Tes$ng Stateful and Dynamic Data Planes with FlowTest - - PowerPoint PPT Presentation

Tes$ng ¡Stateful ¡and ¡Dynamic ¡ ¡ Data ¡Planes ¡with ¡FlowTest ¡ ¡

Seyed ¡K. ¡Fayaz, ¡Vyas ¡Sekar ¡

Mo$va$ng ¡Scenario ¡

How ¡to ¡make ¡sure ¡this ¡policy ¡is ¡correctly ¡implemented ¡ ¡ in ¡the ¡actual ¡network? ¡

S1 ¡ S2 ¡ H2 ¡ H1 ¡ Light ¡ IPS ¡ Heavy ¡ IPS ¡ Internet ¡

1) ¡Keep ¡count ¡of ¡TCP ¡connec$ons ¡per ¡host. ¡ 2) ¡Deep ¡packet ¡inspec$on ¡if ¡a ¡host ¡has ¡made ¡ ¡ ¡ ¡ ¡ ¡ ¡too ¡many ¡TCP ¡connec$on ¡aKempts. ¡

2 ¡

Policy ¡

Exis$ng ¡solu$ons ¡don’t ¡suffice ¡

• Assume ¡simple, ¡stateless ¡elements ¡

– E.g., ¡switches ¡and ¡simple ¡ACL ¡devices ¡

• Work ¡with ¡sta+c ¡and ¡context-­‑free ¡policies ¡

– E.g., ¡reachability ¡ – E.g., ¡access ¡control ¡

• Focus ¡on ¡single ¡packet ¡effects ¡

3 ¡

Our ¡Approach: ¡FlowTest ¡

• FlowTest’s ¡approach: ¡tes+ng ¡the ¡data ¡plane ¡

¡

• We ¡need: ¡

– A ¡model ¡of ¡the ¡en+re ¡data ¡plane ¡

• Including ¡middleboxes ¡

– To ¡generate ¡test ¡scenarios ¡that ¡exercise ¡

• Data ¡plane ¡states ¡
• Policy ¡contexts ¡

– To ¡monitor ¡and ¡validate ¡test ¡results ¡

4 ¡

count=0 ¡ count=1 ¡ count=2 ¡ conn ¡fail ¡ refresh ¡ OK ¡ seen ¡non-­‑bot ¡traffic ¡ conn ¡fail ¡ conn ¡fail ¡ refresh ¡ refresh ¡ seen ¡bot ¡traffic ¡ Light ¡IPS ¡ Heavy ¡IPS ¡

Early ¡Promise ¡

Genera$ng ¡test ¡traffic ¡can ¡be ¡formulated ¡using ¡AI ¡planning. ¡ ¡ We ¡validated ¡our ¡solu$on ¡using ¡an ¡SDN ¡prototype. ¡ ¡

S1 ¡ S2 ¡ H1 ¡ Light ¡ IPS ¡ Heavy ¡ IPS ¡ H2 ¡ Internet ¡ count≥3 ¡ Alarm ¡

5 ¡

Conclusions ¡

• Real ¡world ¡networks ¡are ¡complex ¡

– Stateful ¡elements ¡ – Dynamic ¡and ¡contextual ¡policies ¡ ¡

• We ¡argue ¡for ¡tes$ng ¡data ¡planes ¡that ¡incorporates ¡

data ¡plane ¡models ¡

• Ini$al ¡promise ¡of ¡FlowTest ¡via ¡FSMs ¡and ¡planning ¡
• Many ¡open ¡challenges ¡

¡

6 ¡