A bottom-up approach for extracting network intents

Abstract

Intent-Based Networking (IBN) is showing significant improvements in network management, especially by reducing the complexity by using intent-level languages. However, IBN is not yet integrated and widely deployed in most of the large-scale networks. Network operators may still encounter several issues deploying new intents, such as reasoning about complex configurations to understand previously deployed rules before writing an intent to update the network state. Large-scale networks may include several devices distributed in multiple hierarchical levels of its topology; each of these devices is configured using low-level, vendor-specific languages. Thus, inferring intents from these low-level configuration files can be an arduous and time-consuming task. Current solutions that derive high-level representations from bottom-up configuration analysis can not represent configurations in an intent-level. Moreover, they fail by not aggregating essential details to enhance the representation. In this work, we present a bottom-up process to extract intents from network configurations. To validate our approach, we develop a system called SCRIBE (SeCuRity Intent-Based Extractor), which decompiles security configurations from different network devices and translates them to an intent-level language called Nile. To demonstrate the feasibility of SCRIBE, we outline two case studies and evaluate our approach with dumps of real-world firewall configurations containing rules from various servers and institutions. Results show that our solution can represent configurations in intent-level and also maintain a high accuracy representing aspects of low-level configurations.

O paradigma Intent-Based Networking (IBN) está mostrando melhorias significativas no gerenciamento de redes, especialmente na redução da complexidade de utilização das linguagens de rede em nível de intenções (intents). No entanto, o paradigma IBN ainda não está totalmente integrado e amplamente implantando na maioria das redes de larga escala. Os operadores de rede ainda podem encontrar vários problemas ao implantar novos intents, tal como entender configurações complexas antes de escrever um novo intent para atualizar o estado da rede. Redes de larga escala podem incluir diversos dispositivos distribuídos em múltiplos níveis da hierarquia da topologia da rede; cada um desses dispositivos sendo configurado através de linguagens proprietárias e de baixo nível. Consequentemente, inferir intents de rede a partir dessas configurações de baixo nível pode ser uma tarefa árdua e consumir muito tempo. As soluções atuais que derivam representações de alto nível a partir de configurações feitas em baixo nível ainda não estão em nível de intent. Além disso, elas falham por não agregar detalhes para melhorar sua representação. Neste trabalho, nós apresentamos um processo bottom-up para extrair intents a partir das configurações de rede. Para validar nossa abordagem, nós desenvolvemos um sistema chamado SCRIBE (SeCuRity Intent-Based Extractor), que decompila as configurações de segurança de diferentes dispositivos e as traduz para uma linguagem em nível de intent chamada Nile. Para demonstrar a viabilidade do SCRIBE, nós utilizamos dois estudos de caso e avaliamos nossa abordagem com configurações de firewalls reais contendo regras de diversos servidores e instituições. Os resultados mostram que nossa solução pode representar configurações em nível de intent e ainda representar os aspectos de configuração de baixo nível mantendo uma boa de acurácia.