کی بنیاد پر سسکو اور جونیپر کے لیے الگ الگ کنفیگریشن تیار کیے جائیں گے۔ ہر نقطہ اور کنکشن کے پیرامیٹرز کے لیے ڈیٹا تیار کرنا بھی ضروری ہے، یعنی ایک ہی انوینٹری جمع کریں
سسکو کے لیے تیار ٹیمپلیٹ:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyجونیپر کے لیے سانچہ:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterٹیمپلیٹس، یقینا، پتلی ہوا سے باہر نہیں آتے ہیں. یہ بنیادی طور پر ورکنگ کنفیگریشنز کے درمیان فرق ہیں جو مختلف ماڈلز کے دو مخصوص راؤٹرز پر کام کو حل کرنے کے بعد تھے اور تھے۔
ہمارے ٹیمپلیٹس سے ہم دیکھتے ہیں کہ مسئلہ کو حل کرنے کے لیے، ہمیں جونیپر کے لیے صرف دو پیرامیٹرز اور سسکو کے لیے 3 پیرامیٹرز کی ضرورت ہے۔ وہ یہاں ہیں:
- ifname
- ipsuffix
- asn
اب ہمیں ہر ڈیوائس کے لیے ان پیرامیٹرز کو سیٹ کرنے کی ضرورت ہے، یعنی ایک ہی کام کرو انوینٹری.
کے لیے انوینٹری ہم دستاویزات پر سختی سے عمل کریں گے۔
یعنی، آئیے وہی فائل سکیلیٹن بنائیں:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlconfig.yaml فائل معیاری نوریر کنفیگریشن فائل ہے۔
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"ہم فائل میں اہم پیرامیٹرز کی نشاندہی کریں گے۔ hosts.yamlگروپ (میرے معاملے میں یہ لاگ ان/پاس ورڈز ہیں) میں group.yamlاور اندر defaults.yaml ہم کسی چیز کی نشاندہی نہیں کریں گے، لیکن آپ کو وہاں تین مائنس درج کرنے کی ضرورت ہے - یہ بتاتے ہوئے کہ یہ ہے۔ یامل فائل اگرچہ خالی ہے۔
hosts.yaml ایسا لگتا ہے:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111اور یہ ہیں group.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2ایسا ہی ہوا۔ انوینٹری ہمارے کام کے لیے۔ ابتداء کے دوران، انوینٹری فائلوں کے پیرامیٹرز کو آبجیکٹ ماڈل میں میپ کیا جاتا ہے۔ انوینٹری عنصر.
بگاڑنے والے کے نیچے InventoryElement ماڈل کا ایک خاکہ ہے۔
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}یہ ماڈل تھوڑا سا الجھا ہوا نظر آ سکتا ہے، خاص طور پر شروع میں۔ اس کا پتہ لگانے کے لیے، انٹرایکٹو موڈ میں ازگر.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
اور آخر میں، آئیے خود اسکرپٹ کی طرف چلتے ہیں۔ میرے پاس یہاں پر فخر کرنے کے لیے کچھ بھی نہیں ہے۔ میں نے ابھی سے ایک ریڈی میڈ مثال لی اور اسے تقریباً تبدیل نہیں کیا گیا۔ مکمل کام کرنے والی اسکرپٹ کی طرح دکھتا ہے:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)پیرامیٹر پر توجہ دیں۔ dry_run = سچ لائن آبجیکٹ کی شروعات میں nr.
یہاں ویسا ہی ہے جیسا کہ میں جواب دہ ایک ٹیسٹ رن لاگو کیا گیا ہے جس میں روٹر سے کنکشن بنایا جاتا ہے، ایک نئی ترمیم شدہ کنفیگریشن تیار کی جاتی ہے، جس کے بعد ڈیوائس کی توثیق ہوتی ہے (لیکن یہ یقینی نہیں ہے؛ یہ NAPALM میں ڈیوائس سپورٹ اور ڈرائیور کے نفاذ پر منحصر ہے) ، لیکن نئی ترتیب براہ راست لاگو نہیں ہوتی ہے۔ جنگی استعمال کے لیے، آپ کو پیرامیٹر کو ہٹانا ہوگا۔ خشک_رن یا اس کی قدر کو تبدیل کریں۔ جھوٹی.
جب اسکرپٹ پر عمل کیا جاتا ہے، نورنر کنسول میں تفصیلی لاگ آؤٹ پٹ کرتا ہے۔
بگاڑنے والے کے نیچے دو ٹیسٹ راؤٹرز پر چلائے جانے والے لڑائی کا آؤٹ پٹ ہے:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ansible_vault میں پاس ورڈ چھپا رہے ہیں۔
مضمون کے آغاز میں میں تھوڑا سا اوور بورڈ چلا گیا۔ جواب دہلیکن یہ سب اتنا برا نہیں ہے۔ میں واقعی میں انہیں پسند کرتا ہوں۔ والٹ جیسے، جو حساس معلومات کو نظروں سے اوجھل کرنے کے لیے ڈیزائن کیا گیا ہے۔ اور شاید بہت سے لوگوں نے دیکھا ہو گا کہ ہمارے پاس تمام جنگی راؤٹرز کے تمام لاگ ان/ پاس ورڈز ایک فائل میں کھلی شکل میں چمک رہے ہیں۔ gorups.yaml. یہ بالکل خوبصورت نہیں ہے۔ آئیے اس ڈیٹا کی حفاظت کریں۔ والٹ.
آئیے پیرامیٹرز کو group.yaml سے creds.yaml میں منتقل کریں، اور اسے AES256 کے ساتھ 20 ہندسوں کے پاس ورڈ کے ساتھ انکرپٹ کریں:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435یہ اتنا آسان ہے۔ یہ ہمارے سکھانے کے لئے رہتا ہے نورنیراس ڈیٹا کو بازیافت اور لاگو کرنے کے لیے اسکرپٹ۔
ایسا کرنے کے لیے، ابتداء لائن کے بعد ہماری اسکرپٹ میں nr = InitNornir(config_file=… درج ذیل کوڈ شامل کریں:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...بلاشبہ، vault.passwd میری مثال کی طرح creds.yaml کے آگے واقع نہیں ہونا چاہیے۔ لیکن یہ کھیلنے کے لیے ٹھیک ہے۔
ابھی کے لیے اتنا ہی ہے۔ Cisco + Zabbix آنے کے بارے میں کچھ اور مضامین ہیں، لیکن یہ آٹومیشن کے بارے میں کچھ نہیں ہے۔ اور مستقبل قریب میں میں سسکو میں RESTCONF کے بارے میں لکھنے کا ارادہ رکھتا ہوں۔
ماخذ: www.habr.com