Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Redes de
Computadores
Mauro Tapajs Santos
Liane Tarouco
Leandro Bertholdo
Francisco Marcelo Marques Lima
Vanner Vasconcellos
responsvel
pelo
Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao
Gerncia de
Redes de
Computadores
Mauro Tapajs Santos
Liane Tarouco
Leandro Bertholdo
Francisco Marcelo Marques Lima
Vanner Vasconcellos
Gerncia de
Redes de
Computadores
Mauro Tapajs Santos
Liane Tarouco
Leandro Bertholdo
Francisco Marcelo Marques Lima
Vanner Vasconcellos
Rio de Janeiro
Escola Superior de Redes
2015
Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho
Sumrio
Escola Superior de Redes
A metodologia da ESRxi
Sobre o curso xii
A quem se destinaxii
Convenes utilizadas neste livroxii
Permisses de usoxiii
Sobre o autorxiv
iii
Gerncia de configurao 17
Ferramentas para a gerncia de contabilizao 18
Gerncia de desempenho 19
Gerncia de segurana 20
Modelo ITIL: Information Technology Infrastructure Library20
Fluxo de mensagens em SNMP23
Modelo operacional SNMP24
RMON Remote 25
Grupos de Objetos da RMON v126
Grupos de Objetos da RMON v226
Agentes e gerentes27
Informao de gerenciamento 28
Conceitos de orientao a objetos29
Structure of Management Information (SMI)29
Abstract Sintax Notation (ASN.1)30
Sintaxe ASN.1 de um objeto da MIB31
Regras de codificao BER (Basic Encoding Rules ISO 8825)32
Representao BER (TLV)34
Alguns identificadores ASN.1 (tags)35
ASN.1 e BER (Exemplos)36
iv
rvore de identificadores 66
rvore da MIB II67
MIB para tecnologias de transmisso69
Novos grupos da MIB II69
Extenses privadas MIB70
Structure of Management Information (SMI)71
SNMP Introduo72
SMIv1 Tipos de dados74
SMIv1 Definio de objetos75
SNMPv1 Comunicao e Operaes75
SNMPv1 Formato da mensagem do protocolo SNMP77
SNMPv1 Relao MIB view e Comunidade77
SNMPv1: Formato da PDU de resposta78
SNMPv1: Formato do PDU para a trap79
SNMPv1: Declarao de uma trap especfica (macro ASN.1 TRAP-TYPE)80
SNMPv1: Obteno de valores de uma MIB80
SNMPv1: Modificao de valores em tabelas82
SNMPv2 Uma nova verso82
SNMPv2 Evoluo83
SMIv2 Novos tipos de dados84
SMIv2: Textual conventions (RFC 2579)84
Melhorias na manipulao de tabelas85
SMIv2 Definio de objetos85
SNMPv2: Alteraes no protocolo85
SNMPv2 Operaes86
SNMPv2 Operao InformRequest e o gerenciamento
hierarquizado87
SNMPv2 Operao getBulkRequest88
SNMPv2 Mensagens89
SNMPv2: Tipos de agentes89
Agentes proxy90
SNMPv3: Novo modelo de segurana90
Arquitetura modular SNMPv391
Segurana SNMPv392
Formato da mensagem SNMPv393
SNMP Agente: NET-SNMP94
NET-SNMP Aplicaes95
NET-SNMP Configurao95
Suporte a SNMPv3 no pacote NET-SNMP96
Criao de usurios SNMPv397
Uso das aplicaes com SNMPv397
vii
Spice Works168
Instalao do SpiceWorks168
NTOPng172
Instalao do NTOPng172
viii
ix
Bibliografia 301
A metodologia da ESR
A fi losofi a pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema
semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
xi
Sobre o curso
A Gerncia de Redes de Computadores uma funo crtica em redes de grande porte,
uma vez que a complexidade de equipamentos, protocolos e aplicaes torna necessria a
utilizao de ferramentas de software sofisticadas, capazes de diagnosticar em tempo real
potenciais problemas de trfego, falhas de equipamentos e, principalmente, reduo na
qualidade do servio.
Esse curso apresenta os conceitos bsicos de gerenciamento, as arquiteturas de software
envolvidas, aplicaes e ferramentas de diagnstico.
A quem se destina
A profissionais de TI envolvidos na gerncia de redes e controle de qualidade, especialistas
em redes de computadores e demais profissionais de TI interessados na operao e controle
de redes de computadores.
xii
Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo d
Indica um documento como referncia complementar.
Smbolo v
Indica um vdeo como referncia complementar.
Smbolo s
Indica um arquivo de adio como referncia complementar.
Smbolo !
Indica um aviso ou precauo a ser considerada.
Smbolo p
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: TORRES, Pedro et al. Administrao de Sistemas Linux: Redes e Segurana.
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xiii
Sobre o autor
Mauro Tapajs Santos possui Graduao e Mestrado em Engenharia Eltrica pela Universidade de Braslia. Atualmente servidor Analista de Planejamento e Oramento na rea de
TI da Secretaria de Oramento Federal do Ministrio do Planejamento, Oramento e Gesto.
J foi coordenador de operao na Infovia da CNI (Confederao Nacional da Indstria) pela
Impsat (hoje Global Crossing). Foi analista de TI em empresas do mercado de Telecom e no
Ministrio Pblico da Unio e professor universitrio por quase 10 anos. Tem experincia na
rea de TI em praticamente todas suas vertentes tais como: redes, desenvolvimento, infraestrutura e governana. Atualmente tambm tem conhecimentos sobre Oramento Pblico.
Liane Tarouco possui Graduao em Licenciatura em Fsica pela Universidade Federal do Rio
Grande do Sul (1970), mestrado em Cincias da Computao pela Universidade Federal do
Rio Grande do Sul (1976) e doutorado em Engenharia Eltrica/Sistema Digitais pela Universidade de So Paulo (1990). Atualmente professora titular da Universidade Federal do Rio
Grande do Sul. Desenvolve atividade docente e de pesquisa na rea de Cincia da Computao, com nfase em Redes de Computadores e em Gerncia de Rede. Atua tambm como
pesquisadora e docente junto ao Programa de Ps-Graduao em Informtica na Educao.
Leandro Bertholdo possui graduao em Bacharelado Em Informtica pela Pontifcia
Universidade Catlica do Rio Grande do Sul (1993) e mestrado em Cincias da Computao
pela Universidade Federal do Rio Grande do Sul (1996). Atualmente professor da Universidade Federal do Rio Grande do Sul e coordenador tcnico do POP da RNP no Rio Grande
do Sul (2000). Tem experincia na rea de Cincia da Computao, com nfase em Teleinformtica, atuando principalmente nos seguintes temas: redes de computadores, ipv6,
gerncia de rede, gerncia de segurana e segurana de redes.
Francisco Marcelo Marques Lima Mestre em Engenharia Eltrica pela Universidade de
Braslia (2009), Mestre em Liderana pela Universidade de Santo Amaro (2007) e ps-graduado
em Segurana de Redes de Computadores pela Universidade Catlica de Braslia (2003).
Atualmente exerce as funes de Coordenador dos Cursos de Redes de Computadores e
Segurana da Informao do IESB e Analista em TI do MPOG cedido para a CGU/PR, alm
de atuar como instrutor/revisor dos cursos de segurana e redes na RNP e instrutor dos
cursos de Planejamento Estratgico (PDTI) e Gesto de Contratos de TI (GCTI) na ENAP.
Possui mais de 15 anos de experincia na rea de Cincia da Computao com nfase em
Segurana da Informao, Redes e Construo de Software tendo exercido funes como:
Coordenador Geral de TI do INCRA (DAS 4).
Vanner Vasconcellos trabalha no Ponto de Presena no Estado do Par (PoP-PA) da Rede
Nacional de Ensino e Pesquisa (RNP) como Coordenador Tcnico e tambm professor do
Curso de Especializao em Suporte a Rede de Computadores e Internet da Universidade
Federal do Par (UFPA). graduado em Tecnologia de Processamento de Dados pelo Centro
de Universitrio do Par (CESUPA), especialista em Redes de Computadores pela UFPA.
Com mais de 20 anos de experincia em TI, atua na RNP h 17 anos na rea de gerncia de
infraestrutura de redes e datacenter, tendo participado de projetos pioneiros de conectividade e Internet no Par, Amap e Maranho.
xiv
1
Conhecer a forma de estruturao; Entender os objetos gerenciveis; Compreender
a SMI Estrutura da Informao de Gerenciamento; Entender como funciona o
Management Information Base (MIB); Conhecer ASN.1 e BER.
conceitos
Importncia do gerenciamento
11 Crescimento vertiginoso das LANs e WANs.
11 Mais aplicaes e usurios gerando complexidade: equipamentos, hardware e software heterogneos; empresas dependentes das redes para elevar eficincia e lucros.
11 Necessidade de gerenciamento visando a coordenao (controle de atividades e
monitorao do uso) de recursos materiais (modems, roteadores, enlaces fsicos etc.)
e lgicos (protocolos, configuraes etc.), fisicamente distribudos na rede, assegurando, na medida do possvel, confiabilidade e performance aceitveis e segurana
das informaes.
O contnuo crescimento em nmero e diversidade dos componentes das redes de computadores tm tornado a atividade de gerenciamento de rede cada vez mais complexa. Isso
se agrava quando esto envolvidos muitos fornecedores. O impacto de uma falha na rede
produz uma perda na receita ou impossibilidade de prestao de servios que causa transtornos financeiros, institucionais e, por vezes, com consequncias bastante srias e implicaes at mesmo de cunho legal.
O isolamento e o teste dos problemas das redes tornaram-se mais difceis devido diversidade dos nveis do pessoal envolvido e variao nas formas de monitorao usadas pelos
fornecedores dos equipamentos.
Uma pesquisa realizada por Blum (2008) apontou as barreiras para o aprimoramento
dos centros de gerncia e operao de rede (Network Operation Center NOC). A tabela
seguinte indica o resultado de uma pesquisa realizada por Blum em relao s principais
barreiras para as metas de qualidade no gerenciamento de rede.
objetivos
A tabela seguinte indica o obstculo percebido e a percentagem de instituies que participaram da pesquisa e indicaram aquele fator. Muitas instituies indicaram mais de um
obstculo e por isso a soma dos percentuais maior do que 100%.
Barreira ao aprimoramento Capacidade do NOC
56
47
45
40
40
37
33
Falta de mtricas
33
30
28
Em vista desses fatores, o desafio de manter custos sob controle, treinar novamente
a equipe, reter a equipe e recrutar novos profissionais constante.
Tabela 1.1
Pesquisa realizada
por Blum (2008).
Figura 1.1
Exemplo do
gerenciamento
de rede.
gerenciados;
11 Diagnstico: tratamento e anlise realizados a partir dos dados coletados (determinao da causa);
11 Ao: reao (ou no) ao problema.
Gerenciamento significa ter o controle e poder agir em funo de informaes coletadas que
mostram situaes determinadas. Por exemplo: um link de dados pode apresentar atraso;
uma ao possvel seria rotear novamente o trfego para outro link.
A gerncia de redes de computadores uma das reas mais complexas quando falamos em
gerncia de TI, pois os contratos de prestao de servios em TI esto cada vez mais criteriosos, envolvendo compromissos com garantias de qualidade. Portanto, preciso poder
identificar todos os ativos de rede, monitor-los, coletando informaes relevantes que
sero exibidas em grficos e podero ser analisadas na medida em que vo sendo recebidas
e com vistas a determinar anomalias de comportamento e acionar o atendimento, quando
necessrio. Esses procedimentos visam facilitar a identificao e soluo dos problemas de
maneira rpida e eficaz.
11 Controle.
Para o gerenciamento de redes de computadores, uma alternativa usar a prpria infraestrutura existente para alcanar os elementos ou pontos definidos da rede, na busca por
reconfigurao). Outra opo seria montar uma rede paralela rede existente, que tivesse
interseces nos pontos de interesse.
A situao atual das redes que os equipamentos nelas usados tm condies para prover uma
grande quantidade de informaes sobre seu prprio funcionamento, bem como de outros
dispositivos no gerenciveis e que esto tambm conectados (volume de trfego, erros etc.).
Adicionalmente, os componentes de software tambm tm sido estruturados de modo a usar
a mesma estratgia, e so atualmente desenvolvidos para proporcionar grande quantidade de
informaes sobre seu prprio funcionamento (volume de transaes atendidas, desempenho
etc.). Em funo disso, a quantidade e diversidade de informaes sobre o funcionamento das
redes, passveis de obteno da rede, de seus componentes e servios, cresce continuamente.
Por isso, alm da necessidade de monitorar a rede, existe a necessidade de reconhecer, manipular e tratar toda essa informao obtida de forma a permitir diagnsticos mais precisos
das causas dos problemas e que levem a solues mais rapidamente. A atividade de gerenciamento da rede envolve uma gama de atividades mutuamente interdependentes, tais como:
11 Registrar a ocorrncia de eventos;
Contador de erros
Figura 1.2
Viso geral do
gerenciamento
de rede.
Polling
Esses dados podem ser enviados sob demanda (polling) ou, periodicamente, para uma estao
de gerncia onde um sistema de gerenciamento de rede (NMS Network Management System)
coleta, soma, compara com limiares pr-estabelecidos informaes sobre indicadores de
desempenho, tais como quantidade de erros por unidade de tempo, volume de trfego etc.).
Os dados tratados so apresentados em grficos para a equipe de gerncia de rede, mas
podem tambm gerar mensagens de alerta, em caso de problemas. Essas mensagens
podem ser encaminhadas de diversas formas (e-mail, torpedos etc.) para os operadores
humanos responsveis por fazer o diagnstico e restaurar os padres de operao da rede
a valores aceitveis.
O que gerenciar?
11 Equipamentos de rede.
11 Aplicaes e servios de rede.
11 Banco de dados.
11 Dispositivos de armazenamento.
Aplicaes de gerenciamento so aplicaes que tratam de dados derivados do funcionamento da rede e de seus servios.
Figura 1.3
Modelo OSI.
Aplicao
Apresentao
Sesso
Transporte
Rede
Enlace de dados
Fsica
Se o quadro contm dados que devem ser tratados pelas camadas superiores, esses so
passados para a camada imediatamente superior. Esse procedimento continua at os dados
chegarem camada de aplicao, quando so ento passados para a aplicao apropriada.
A funo de comunicao das informaes de gerenciamento proposta para ser implementada
na camada de aplicao. Assim, o protocolo de gerenciamento um protocolo entre aplicaes.
Na arquitetura usada na internet, houve uma simplificao desse modelo em camadas, que
passou a contemplar apenas as camadas fsica, de enlace, de rede, de transporte e de aplicao.
Mas a funo de gerenciamento tambm suposta ser realizada na camada de aplicao.
Nas duas arquiteturas, a funo de gerenciamento de redes foi organizada em cinco categorias, algumas vezes referidas pela sigla FCAPS (Fault, Configuration, Accounting, Performance,
Security). Assim, o gerenciamento de redes costuma ser estruturado nestas cinco reas:
11 Gerenciamento de falhas;
11 Gerenciamento de desempenho;
11 Gerenciamento de configurao;
11 Gerenciamento de segurana;
11 Gerenciamento de contabilizao.
Esas reas, definidas pelo modelo OSI de gerenciamento, mas tambm usada no modelo
internet de gerenciamento, so uma referncia s atividades e focos possveis dentro de
uma soluo de gerenciamento.
Assim, pode existir mais de uma equipe encarregada de gerenciar diferentes reas. Por
exemplo, uma equipe pode estar encarregada de gerenciar configurao e problemas,
enquanto outra pode estar encarregada da segurana da rede e concentra sua coleta de
informaes nesse sentido.
Itens como nmero de acessos, tentativas de login e servios de rede acessados so
informaes teis caso o objetivo seja o gerenciamento de segurana. Outros itens, como
nmero de quedas de um link ou taxa de erros em uma LAN, no so to importantes para a
gerncia de segurana como seriam para o gerenciamento de desempenho.
Gerenciamento de falhas
O gerenciamento de falhas o conjunto de facilidades que habilita a deteco, isolamento
e correo de condies anormais de operao do ambiente. Tais condies podem ser
persistentes ou transientes, e os problemas so manifestados como erros. O gerenciamento
de falhas demanda facilidades para: manter e examinar logs de erros, receber e registrar
notificao de erros e atuar em funo destas, rastrear problemas, executar sequncias de
testes de diagnstico e corrigir problemas com vistas a assegurar a operao contnua da
rede. As principais funes dessa categoria de gerenciamento da rede so:
11 Detecta, isola e registra o problema;
11 Registra as ocorrncias;
11 Executa testes de diagnstico;
11 Realiza a investigao do ocorrido;
Gerenciamento de desempenho
A preocupao com o desempenho da rede deve ser constante, pois medida que o padro
de uso se altera, mudam as demandas sobre os canais de comunicao, sobre os elementos
ativos da rede (roteadores, switches) e sobre os equipamentos envolvidos na prestao dos
servios. Quando um usurio percebe uma lentido na resposta a suas demandas, no tem
como saber qual o recurso responsvel pelo baixo desempenho; ele apenas diz que a rede
est lenta e leva essa reclamao at a central de atendimento. Mas a equipe de gerenciamento de rede pode e deve ter condies para no apenas identificar a causa de gargalos,
mas tambm antecipar tais situaes a partir da observao sistemtica da tendncia de
crescimento da demanda.
Naturalmente, esse acompanhamento necessita de ferramentas que registrem os dados
relativos demanda e sejam capazes de apresentar o resultado da sua anlise em forma de
mdias, grficos etc. Nesse sentido, a gerncia de desempenho tem um conjunto de incumbncias que envolve:
11 Controlar o comportamento dos recursos de rede;
Gerenciamento de configurao
Gerenciamento de configurao o conjunto de facilidades que exerce o controle sobre
o que est na rede: identifica, coleta e prov informaes sobre o status dos recursos da
rede de forma que torne possvel a qualquer instante conhecer o que est operacional, em
uso ou simplesmente disponvel para utilizao em caso de emergncia. Essa categoria de
funes tm as seguintes caractersticas:
11 Considera a rede como um sistema dinmico em permanente transformao;
11 Monitora cada componente, documentando as trocas que devem manter os requisitos bsicos estabelecidos;
11 Mantm registros dos status de cada componente (topologia e dispositivos);
11 Executa alteraes na configurao do sistema, visando isolar falhas, aliviar situaes
crticas ou atender as necessidades dos usurios.
Gerenciamento de segurana
O gerenciamento de segurana relaciona-se com os aspectos de acompanhamento e controle do uso da rede para assegurar seu uso apropriado. Isso implica no uso de mecanismos
de autenticao, controlar autorizaes e permisses de acesso associadas, gerenciar
chaves de segurana e uso apropriado da rede. Essa categoria de funes a que:
Gerenciamento de contabilizao
O gerenciamento de contabilizao o conjunto de facilidades que permite o controle e
eventualmente a tarifao pelo uso dos recursos. Isso implica em informar os usurios
sobre os custos incorridos ou recursos consumidos, estabelecer limites para o uso dos
recursos, combinar os custos quando so usados recursos variados, tal como por exemplo
meios de comunicao. Nesse sentido, essa categoria de funes de gerenciamento de rede
envolve atribuies tais como:
11 Controla recursos;
11 Permite que tarifas sejam aplicadas aos recursos de rede (discos compartilhados,
banda, arquivamento remoto, servios de telecomunicaes, e-mails etc.);
11 Viabiliza a identificao de custos para a rede e seus recursos;
11 Mantm limites de consumo;
11 Efetua a melhor distribuio de recursos e alimenta trabalhos de planejamento.
Conectividade lgica
Apresentao
Sesso
Interconexo
Transporte
Gerenciamento de Interconexo
Rede
Conectividade local
Enlace de dados
Fsica
A aplicao de gerenciamento poder visualizar nveis de conectividade e trabalhar em
qualquer um deles:
11 Nvel de conectividade local (tecnologia de rede);
11 Nvel de interconexo;
11 Nvel de conectividade lgica (aplicao).
Figura 1.4
Gerenciamento
dentro do
Modelo OSI.
Conceitos
11 Informao de gerncia.
11 Protocolos de gerncia.
11 Arquitetura de gerenciamento:
22 Fornece a estrutura geral do sistema de gerncia.
22 Descreve componentes dentro do sistema e suas funes.
22 Mostra os relacionamentos entre os componentes.
Uma aplicao de gerncia nada mais do que uma aplicao que trata de dados. Esses
dados devero obedecer a determinada estrutura para que seja possvel criar solues de
gerenciamento que atuem sobre os mais diversos ambientes de rede.
Um protocolo de gerncia normalmente um protocolo de nvel de aplicao (possui especificidade inerente ao gerenciamento de rede). Ele visa atender as demandas de comunicao
entre as entidades definidas na arquitetura de gerenciamento.
As duas arquiteturas clssicas de gerenciamento de rede so:
11 Arquitetura OSI de gerenciamento, derivada dos padres de sistemas abertos Open
Systems Interconnection (OSI), que mais antiga e foi prevista para ser usada em um
contexto de rede onde os sistemas interoperam usando os protocolos padronizados para
cada uma das camadas do modelo OSI. Nesse caso, o protocolo de gerenciamento de
rede usado o Common Management Information Protocol (CMIP).
11 Arquitetura baseada no modelo Simple Network Management Protocol (SNMP), derivada
dos padres internet/TCP-IP, que atualmente a mais disseminada. Embora tenha sido
derivada da arquitetura de gerenciamento OSI, foi simplificada, como destaca o prprio
nome do protocolo.
Modelo de comunicao
11 Preocupa-se em definir como os dados de gerenciamento so comunicados entre os
Gerente
SNMP
Figura 1.5
Modelo de
comunicao.
Agente SNMP
Objetos
gerenciados
Nesse modelo, a comunicao estabelecida entre o gerente, onde executado o Network
Management System (NMS), que a aplicao de gerenciamento de rede executada em
uma estao de gerncia, e um agente que um mdulo sendo executado no dispositivo de
rede (roteador, switch, computador de mesa, servidor etc.). A responsabilidade do agente
IP Network
manter e atualizar dados sobre o funcionamento do dispositivo. Esses dados so armazenados sob a forma de objetos gerenciados e consistem em representaes de valores de
contadores, status, limiares etc. Os objetos gerenciados so estruturados em uma Management Information Base (MIB).
Modelo funcional
O modelo funcional de gerenciamento de rede definido em funo das cinco reas de interesse, propostas pela ISO, modelo FCAPS (Fault, Configuration, Accounting, Performance,
Security), que indicam a direo do esforo dos que desenvolvem e empregam solues
para gerenciar redes e sistemas. Assim, os produtos e servios de gerenciamento de rede
so organizados com base nesse modelo funcional, e as aplicaes de gerenciamento de
redes tambm costumam ser organizadas com base nessas cinco reas funcionais:
11 Falhas;
11 Configurao;
11 Contabilizao;
11 Desempenho;
11 Segurana.
Para apoiar essas reas so utilizadas diversas ferramentas de gerenciamento. Algumas
so mais bsicas, acionadas mediante o uso de uma simples interface de linha de comando.
Outras so mais complexas, sendo invocadas atravs do uso de programas com interfaces
grficas e que por vezes envolvem um trabalho prvio de configurao.
Como um exemplo, temos o caso da figura 1.6. Supondo que o usurio da subrede B no
consiga acessar a internet, quais providncias para diagnstico inicial da situao poderiam
ser desencadeadas?
Firewall
Firewall
Proxy
10
Subrede A
Internet
Subrede B
Figura 1.6
Como detectar
se um dispositivo
da rede est
operacional.
Buscando solucionar esse problema usando como base as cinco reas funcionais, vrios
procedimentos poderiam ser desencadeados e envolver o uso de ferramentas de apoio para
diagnosticar e solucionar o problema.
A primeira categoria, o gerenciamento de falhas ou problemas, poderia ser executada de
acordo com as cinco etapas do gerenciamento de falhas anteriormente apresentadas.
C:\>ping 192.168.1.1
Disparando 192.168.1.1 com 32 bytes de dados:
Resposta de 192.168.1.1: bytes=32 tempo=3ms TTL=64
Resposta de 192.168.1.1: bytes=32 tempo=1ms TTL=64
Resposta de 192.168.1.1: bytes=32 tempo=2ms TTL=64
Resposta de 192.168.1.1: bytes=32 tempo=3ms TTL=64
Estatsticas do Ping para 192.168.1.1:
Saiba mais
perda),
Aproximar um nmero redondo de vezes em milissegundos:
Mnimo = 1ms, Mximo = 3ms, Mdia = 2ms
Nesse exemplo, as mensagens ICMP enviadas usaram o tamanho padro de 32 bytes. O TTL
de 64 indica que esse era o nmero mximo de nodos atravessados na rede pelo pacote
para tentar chegar ao endereo IP 192.168.1.1. Isso evita que um pacote gerado pelo ping
fique circulando na rede indefinidamente em caso de problema de roteamento.
Se esse procedimento no tivesse conseguido obter resposta do equipamento ao qual o
ping foi dirigido, a mensagem recebida seria algo tal como:
11
C:\>ping 198.168.2.1
Disparando 198.168.2.1 com 32 bytes de dados:
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Estatsticas do Ping para 198.168.2.1:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
Nesse caso, poderamos concluir que o equipamento 198.168.2.1 no existe na rede ou est
inoperante. Essa dvida poderia ser resolvida com um outro comando bsico que indicaria
o caminho (conjunto de roteadores) at o equipamento destino. Esse teste poderia ser realizado com o comando traceroute, que uma ferramenta de diagnstico que rastreia a rota
de um pacote atravs de uma rede de computadores que utiliza o protocolo IP. Seu funcionamento est baseado no uso do campo time-to-live (TTL) do pacote IPv4, destinado a limitar
o tempo de vida dele. Esse valor decrementado a cada vez que o pacote encaminhado
por um roteador. Ao atingir o valor zero, o pacote descartado e o originador alertado por
uma mensagem ICMP TIME_EXCEEDED.
Atravs da manipulao do campo TTL (que recebe valores que vo sendo incrementados
de uma unidade a cada passo), uma srie de datagramas UDP dirigidos ao destino final
vo sendo gerados com diferentes e crescentes valores de TTL. Assim, possvel receber
essa mensagem de TIME-EXCEEDED de cada um dos roteadores no caminho do pacote e
calcular o tempo que foi usado para chegar at cada um dos roteadores intermedirios.
Existem implementaes desse comando para praticamente todos os Sistemas Operacionais, incluindo aqueles usados em roteadores. A maneira de invocar o comando pode variar
ligeiramente (tracert em ambiente Windows, traceroute em outros ambientes). Um exemplo
de resultado passvel de ser obtido com o comando traceroute apresentado a seguir:
C:\>tracert www.rnp.br
1714 ms
1 ms
2 ms
192.168.1.1
11 ms
16 ms
8 ms
10.79.4.1
12 ms
11 ms
11 ms
c915c002.virtua.com.br [201.21.192.2]
11 ms
10 ms
11 ms
as1916.rs.ptt.br [200.219.143.3]
19 ms
16 ms
17 ms
rs-sc-10g-oi.bkb.rnp.br [200.143.252.58]
28 ms
30 ms
35 ms
sc-sp-10g-oi.bkb.rnp.br [200.143.252.65]
71 ms
48 ms
37 ms
sp-rj-10g-oi.bkb.rnp.br [200.143.252.70]
56 ms
62 ms
57 ms
rj-df-10g-oi.bkb.rnp.br [200.143.252.78]
58 ms
56 ms
88 ms
landf-mxdf-10g-int.bkb.rnp.br
[200.143.255.170]
10
12
63 ms
55 ms
55 ms
rt.pop-df.rnp.br [200.130.101.94]
11
57 ms
58 ms
57 ms
kerberos.na-df.rnp.br [200.130.35.4]
Rastreamento concludo.
Essas duas ferramentas poderiam ser usadas no apenas da mquina onde est o usurio
que experimenta o problema, mas tambm de outras mquinas na mesma subrede e em
outras subredes. Isso permitira conhecer a extenso do problema relatado observando a
resposta, por ausncia de resposta em cada caso. No exemplo anterior, possvel constatar
que o acesso desde a mquina onde o tracert foi disparado at o servidor www.rnp.br est
operacional. O passo seguinte seria isolar o problema relatado pelo usurio.
Um aspecto a ressaltar sobre o uso dessas ferramentas bsicas que elas geram trfego na
rede, e isso precisa ser minimizado, sob pena de prejudicar o funcionamento da rede com
excesso de trfego de teste. Outro ponto a atentar que esse trfego pode ser filtrado por
algum roteador ou firewall ao longo da rota, e a ausncia de uma resposta pode ser causada
Isolamento do problema
O isolamento do problema demanda alguma forma de inspeo ou teste dos equipamentos
envolvidos, desde aquele onde o problema foi constatado, at o destino que seu usurio pretende acessar. Dependendo dos resultados dos testes com ping e traceroute, seria possvel
verificar se o equipamento do usurio era o nico a sentir o problema ou se apenas tinha sido
o primeiro a constatar uma falha mais ampla, que inibiria o acesso de todos os equipamentos
de uma ou mais subredes ou at mesmo de todas as mquinas da intranet. A causa poderia
ser uma falha na conexo de sada daquela rede com a internet ou uma indisponibilidade do
servidor remoto. O comando ping mostraria simplesmente se o servidor remoto estava acessvel. O traceroute mostraria se algum problema e impedimento ou excessivo retardo estaria
ocorrendo na rota, a partir de algum ponto. Os tempos de resposta recebidos de cada passo
do rastreamento com o traceroute permitiram averiguar se a rede tem comportamento
normal, degradado ou sem conexo a partir de algum ponto da rota.
Aps isolar a causa do problema identificando o(a) equipamento(s) ou componente(s) de software com comportamento incorreto, o trabalho passaria para a fase de soluo do problema.
Saiba mais
13
Estao de
Gerenciamento
de Rede
SNMP
Roteador
Servidor
Switch
Impressora
O resultado da inspeo dos equipamentos mediante o uso de SNMP poderia retornar informaes tais como:
11 Verso do Sistema Operacional e do software de rede, servios providos pelo
equipamento;
11 Localizao do equipamento e pessoa ou setor responsvel por este;
11 Quantidade e tipo de interfaces de rede bem como sua situao operacional e trfego
recebido e enviado (com taxas de erros);
11 Roteador default, rotas;
11 Conexes estabelecidas com aquele equipamento e portas (TCP ou UDP) em uso.
O reparo do equipamento com problemas pode ter de ser feito manualmente envolvendo
substituio ou alterao do software, ajuste de parmetros de configurao ou mesmo
substituio de hardware (interfaces ou mesmo o equipamento como um todo).
dispositivos da rede.
14
Figura 1.7
SNMP para
inspecionar
equipamentos
da rede.
Figura 1.8
Dados de status
dos dispositivos
na estao de
gerenciamento
da rede.
Todavia, essas indicaes podem ser incompletas, evidenciando apenas que existe conectividade a nvel de rede. Testes realizados a nvel de aplicao tambm necessitam ser
realizados para verificar se os servios envolvidos foram reiniciados apropriadamente. Em
algumas situaes, os servios executados em um servidor no retornam automaticamente
aps uma reinicializao como era de esperar. Em outras situaes, o comportamento
anmalo de uma estao pode ter ocasionado uma alterao nas regras do firewall, que
passou a inibir alguns tipos de acessos daquela estao.
um histrico completo do problema, de forma que qualquer operador possa tomar alguma
15
16
Gerncia de configurao
A configurao dos dispositivos da rede controla o comportamento da rede. A gerncia de
configurao o processo de descobrir e configurar os dispositivos crticos que asseguram
o funcionamento do backbone e de todos os demais equipamentos ligados. Nesse sentido,
a organizao dessa funo de gerenciamento deve permitir rpido acesso s informaes
de configurao, que devem ser mantidas continuamente atualizadas. Isso implica em um
conjunto de fases ou etapas para o estabelecimento e continuidade do gerenciamento de
configurao:
17
18
Network Planning
Accounting/Billing
Flow Proling
RMON Probe*
NetFlow/
Data Export
Network Monitoring
*NetScout
Switch Probe
Flow Collectors
End-User Apps
Gerncia de desempenho
A gerncia de desempenho envolve manter desempenho (performance) da rede em nveis
aceitveis atravs de medies e gerncia de diversas variveis ligadas ao desempenho.
Exemplos variveis indicadores de performance incluem: throughput, tempos de resposta,
utilizao do enlace, atrasos (delay) etc.
A funo da gerncia de desempenho visa:
11 Controlar o comportamento dos recursos de rede;
11 Avaliar as atividades de comunicao oferecidas na rede;
11 Monitorar a operao diria da rede;
11 Localizar pontos crticos no sistema;
11 Registrar dados de operao;
11 Auxiliar funes de planejamento e anlise.
A gerncia de desempenho pode ter um carter reativo ou proativo:
11 Reativo: quando o desempenho se torna inaceitvel (o valor medido est a seguir do
limite: threshold), o dispositivo gerenciado reage enviando um alerta para o SGR.
11 Proativo: na gerncia de desempenho proativa, uma simulao usada para projetar
o modo como o crescimento da rede afetar as mtricas de desempenho. Esses simuladores alertam os administradores no sentido de impedir os problemas, antes que
afetem os usurios da rede. Na gerncia de desempenho proativa, uma simulao
usada para projetar o modo como o crescimento da rede afetar as mtricas de
desempenho. Esses simuladores alertam os administradores no sentido de impedir
os problemas, antes que afetem os usurios da rede.
Figura 1.9
Um cenrio de
gerenciamento de
rede com diversos
componentes.
19
Figura 1.10
Exemplo de
aplicativo que
exibe dados da
rede via grficos
dinamicamente
atualizados.
Gerncia de segurana
A gerncia de segurana tem como meta controlar o acesso a recursos da rede, prevenir
como base para a organizao, no apenas do gerenciamento de rede, mas de toda a infra-
20
ITIL
Information Technology
Infrastructure Library
uma biblioteca de boas
prticas (do ingls best
practices) desenvolvida
no final dos anos 80
pela Central Computer
and Telecommunications Agency (CCTA) e
atualmente sob
custdia da Office for
Government Commerce
(OGC), da Inglaterra.
What is
the vision?
Where are
we now?
How do we
check our
milestones have
been reached?
How do we
get where we
want to be?
Where do we
want to be?
Hardware
Customers
Environments
Business
Relationship
Management
Services
Service
desk
Liaison,
Education and
Comunnication
Conguration
Management
Incident
Management
Supplier Relationship
Management
Review, Planning,
and Development
Deployment
Change
Management
Problem
Management
Release
Management
Availability
Management
Capacity
Management
Networks
Technical
Support
Operations
Maintain
Plan
Financial
Management
for IT Services
Service Level
Management
IT Service
Continuity
Management
Users
Design
and
Planning
Processes
Control
Evaluate
Implement
Databases
Requirements
Software
Optimise
Operate
Deploy
Build
Design
Figura 1.11
Modelo funcional
ITIL.
21
22
de transporte, mas o UDP foi o escolhido, por questes de performance. UDP sem
conexo e mais leve que o TCP.
11 O gerente geralmente implementa timeout e retransmisso se no obtiver resposta.
Os objetos gerenciados so nomeados com base em uma rvore de nomeao padronizada.
Essa rvore de nomeao determina uma sequncia de nmeros que identificam cada
objeto gerenciado. A figura seguinte mostra como essa rvore de nomeao estruturada.
Um objeto gerenciado integrante da MIB 2 ter uma identificao que que vai iniciar pela
seguinte sequncia de identificadores: 1.3.6.1.2.1
ccitt (0)
iso (1)
iso-ccitt (2)
...
registrationauthority (1)
memberbody (2)
identiedorganization (3)
...
dod (6)
...
internet (1)
directory (1)
mgmt (2)
mib-2 (1)
...
...
...
DECnet (1)
...
...
Figura 1.12
MID OID.
XNS (2)
...
...
...
...
...
...
snmpV2 (6)
enterprise (1)
...
...
security (5)
private (4)
experimental (3)
cisco (9)
...
...
Novell (3)
...
...
VINES (4)
...
...
temporary
variables (3)
...
...
Chassis (5)
...
...
standard (0)
...
23
MIB-II
The MIB sub-tree
mib(1)
system(1) interfaces(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) transmission(10) snmp(11)
Figura 1.13
MIB II.
Note: There is an object cmot(9) under the mib but it has become almost superuous and
for all intents and purposes is not one of the SNMP manageable groups within mib.
system(1)
sysDescr(1)
sion(10) snmp(11)
sysObjectID(2)
sysUpTime OBJECT-TYPE
SYNTAX TimeTicks
ACCESS read-only
STATUS mandatory
DESCRIPTION
ObjectName
sysUpTime(3)
sysContact(4)
ObjectSyntax
Figura 1.14
Definio de
objetos no SNMP.
::= { system 3 }
predeterminado.
24
GetRequest
GetResponse
GetNextRequest
GetResponse
GERENTE
SetRequest
AGENTE
GetResponse
Trap
Figura 1.15
Definio de
objetos no SNMP.
O protocolo SNMP foi inicialmente definido pelo RFC 1067 em 1988, mas sofreu uma
evoluo e a verso 2 foi publicada em 1993, no RFC 1442, e logo recebeu ampla aceitao.
Nessa segunda verso, mecanismos de segurana foram adicionados, mas em carter
opcional, e essa a verso mais disseminada. Em 1995, foi publicada a verso, definida no
RFC 1861, que incorpora mecanismos de segurana com autenticao forte e criptografia.
Verso
Nvel
SNMPv1
noAuthNoPriv
SNMPv2c
noAuthNoPriv
SNMPv3
noAuthNoPriv
Username
authNoPriv
MD5ou SHA
authPriv
MD5ou SHA
Criptografia
DES
O que acontece?
RMON Remote
Tendo em vista a necessidade de monitorar e obter informaes sobre todos os dispositivos da
rede, mesmo aqueles que no tenham um agente SNMP ou o que o agente esteja desativado, foi
proposta em 1991 uma ampliao na funo do agente SNMP com vistas sua atuao de modo
anlogo ao de um analisador de rede. A expanso da funo foi proposta mediante o uso de
uma ampliao da MIB (RFC 1271), com novos conjuntos de objetos gerenciados para armazenar
as informaes derivadas da operao do agente em modo de operao com captura de todo o
trfego por ele percebido na rede.
Suas principais caractersticas so:
11 MIB especfica para monitorao de redes;
11 Prov uma maneira efetiva e eficiente de monitorar comportamento de segmentos de rede;
11 Objetivos (segundo a RFC 1271) envolvem:
22 Operao off-line;
22 Monitoramento proativo;
22 Notificao de eventos significativos somente estao de gerncia;
22 O monitor deve suportar gerentes mltiplos;
Tabela 1.2
Protocolo SNMP
verses.
Autenticao
25
Figura 1.16
Classes de objetos
da RMON MIB.
useHistory
alMatrix
alHost
19
18
17
16
Iso
Organizations
nMatrix
15
DOD
Private
Internet
Management
26
RMON
MIB I and II
14
nlHost
13
AddressMap
12
ProtocolDist
11
ProtocolDir
10
Token Ring
Events
8 Packet Capture
MIB I
Statistics
History
Alarms
Hosts
Filters
Trac Matrix
Host TopN
Console
mensagens
RS-232
Console
IOS
(optional)
syslog
514/udp
cong
timestamp
Severity level
Description
Emergencies
Alerts
Critical
Errors
Warnings
Notications
Informational
Debugging
system log
message
IOS Syslog
Default Level
Um agente RMON pode utilizar o servio syslog para o envio de alertas e notificaes. Syslog
um padro criado pela IETF para a transmisso de mensagens de log em redes IP. O
protocolo syslog tipicamente usado no gerenciamento de computadores e na auditoria de
segurana de sistemas.
O protocolo syslog bastante simples: o remetente envia uma mensagem de texto de
acordo com a RFC 5424 para o destinatrio (tambm chamado syslogd, servio syslog ou
servidor syslog). Essas mensagens podem ser enviadas tanto por UDP quanto por TCP e
seu contedo pode ser puro ou utilizando SSL.
Agentes e gerentes
Entidades com papis definidos:
11 Gerentes.
11 Agentes.
A arquitetura de gerenciamento de redes usada tanto no modelo OSI quanto no modelo
SNMP baseada na existncia das entidades gerente e agente:
11 Gerente: entidade responsvel em coletar as informaes e disparar aes. Atua sobre
os agentes. Agrega inteligncia ao sistema, podendo realizar tarefas mais complexas,
como gerar relatrios para o usurio;
11 Agente: entidade localizada perto do item (ou internamente a ele), gerenciando (como
um equipamento) esse mesmo item e respondendo s solicitaes do gerente via rede.
Permite o acesso s informaes de gerenciamento localizadas localmente, mantendo-as
como um reflexo da realidade do equipamento.
Os protocolos de gerenciamento permitem ao gerente disparar comandos para o agente
atravs da rede, como qualquer outra aplicao de rede. Por isso, os protocolos de gerenciamento normalmente so protocolos de camada de aplicao, especficos para a atividade de
gerenciamento e implementados em aplicaes de gerenciamento.
Figura 1.17
Syslog log de
eventos.
Severity
level
Facility
System Server
logle
syslog
27
Entidade de
Gerenciamento
Protocolos de
Gerenciamento
de Redes
Rede
Agente
Agente
Agente
Proxy
Dispositivos gerenciados
Informao de gerenciamento
As informaes usadas para fins de gerenciamento da rede so estruturadas de acordo com
padres que determinam sua:
11 Organizao;
11 Nomenclatura;
11 Regras e procedimentos.
Apesar dessa padronizao, ainda restam muitas decises que os responsveis pelo geren Gerncia de Redes de Computadores
28
Figura 1.18
NMS e agentes.
11 Encapsulamento.
11 Operaes (mtodos).
11 Eventos.
11 Relacionamentos entre os objetos, associao, herana etc.
Uma instncia individual de um objeto gerenciado uma varivel da MIB.
Templates (modelos) so usados para a definio dos objetos. As implementaes devem
seguir as informaes descritas nos templates para uniformizar a compreenso e a manipulao da informao. Exemplo: se um fabricante armazena e trata o endereo IP de um equipamento como do tipo string e outro como do tipo inteiro long, as aplicaes que vo coletar
e tratar essas informaes poderiam estar trabalhando com tipos de dados incompatveis.
um mdulo de informao (um pacote de informaes relevantes usadas pelo gerenciamento com SNMP). Em resumo, a SMI usada para a criao de mdulos de MIB.
Por exemplo, a SMI para arquitetura TCP/IP (SNMP) define:
11 O modo como so definidos os mdulos de MIB;
11 O subconjunto da linguagem de descrio de dados, no padro ASN.1 (explicado adiante),
usado com SNMP;
11 O modo como todas as construes ASN.1 devero ser serializadas para envio pela rede;
11 O formato dos identificadores de objetos na rvore MIB para gerenciamento internet;
11 A descrio dos objetos gerenciados SNMP;
29
11 A codificao desses objetos para transmisso na rede, feita atravs das regras bsicas
de codificao (BER, Basic Encoding Rules).
11 A SMI particular para uma determinada arquitetura de gerenciamento de rede.
30
Assim, um tipo ser definido, segundo a ASN.1, usando uma das sequncias de tipo vlidas,
do tipo Builtin ou Defined:
Type::= BuiltinType|DefinedType
BuiltinType::= BooleanType|
IntegerType|
BitStringType|
OctetStringType|
NullType|
SequenceType|
SequenceOfType|
SetTypeType|
SetOfType|
ChoiceType|
TaggedType|
AnyType|
CharacterSetType|
UsefulType|
O DefinedType especifica sequncias externas usadas para referir definies de tipos e valores.
SYNTAX
TimeTicks
ACCESS
read-only
STATUS
mandatory
DESCRIPTION
The time (in hundredths of a second) since the network management
Figura 1.19
Definio de um
objeto gerenciado
em ASN.1.
sysUpTime OBJECT-TYPE
pelo gerente, usando o protocolo SNMP e cujos valores sero retornados pelo agente SNMP.
31
02
01
00
integer
1 byte
valor = 0
Tipo
Comprimento
Valor
04
06
70 75 62 6c 69 63
string
6 bytes
valor = public
Tipo
Comprimento
Valor
Figura 1.20
Codificao em
uma informao
de um objeto
gerenciado.
Para se entender melhor essa codificao, vamos analisar o primeiro octeto (oito bits) da
sequncia de bits codificados, que especifica o tipo de identificador (Type), como exibido na
figura 1.21.
8
Class
P/C
Number
1
Figura 1.21
Type na ASN.1
32
Class
bit 8
bit 7
Universal
Application
Context-specific
Private
Tabela 1.3
Classes em ASN.1
11 Se a classe for do tipo Context-specific, ou seja, o bit 8 com valor 1 e o bit 7 com valor
0, significa que o tipo de dado uma estrutura especfica e TAGs so utilizadas para
fazer a distino entre esses tipos;
11 Se a classe for do tipo Private, significa que o dado especfico de um fabricante.
J o bit 6, tambm conhecido como primitivo/construdo: P/C se estiver com o valor 0 significa que um valor primitivo, como por exemplo, um valor INTEIRO. Caso o bit primitivo/
construdo P/C esteja com o valor 1 significa que o dado do tipo construdo e os bit de
1 5 sero o campo TAG utilizado para identificar esse tipo de dado.
A tabela da figura 1.23 descreve o campo TAG e seus valores correspondentes, ou seja, se os
bits de 1 a 5 tiverem o valor 0, significa que o fim do dado. Caso o bit 5 contenha o valor
1 e os bits de 1 a 4 tiverem o valor 0001, significa que o dado do tipo BOOLEAN, assim
Nmero
Nmero
Nome
P/C
(decimal)
hexadecimal)
Nmero
binrio
EOC (End-of-Content)
00000
BOOLEAN
00001
INTEGER
00010
BIT STRING
P/C
00011
OCTET STRING
P/C
00100
NULL
00101
OBJECT IDENTIFIER
00110
Object Descriptor
00111
EXTERNAL
01000
REAL (float)
01001
ENUMERATED
10
01010
EMBEDDED
11
01011
UTF8String
P/C
12
01100
RELATIVE-OID
13
01101
16
10
10000
17
11
10001
NumericString
P/C
18
12
10010
PrintableString
P/C
19
13
10011
T61String
P/C
20
14
10100
VideotexString
P/C
21
15
10101
IA5String
P/C
22
16
10110
UTCTime
P/C
23
17
10111
GeneralizedTime
P/C
24
18
11000
33
Nmero
Nmero
Nome
P/C
(decimal)
hexadecimal)
Nmero
binrio
GraphicString
P/C
25
19
11001
VisibleString
P/C
26
1A
11010
GeneralString
P/C
27
1B
11011
UniversalString
P/C
28
1C
11100
CHARACTER STRING
P/C
29
1D
11101
BMPString P/C 30 1E
P/C
30
1E
11110
Tabela 1.4
Tags usados
em ASN1.
OLLL LLLL
1TTT TTTT
No o ltimo byte
Contedo
(valor)
ou
Formato longo (127 < comprimento < ?)
tag (1-30)
Tamanho
...
0TTT TTTT
1nnn nnnn
ltimo byte
0 = Primitivo
LLLL LLLL
...
LLLL LLLL
1 = Construdo
00 = Universal
01 = Aplicao
10 = Especco de um contexto
11 = Privado
Para no limitar os nmeros de ramos na rvore, foi criada uma maneira de representar
nmeros realmente grandes. Se o nmero for menor que 127, ele codificado num nico
byte. Se for maior, codificado em vrios bytes, de acordo com a figura acima.
34
no bvia: os primeiros 2 dgitos, x.y, devem ser codificados num nico nmero atravs da
frmula 40x+y em decimal, e depois para hexadecimal.
No caso de 1.3 (x=1, y=3) => 43 em decimal resulta em 2B em hexadecimal.
Figura 1.22
BER Basic Encoding
Rules.
35
employee :: SEQUENCE {
char
name[32];
Name
int
salary;
Salary
INTEGER;
int
entryDate;
entryDate
INTEGER;
int
sex;
Sex
BOOLEAN;
};
31*256+64=8000
5*256+10=1290
[ 5 22 4 10 J o e B l o g g s 1 2 31 64 1 2 5 10 1 0]
Inicio da
sentena
Tamanho inteiro
Tamanho da String
String
Tamanho da sentena em bytes
Falso Booleano
Veja no exemplo como as regras BER determinam uma nica serializao para o conjunto de
dados a ser transmitido.
Mesmo a troca de dados entre aplicaes em plataformas diferentes no corre o risco de ter
36
Figura 1.23
Exemplo de
codificao
usando BER.
2
Descrever o processo de resoluo de problemas, aprender as caractersticas das
ferramentas de inspeo e monitorao de redes.
conceitos
Problemas na rede
Os problemas que ocorrem na rede so caracterizados por sintomas que precisam ser
percebidos e analisados para um diagnstico das causas. O desenho na figura 2.1 mostra
um cartum com um conjunto de possveis causas de um comportamento errtico em um
segmento de rede local:
objetivos
Ferramentas de inspeo e
monitorao de redes
37
38
Figura 2.1
Causas de mau
funcionamento de
uma rede local.
Denir o problema
Obter fatos
Considerar as possibilidades
baseadas nos fatos
Criar um plano de ao
Implementar um plano de ao
Observar resultados
Se o problema persiste
Reiterar procedimento
Problema resolvido
Figura 2.2
Processo de
resoluo de
problemas.
Se o sintoma desaparece
39
11 Analise do trfego na rede tanto no segmento ao qual o servidor est ligado quando no
lado do cliente. Essa anlise demanda a captura de trfego, que pode ser feita no prprio
servidor, usando comandos como traceroute, ou com a ajuda de analisadores de rede
que capturam todo o trfego e possibilitam diferentes modos de agregao e filtragem,
permitindo exibir pacotes por endereo originador, destinatrio, protocolo etc., bem
como compor relatrios totalizando o trfego por diferentes critrios, ou ainda mostrar
sequncias de pacotes intercambiados por determinados pares de endereo com o uso
de protocolos especficos, entre outras tcnicas;
11 Anlise do registro de logs do servidor para complementar a inspeo de trfego total em
todos os acessos ao servidor.
Essa informao mais rica e detalhada permitir conhecer a situao da rede, a partir do
trfego capturado e analisado. Isso possibilitar estreitar o escopo da busca, eliminando
classes de problemas. No caso da resposta lenta do servidor no exemplo anterior, a presena de trfego intenso em algum trecho da rede no caminho entre o usurio e o servidor
poderia ser constatada e seria uma possvel causa. Se o problema relatado fosse total falta
de acesso ao servidor, a deteco de algum trfego na rede, proveniente do endereo do
servidor, permitiria eliminar causas intermedirias, tal como roteamento incorreto ou enlace
intermedirio inoperante.
Depois de obter as informaes que permitam conhecer a situao, o passo seguinte
consiste em criar um plano de ao para tratar os problemas potenciais que poderiam
ocasionar os sintomas percebidos. No tarefa fcil identificar as causas possveis. Isso
demanda conhecimento tcnico que permita analisar se os sintomas percebidos e os dados
obtidos da monitorao so os que um sistema operando de condies normais deveria
exibir. Mas tambm demanda conhecimento heurstico, derivado das experincias anteriores de diagnstico de correo de falhas na rede. Possveis fontes de apoio e referncias
nessa fase so:
11 Manuais: explicam o funcionamento esperado e indicam possveis causas para problemas comuns;
11 Tabelas de troubleshooting: associam sintomas a causas provveis;
11 Experincia anterior: aponta causas de sintomas similares em situaes anteriores;
11 Sistemas especialistas: correlacionam causas e sintomas tipicamente relacionados, e
at podem sugerir aes corretivas possveis.
O plano de ao, baseado no conjunto de possibilidades identificadas, busca eliminar uma
a uma as possveis causas para os sintomas, mediante observao e anlise da rede, com
o trfego normal e com trfego de teste de cada uma das hipteses a investigar. O plano
de ao deve limitar-se a investigar uma varivel de cada vez, pois com muitas alteraes
40
sendo realizadas concomitantemente, pode ocorrer um retorno da rede ao estado operacional sem que seja possvel perceber qual ou quais foram as medidas que solucionaram o
problema. Assim, o recomendvel implementar a alterao/correo planejada e ento
observar, testar e avaliar o resultado. A observao/teste envolve o uso de comandos de
inspeo de configurao, de status de equipamentos e monitorao da rede.
Se o problema desapareceu, ento a situao est resolvida e resta apenas fechar o registro
de ocorrncia registrando a causa efetivamente diagnosticada e a forma de resolver o
problema. Isso ampliar a base de conhecimento sobre problemas de rede e suas causas,
facilitando investigaes de futuros problemas tanto pela mesma equipe como por outras
equipes que vierem a substituir os que atuaram na investigao.
Se o problema no pode ser resolvido com a estratgia seguida, o plano de ao deve ser
refinado com base nos resultado e um novo plano de ao deve ser definido e implementado, reiteradamente, at que o problema seja solucionado.
Cable Scanner:
Hardware e software
Figura 2.3
Ferramentas de
anlise de rede.
Software
Wireshark
O Wireshark um programa que captura e analisa o trfego de rede, permitindo diversas
formas de organizao ou apresentao do que foi capturado. As funcionalidades do
Wireshark so parecidas com o tcpdump (abordado posteriormente), mas com interface
grfica, mais informao e com ampla variedade de filtros que podem tanto limitar a captura
como ajustar o que apresentado, para facilitar a anlise.
41
Conhecendo o Wireshark
O funcionamento do Wireshark, analogamente a qualquer outro analisador de rede, envolve
trs passos: coletar, converter e analisar.
11 Coletar
Nesse passo, o equipamento onde o software executado opera com sua interface em
modo promscuo (modo em que captura todo o trfego percebido na rede, mesmo que o
endereo do destinatrio no seja o dessa mquina). Assim, todo o trfego sendo transmitido naquele segmento de rede percebido e coletado pelo software. Esse processo
tambm referido como sniffer, e o equipamento com o software de captura tambm
costuma ser designado como sniffer.
Nesta etapa, preciso escolher apropriadamente o local na rede onde o sniffer vai ser colocado. Supondo uma topologia simples de rede, tal como a ilustrada na figura 2.4, existiriam
vrias alternativas para conectar o sniffer, dependendo dos dados que se deseja coletar.
Internet
Roteador
42
Switch
Snier
Figura 2.4
Locais onde colocar
o sniffer para
capturar o trfego
da rede.
Se o objetivo fosse capturar e analisar o trfego que flui entre o roteador de borda da rede e
a internet, uma soluo seria incluir um hub entre o roteador e o switch (tal como ilustrado
na figura 2.5) interligando nesse hub o sniffer, que poderia ento capturar todos os pacotes,
fluindo entre eles.
Roteador
Snier
Hub
Switch
Figura 2.5
Hub para integrar o
sniffer no caminho
de uma interligao
a investigar.
Se o sniffer fosse interligado em uma das portas do switch, a segmentao de trfego que
naturalmente feita pelo switch impediria o sniffer de capturar e inspecionar o trfego
fluindo entre um dos equipamentos, mostrados na figura 2.4, e o roteador. Para conseguir
capturar e inspecionar esse trfego, poderia ser repetida a mesma estratgia de incluir um
hub no caminho, tal como ilustrado na figura 2.6.
Switch
Snier
Hub
Figura 2.6
Hub para derivar
um ponto de
captura em uma
porta do switch.
43
11 Converter
Depois de capturar o trfego, o sniffer atua convertendo os dados binrios capturados, de
modo que sejam mais facilmente interpretveis.
Os protocolos usados so reconhecidos e os dados contidos em cada segmento capturado so
identificados e apresentados com os respectivos cabealhos, tal como ilustrado na figura 2.7.
Figura 2.7
Decodificao de
protocolos feita
pelo Wireshark.
mento privativo) envia um pacote ICMP do tipo Echo request para a mquina 200.130.35.4,
que no momento do teste foi o endereo http://www.rnp.br. A traduo de nmero IP com
o nome e domnio do endereo envolvido no teste pode ser feita pelo software Wireshark
porque ele permite configurar se a resoluo de nomes deve ou no ser feita e, em caso
positivo, ele consulta um servidor de DNS para obter o nome associado ao nmero IP que
apareceu no cabealho do pacote capturado.
44
Protocolos
Aplicao
Transporte
TCP, UDP
Rede
Enlace
Ethernet
Figura 2.8
Protocolos usuais
na internet e
camadas em que
atuam.
A anlise pode ser feita considerando um nico pacote capturado ou sequncias de pacotes.
O trfego pode ser classificado em categorias:
11 Broadcast: trfego que dirigido a todos os dispositivos na rede;
11 Multicast: trfego que dirigido a um endereo destinatrio que representa um grupo.
Equipamentos integrantes do grupo devem ter previamente dirigido um pedido de
ingresso no grupo multicast. Essa informao fica registrada em roteadores que podem
receber um fluxo de pacotes e replicar esse fluxo por vrios caminhos onde existam
receptores registrados;
11 Unicast: trfego de um computador particular para outro computador particular.
Instalando o Wireshark
O software Wireshark pode ser encontrado no site http://www.wireshark.org e, seguindo a
opo de download, poder ser encontrada e ltima verso estvel e tambm verses mais
recentes, mas que ainda esto em desenvolvimento. O software poder ser obtido em verso
preparada para ser instalada em diversos ambientes, ou mesmo em cdigo-fonte, tal como
referido por Chapell (2010). Existem verses para diversos Sistemas Operacionais: Windows,
Apple Mac OS X, Debian GNU /Linux, rPath Linux, Sun Solaris/i386, Sun Solaris/ Sparc e
Ubuntu. As verses de instaladores que podem ser obtidas no site do Wireshark incluem:
11 Windows Installer (64-bit);
11 Windows Installer (32-bit);
11 Windows U3 (32-bit);
11 Windows PortableApps (32-bit);
11 OS X 10.6 and later Intel 64-bit .dmg;
11 OS X 10.5 and later Intel 32-bit .dmg;
11 OS X 10.5 and later PPC 32-bit .dmg;
11 Source Code.
O software Wireshark tambm pode ser instalado em mquina virtual. A instalao feita
a partir da execuo do aplicativo baixado do site do Wireshark. No caso de um ambiente
lao do software que pode comear a ser imediatamente utilizado. Quando o Wireshark
instalado, o acesso interface de rede (cabeado ou sem fio) intermediado por rotinas
de acesso, tais como: WinCap (ambiente Windows), AirCap (interface para capturar trfego
802.11) ou libcap (ambiente *NIX ).
Adicionalmente, o Wireshark pode ser usado para analisar arquivos com trfego capturado
por outros analisadores de protocolos que usam variados formatos, como:
11 libpcap: captures from Wireshark/TShark/dumpcap, tcpdump, and various other tools
using libpcaps/tcpdumps capture format;
11 pcap-ng: next-generation successor to libpcap format;
11 Microsoft Network Monitor captures;
11 AIXs iptrace captures;
11 Cinco Networks NetXRay captures;
11 Network Associates Windows-based Sniffer captures;
11 Network General/Network Associates DOS-based Sniffer (compressed or
uncompressed) captures;
45
Utilizando o Wireshark
Quando o Wireshark executado, a tela inicial exibida na figura 2.9 apresentada.
Figura 2.9
Tela inicial do
Wireshark.
Figura 2.10
Interfaces ativas
reconhecidas pelo
Wireshark.
O boto Options permite configurar aspectos especficos da captura, tal como ilustrado na
Figura 2.11
Configurando
opes de captura
no Wireshark.
Se houver dvidas sobre o que escolher, uma sugesto deixar as marcaes de opes no
modo como so encontradas (modo default). Mas tambm possvel ir ajustando as opes
para que o processo de captura e o resultado melhor atendam a necessidade de quem est
investigando um problema na rede. As opes apresentadas so explicadas a seguir:
11 Capture on all interfaces: melhor deixar desmarcado, pois o normal capturar trfego
apenas em uma interface, a menos que seja necessrio combinar a captura de dois segmentos diferentes da rede;
figura 2.11.
47
48
Figura 2.12
Janela de
informaes sobre
a captura.
11 Name Resolution:
22 Enable MAC name resolution: se desmarcado, exibe apenas os caracteres hexadecimais do endereo MAC. Se essa opo for marcada, coloca informao sobre o
fabricante da interface, quando possvel;
22 Enable network name resolution: se desmarcado, exibe apenas o endereo IP. Se essa
opo marcada, consultado o servio de DNS para exibir o nome host em vez do
endereo IP. Essa opo pode ocasionar perda de captura de pacotes, pois requer que o
Wireshark consuma processamento e tempo para realizar a resoluo de nomes;
22 Enable transport name resolution: se essa opo marcada, ser exibida a aplicao associada com a porta utilizada pela camada de transporte.
O boto de Start permite iniciar a captura de pacotes com as opes configuradas na janela
de opes. Depois que um arquivo com pacotes capturados previamente aberto ou uma nova
Figura 2.13
Tela principal do
Wireshark.
captura iniciada, a tela principal do Wireshark exibida, tal como ilustrado na figura 2.13.
9. Barra de status.
49
Ttulo
O ttulo pode ser configurado usando a opo de editar o layout em Edit/ Preferences/
Layout.
Menu
O menu localizado logo a seguir do ttulo apresenta todas as funcionalidades de trabalho
com o Wireshark, onde podemos destacar como principais:
11 File: permite abrir ou salvar um arquivo de captura para anlise posterior, alm de
exportar determinados pacotes;
11 Edit: nesse submenu, possvel marcar pacotes para posterior anlise, sinalizar um
novo pacote como sendo o incio da captura ou alterar as preferncias de visualizao da
ferramenta;
11 View: permite alterar as opes de visualizao da ferramenta, com destaque para a
opo Coloring rules, que possibilita trocar as cores de visualizao dos pacotes segundo
as regras determinadas nessa opo;
11 Go: opes de navegao entre os pacotes. Observe as teclas de atalho informadas nesse
submenu, para facilitar navegao;
11 Capture: refere-se s opes de capturas. Essas funcionalidades esto representadas
pelos primeiros cones da barra de ferramentas principal;
11 Analyze:
22 Display Filters...: permite a realizao de filtros especficos, abordado posteriormente
na barra de ferramenta de filtragem;
22 Enabled Protocols: seleo de quais protocolos sero apresentados para visualizao
no Wireshark;
22 Follow TCPStream: apresenta o contedo dos pacotes que fazem parte do mesmo
fluxo (conversa) do pacote selecionado. Por exemplo, se o pacote selecionado referente a uma comunicao HTTP, nessa opo ser possvel visualizar o contedo do
arquivo HTML na ntegra.
11 Statistics: visualizao de estatsticas, abordado posteriormente;
11 Telephony: permite a realizao de filtros sobre protocolos especficos de telefonia ou VoIP.
11 Tools:
22 Firewall ACLs rules: auxilia na criao de regras de firewall, gerando automaticamente regras nas principais plataformas existentes, como CISCO, IPtables, Windows
netsh e outras;
22 LUA: API de programao para o Wireshark.
50
Contudo, para facilitar a criao dos filtros, o Wireshark disponibiliza uma interface de
gerao de filtros, que pode ser acessada pela opo Expression.... Nessa opo, conforme
a figura 2.15, apresentada uma relao de todos os protocolos conhecidos pelo Wireshark
e o contedo de seus cabealhos.
Figura 2.15
gerao de filtros
Wireshark.
No exemplo da figura 2.15, est sendo realizado um filtro por todos os pacotes onde a porta
TCP de origem(tcp.srcport) seja igual a 80.
Figura 2.16
Filtro composto/
Filtro com erro
de sintaxe.
51
Figura 2.17
Cadastro de chaves
descriptogrficas.
Vale resaltar que na rede wireless possvel capturar apenas os pacotes encaminhados
para a estao onde est executando o sniffer. Para capturar todos os pacotes em modo
promscuo, necessrio adquirir a interface wireless tal como o AirPcap.
Figura 2.18
Aircap.
nome do host acessado e o comando enviado, que nesse exemplo foi um GET.
52
Barra de status
A barra de status apresenta informaes de pacotes capturados, mostrados, marcados e,
principalmente, de pacotes perdidos. Isso nos auxilia a descobrir se realmente estamos
capturando todos os pacotes recebidos na interface de rede ou necessitamos alterar alguma
opo do Wireshark para que isso ocorra.
Figura 2.19
Detalhamento
do pacote.
Esse filtro dever ser realizado antes do incio da captura, diretamente na tela inicial do
Wireshark na opo Capture Options ou atravs do menu Capture/Options (figura 2.20).
Dentro das opes de captura, selecione a interface na qual ser realizada a captura (1) e
clique duas vezes. Com isso, a janela de configurao da interface ser aberta e a opo de
filtros de captura (2) estar disponvel.
A escolha de filtros de captura apropriados importante para limitar a quantidade de
pacotes capturados, pois em redes com alto trfego a quantidade de pacotes elevada e o
fluxo de trfego contm muitos pacotes que podem no interessar ao processo de diagnsticos em curso. Adicionalmente, quando a quantidade de pacotes capturada muito grande,
o funcionamento do prprio software fica degradado (mais lento).
Outro aspecto a considerar que pode ocorrer perda de pacotes pela incapacidade do equipamento de captura. Mesmo que uma interface de rede de um equipamento, tal como um
notebook, possa ter capacidade de operar em velocidade alta (1 Giga, por exemplo), isso no
significa que o equipamento vai conseguir capturar, decodificar e armazenar um fluxo de
bits por segundo prximo dessa velocidade. Equipamentos dedicados captura de trfego
54
Figura 2.20
Filtros de captura.
No Wireshark, a sintaxe dos filtros de captura diferente da sintaxe dos filtros de visualizao, pois, como j mencionado, os filtros de captura so realizados pela WinPcap, que
utiliza a mesma sintaxe do aplicativo tcpdump, apresentado posteriormente nesse captulo.
Para melhor entendimento, a explicao dos filtros de capturas mais usuais sero apresentados em exemplos:
Filtro
Sintaxe do filtro
host 10.1.1.13
Tabela 2.1
Exemplos de filtros
de captura do
Wireshark.
Estatsticas no Wireshark
Alm de capturar pacotes, o Wireshark uma poderosa ferramenta estatstica, que nos
auxilia na anlise da rede. Atravs das estatsticas conseguimos responder perguntas como:
11 Quais so os protocolos mais utilizados na minha rede?
11 Qual o tamanho mdio de pacotes da rede?
Figura 2.21
Sumarizao da
captura realizada.
w
Outros exemplos de
filtros podem ser
acessados em
http://wiki.wireshark.
org/CaptureFilters
55
Figura 2.22
Hierarquia de
protocolos.
Grficos de bytes ou pacotes por perodo tambm esto disponveis no Wireshark atravs
do menu Statistics/IO Graph. No exemplo da figura 2.24, foi gerado um grfico de total de
pacotes por segundo dos protocolos TCP e UDP. Essa funcionalidade permite cinco diferentes filtros no mesmo grfico.
56
Figura 2.23
Fluxos de dados.
w
No endereo http://
www.wireshark.org/
docs/wsug_html_
chunked/ voc
encontra o manual
completo do Wireshark,
com todas as suas
funcionalidades.
Figura 2.24
Gerao de grficos
do Wireshark.
Um segundo tipo de grfico est disponvel na ferramenta. Ele demonstra qual o fluxo dos
pacotes entre origem/destino de uma comunicao. Conforme a figura 2.25, onde encontra o
resultado do grfico gerado pela opo Statistics/Flow Graph, podemos observar que em
Figura 2.25
0 Fluxo da
comunicao.
No Wireshark existem mais de 20 tipos de estatsticas, das quais foram abordadas as mais usuais.
No endereo http://www.wireshark.org/docs/wsug_html_chunked/ voc encontra o manual
completo do wireshark com todas as suas funcionalidades.
um determinado momento o IP 10.10.1.3 realizou uma consulta DNS para o destino 10.10.1.1.
57
TCPDUMP
O tcdump outra ferramenta de monitorao que est disponvel para a maioria dos
Sistemas Operacionais derivados do Unix, incluindo MacOS. Nesse aplicativo, que utiliza a
LibPcap, as capturas de pacotes so realizadas sem interface grfica. Sendo assim, os resultados das capturas podero ser visualizadas no terminal do Sistema Operacional, salvas em
formato texto ou no formato LibPcap. Utilizando o formato LibPcap, possvel visualizar a
captura no Wireshark.
Formato simplificado:
#tcpdump -i eth2
Capturando 500 pacotes com at 1500 bytes e gravando em arquivo.
58
pacotesCapturados.pcap
Referncias
11 CHAPPELL, Laura. Wireshark Network Analysis: The Official Wireshark Certified Network
Analyst Study Guide. 2010. Protocol Analisys Institute.
11 CHAPPEL, Laura. Wireshark 101 Essential Skills for Network Analisys. Protocol Analysis
Institute, Inc. 2013
11 CISCO. Cisco BTS 10200 Softswitch Troubleshooting Guide, Release 4.4 2008: Cisco
Systems, Inc.
11 COMBS,Gerald. Wireshark DisplayFilters.
Disponvel em: <http://wiki.wireshark.org/DisplayFilters >
11 HORN,Mike. Wireshark CaptureFilters.
Disponvel em: <http://wiki.wireshark.org/CaptureFilters>
11 JACOBSON, Van; LERES, Craig; MCCANNE, Steven. TCPDUMP man pages: Lawrence
Berkeley National Laboratory, University of California, Berkeley, CA.
Disponvel em <http://www.manpagez.com/man/1/tcpdump/>
11 LAMPING ,Ulf; SHARPE, Richard; WARNICKE, Ed. WiresharkUsers Guide.
Disponvel em <http://www.wireshark.org/docs/wsug_html_chunked/>
11 SANDERS, Ghris. Practical Packet Analysis Using Wireshark to solve real world problems.
59
FF Rudo e interferncia.
FF Consultas DNS de todos os hosts.
FF Quadros que contm erros de CRC.
4. Quais dos filtros a seguir podem ser usados como filtro de captura ou como filtro de
apresentao (display)?
FF dns.
FF udp.
FF dhcp.
FF broadcast.
60
5. Qual afirmativa sobre as definies na tela de opes de captura mostrada est correta?
FF ping broadcasts.
61
62
3
Conhecer MIB; Aprender sobre Linguagem SMI; Entender os Protocolos SNMP;
Saber sobre os tipos de agentes SNMP.
conceitos
Contextualizao
Motivao:
objetivos
MIB
Agente SNMP
PC
MIB
Software de aplicao
Agente SNMP
Gerente SNMP
Agente SNMP
MIB
Roteador
Agente SNMP
MIB
Por exemplo, o status de uma interface (ligada ou desligada) um objeto gerenciado que
64
Figura 3.1
Esquematizao do
modelo de gerncia
TCP/IP.
MIB
MIB
SNMP
Agente
Gerente
Grupo
Objetos
SNMP
Figura 3.2
Solicitao de
objeto gerencivel
pelo gerente
ao agente.
Grupo
Objetos
Para que gerentes e agentes possam comunicar-se, existem MIBs padronizadas. A especificao dos objetos gerenciveis de uma MIB, seus significados e operaes permitidas feita
com uma linguagem de definio de dados denominada Structure of Management Information (SMI), que um subconjunto de uma linguagem mais abrangente denominada ASN.1
(Abstract Syntax Notation One).
MIBs Padronizadas
MIB I:
MIB
65
Nome do grupo
System
Interfaces
Address Translation
IP
ICMP
Estatsticas ICMP.
TCP
UDP
EGP
A MIB II definida na RFC 1213 de maro de 1991. Existem RFCs que tratam de grupos
especficos, tais como:
11 RFC 4293, de abril de 2006- grupo IP;
11 RFC 4022, de maro de 2005: grupo TCP;
11 RFC 4113, de junho de 2005: grupo UDP;
Em relao MIB I, as mudanas mais significativas foram:
11 O objeto atTable (tabela que relaciona endereo fsico com endereo de rede) foi marcado
como deprecated, significando que seria removido em verses futuras;
11 Novos objetos foram acrescentados no grupo System;
11 Ajustes foram realizados nos grupos interfaces, IP, TCP, UDP e EGP. O grupo EGP, na
realidade, raramente utilizado;
11 Adio de um novo grupo chamado Transmission, para identificar meios de transmisso;
11 Adio de um grupo chamado SNMP, para guardar informaes do protocolo de
gerncia de redes.
possvel interpretar os padres MIB I e MIB II como definies de classes, sendo que os
objetos armazenados em cada equipamento, no banco de dados MIB, so instncias da
classe MIB I ou MIB II.
rvore de identificadores
Gerncia de Redes de Computadores
66
definidos em MIBs que esto implementadas em agentes, necessrio que esses objetos
possam ser identificados de forma unvoca. O identificador de um objeto chamado de
Object Identifier (OID) e formado com base em uma rvore de identificadores de objetos.
A figura 3.3 corresponde a uma parte da rvore de identificadores utilizada. Ela apresenta
todo o caminho do n raiz (iso) at um objeto gerenciado, cujo nome sysDescr. Esse objeto
contm a descrio do agente.
Tabela 3.1
Grupos de objetos
da MIB I (RFC 1156).
iso (1)
org (3)
dod (6)
internet (1)
Figura 3.3
Parte da
rvore de OIDs
(identificadores
de objetos).
mgmt (2)
private (4)
mib-2 (1)
enterprise (1)
sua-empresa (n)
system (1)
smar (27120)
sysDescr (1)
A identificao do objeto gerenciado d-se pela concatenao dos nmeros ou dos nomes
da rvore, separados por pontos (.). Essa concatenao corresponde ao caminho que vai
da raiz at o objeto em questo. Dessa forma, o objeto gerenciado sysDescr tem como iden-
w
O site http://www.
oid-info.com pode ser
utilizado para a busca e
identificao de
identificadores de
objetos (OIDs).
rvore da MIB II
importante conhecer melhor os grupos de objetos gerenciados presentes na definio da
MIB- II. A figura 3.4 apresenta a rvore com esses grupos.
Root-Node
ccitt (0)
iso (1)
joint (2)
org (3)
dod (6)
internet (1)
directory (1)
mgmt (2)
experimental (3)
private (4)
mib-2 (1)
Figura 3.4
rvore com os
grupos da MIB-II.
system (1)
interfaces (2)
at (3)
ip (4)
icmp (5)
tcp (6)
udp (7)
egp (8)
transmission (10)
snmp (11)
67
11 system: define a lista de objetos pertencentes operao do sistema em geral, tais como
identificao, tipo de hardware utilizado, Sistema Operacional e softwares de rede.
Os seguintes objetos fazem parte desse grupo:
22 sysDescr: descrio do dispositivo;
22 sysObjectID: identificao do software que implementa o agente SNMP;
22 sysUpTime: tempo de execuo do agente SNMP;
22 sysContact: dados do responsvel pelo dispositivo;
22 sysName: nome do dispositivo;
22 sysLocation: localizao fsica do dispositivo;
22 sysServices: camadas do modelo OSI implementadas pelos dispositivo.
11 interfaces: apresenta dois objetos principais: o nmero de interfaces de rede do dispositivo (ifNumber) e uma tabela com dados sobre cada interface (ifTable). As informaes da
tabela so semelhantes quelas apresentadas pelo comando show interface nos roteadores Cisco e pelo comando ifconfig em sistemas Unix like: ifDescr, ifType, ifMtu, ifSpeed,
ifPhysAddress, ifAdminStatus, ifOperStatus, ifLastChange, ifInOctets, ifInUcastPkts,
ifInNUcastPkts, ifInDiscards, ifEnErrors, ifInUnknownProtos, ifOutOctets, ifOutUcastPkts,
ifOutNUcastPkts, ifOutDiscards, ifOutQlen e ifSpecific;
11 at: armazena a tabela de mapeamento entre endereos fsicos de rede e endereos de
interligao de redes (IP). Esse grupo possui o status deprecated, ou seja, no est mais
em uso, estando presente somente por motivos de compatibilidade;
11 ip: define aspectos relacionados ao protocolo IP. Alguns objetos so escalares e outros
so do tipo tabela. Como objetos escalares, podem ser citados ipForwarding, ip
DefaultTTL, ipInReceives, ipOutReceives, entre outros. J as tabelas so:
22 ipAddrTable: tabela com endereo, mscara, broadcast e tamanho mximo do datagrama remontado para cada interface;
22 ipRouteTable: tabela com rotas para diferentes destinos;
22 ipNetToMediaTable: tabela de mapeamento entre endereos IP e de enlace.
11 icmp: define contadores para cada uma das mensagens do protocolo ICMP. Alguns exemplos so: icmpInMsgs, icmpInErrors e icmpInDestUnreachs;
11 tcp: define as informaes relacionadas ao protocolo TCP. Nesse grupo, h objetos
escalares que indicam parmetros do protocolo, tais como o timeout mximo de
retransmisso (tcpRtoMax) ou nmero mximo de conexes (tcpMaxConn). Tambm h
uma tabela denominada tcpConnTable que mantm informaes sobre conexes TCP
com os seguintes campos: tcpConnState, tcpConnLocalAddress, tcpConnLocalPort,
68
11 Usada para definir o valor da coluna ifType nos objetos ifTable de cada interface.
11 Exemplos:
22 Ethernet RFC 1643
22 Ds1 RFC 1406
22 DS3 RFC 1407
22 PPP RFC 1471
22 Frame-Relay RFC 1315 e 1604
22 Sonet-SDH RFC 1595
22 aal5
O grupo transmission define objetos para a caracterizao do meio de transmisso utilizado,
considerando, tambm, a camada de acesso ao meio (enlace).
Cada RFC (Request for Comment) define um padro de comunicao. Dessa forma, so definidos, em alguns casos, vrios objetos MIB para tratar diferentes aspectos da tecnologia de
enlace e camada fsica. Como exemplo, considere a RFC 1643, que trata do padro Ethernet.
Nessa RFC so definidos os objetos ethernet-csmacd (6), iso88023-csmacd (7) e slarLan (11).
misso, utilizando diferentes OID.
Os dados usados nesse grupo so replicados no atributo ifType de cada linha do objeto
ifTable, que armazena as informaes das interfaces do equipamento. Dessa forma, possvel definir o tipo de tecnologia empregada em cada interface do equipamento monitorado.
Da mesma forma para a RFC 1471, tambm so definidos vrios objetos sob o grupo trans-
69
medida que novas necessidades surgem, novos grupos de objetos so adicionados MIB
II. Esses grupos so definidos em RFCs prprias. Assim, a quantidade de objetos do grupo
mib-2 ampliada medida que essas RFC so publicadas.
interessante observar que o objeto application, definido pela RFC 1565 com OID 27, define
padres para aplicaes de rede, como Mail Transfer Agent (MTAs), facilitando assim o monitoramento, j que as informaes tornam-se padronizadas.
Se, por um lado, os objetos gerenciados definidos diretamente na RFC 1213 so implementados em praticamente todos os dispositivos que permitem a gerncia SNMP, o mesmo no
ocorre para as extenses.
w
A lista completa de
identificadores de
organizaes pode ser
obtida em: http://www.
iana.org/assignments/
enterprise-numbers.
Directory 1
Management 2
Experimental 3
mib-2
70
Novell 23
Private 4
Enterprises 1
Lanmanager 77
Microsoft 311
Cisco 9
Software 1
Systems 1
WINS 2
DHCP 3
Figura 3.5
rvore de OIDs com
ns privados.
Um exemplo prtico a MIB definida pela CISCO para suas VLANS (CISCO Private VLAN MIB).
Os objetos constantes nessa MIB permitem a gerncia das redes locais virtuais nos equipamentos da CISCO. Embora, incialmente, possa-se pensar que apenas gerentes da CISCO
fariam uso dessa MIB, por ser um padro publicado na mesma linguagem de todas as MIBs
(SMI), possvel desenvolver gerentes que atuem sobre os objetos ali definidos ou mesmo
compilar a MIB em gerenciadores de redes genricos que permitem a adio de novas MIBs.
11 Assegura que a sintaxe e a semntica dos dados sejam bem definidos e isentos de
ambiguidades.
11 Subconjunto da notao ASN.1 (Abstract Syntax Notation One).
11 Verses:
22 SMIv1.
33 Utilizada com SNMPv1.
33 Definida e alterada nas RFCs1155, 1212 e 1215.
22 SMIv2.
33 Utilizada em SNMPv2 e SNMPv3.
33 Definida e alterada nas RFCs 1442,1902 e 2578.
A Structure of Management Information (SMI) uma linguagem que permite a definio de
objetos gerenciados. Com essa linguagem possvel definir e descrever os objetos da MIB
e agrup-los em subconjuntos. Essa tarefa somente possvel porque a SMI define tipos
bsicos de dados, que sero empregados na definio dos atributos dos objetos.
Uma vez que a SMI um subconjunto da ASN.1, possvel ampli-la para atender demandas
futuras. Atualmente existem duas verses: a primeira, denominada SMIv1 (RFCs 1155, 1212
e 1215), empregada com o protocolo SNMPv1. A segunda verso, denominada SMIv2 (RFC
2578), utilizada com as verses dois e trs do protocolo SNMP.
Como existem diferentes verses de SMI para diferentes verses do protocolo SNMP, estas
sero estudadas em conjunto com as respectivas verses do protocolo em que so empregadas. Nesta sesso, ser apresentado um exemplo bsico para compreenso de qualquer
uma das verses.
A definio de um objeto gerenciado apresenta cinco partes:
sysDescr OBJECT-TYPE
SYNTAX
ACCESS
read-only
71
STATUS
mandatory
DESCRIPTION
A textual description of the entity.
This value
SNMP Introduo
Caractersticas:
11 Aberto.
11 Padro de mercado: TCP/IP.
11 Simples.
22 Especifica poucas operaes.
22 Baseado no paradigma de busca e armazenamento (fetch-store paradigm).
11 Implementado na camada de aplicao.
11 Utiliza o protocolo User Datagram Protocol (UDP) na camada de transporte.
O Simple Network Management Protocol (SNMP) o padro mais popular para protocolo
de gerncia de rede. um padro aberto adotado por vrios fabricantes e operadoras, definindo o funcionamento da arquitetura de gerenciamento de redes TCP/IP.
um protocolo simples de ser implementado em todo tipo de equipamento e flexvel o bas Gerncia de Redes de Computadores
tante para aceitar modificaes posteriores, uma vez que possui poucas operaes, alm de
72
Pacote IP
Datagrama UDP
Mensagem SNMP
O SNMP faz uso da tcnica de timeout para recuperar eventuais datagramas perdidos. Para
evitar retransmisses infinitas, utilizado um limite de tentativas, cujo valor configurado
pelo administrador do gerente.
Essa soluo implica menor sobrecarga aos links e equipamentos, uma vez que a adoo
do protocolo TCP exigiria o estabelecimento e o encerramento de conexes (three-way
handshake), bem como pacotes de confirmao para as mensagens enviadas (acknowledgement). Isso aumentaria consideravelmente a quantidade de pacotes trafegados pelo link.
Alm disso, o estabelecimento de conexes amplia o consumo de memria nos equipamentos de interligao, que normalmente restrita.
Verses
11 SNMPv1:
22 Padro histrico IETF;
22 RFC 1157 de 1990;
22 Segurana baseada em comunidades;
22 Troca de informao baseada em textos simples.
11 SNMPv2:
22 RFC Principais 3416, 3417 e 3418;
22 Amplia as operaes definidas na verso 1;
22 Unificao dos PDU (Protocol Data Unit);
22 Possui variantes.
11 SNMPv3:
22 RFC 3410 3418 e 2576;
22 Avano em segurana e privacidade.
Existem trs verses principais do protocolo. O SNMPv1 definido pela RFC 1157 de 1990.
Usa SMIv1, apresenta as operaes Get, GetNext, Set e Trap. O controle de acesso baseado
no conceito de comunidade e no seguro.
O SNMPv2 definido pelas RFCs 3416, 3417 e 3418 e introduziu trs modificaes importantes:
11 Nos tipos de dados e nos objetos gerenciados;
11 No modelo de segurana, que acabou por mostrar-se invivel;
11 Nas operaes disponibilizadas pelo protocolo.
O SNMPv3 definido nas RFCs 3410, 3418 e 2576. A grande alterao trazida por esse protocolo o modelo de segurana, que permite uma implementao muito mais robusta do que
o esquema baseado em comunidades.
Figura 3.6
Encapsulamento do
protocolo SNMP.
73
11 Octet String.
11 Counter.
11 Object Identifier.
11 NULL.
11 Sequence.
11 Sequence of.
11 IpAddress.
11 NetworkAddress.
11 Gauge.
11 TimeTicks.
11 Opaque.
O padro SMIv1 define doze tipos de dados, utilizados para a definio de objetos:
11 Integer: nmero inteiro de 32 bits, normalmente utilizado para representar estados de
um equipamento. Independente da arquitetura do equipamento utilizado (32 ou 64 bits),
esse tipo de dados sempre 32 bits;
11 OctetString: define uma string de um ou mais octetos (bytes). Tambm utilizado para
representar endereos Media Access Control (MAC);
11 Counter: nmero inteiro de 32 bits, variando entre 0 e 232: 1. Ao atingir o valor mximo,
as variveis desse tipo voltam a armazenar o valor inicial (zero), uma vez que esse tipo de
dados pode ser apenas incrementado e de forma unitria;
11 ObjectIdentifier: string composta por nmeros decimais separados por pontos. Sua
finalidade representar os OID da rvore de identificao da ISSO;
11 NULL: valor nulo;
11 SEQUENCE: define uma lista que contm zero ou mais tipos;
11 SEQUENCE OF: define um objeto que formado por uma sequncia de um determinado
tipo. A diferena entre o tipo SEQUENCE e SEQUENCE OF que o primeiro composto
por um nmero determinado de tipos variados, j o segundo composto por uma lista
varivel de um determinado tipo. Por exemplo, uma linha de uma tabela um SEQUENCE;
uma tabela um SEQUENCE OF de uma linha;
74
sysUpTime OBJECT-TYPE
SYNTAX Time-Ticks
ACCESS read-only
STATUS mandatory
DESCRIPTION
The time (in hundredths of a second)since the network
management portion of the system was last re-initialized.
::= { system 3 }
Os objetos e seus atributos so definidos para representar informaes diretamente
relacionadas como equipamento. Sua definio se d atravs da macro ASN.1 OBJECT-TYPE,
contendo as seguintes informaes:
11 SYNTAX: define o tipo de dados a ser utilizado;
11 ACCESS: d a definio do tipo de acesso permitido. Os valores possveis so read-only,
read-write, write-only e not-accessible. O valor de not-acessible pode no fazer sentido
primeira vista, mas pode ser usado, por exemplo, para evitar que se solicite uma tabela
inteira em uma operao de busca (Get). Isso acontece porque a declarao de uma
tabela, na verdade, a declarao de uma sequncia de linhas. Essa sequncia tem um
OID como qualquer outro item de dado ASN.1. No entanto, o protocolo no permite que
a tabela inteira seja lida em uma nica operao. Assim, declara-se essa sequncia como
not-acessible para evitar pedidos diretos a ela, sem evitar que os objetos que a compes
sejam buscados.
11 STATUS: define o status do objeto, assumindo os valores mandatory, optional e obsolete;
11 DESCRIPTION: descrio livre sobre o tipo de informao a ser armazenada.
Finalmente, ao fim das definies, deve-se indicar a qual n pai o novo objeto ser subordinado e qual o seu OID. No exemplo apresentado, o objeto sysUptime encontra-se na sub-rvore system com o OID 3.
Interessante observar que o gerente tem o papel de cliente e o agente tem o papel
de servidor, j que o gerente faz solicitaes para o cliente. A exceo so os Traps.
75
SNMP Agent
Managed Resources
Application managed objects
SNMP Messages
SNMP Manager
Trap
GetResponse
SetRequest
GetNextRequest
GetRequest
Trap
GetResponse
SetRequest
GetNextRequest
GetRequest
Management Application
SNMP Agent
UDP
UDP
IP
IP
11 Trap: mensagem assncrona enviada pelos agentes ao gerente (no apresenta resposta).
76
Figura 3.7
Arquitetura
cliente-servidor do
protocolo SNMP.
GetRequest
GetResponse
SetRequest
Porta 161
GetResponse
GetNextRequest
MIB
GetResponse
Trap
Porta 162
GERENTE
Figura 3.8
Mensagens do
protocolo SNMP.
AGENTE
Comunidade
Nmero inteiro
indicando a
verso SNMP
(0 para SNMPv1)
O protocolo SNMPv1 suporta um esquema muito simples de autenticao. Uma comunidade um nome que especifica o nvel de acesso s facilidades oferecidas pelos agentes.
A ideia prevenir que gerentes desautorizados acessem a MIB de um determinado agente,
restringindo, assim, a informao vista por determinado gerente. Esse fraco esquema de
autenticao inibe o uso da operao de Set pela inerente falta de segurana.
Figura 3.9
Esquema de
uma mensagem
MIB
SNMPv1.
Verso
77
Entidade gerenciada
MIB
MIB view
(somente leitura)
Figura 3.10
MIB view.
11 Error Status: indicao se foi possvel realizar a operao solicitada e eventual cdigo de erro;
11 Error Index: em caso de erro, identifica o objeto no qual houve o problema;
78
Tipo PDU
ID
Status
do erro
ndice
do erro
Objeto 1
Valor 1
Objeto 2
Valor 2
Objeto x
Valor x
Objetos Vinculados
Em uma mensagem do tipo GetResponse, o campo error status indica o que ocorreu e o
campo error index aponta para o primeiro objeto que apresentou falha. Os seguintes cdigos
de falhar so usados:
11 noError (0): no houve falha;
11 tooBig (1): o agente no conseguiu enviar a resposta por ocupar muito espao;
Figura 3.11
Formato da PDU de
um GetResponse.
cializao (sysUpTime);
11 Lista de pares objeto-valor: objetos reportados pela trap.
Figura 3.12
PDU de uma
mensagem
do tipo Trap.
Tipo
Tipo
Endereo
Cdigo
Enterprise
Genrico
de PDU
do Agente
da trap
da trap
Time
Stamp
Objeto 1
Valor 1
Objeto 2
Valor 2
Objeto x
Valor x
Objetos Vinculados
Os seguintes tipos genricos de Traps esto definidos para o padro:
11 coldStart (0): dispositivo reiniciou;
11 Timestamp: tempo passado entre o momento em que foi gerada a trap e a ltima reini-
11 1.3.6.1.2.1.1.1.0
Objetos com valores mltiplos (mltiplas instncias)
11 1.3.6.1.2.12.2.1.2.1
11 1.3.6.1.2.12.2.1.2.2
11 1.3.6.1.2.12.2.1.2.3
Para fins de recuperao do valor de um objeto gerenciado, pode-se considerar que existem
dois tipos de objetos: aqueles que apresentam uma nica instncia e aqueles que apresentam mltiplas instncias. O primeiro corresponde aos objetos escalares, como sysDescr.
O segundo tipo corresponde a objetos posicionados dentro de tabelas, como ifSpeed, que
apresentar valor para cada interface de rede do equipamento. Essa distino importante
80
Toda instncia de um objeto de uma tabela ser identificado pelo OID, seguido pelo valor do
campo de ndice. Quando um OID um valor escalar, o ndice tem valor zero. Quando o objeto
gerencivel integrante de uma tabela, o valor do ndice est relacionado com a posio dele
na tabela. Por exemplo, pela definio a seguir, percebe-se que a tabela ifTable formada por
uma sequncia de objetos do tipo ifEntry. O objeto ifEntry, por sua vez, corresponde uma linha
da tabela e define que o ndice utilizado para identificar cada linha o objeto ifIndex.
ifTable OBJECT-TYPE
SYNTAX
SEQUENCE OF IfEntry
ACCESS
not-accessible
STATUS
mandatory
DESCRIPTION
A list of interface entries.
The number of
IfEntry
ACCESS
not-accessible
STATUS
mandatory
DESCRIPTION
An interface entry containing objects at the
subnetwork layer and below for a particular
interface.
INDEX
{ ifIndex }
::= { ifTable 1 }
Para identificar a velocidade da segunda interface do dispositivo, utiliza-se o OID seguido pelo
algarismo 2. Pode-se considerar que o gerente envia a seguinte mensagem para o agente:
11 GetRequest 1.3.6.1.2.1.2.2.1.5.2 ou seja deseja obter o valor do objeto gerencivel iso.org.
dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry.ifSpeed.2
81
Ressalte-se que uma tabela ser percorrida com sucessivos GetNext, coluna por coluna.
A operao GetNext...interfaces.ifTable.ifEntry.ifSpeed.1 retornar a velocidade da prxima
interfade (...interface.ifTable.ifEntry.ifSpeed.2) e no o endereo fsico da interface (...interface.ifTable.ifEntry.ifPhysAddress.1).
Tanto a operao Get quanto GetNext podem solicitar mais de um objeto gerenciado.
No entanto, se houver problema em algum deles, nenhum ser retornado.
11 1992: A primeira resposta veio nas RFCs de 1351 a 1353 e foi chamada de SNMP
seguro (incompatvel com a verso 1).
11 1993: A verso 2 foi oficialmente apresentada e hoje chamada de SNMPv2 clssica
ou SNMPv2p (baseada em parties).
11 1996: A verso SNMPv2 definitiva chamada de SNMPv2c (baseada em comunidades).
A partir das limitaes do protocolo SNMPv1, uma segunda verso foi desenvolvida. Dentre
as limitaes destacam-se:
11 No adequado para coletar grandes volumes de dados, porque precisa indicar a identificao de cada objeto gerencial a ser solicitado ao agente, gerando bastante trfego
de overhead, que pode crescer muito no caso de redes grande porte prejudicando a
performance da rede;
11 Possui autenticao baseada unicamente em nomes de comunidades, que podem ser
facilmente obtidos a partir de uma inspeo de trfego usando um sniffer, pois as mensagens do protocolo SNMPv1 no so criptografadas. Essa facilidade de obter indevidamente o nome da comunidade e ento poder usar essa informao para alterar de forma
no autorizada valores de configurao dos agentes SNMP inviabiliza a sua adoo para
controle (Set). Assim, o SNMP atualmente mais utilizado para fins de obteno de dados
dos agentes (monitoramento);
82
SNMPv2 Evoluo
SNMPv2p Party-based SNMPv2.
11 No obteve sucesso.
11 Contexto de operao baseado em parties.
11 Dificuldade para descoberta automtica.
SNMPv2c Community-based SNMPv2.
11 Contexto de operao baseado em comunidades.
11 Manteve algumas caractersticas do SNMPv2p.
22 Facilidade para declarao de objetos.
22 Melhor desempenho na troca de mensagens.
22 Melhor tratamento de erros.
A abrangente proposta SNMPv2 clssica (SNMPv2p) baseada em parties apresentou
um modelo de comunicao entre gerente e agente que utilizava uma autenticao para
limitar o acesso a um conjunto apenas de objetos gerenciados. Em 1995 foi feita mais uma
reviso do protocolo em resposta baixa aceitao da verso SNMPv2p. Tal reviso se deu
principalmente no que diz respeito ao contexto baseado em parties, configurao dos
agentes (para permitir a autenticao), dificuldade de descoberta automtica da rede e de
implementao do modelo administrativo e de segurana. O nico consenso ento obtido
foi aceitar as novidades no protocolo, porm permanecendo o contexto de operao sob a
antiga forma de nomes de comunidades como elemento de autenticao (fraca).
Posteriormente, foi apresentada mais uma verso de SNMP, agora chamada de SNMPv2c
(baseada em comunidades). Nesta, o modelo administrativo apresentado na verso clssica e baseado em parties foi completamente descartado.
Apesar do fracasso, pode-se considerar que h aspectos positivos apresentados na verso
objetos) e a melhoria da performance do protocolo na troca de informaes com um melhor
tratamento de erros. Uma til experincia prtica foi obtida nas implementaes e testes
com SNMPv2p.
Em resumo, SNMPv2c assimilou somente as novas mensagens, correes e SMIv2, esperando ainda melhorias em:
11 Segurana (o grande problema);
11 Configurao remota;
11 Infraestrutura administrativa.
83
Descrio
INTERGER
Inteiros no intervalo de -2 31 a 2 31 -1
UInterger32
Inteiros no intervalo de 0 a 2 32 -1
Counter32
Counter64
Gauge32
Time Ticks
Octet String
OIPAddress
Endereo IP de 32 bits
Opaque
Bit String
Object Identifier
Tabela 3.2
Novos tipos de
dados.
A SMIv2, definida pelas RFCs 2578 e 2579, um superconjunto da SMIv1. Alguns novos tipos
foram criados e houve uma melhora na definio dos tipos antigos. importante observar
que a SMIv2 uma evoluo totalmente compatvel com a SMIv1, com exceo do novo tipo
de dado Counter64 (contador com 64 bits).
84
getNextRequest.
11 Operao setRequest mais segura (Execuo em duas fases).
11 response o novo nome da operao getResponse.
11 Novas mensagens SNMP:
22 getBulkRequest
22 informRequest
22 Report (No implementado em SNMPv2)
22 Notification
85
que apresenta a
SNMPv2 Operaes
Com a no aceitao do modelo de segurana proposto em SNMPv2p, a mensagem
SNMPv2c possui os mesmos delimitadores e cabealhos da verso SNMPv1, com exceo
do campo verso, que agora tem valor 1 indicando a verso 2, alm da manuteno do
mesmo esquema de comunidades da verso 1.
A figura 3.13 mostra o mesmo cabealho e as diferenas nas operaes: comunicao
entre gerentes, a adio da mensagem InformRequest, a mudana de nome da mensagem
86
GetRequest
Response
InformRequest
Porta 161
Response
SetRequest
Response
Porta 161
GetBulkRequest
MIB
Response
Porta 162
GERENTE
Figura 3.13
Mensagens do
protocolo SNMPv2.
GERENTE
Comunidade
AGENTE
GetRequest-PDU = [0]
GetNextRequest-PDU = [1]
Response-PDU = [2]
SetRequest-PDU = [3]
-- [4]
GetBulkRequest-PDU = [5]
InformRequest-PDU = [6]
SNMPv2-Trap-PDU = [7]
Report -PDU = [8]
Verso
Trap / Notication
87
Manager Server
Management Applications
SNMPv2 manager
MIB
Element Manager
SNMPv2
SNMPv2
manager/agente
manager/agente
MIB
MIB
Agent
SNMPv2 agent
SNMPv2 agent
SNMPv2 agent
MIB
MIB
MIB
88
Figura 3.14
Hierarquia de
gerentes.
Estao de Gerncia
Tabela
TA
Gerencia os pedidos com
Response [X, Y, TA(1), TB(1), TC(1),
seis nomes de variveis:
TA(2), TB(2), TC(2),
para as duas primeiras
TA(3), TB(3), TC(3),
(non-repeaters = 2),
TA(4), TB(4), TC(4),
um nico valor pedido;
para as demais variveis,
TA(5), TB(5), TC(5),
seis valores sucessivos
TA(6), TB(6), TC(6)]
(max-repetitions = 6) so pedidos.
Figura 3.15
Exemplo de
consulta usando
GetBulkRequest.
TB
TC
Agente retorna um
valor nico para X e Y,
e seis para a tabela
j
SNMPv2 Mensagens
Como possvel observar na figura 3.16, na verso dois do protocolo SNMP houve uma
unificao de formatos de mensagens, evitando assim o overhead ao processar diferentes
PDU. Dessa forma, ao enviar uma mensagem do tipo Get, envia-se os campos de status e
ndice de erro com valor 0. J nas mensagens getbulkRequest, tais campos so utilizados
para informar os itens:
11 non-repeaters: especifica o nmero mximo de objetos escalares a ser enviado no response;
11 max-repetitions: define o nmero mximo de vezes que deve se seguir pelas variveis
de vrias instncias.
Tipo PDU
Request-ID
Variable-bindings
Request-ID
Status Erro
ndice Erro
Variable-bindings
(b) Response-PDU
Tipo PDU
Variable-bindings
(c) GetBulkRequest-PDU
Nome 1
Valor 1
Nome 2
Valor 2
...
Nome n
Valor n
(d) Variable-bindings
Figura 3.16
Formato das
mensagens do
SNMPv2.
89
Agentes monolticos.
11 No so extensveis.
11 Otimizados para determinadas plataformas de hardware e SO.
11 Melhor desempenho.
Agentes SNMP basicamente podem ser construdos de duas formas:
11 Agentes extensveis: so desenvolvidos com arquitetura aberta, com design modular
permitindo adaptaes para novos requisitos de dados de gerenciamento e extenses
operacionais;
11 Agentes monolticos: no so extensveis. So construdos com otimizaes para determinadas plataformas de hardware ou SO, visando melhor desempenho.
Agentes proxy
Um agente proxy uma entidade que repassa uma mensagem para outro agente. Isso pode
ser necessrio para acessar um agente que no fala SNMP ou para acessar um agente que
no apresenta suporte de rede TCP/IP. A figura 3.17 apresenta uma agente proxy interconectando um gerente a um dispositivo gerenciado que no est na rede TCP/IP.
Agente proxy
Estao de gerncia
Funo de mapeamento
Processo de gerncia
Processo de gerncia
SNMP
SNMP
UDP
UDP
IP
IP
Protocolos de rede
Protocolos de rede
Dispositivo gerenciado
Processo de gerncia
Arquitetura do protocolo
utilizada pelo proxy
Arquitetura do protocolo
utilizada pelo proxy
Protocolos de rede
Protocolos de rede
Alm das duas situaes apresentadas, um agente proxy pode ser utilizado para aumentar a
Figura 3.17
Agente proxy.
90
11 autenticao.
11 Privacidade.
View-based access control.
11 tipos de usurios.
11 partes da MIB.
Entre outras modificaes, uma das mais significativas realizadas na verso 3 do protocolo
SNMP est a implementao de um modelo de segurana mais seguro. Cada mensagem
SNMPv3 apresenta parmetros de segurana. So usadas chaves para garantir a autenticao e a privacidade na comunicao entre gerentes e agentes.
w
Para mais informaes:
http://www.snmplink.
org/
A fim de determinar que parte da MIB pode ser vista por determinado usurio, utilizado o
conceito de MIB view. Esse controle feito atravs de vrias tabelas:
11 vacmContextTable;
11 vacmSecurityToGroupTable;
11 vacmAccessTable;
11 vacmViewTreeFamilyTable.
Para cada acesso, necessrio que o agente verifique se o usurio tem direito de faz-lo.
Para tal, o usurio mapeado para uma MIB view que consiste dos objetos que podem ser
acessados. Haver diferentes vises de acordo com os diferentes modelos de segurana (com
criptografia, com autenticao etc.) e de acordo com a operao que est sendo realizada.
Com a implementao do SNMPv3, possvel utilizar o protocolo para atuar sobre agentes,
j que ele apresenta esquema de segurana suficientemente robusto.
Aplicaes
Command
Generator
Notication
Receiver
Proxy forwarder
Command
Responder
Notication
Originator
Outros
Subsistema
de segurana
Subsistema de
controle de acesso
Figura 3.18
Arquitetura
SNMPv3.
Dispatcher
91
Segurana SNMPv3
RFC 3414 The User-Based Security Model for Version 3 of the Simple Network
proposto at o momento para SNMPv3: o modelo User-Based Security Model (USM), embora
92
Tratada?
Mecanismo
Replay de mensagens
Sim
timestamp
Mascaramento
Sim
Integridade
Sim
Privacidade
Sim
DES
Negao de servio
No
Anlise de trfego
No
Tabela 3.3
Tabela de ameaas.
Ameaa
93
msgVersion
msgID
msgMaxSize
msgFlags
msgSecurityModel
msgAuthoritativeEngineID
Escopo autenticado
msgAuthoritativeEngineBoots
msgAuthoritativeEngineTime
msgUserName
msgAuthenticationParameters
msgPrivacyParameters
Escopo criptografado
contextEngineID
contextName
Figura 3.19
Formato da
mensagem do
protocolo SNMPv3.
11 Arquivos de configurao:
22 /etc/snmp/snmp.conf
22 /etc/snmp/snmpd.conf
O pacote NET_SNMP (http://net-snmp.sourceforge.net/) o pacote SNMP padro no mundo
Linux, possuindo tambm verses para Windows. Ele composto de um agente, vrias aplicaes em linha de comando e uma biblioteca SNMP. Ele pode ser encontrado tambm nos repo Gerncia de Redes de Computadores
sitrios dos Sistemas Operacionais Linux, sendo necessrio instalar os pacotes snmp e snmpd.
94
Seu agente, o snmpd, pode ser configurado para qualquer verso SNMP (1, 2 e 3) sobre
IPv4 ou IPv6. Alm disso, o agente suporta vrias MIBs, sendo extensvel (SMUX e AgentX).
Os arquivos de configurao do pacote esto no diretrio /etc/snmp/. Para o agente, os
arquivos relevantes so:
11 snmp.conf: configuraes padro para as aplicaes;
11 snmpd.conf: configuraes especficas para o agente;
11 O arquivo snmpd.conf possui inmeras opes. Para mais informaes, veja a man page
relacionada atravs do comando man snmpd.conf.
NET-SNMP Aplicaes
Snmpget
snmpgetnext
snmpwalk snmptable
snmpdelta
snmpdf
snmpnetstat
snmpstatus
snmpset
snmptranslate
tkmib
snmptrap
snmptrapd
Entre as aplicaes disponveis no pacote, as mais utilizadas so:
11 snmpget, snmpgetnext: obtm informao de dispositivos SNMP com requests;
11 snmpwalk: obtm toda a MIB implementada no agente atravs de mltiplos requests;
11 snmptable: obtm uma tabela SNMP completa;
11 snmpdelta: monitora as alteraes nas variveis de uma MIB;
11 snmpdf: obtm informaes de espao em disco na mquina remota;
11 snmpnetstat: obtm informaes de rede (status e configurao);
11 snmpstatus: obtm informaes de estado do dispositivo remoto;
11 snmpset: altera a configurao de dispositivos SNMP;
11 snmptranslate: mostra o contedo de MIBs em formato numrico ou textual;
11 tkmib: um MIB browser grfico desenvolvido em Tk/Perl;
11 snmptrap: envia traps SNMP;
11 snmptrapd: recebe notificaes SNMP e d destino a elas (log repassa para outro
gerente SNMP ou para outra aplicao). Possui um arquivo de configurao prprio: /etc/
NET-SNMP Configurao
11 Utilitrio para configurao: snmpconf
snmp/snmptrapd.conf.
95
11 man snmpvacm
96
Figura 3.20
Telas do NET-SNMP.
Parameter
snmp.conf token
securityName
-u NAME
defSecurityname NAME
authProtocol
-a (MD5 | SHA)
defAuthType (MD5|SHA)
privProtocol
-x (AES | DES)
defPrivType DES
authkey
-A PASSPHRASE
defAuthPassphrase PASSPHRASE
privKey
-X PASSPHRASE
defPrivPassphrase PASSPHRASE
securityLevel
-I (noAuthNo Priv|authNoPriv|authPriv)
context
-n CONTEXTNAME
defContext CONTEXTNAME
97
snmpgetnext
-v 3 (verso=SNMPv3)
-n (contexto)
-u MD5User (securityName)
-a MD5 (protocolo de autenticao)
-A Frase (passphrase de autenticao)
-l authNoPriv (securityLevel)
test.net-snmp.org (destino)
sysUpTime (objeto pedido)
Comando
98
4
Conhecer os monitores de redes, aprender as caractersticas da MIB RMON e RMON2
e suas extenses SMON. Aprender as caractersticas do monitor de trfego ntop.
Entender o gerenciamento de hosts e sistemas.
conceitos
Monitores
Monitores so equipamentos e/ou softwares usados para observar e controlar uma determinada LAN ou conjunto de dispositivos. So tambm chamados de probes e possuem
algum tipo de inteligncia, alm de armazenar dados coletados.
Monitores so teis na medida em que conhecem o comportamento normal da rede e
alertam um gerente, com uma mensagem de trap, sobre a ocorrncia de uma anormalidade.
Para tal, precisam conhecer limites de erros e perfis de trfego.
Uma caracterstica importante de um monitor a sua independncia em relao ao gerente.
Mesmo que ocorra uma falha no gerente, os monitores continuam a coletar dados e a
armazen-los. Podem ter mltiplas interfaces de rede, permitindo o monitoramento de
vrias redes locais distintas ou do trfego entre elas.
Monitores sabem o que ocorre na rede e possuem inteligncia para reagir a certas situaes, sendo extremamente teis. A figura 4.1 mostra o desenho de uma rede com um
monitor, chamado Probe RMON, e um gerente.
objetivos
99
Figura 4.1
Rede local com
um monitor
(Probe RMON).
Probe RMON
A figura 4.2 apresenta uma rede mais complexa em que a funo de monitoramento est
espalhada por diversos dispositivos. possvel visualizar dois computadores pessoais e um
roteador funcionando como monitores.
Site central
Estao de
Gerncia
RMON
Ethernet
Roteador
c/ RMON
Roteador
Backbone
Gigabit
Roteador
Switch
Ethernet
Backbone
FDDI
100
Ethernet
PC com
agente
RMON
PC com
agente
RMON
Figura 4.2
Rede com trs
monitores.
RMON Objetivos
1. Operao independente da estao gerenciadora;
Configurao do RMON
11 Diz respeito a como o monitor far a coleta dos dados.
11 Usa duas tabelas: tabela de controle (configurao das coletas) e tabela de dados
11 Dois tipos de dados da tabela de controle definem o acesso aos dados:
22 OwnerString: uma string que identifica o dono da entrada na tabela.
22 EntryStatus: um valor inteiro que indica o estado atual da entrada na tabela.
Valores possveis:
33 valid (1), createRequest (2), underCreation (3), invalid (4).
A configurao do RMON basicamente diz respeito ao que se deseja monitorar e aos
limites a serem testados. Para cada estatstica, existem parmetros definidos pelo gerente
(exemplo: intervalo de medio).
Normalmente, existem duas tabelas: uma de controle (control table) e uma de resultados
do monitoramento (data table). A partir do momento em que a tabela de controle configurada, a monitorao vai gerar informaes que sero dispostas na tabela de dados.
As tabelas de controle apresentam dois campos que evitam problemas na coleta de dados:
11 OwnerString: diferentes gerentes podem solicitar determinada monitorao, por isso,
h necessidade de um campo que identifique quem fez o pedido; cada entrada nessa
tabela possui um identificador que ser usado depois para reconhecer o dado coletado
na tabela de resultados;
(resultados).
101
11 EntryStatus: para encerrar uma monitorao, deve-se alterar o status da linha correspondente para invalid, a fim de no perder os dados; para criar uma monitorao, o status
deve ter o valor createRequest; a monitorao inicial quando o status for igual a valid.
Alguns problemas que podem surgir com a utilizao de um mesmo monitor por vrios
gerentes:
11 Muitos pedidos concorrentes de vrios gerentes podem sobrecarregar a capacidade de
um monitor;
11 Uma nica estao gerente pode alocar recursos do monitor e mant-los por muito tempo;
11 Uma estao gerente pode alocar recursos e sofrer um problema, impedindo a liberao
desses recursos para outros gerentes.
22 statistics (1)
22 history (2)
22 host (4)
22 hostTopN (5)
11 Matriz de trfego entre sistemas:
22 matrix (6)
11 Grupos de filtragem e captura de trfego:
22 filter (7)
22 packet capture (8)
11 Grupos de alarmes e eventos:
22 alarm (3)
22 event (9)
A RMON 1 permite o monitoramento do trfego no nvel de enlace. Ela composta por nove
grupos de objetos gerenciados principais:
11 statistics (1): contm estatsticas de trfego (octetos, colises, erros etc.) para cada
interface e rede;
11 history (2): controla a amostragem estatstica peridica dos diversos tipos de rede e
armazena as amostras para posterior recuperao;
11 alarm (3): o grupo contm variveis que devem ser vigiadas, e os eventos que sero dis-
102
parados no caso dessas variveis ultrapassarem certos limites. Esses limites definem os
indicativos de problemas e de normalidade. Sua implementao exige o grupo event;
11 host (4): contm estatstica para cada host na rede;
11 hostTopN (5): controla e armazena relatrios com os hosts que apresentarem nmeros
mais relevantes (tops) para diferentes estatsticas. Os hosts so ordenados e apresentados
em uma tabela para fins de gerao de relatrios. Requer a implementao do grupo host;
11 matrix (6): armazena estatsticas para conversas entre pares de hosts. Aqui h o reconhecimento das origens e destinos dos pacotes que trafegam na rede. Uma entrada
criada para cada nova informao de comunicao entre dois endereos obtida de
pacotes recebidos. til para deteco de intrusos;
Eventos e alarmes
Alarmes podem ser configurados para dispararem em resposta a eventos observados pelo
monitor. Por exemplo, o monitoramento do nmero de erros em um segmento de LAN
pode ser parametrizado com um limite superior (rising threshold) e um inferior (falling
threshold).
Eventos podem ser configurados para que sejam disparados em funo dos parmetros
acima. Por exemplo, o envio de uma trap que alerta para o alto nmero de erros na LAN e de
outra trap informando o retorno a um estado de normalidade (figura 4.3).
Evento gerado
Limiar: 40
Rearmao: 10
Evento gerado
Figura 4.3
Eventos e alarmes.
RMON 2
Diferena para a RMON 1:
11 Camada de rede.
11 Camada de aplicao.
Grupos:
11 Protocol Directory (11).
11 Protocol Distribution (12).
11 Address Map (13).
11 Network Layer Host (14).
11 Network Layer Matrix (15).
11 Application Layer Host (16).
11 Application Layer Matrix (17).
11 User History Collection (18).
11 Probe Configuration (19).
Tempo
103
Como visto, RMON 1 captura e analisa quadros (nvel de enlace). J a MIB RMON2 permite a
anlise das camadas superiores da arquitetura TCP/IP (figura 4.4).
Aplicao
Apresentao
Sesso
Transporte
Rede
Fsica
RMON 2
RMON 1
Com isso, os fenmenos de trfego podem ser melhor compreendidos (fatos como aplicaes mais pesadas, servidores mais acessados, protocolos mais exigidos, etc.). Qualquer
camada acima de rede chamada de camada de aplicao, o que no significa que seja da
camada 7.
Com a RMON2 possvel analisar questes pertinentes aos protocolos mais utilizados
em uma rede local, por exemplo. Torna-se vivel identificar as aplicaes que causam
momentos de pico no uso da rede e at mesmo tomar decises quanto disposio de equipamentos em switches e VLANs.
Os seguintes grupos de objetos gerenciados so definidos na MIB RMON 2 (RFC 4502):
11 Protocol Directory (protocolDir): informaes sobre os diversos protocolos que o
monitor pode analisar;
11 Protocol Distribution (protocolDist): dados do trfego apresentado por protocolo;
11 Address Map (addressMap): dados do mapeamento de endereos MAC em endereos
de rede e portas;
11 Network Layer Host (nlHost): estatsticas do protocolo de rede por host;
11 Network Layer Matrix (nlMatrix): estatsticas do protocolo de rede por pares de hosts;
11 Application Layer Host (alHost): estatsticas dos protocolos de aplicao hosts;
11 Application Layer Matrix (alMatrix): estatsticas do protocolos de aplicao por pares
de hosts;
104
Figura 4.4
Camadas
monitoradas pela
RMON1 e RMON2.
11 Configurao geral.
Tabelas do grupo.
11 protocolDirTable.
O grupo Protocol Directory a base para configurao da RMON2. Possui uma tabela (protocolDirTable), na qual so definidos os protocolos monitorados. A MIB considera que podem
ser monitorados protocolos de rede e de aplicao. Deve-se considerar que no contexto da
RMON2 aplicao qualquer protocolo acima da camada de rede. Isso inclui os protocolos
de transporte.
A configurao dessa tabela deve ser realizada antes do agente iniciar. Cada linha dessa
tabela estabelece uma monitorao associada a um dono. Dessa forma, possvel configurar que determinado gerente pretende monitorar vrios protocolos de rede e aplicao.
11 Estatsticas gerais.
Tabelas do grupo.
11 protocolDistControlTable.
11 protocolDistStatTable.
O grupo Protocol Distribution apresenta uma tabela de controle e outra de dados.
Na tabela de controle (protocolDistControlTable), configura-se as interfaces em que se
deseja monitorar os protocolos definidos no grupo anterior. Nela armazenada, alm da
interface, o nmero de quadros no analisados, o momento em que a monitorao foi
105
(acima da camada de rede) para cada endereo. A configurao de qual interface deve ser
106
monitorada feita na tabela hlHostControlTable, do grupo Network Host Layer. Para cada
protocolo e cada mquina, possvel verificar o nmero de pacotes de entrada e sada e o
nmero de octetos de entrada e sada. Pode-se, por exemplo, determinar o trfego HTTP de
um determinado servidor.
2. Extenso da RMON.
22 RCF 2613.
22 Grupo smonVlanStats.
22 Grupo smonPrioStats.
22 Grupo dataSourceCaps.
A utilizao da MIB RMON baseada na capacidade de os monitores capturarem o trfego
de uma rede. Tal tcnica data da poca em que as redes locais eram construdas com hubs
e no switches. A utilizao de hubs fazia com que mensagens encaminhadas para determinado equipamento fossem replicadas para todas as portas. A natureza broadcast de uma
rede baseada em hubs tornava a monitorao do trfego uma tarefa trivial, exigindo apenas
que o monitor tivesse capacidade de processar e armazenar o que estava sendo transmitido.
A utilizao de switches, ao mesmo tempo em que proporcionou melhor desempenho e
maior segurana para as redes Ethernet, introduziu uma dificuldade de monitorao do
trfego. Com switches, os dados so transmitidos apenas para as portas nas quais o destino
est conectado. Dessa forma, a simples colocao de uma estao em um switch no
permite a captura dos pacotes que so transmitidos na rede local. At mesmo quadros de
broadcast so restritos a algumas portas na medida em que se utilizam VLANs.
22 Grupo portCopy.
107
A fim de superar essa dificuldade e permitir o uso de monitores de trfego em redes com
switches, foi criada uma extenso da RMON, denominada SMON. Nessa MIB so definidos
quatro grupos responsveis pela soluo de monitorao:
11 smonVlanStats
11 smonPrioStats
11 dataSource
11 portCopy
2. Tabelas do grupo.
3. Exemplos de dados monitorados.
O grupo smonVlanStat responsvel pela configurao e monitorao das tabelas da
VLANs. A monitorao baseada no identificador da VLAN, conforme definido no padro
802.1Q. Atravs desse grupo, possvel obter informaes de alto nvel de uso total de uma
VLAN e trfego no unicast.
A tabela smonVlanStatsControlTable permite a configurao da monitorao. J a tabela
smonVlanIdStatsTable contm as estatsticas coletadas. Entre os dados coletados, podem
ser citados:
11 Nmero total de pacotes de determinada VLAN;
11 Nmero total de octetos de determinada VLAN;
11 Nmero total de pacotes no unicast de determinada VLAN;
11 Nmero total de octetos no unicast de determinada VLAN;
11 Momento da ltima alterao da estatstica.
2. Tabelas do grupo.
3. Exemplo de dados monitorados.
O grupo smonPrioStat permite a monitorao a partir da definio codificada no campo Tag
Control Information (TCI) das VLANs. Os dados relativos a determinada TCI so agrupados
em estatsticas. A tabela smonPrioStatsControlTable permite a configurao da monitorao
Gerncia de Redes de Computadores
108
exemplos de contadores:
11 Nmero total de pacotes contados no nvel de prioridade selecionado;
11 Nmero de octetos contados no nvel de prioridade selecionado.
2. Tabela do grupo.
O grupo portCopy permite copiar todos os quadros de determinada origem para uma porta
do switch. possvel realizar cpias um-para-um, um-para-muitas, muitas-para-uma ou
muitas-para-muitas. Ao realizar essa configurao, deve-se estar atento para a possibilidade
de perdas se a porta destino no tiver capacidade de suportar o trfego gerado. Incentiva-se que os dispositivos de rede suportem pelo menos esse grupo da MIB SMON a fim de que
seja possvel configurar o espelhamento e algum monitor que implemente RMON possa
fazer a captura dos dados.
A tabela portCopyTable gerencia o espelhamento. Cada linha da tabela define um relacionamento
entre origem e destino. Os campos portCopySource, portCopyDest, portCopyDestDropEvents,
portCopyDirection e portCopyStatus formam a tabela e definem, respectivamente, a porta
que ter os pacotes redirecionados, a porta para aonde os pacotes sero redirecionados,
o nmero de vezes que pacotes no foram redirecionados por falta de recursos, que tipo de
dado ser redirecionado (recebido, transmitido ou ambos) e o estado operacional do redirecionamento. Deve-se observar que os campos portCopyDestDropEvents e portCopyStatus no
so preenchidos na configurao. So informaes geradas pelo monitor SMON.
2. Tabela principal.
O grupo dataSourceCaps descreve fontes de dados e capacidade de redirecionamento de
portas. Esses dados podem ser utilizados pelo sistema de gerncia da rede para descobrir
os atributos de um agente. A tabela preenchida pelo agente SMON.
ntop
11 O que .
11 Caractersticas.
O ntop um monitor de trfego que mostra a utilizao de rede, rodando sobre Unix/Linux
e Windows.
Atravs de um web browser, possvel navegar nas informaes de trfego que ele disponibiliza e ter um snapshot da situao da rede. Sua configurao tambm feita via browser.
Ele roda normalmente na porta 3000. A figura 4.5 apresenta uma tela do programa ntop.
109
Apesar de no suportar o padro RMON, o ntop se comporta como um monitor remoto com
uma interface web que no consome muitos recursos de CPU e memria.
Caractersticas:
11 Ordena a informao de trfego segundo diversos critrios: protocolo (vrios); origem/
destino; matriz de subredes;
110
Figura 4.5
Tela do ntop.
Tabela 4.1
Grupo TCP da MIB II
para gerenciamento
de performance.
Objeto
tcpActiveOpens
tcpPassiveOpens
tcpInSegs
tcpOutSegs
tcpConnTable
111
tConnState
Estado da conexo, que pode ser qualquer um entre os estados assumidos pela
conexo TCP: LISTEN, SYN-SENT, SYNRECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2,
CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT e CLOSED, ilustrado na figura 4.6.
tConnLocalAddres
Endereo TCP local (valor 0.0.0.0 usado no caso de conexes que esto no estado de
LISTEN, ou seja, aptas a aceitarem conexes de qualquer endereo IP associado).
tConnLocalPort
tConnRemoteAddres
tConnRemotePort
Porta IP remota.
O campo tcpConLocalPort determina a porta usada pelas aplicaes que esto ativas para
receberem conexes no host. Essas aplicaes fizeram um open passivo, que implica em
serem ativadas e a porta a elas associadas passou do modo CLOSED para o modo LISTEN, tal
como ilustrado no diagrama de estado do protocolo TCP (figura 4.6). A consulta a esse objeto
Tabela 4.2
Grupo TCP da MIB II
para gerenciamento
de segurana.
Saiba mais
connect/SYN
CLOSED
Muitas aplicaes
TCP usam portas bem
definidas, tais como
25-email, 22-ssh, 20
e 21-ftp, tornando
possvel determinar
quais aplicaes esto
fazendo ou recebendo
conexes TCP.
close/listen/SYN/SYN+ACK
close/-
LISTEN
send/SYN
RST/
SYN-RCVD
close/RST
SYN-SENT
timeout/RST
SYN/SYN+ACK
ACK/
SYN/SYN+ACK
close/FIN
112
ESTABLISHED
close/FIN
FIN/ACK
FIN/ACK
FIN-WAIT-1
ACK/
CLOSING
FIN+ACK/ACK
FIN-WAIT-2
ACK/
TIMED-WAIT
CLOSE-WAIT
close/FIN
LAST ACK
FIN/ACK
timeout/
ACK/
Figura 4.6
Diagrama de estado
do protocolo TCP.
udpOutDatagrams
udpNoPorts
udpInErrors
11 Storage group: quantidade de memria principal, tabela de dispositivos de armazenamento, tipos de dispositivos, descrio, unidades de alocao, tamanho das unidades de
alocao usadas, bem como eventuais falhas de alocao. Esses objetos permitem monitorar continuamente os servidores e detectar se algum recurso est sendo consumido
at seu limite. A falta de rea de disco um problema que pode impedir o funcionamento
de algumas aplicaes.
Tabela 4.3
Grupo UDP
da MIB II para
gerenciamento de
aplicaes.
udpInDatagrams
113
11 Device group: tabela de dispositivos, tipo, descrio, nmero de erros, tabela de processadores, utilizao, placas de rede, tabela de impressoras, status, estado de erro detectado,
tabela de discos e de parties, tabela de sistemas de arquivos, ponto de montagem, permisses de acesso, se bootvel ou no, datas de backup parcial e completo;
114
11 Running software performance group: para cada processo em execuo, so apresentadas o consumo de CPU (em centsimos de segundo) e de memria do processo.
Esses objetos permitem monitorar remotamente os aplicativos sendo executados na
mquina, e assim avaliar se algum deles est consumindo recursos de forma anormal.
11 Installed software group: uma tabela tem uma entrada para cada software instalado:
115
Gerenciamento de aplicaes
O propsito das tecnologias de informtica a execuo de aplicaes, que precisam de
recursos para funcionar.
importante poder configurar aplicaes, detectar falhas, monitorar o desempenho de
aplicaes e acompanhar a aplicao ao longo de sua vida, e tudo isso pode ser monitorado
mediante o uso da Host MIB. importante ressaltar que a anlise da rede deve ser feita de
forma holstica, isto , integrando todos os aspectos, pois eles tm impacto mtuo. Um roteador descartando pacotes pode provocar sobrecarga em um servidor e, reciprocamente, um
servidor que esteja recebendo uma carga de trfego superior sua capacidade de processamento/armazenamento pode causar congestionamento na rede em funo das inmeras
perdas de pacote e consequentes retransmisses que ocorreriam.
Network
Manager
Ro
Host MIB
uter MIB
Figura 4.7
Usando a Host MIB.
A gerncia de aplicaes pode ser feita com software especializado, que frequentemente faz
parte do prprio software da aplicao (monitores, logs, consoles etc.). Todavia, em funo
das informaes disponibilizadas pelo Host MIB, a monitorao dos recursos do host pode
ser feita a partir de qualquer plataforma de gerncia de rede, pois as informaes necessrias
podero ser buscadas mediante o uso do protocolo SNMP. A integrao de diversas estrat-
gias de gerenciamento desejvel para que uma viso completa do cenrio seja possvel.
116
HOST
SISTEMA
OPERACIONAL
Application MIB
Network Services
Monitoring MIB
MIB Genrica do
Tipo de Aplicao
MIB Especca de
Produto (Proprietria)
APLICAO
Figura 4.8
Integrao de
gerenciamento
de redes e de
sistemas.
Figura 4.9
Exemplo de
relatrio de
gerncia de host.
117
Figura 4.10
Evoluo do tempo
de resposta do
servidor.
Observando esse grfico, percebe-se que h picos peridicos em que o tempo de resposta aumenta. Sabendo que backups semanais so realizados como rotina da instalao,
deduz-se que tais picos de aumento no tempo de resposta devem coincidir com o perodo
118
5
objetivos
Aspectos e aplicaes de
plataformas de gerncia
Conhecer os modelos de gerncia; Aprender sobre Network Management System
(NMS); Saber como a arquitetura de um sistema de gerncia; Usar uma anlise
FCAPS na definio de um NMS; Conhecer as Network Management Systems
disponveis no mercado.
conceitos
Modelos de gerncia
Quando se planeja a criao de uma infraestrutura de gerncia de redes, um bom incio
Saiba mais
Devido dependncia
crescente da infraestrutura de TI por parte
das organizaes, a
escolha da ferramenta
de gerncia est cada
vez mais passando ao
largo de uma deciso
puramente tcnica para
se tornar uma deciso
estratgica dentro das
organizaes.
SLA
zao e a satisfao dos clientes e usurios. Casos como integrao da telefonia tradicional
Figura 5.1
Gerncia de Redes
e Gerncia de
Servios de TI.
Aquele mundo distante, onde a falha em um equipamento era rapidamente notada pelo
administrador da rede, hoje fica oculta pela resilincia planejada para a prpria infraestrutura, fibras pticas em anel, redundncias de todo o tipo: nobreaks, geradores, servidores,
balanceadores de carga, cabeamento, switches, roteadores, circuitos de comunicao e, em
alguns casos j nem to comuns, a redundncia de todo o datacenter. Esses so fatos cada
vez mais comuns, devido dependncia que as empresas hoje possuem para manter todo o
seu negcio. Em um futuro prximo, conceitos como Internet of Things (IoT) sero aplicados,
gerenciando a utilizao da energia (lmpadas), sistemas de ar-condicionado do datacenter e
at mesmo onde se encontram fisicamente os dispositivos mveis da empresa (Pads, celulares
etc.). Tudo isso tende a ser gerenciado utilizando-se uma plataforma nica como uma maneira
de diminuir a complexidade associado a vrias plataformas de gerncia independentes.
Nesse contexto, muitas instituies necessitam no somente de uma gerncia da infraestrutura bsica baseada nos principais elementos da rede, mas sim da possibilidade de crescimento dessa gerncia at que ela consiga responder de forma unssona a todos os fatores
120
Network
Performance
Monitoring
Network
Management
System
IT Asset
Management
Application &
Server Monitoring
Database
Monitoring
at
io
nT
ech
n olo
g y Infra e
tu
struc
)
IL
fo
Bandwitch &
Trac Analysis
IT
In
re
Li
a
br
ry
O primeiro ponto a se estabelecer quando se fala da definio de gerncia da rede justamente delimitar a gerncia esperada para a instituio, traando as linhas bsicas e as
melhores prticas demandadas para a gerncia de servios do negcio (Business Service
Management BSM) em relao gerncia de TI da empresa (Information Technology
Service Management ITSM), e destas para a gerncia da rede propriamente dita (Network
Management System NMS). Uma definio importante aqui a da integrao desejvel
entre esses elementos.
Um dos modelos frequentemente utilizados nas empresas o Information Technology
Infrastructure Library (ITIL). Nesse modelo, os processos de gesto de TI tm foco no cliente
e permitem definir entre outras coisas a relao de dependncia de cada um dos elementos
de TI da empresa (roteadores, switches, servidores etc.) para cada um dos servios prestados aos clientes.
J as ferramentas do BSM so projetadas para auxiliar a organizao quanto viso da
empresa a respeito da rea de TI, fornecendo recursos a esta, de maneira a melhor manter
os servios prestados pela rea empresa e seus clientes. Em suma, BSM auxilia na gesto
de TI atravs de uma abordagem baseada nos servios de TI (ITSM). Novos sistemas BSM
utilizam uma viso unificada de um datacenter, permitindo que os administradores possam
gerenciar desde as aplicaes individualmente at os menores eventos da rede de forma
unificada (em um mesmo monitor), conseguindo antecipar ou visualizar possveis problemas
antes que os usurios os percebam.
Figura 5.2
BSM, SLM e ITIL
(fonte: http://www.
manageengine.ca/
it360.aspx).
rm
(BSM)
ent
em
ag
an
M
End User
Experience
Monitoring
Se
rv
e
ic
Servic
e Le
vel
M
an
ag
Bus
ine
ss
M)
(SL
t
en
em
121
Process &Services
Business Process 1
Service A
Business Process 2
Service B
Bussiness
Perspective
Service C
Application
Application X
Application Y
Infrastructure
Network
Server
Storage
Databases
Technical
Perspective
122
Figura 5.3
Mapeamento
de dependncia
entre processos
de negcio e
elementos da rede.
FCAPS
Falhas
Configurao
Contabilizao
Desempenho
Segurana
Gerncia do Negcio
No
Sim
Sim
Sim
Sim
Gerncia de Servios
Sim
Sim
Sim
Sim
Sim
Gerncia de Redes
Sim
No
Sim
Sim
Sim
Gerncia de Elementos
Sim
No
Sim
Sim
Sim
Operao
No
No
Sim
Sim
Sim
Administrao
No
Sim
Sim
Sim
Sim
Manuteno
Sim
No
Sim
Sim
Sim
Provisionamento
Sim
No
No
No
No
implantao
Sim
No
No
No
No
Garantias
No
Sim
Sim
Sim
Sim
Faturamento
No
Sim
Sim
No
No
Suporte e Facilidades de
Opreao
No
No
No
No
No
Sim
Sim
Sim
Sim
Sim
ISO CMIP/CMS
Sim
Sim
Sim
Sim
Sim
TMN
OAM&P
TOM /e TOM
Figura 5.4
Alguns modelos
de gerncia.
123
Bussiness Topology
Regis
Industries
ACME
limited
Order
Management
Order
Capture
Order
Status
Order
Modication
Application Topology
Finance
FI-1
Order Processing
FI-3
FI-2
OP-NY
OP-UK
CRM
CRM
East
OP-LA
ERP
OP-JP
ERP-NY
Fulllment
CRM
West
Full-1
Full-2
ERP-JP
ERP-UK
SCM
Full-3
SCM-1
SCM-2
Infrastructure Topology
ERP-1
FI-1
FI-2
FI-3
OP-NY
ERP-2
OP-LA
Switch5
OP-UK
Switch1 b
Switch1 a
OP-JP
Switch4
Router3
Router4
Switch0
124
CRM-2
CRM-1
SCM-2
CRM-6
CRM-5
ERP-3
SCM-1
SCM-6
Switch2
CRM-3
CRM-4
Full-1
Switch3
Full-2
Full-3
Switch4 SCM-5
SCM-3
SCM-4
Existem vrias funcionalidades das diversas plataformas de gerncia, e a forma mais comum
de caracterizar suas funes utilizando o modelo Fault, Configuration, Accounting,
Performance e Security (FCAPS).
Figura 5.5
Camadas
de gerncia.
11 Muitas ferramentas so excelentes, mas exigem alto nvel de conhecimento para tirar
proveito delas;
11 Uma boa ferramenta permite tanto customizao quanto reconhecimento automatizado da rede;
11 Ideia fundamental: quanto menos informao o usurio precisar inserir, melhor.
O ponto fundamental que rege a escolha do NMS a ser implementado sem dvida que ele
seja adequado s necessidades e expectativas que se tem. Investir em ferramentas caras
nem sempre a melhor soluo, j que as inmeras funcionalidades dispendem um conhecimento no desprezvel para o seu uso.
11 A interface grfica deve mostrar claramente as falhas da rede;
existem sistemas que exigem a instalao de um cliente especfico para realizar algumas
funes, fazendo distino entre um acesso web e um acesso pelo cliente instalado
(exemplo: edio dos mapas da rede).
Outro ponto relevante a possibilidade de definir-se perfis e grupos de usurios como
administrador e operador, o que evitar que configuraes da gerncia de determinados
segmentos (exemplo: banco de dados) sejam alterados por outra equipe de trabalho
(exemplo: equipe de suporte a redes). Grupos e subgrupos de trabalho so bastante teis,
mas so poucas ferramentas que os implementam de uma forma efetiva e integrada usando
plataformas de autenticao, como Ldap.
11 O software escolhido passvel de integrao?
Um dos pontos fundamentais para essa definio sempre a interface de uso, j que
125
dade de integrao com as ferramentas existentes acaba sendo necessria. Um fato comum
uma nova soluo de gerncia ter de se integrar com um sistema de registro de problemas
j existente na empresa. Um caso a necessidade de abertura de tickets via API ou e-mail
para realizar essa integrao.
11 Existe uma boa interface de relatrios:
126
22 Integradas;
22 Curva de aprendizado relativamente rpida;
22 Intuitivas.
11 Plataformas gratuitas:
22 Funcionalidades bsicas;
22 Reaprendizado constante;
22 Risco de descontinuidade.
Quando se chega nesse ponto, uma boa sada novamente a avaliao do modelo FCAPS
para definir quais as funcionalidades so necessrias para definir o que precisa ser gerenciado na instituio. A anlise inevitavelmente passa pelo fator financeiro, e deve-se ter em
mente que muitas vezes existe somente uma substituio entre custo da ferramenta e custo
de pessoal para manter ferramentas gratuitas ou de baixo custo.
Os NMSs de primeira linha geralmente possuem uma plataforma totalmente modular, permitindo o crescimento e melhorias no gerenciamento das organizaes atravs da aquisio de
novos mdulos de gerncia. As plataformas comerciais de primeira linha em geral disponibilizam
centenas de mdulos e plug-ins que aumentam a lista de elementos que podem ser gerenciados,
11 CA Spectrum (www.ca.com/spectrum);
11 HP IMC Intelligent Management Center;
11 HP NNM: Network Node Manager (www.hp.com/go/nnm);
11 IBM Tivoli Netcool Network Management (www.ibm.com/tivoli);
11 BMC Suite.
Existem ainda NMSs que no so to completos no que se refere integrao com diferentes modelos e processos de negcio, mas possuem um crescimento mais limitado e
enfoque mais tcnico (para administradores de sistemas e gerentes de rede).
Alguns NMS tm custos acessveis para empresas pequenas e mdias, como por exemplo:
11 OPManager;
11 SNMPc;
11 WhatsUP Gold;
11 Zabbix;
128
Banco de dados
Tables
Scalars
notications
Rede gerenciada +
Muitos objetos gerenciados
Clientes
DNS
Respostas,
noticaes
e informes
NMS
Gets, Sets
Para que toda essa automao seja realidade, a soluo torna-se bastante complexa,
exigindo que cada um dos processos e conhecimento seja inicialmente ensinado para o NMS
e, claro, que esse tenha em sua complexa arquitetura as aplicaes que suportam essa
inteligncia. Nesses pontos que se encontram os principais diferenciais das arquiteturas e
implementaes dos diversos NMSs do mercado.
Componentes de um sistema de gerncia:
Figura 5.6
Soluo de
gerncia SNMP.
129
Interface Grca
API
Aplicaes de gerenciamento
Descoberta de Rede
Tratamento de eventos
Ger. Congurao
MIB Browser
Monitoramento
API
Kernel do NMS
Lo
g de eventos
Protocolos
Processamento da informao
DB
Rede
Agente
Agente
Agente
Agente
MIB
MIB
MIB
MIB
Figura 5.7
A arquitetura de um
NMS e suas APIs.
130
11 Arquitetura de plug-ins;
Descoberta da rede
11 Forma ativa.
11 Forma passiva.
A descoberta da rede um item particular de algumas plataformas e possui caractersticas
bastante diferenciadas entre as plataformas. Tem como base dois algoritmos fundamentais,
um que permite a pesquisa de forma ativa (pesquisando por servios e hosts a partir de um
conjunto de endereos IP), ou simplesmente observando o trfego de rede e descobrindo
cada um dos elementos da rede.
A forma ativa envia a informao na rede, na tentativa de descobrir cada um dos elementos,
usando vrios protocolos distintos para descobrir os dispositivos e a topologia, como ARP,
ICMP, SNMP, HTTP, SSH etc. Esses protocolos so indicados pelo administrador da rede no
importante analisar quais servios a plataforma em questo capaz de tratar, e se para esse
momento da descoberta.
131
Correlao de alarmes
Eventos so informaes relevantes da atividade da rede, que podem ou no representar
Gerncia de Redes de Computadores
uma falha, assim como uma nica falha da rede pode desencadear inmeros eventos. Cabe
plataforma de gerncia reconhecer e agrupar esses eventos de forma a definir qual o
problema em questo e, dessa forma, gerar um ou vrios alarmes para o operador da rede.
Deve portanto haver filtragem de eventos capazes de gerar alarmes:
11 Filtros baseados em limiares determinam um alarme;
11 Filtros que agrupam eventos identificando um nico alarme;
11 Filtros que associam criticidade aos eventos;
11 Filtros que configuram uma ao no caso de vrios alarmes.
Uma vez que todas as informaes das atividades da rede tenham sido devidamente
filtradas e agrupadas (exemplo: o caso de um switch que cai e deixa sem acesso vrios
servidores), os problemas gerados podem acionar um ou vrios alarmes, e a capacidade da
132
minimamente possa definir que essa dependncia existe, ou, ainda, em plataformas mais
simples os objetos com falhas simplesmente so colorizados na interface e cabe ao administrador entender a sua interdependncia.
Agentes
Informaes
no solicitadas
o
x
Informaes
solicitadas
x x
o
o
Lo
g de eventos
o
o
x
Atividade da Rede
Polticas
Eventos na Rede
Correlao de Eventos
(Filtro de agrupamento)
Problemas na Rede
(Gerando Alarmes)
Filtro de Prioridade
Topologia
3
Alarmes Priorizados
1
Noticao de Alarmes
FAX
PAGER
Registro de ocorrncias
(Trouble Tickets)
MAPA
Usurio
NMS
EMAIL
133
Priorizao de atividades
Uma vez que tenham sido agrupados os vrios alarmes, ainda h uma atividade possvel na
automatizao do tratamento dos eventos da rede: a priorizao. Essa prioridade normalmente se refere forma e a quem os eventos sero encaminhados de forma automtica.
Nesse item h vrias possibilidades, como a simples priorizao dos tickets de problema
a serem gerados para o service desk, at o controle do tempo de resoluo do problema
e escalonamento para o gestor da equipe, em caso de demora no restabelecimento do
problema. Por exemplo, caso um alarme do site WWW da empresa continue ativo mesmo
depois de uma hora fora de funcionamento, o mesmo evento encaminhado para o gerente
do service desk, para que este tambm fique cinte de que o servio encontra-se fora do ar.
A priorizao das atividades normalmente est atrelada s polticas definidas no mdulo de
polticas do sistema, e a definio prvia dos escopos para cada uma dessas falhas encontra-se
na correlao de alarmes.
Escalabilidade
11 Modelo centralizado.
134
Figura 5.9
Modelos de
gerncia e
escalabilidade.
Centralizado
Flat
(horizontal)
Hierrquico
Gerenciamento de performance
Figura 5.10
Escolhendo o NMS
usando FCAPS.
Gerenciamento de de falhas
Gerente de rede
Gerenciamento de segurana
Gerenciamento de contabilizao
Frequentemente, quando se analisa uma soluo de gerncia, difcil realizar uma comparao, e mais difcil ainda tentar se basear em uma anlise ou comparativos em sites
e revistas. A gerncia de redes sempre um problema de nicho de mercado, e mesmo
comparaes dentro de mesmos nichos (exemplo: educacional) podem levar definio de
produtos diferentes, por isso sempre recomendvel que a instituio faa ela mesma uma
abordagem e uma tabulao dos produtos e de suas necessidades. Uma boa sada para essa
avaliao a definio de quais gerncias a ferramenta deve manter, e as funcionalidades
esperadas dentro daquela gerncia.
Gerncia de falhas
11 Exibir graficamente as falhas da rede.
11 Permite viso em tempo real dessas falhas.
11 Permite configurar limiares.
11 Capacidade para gerenciar excees filtrando rudos na rede.
11 Permite tratar falsos positivos.
11 Desejvel que a soluo alimente diretamente um sistema de tickets com as falhas
detectadas.
Polticas
135
Um bom NMS possui uma interface clara e multinvel, que exibe qual ou quais elementos da
rede possuem problemas, permitindo configurar limiares para esses problemas (exemplo:
erros e descarte mximo em uma interface de rede).
Algo desejvel a criao de templates, como, por exemplo, circuitos de conexo de clientes
MPLS, atrelando a esse conjunto de interfaces determinados limiares de erros e descartes e,
claro, permitindo estabelecer-se excees que permitam filtrar caractersticas j conhecidas da rede, assim como de tratar falsos positivos de falhas.
Outro ponto importante no tratamento de falhas que cada falha gerada seja capaz de
Figura 5.11
Analisando uma
falha na estao
de gerncia.
gerar um registro de problemas para o tratamento de incidente, mesmo que a falha tenha
sido temporria e tenha se resolvido sem a interveno do administrador.
Geralmente voc vai querer mais do que simplesmente uma mensagem Device XX is down.
Sua soluo deve prover informaes sobre o que aconteceu antes da falha:
11 Mudanas de configurao;
Gerncia de Contabilizao
11 Envolve o registro da utilizao dos recursos da rede;
11 Tem a funo de determinar o baseline da rede.
A gerncia de contabilizao normalmente a primeira gerncia implementada em qualquer
instituio, por conseguir responder perguntas bsicas, como: A rede no est funcionando
bem, o que est acontecendo nesse momento que no estava ocorrendo no passado?
Em geral as ferramentas para a gerncia de contabilizao so bastante simples de instalar
e configurar (cacti, mrtg, etc.) e tem como principal funcionalidade registrar a utilizao dos
recursos da rede e permitir conhecer o volume demandado em um momento de operao
normal da rede (baseline).
136
Saiba mais
Gerncia de Configurao
Analisando a configurao dos elementos gerenciveis, voc vai desejar informaes de
Figura 5.12
Ferramentas
para gerncia de
contabilizao.
137
facilmente:
11 Apontar qual a alterao que causou o problema;
11 Saber quem foi o responsvel pela mudana;
11 Conseguir rapidamente reverter as configuraes conforme necessrio.
Em alteraes na rede, deve ser possvel:
11 Fazer mudanas de configurao simultaneamente em um grande nmero de dispositivos;
11 As alteraes devem realimentar algum tipo de contabilizao ou gerenciador de
mudanas;
11 Deve ser possvel manter um histrico dessas mudanas de forma a poder revert-las
em caso de necessidade.
Figura 5.13
Gerncia de
configuraes
com o Cisco Config
Manager.
Gerncia de Performance
22 Capacidade de estabelecer uma baseline com thresholds que notifiquem quando a
performance comear a cair.
22 Devemos conseguir analisar uma performance vertical abordando o servio
fim-a-fim atravs de toda a rede:
33 Por exemplo: se existe servio de VOIP, seu NMS deve conseguir medir a qualidade de voz, jitter, latncia etc.
33 Se voc usa marcao de QoS, deve ser possvel visualizar a quantidade de
trfego que est sendo classificada em cada uma das categorias. Nesse caso,
voc pode desejar caractersticas como Netflow e IP-SLA.
138
Figura 5.14
Gerncia de
desempenho.
139
140
w
Existe uma verso de
testes (60 dias),
disponvel em
http://h17007.www1.
hp.com/us/en/
networking/products/
network-management/
IMC_ES_Platform/
(AVA).
Figura 5.15
Interface
do HP-IMC
(fonte: http://
packetpushers.
net/review-hpimc-intelligentmanagementcenter/ ).
141
Figura 5.16
Interface do
HP-NNM (fonte:
http://www8.
hp.com/us/en/
software-solutions/
network-nodemanager-i-networkmanagementsoftware/)
SNMPc da Catlerock
11 Possui suporte a SNMPv1, v2 e v3.
142
WhatsUp da IPSwitch
11 Descoberta e atualizao automtica dos mapas da rede.
Figura 5.17
Interface do SNMPc
(fonte: www.
castlerock.com).
143
OPManager, da ManageEngine
11 Plataforma modular com suporte a Netflow, IP-SLA etc.
144
Figura 5.18
WhatsUP Gold
(fonte: www.
whatsupgold.com).
Figura 5.19
OPManager
(fonte: http://www.
manageengine.
com/).
145
146
6
objetivos
Aplicaes e plataformas de
gerncia em software livre
Conhecer as solues em Software Livre para gerncia, Descrever o Framework FCAPS.
Conhecer as caractersticas das ferramentas livres disponveis.
conceitos
Solues OSS/FS
Permite ao usurio executar o programa para qualquer propsito. Entre os principais
w
Para saber mais:
http://www.gnu.org/
philosophy/free-software-for-freedom.html
147
Framework FCAPS
Framework Fault, Configuration, Accounting, Performance e Security (FCAPS).
11 Registro.
148
11 Resposta.
Uma falha um evento que tem um significado negativo. O objetivo do gerenciamento de
falhas reconhecer, isolar, corrigir e registrar as falhas que ocorrem em uma rede.
Seus principais componentes so:
11 Deteco de Falhas: capacidade de reconhecer um erro quando ele ocorrer;
11 Notificao: capacidade de notificar quando a falha ocorre;
11 Tendncia: permitir a configurao de uma linha de base sobre a operao normal do
dispositivo, com o objetivo de detectar desvios ou situaes anormais;
11 Registro: registrar todas as falhas para contabilidade e auditoria futura;
149
Responsvel por coletar estatsticas e us-las para definir ou auditar cotas de utilizao,
150
sobre aspectos de desempenho dos servios de rede. Esses dados so usados para garantir
151
152
Ferramentas livres
At o momento, foram relacionadas ferramentas disponveis para cada uma das reas
do FCAPS, com o intuito de contribuir com maior proximidade entre essas solues e as
necessidades existentes. Sero abordadas nesse tpico a instalao e a utilizao bsica
das ferramentas que abordam mais de uma rea do FCAPS ou que possuem grande
quantidade de usurios em suas comunidades. So elas:
11 Zabbix.
11 Nagios.
11 OpenVas.
11 SpiceWorks.
11 NTOP.
11 OCSInventory.
Alguns dos sistemas livres para gerenciamento j possuem certa sofisticao e funcionalidades avanadas, que os tornam indicados para vrios cenrios de gerenciamento. Qualquer lista atual conteria algumas das opes:
11 Zabbix: software que permite a monitorao de aplicaes e servios, podendo ser
usado para registrar, monitorar, planejar capacidade, disponibilidade e performance dos
ativos de uma rede (http://www.zabbix.com/);
11 Nagios: popular aplicao de monitorao de rede que permite monitorar tanto hosts
quanto servios, alertando-o quando ocorrerem problemas e tambm quando os problemas forem resolvidos (http://www.nagios.org/);
11 OPenVas: software que possui um repositrio on-line atualizado de vulnerabilidades, as
quais podem ser verificadas nos hosts escolhidos pelo usurio. Ao final do procedimento,
a ferramenta informa qual a severidade das vulnerabilidades encontradas por host;
11 SpiceWorks: ferramenta web para Windows gratuita, permite o Discovery da rede,
realizando inferncias por ICMP, WMI e SNMP. Possui comunidade ativa, que desenvolve
11 Ntop: ferramenta que captura e analisa os fluxos da rede, gerando estatsticas grficas
dos maiores fluxos capturados;
11 OCSInventory: soluo de gerenciamento de configurao que centraliza em uma nica
ferramenta todas as informaes de servidores e estaes da rede. necessrio instalar
um cliente nos hosts a serem inventariados, podendo ser Windows, Linux, Android,
Windows Mobile e MacOS.
Zabbix
O Zabbix uma soluo livre de NMS, sob licena GPL, com monitoramento de dispositivos
SNMP e outros, gerao de alarmes e alertas, grficos de desempenho, armazenamento em
w
Seu site oficial (com
Wiki, documentao e
frum com postagens):
http://www.zabbix.org/
153
Caractersticas do Zabbix:
11 Escalvel (testado com 5 mil dispositivos, com vrios tipos de verificao por segundo);
11 Monitoramento em tempo real (desempenho, disponibilidade e integridade);
11 Flexveis de alerta (e-mail, SMS, avisos sonoros e comandos remotos);
11 Gerao de relatrios e estatsticas;
11 Fcil integrao com outros mdulos de terceiros;
11 Service Level Management (SLM), servios de TI hierrquicos e relatrios;
11 Uso de agentes extensveis para vrias plataformas (Unix/Linux, Windows e MacOS);
11 Execuo automtica de comandos remotos;
11 Monitoramento com e sem agentes (IPMI, SNMP e traps);
IPMI
Intelligent Platform
Management Interface
um frontend WEB
para gerenciamento
remoto. Exemplos so:
IMM, da IBM; iLO,
Instalao do Zabbix
11 Acesse o Terminal;
11 Execute o comando a seguir para acessar o terminal como usurio root, informando a
sua senha;
sudo su
11 Atualize os pacotes do seu Ubuntu:
apt-get update
11 Instale os pacotes necessrios para o Zabbix (ser instalado o Apache, o MySQL e o PHP).
Informe a palavra root como senha do mysql.
apt-get install apache2 php5 libapache2-mod-php5 mysql-server mysqlclient php-pear libgd-tools libipc-sharedcache-perl lm-sensors php5-mysql
11 Baixe e instale o Zabbix-server:
wget http://repo.zabbix.com/zabbix/2.2/ubuntu/pool/main/z/zabbixrelease/zabbix-release_2.2-1+trusty_all.deb
dpkg -i zabbix-release_2.2-1+trusty_all.deb
apt-get update
11 Instale e configure a conexo do Zabbix com o mysql. Nesse procedimento, pedido o
usurio/senha do Mysql (root/root) e a senha para o front-end (zabbix):
154
gedit /etc/php5/apache2/php.ini
max_execution_time = 300
memory_limit = 128M
post_max_size = 16M
upload_max_filesize = 2M
max_input_time = 300
date.timezone = America/Sao_Paulo
11 Instale o Zabbix Agent, processo responsvel pela coleta das informaes:
ln -s /etc/zabbix/apache.conf
/etc/apache2/conf-enabled/zabbix.conf
Utilizando o Zabbix
O Zabbix est estruturado por:
11 Hosts: so os objetos a serem gerenciados;
11 Itens: so os itens de monitorao do Hosts;
11 Templates: possui as configuraes de que itens sero gerenciados pelo host;
11 Trigger: so regras associadas aos itens, as quais so criadas dentro de hosts ou
templates para gerar alertas;
11 Discovery rules: so regras para detectar determinados itens em um host;
11 Actions: so aes atribudas para triggers que possam executar comandos, como execuo de script, envio de SMS, e-mail etc.
Em nosso exemplo, utilizaremos a monitoria por SNMP. Para realizar isso, primeiramente
precisamos configurar um template com a nossa comunidade SNMP, que ser atribudo a
um Host.
Figura 6.1
Visualizao e
configurao de
templates.
Na prxima tela, clique em Full clone para gerar uma cpia desse template, conforme a
figura 6.2.
155
11 Voc ser encaminhado para a tela anterior, mas agora aparecer seu novo template.
156
11 Na tela dos items, selecione todos os itens clicando no canto superior esquerdo e
escolha a opo Mass update, como mostrado na figura 6.5.
Figura 6.2
Gerao de cpia
de template.
Figura 6.3
Cpia de template.
Figura 6.4
Listagem de
templates.
Figura 6.5
Execuo de
update nos itens de
um template.
11 Escolha a opo SNMP community e altere a comunidade para esr-rnp, como mostrado
Figura 6.6
Alterao dos itens
de um template.
na figura 6.6.
157
158
Figura 6.7
Incluso de host
no Zabbix.
11 Agora possvel verificar o status de nossos servidores. Observe que a coluna Availabity
Figura 6.8
Incluso de host
no Zabbix.
(figura 6.9) mostra como a coleta das informaes de nossos hosts realizada.
No exemplo, o servidor1 est monitorado por SNMP, enquanto o Zabbix server est
sendo monitorado pelo Zabbix Agentd.
Nagios
Ferramenta que atende a Fault e Performance no modelo FCAPS. Entre suas principais
caratersticas, podemos destacar:
11 Deteco rpida de falha de infraestrutura;
11 Mais de 10 anos de desenvolvimento ativo;
11 Escalas para monitorar milhares de ns;
11 Monitora servios de rede (SSH, SMTP, POP3, HTTP, NNTP, ICMP e SNMP) e possibilita a
integrao de plugins para monitoria de outros servios;
11 Monitorao remota suportada atravs de tneis criptografados SSH ou SSL;
11 Checagem dos servios paralelizados;
11 Possibilidade de criao de mapas;
11 Rotao automtica de log;
11 Suporte para implementao de monitorao redundante;
11 Software Open Source;
11 Lanado sob a licena GPL;
11 Alertas por SMS;
11 Interao com Banco de Dados;
11 Possibilita a utilizao de outros frontends, incluindo solues para mobile.
Existem outras ferramentas que integram novas interfaces e funcionalidades utilizando o
nagios, como por exemplo o Centreon.
Instalao do Nagios
11 Para instal-lo, siga os procedimentos a seguir:
Figura 6.9
Hosts monitorados
pelo Zabbix.
159
a2enconf nagios3
etc/init.d/apache2 start
Customizaes do software
11 Nesta etapa, vamos realizar algumas configuraes bsicas do software Nagios. Para
isso, siga atentamente os passos a seguir.
22 1. Definir um dispositivo a ser monitorado: (Mquina Virtual do Professor);
22 2. Definir os servios que sero monitorados;
22 3. Inserir o dispositivo em um grupo de monitorao.
1. Definindo um dispositivo e seus servios:
Edite o arquivo a seguir, inserindo as linhas informadas, alterando de acordo com sua estrutura de rede:
gedit /etc/nagios3/conf.d/servidor1.cfg
;------ inicio
; Define uma estao a ser monitorada
define host{
use generic-host ; Nome do template ( template definido no arquivo
generic-host_nagios3.cfg
host_name <SERVIDOR1.DOMINIO> Nome do host a ser monitorado
alias <SERVIDOR1> Apelido do host a ser monitorado
address <IPSERVIDOR> Endereo IP do host
parents localhost Hierarquia utilizado para traar o grfico veja
a aba Status Map no menu do Nagios
hostgroups esr, all Grupos que a estao faz parte
notification_interval 120 Tempo entre notificaes
notification_period 24x7 Perodo que as notificaes sero
enviadas
160
define service {
service_description SNMP
use generic-service ;
host_name SERVIDOR1.DOMINIO ; host a ser monitorado
service_description snmp
check_command check_snmp!
-C esr-rnp -o
sysUpTime.0 ;
gedit /etc/nagios3/conf.d/hostgroups_nagios2.cfg #
Edite o arquivo adicionando as linhas a seguir no final do arquivo:
;----- inicio
define hostgroup {
hostgroup_name esr
alias ESR
members <SERVIDOR1.DOMINIO> Altere, informando o nome do host
definido anteriormente
}
;----fim
gedit /etc/nagios3/commands.cfg
; ---- inicio
# check_snmp command definition
define command{
command_name check_snmp
command_line $USER1$/check_snmp -H $HOSTADDRESS$ $ARG1$
}
;----fim
No esquea de salvar as alteraes.
11 Para que as configuraes entrem em vigor, reinicie o servio da seguinte maneira:
/etc/init.d/nagios3 restart
161
11 Visualize no browser e note as alteraes. Verifique o menu Services, conforme a figura 6.10.
Plugins: /usr/lib/nagios/plugins/
Arquivos de Configurao: /etc/nagios3
Documentao: /usr/share/nagios3/htdocs
Plugins: /etc/nagios-plugins/config/
CGI: /usr/lib/cgi-bin/nagios3
Binarios: /usr/sbin
162
OpenVAS
O Open Vulnerability Assessment System (OpenVAS) uma estrutura de vrios servios e
ferramentas que oferecem uma soluo abrangente e poderosa para varredura, identificao e gerenciamento de vulnerabilidades nos ativos conectados a uma rede. O projeto
OpenVas nasceu como um subproduto do Nessus, isso porque os plugins do Nessus deixaram de ser fornecidos sobre licena GPL.
O sistema de varredura de segurana alimentado diariamente atravs de uma rede de
desenvolvedores de plugins (NVTs), tendo mais de 30 mil plugins (abril de 2013).
Figura 6.10
Verificao
de servios
monitorados
por host.
Todos os produtos do OpenVAS so software livre, e a maioria dos componentes est licenciado sob a GNU General Public License (GNU GPL).
OpenVAS CLI
GreenBone
Security
Assistant
GreenBone
Security
Desktop
Clients
OpenVAS
Scanner
OpenVAS
manager
OpenVAS
Administrator
Services
Scan Targets
Results,
congs
Data
NVTs
Figura 6.11
Estrutura do
OpenVAS.
Para utilizar o openvas, basta cadastrar qual a rede que ser analisada. Para isso, acesse
Configuration > Targets e informe um nome para sua rede e quais os hosts que sero
analisados (figura 6.12). Observe que o host ou rede informada aqui necessariamente neces-
Figura 6.12
Criao de Targets.
11 Como prxima etapa, acesse Scan Management > New Tasks e crie uma tarefa
informando o nome e o Scan Target criado anteriormente.
163
Figura 6.13
Criao de Task.
11 Aps o trmino do scan, no menu Asset Management aparecer a relao de hosts que
possuem vulnerabilidades que merecem a ateno do administrador do sistema,
164
Figura 6.14
Execuo de tarefa
no openvas.
Figura 6.15
Resultado da
verificao de
vulnerabilidades.
OCS Inventory
OCS Inventory um software livre utilizado para inventariar o hardware e software de estaes de trabalho e servidores conectados a uma rede atravs de um agente. Para tal, ele usa
um agente, que deve ser instalado em cada estao de trabalho, responsvel por realizar o
inventrio em computadores cliente e enviar essas informaes para um servidor de gerenciamento central que consolida os resultados do inventrio permitindo a gerao de relatrios.
A comunicao entre agentes e servidor de gerenciamento feita usando os protocolos
HTTP/HTTPS. Todos os dados so formatados em XML e comprimidos utilizando a biblioteca
Zlib para reduzir a mdia de trfego de rede.
Ele permite identificar, apenas, softwares instalados via yum ou apt (no linux) ou registrados
pelo Windows Installer (no Windows).
Como j informado, os agentes devem ser instalados nos computadores-clientes, podendo
ser implantados atravs de login scripts ou Active Directory GPO no Windows. No Linux, o
agente deve ser instalado manualmente.
Unix
inventory
agent
Management Server
http
Unix
inventory
agent
Comunication
server
Windows
inventory
agent
Figura 6.16
Estrurura o OCS
Inventory.
Windows
inventory
agent
DNS
Deployment
server
tp
ht
tp
ht
Administrator
console
Administrator with
web browser
Windows
inventory
agent
Database
Server
165
apt-get install
ocsinventory-reports
ocsinventory-server
Figura 6.17
Continuao da
instalao do OCSInventory.
166
Figura 6.18
Instalao do
agente do OCS
Inventory.
Figura 6.19
Instalao do
agente do OCS
Inventory.
11 Selecione a ltima opo para realizar um inventrio logo aps acabar a instalao.
167
Figura 6.20
Visualizao do
inventrio do
OCSinventory.
Spice Works
Spiceworks um MNS que, alm de gerenciar falhas e performance, possibilita o gerenciamento de configurao do modelo FCAPS. Sua distribuio gratuita, contudo, possui
propagandas. Entre suas principais caractersticas, podemos destacar:
11 Comparao de configuraes (hardware/software) de duas ou mais estaes de trabalho;
11 Servio de descoberta automtica de sistemas e dispositivos;
11 Possibilidade de anexar documentao extra, notas e anotaes customizadas em qualquer dispositivo;
11 Carrega todos os dados do Active Directory, facilitando o gerenciamento.
11 Monitora Microsoft Exchange;
11 Alertas pr-programados;
11 Controle de licenas de software;
11 Controle de chamados, integrando usurio, chamado e equipamentos, possibilitando
criao de chamado por e-mail.
11 Possibilita a integrao de plugins de forma gratuita.
Instalao do SpiceWorks
Realize o download do SpiceWorks no endereo: http://download.spiceworks.com/ Spiceworks.exe
(existe uma cpia na pasta do curso em seu desktop).
11 Execute o arquivo e responda afirmativamente para as opes solicitadas, clicando em
168
Figura 6.21
Instalao do
Spiceworks.
11 Aps a instalao dos arquivos, ser criado um servio web em seu computador e ser
acessado automaticamente pelo instalador, para terminar o processo de instalao,
Figura 6.22
Segunda etapa
da instalao do
Spiceworks.
11 Ao final desse procedimento necessrio criar uma conta. Retire a seleo das duas
perguntas, conforme a figura 6.23.
169
Figura 6.23
Criao de conta
no SpiceWorks.
Saiba mais
Para gerenciar as
estaes Windows, o
SpiceWorks utiliza o
Windows Management
Instrumentation (WMI).
Para habilit-lo,
necessrio configurar
o acesso, que no
ser abordado neste
material. Para mais
informaes, acesse
a comunidade do
SpiceWorks: http://community.spiceworks.com
11 Selecione Discovery My devices para descobrir os dispositivos da rede local, como mostrado na figura 6.24.
170
Figura 6.24
Opes iniciais do
SpiceWorks.
Figura 6.25
Configurao das
credenciais do
discovery.
Figura 6.27
Adio de
Dispositivos.
11 Na parte superior da prpria interface de Inventory > Devices, voc pode acrescentar
um novo dispositivo, acessando Edit > Add Devices, conforme a figura 6.27.
Figura 6.28
Configuraes
Regionais.
Figura 6.26
Visualizao, edio
e gerenciamento de
dispositivos.
171
11 Voc pode adicionar plugins atravs de Inventory > Tools, como por exemplo o
Bandwidth Monitor, que inclui do DashBoard informaes de trfego gerado por dispositivos, conforme a figura 6.29.
Figura 6.29
Plugin Bandwidth
Monitor.
NTOPng
O Network Traffic Probe: New Generation (NTOPng) atua como um analisador de rede,
gerando estatsticas em tempo real do trfego recebido pela interface de rede monitorada.
Possibilita geolocalizao dos hosts.
11 Mostrar distribuio de trfego IP entre os vrios protocolos;
11 Identifica os fluxos de rede;
11 Pode funcionar como um analisador de fluxos exportados por roteadores, como Cisco
e Juniper;
11 Produz estatsticas do trfego da rede atravs da interface grfica utilizando Ajax/HTML5;
11 Armazena as estatsticas de trafego de rede em formato Round Robin Database (RRD).
Instalao do NTOPng
11 Como pr-requisito para a instalao do NTOPng, execute os comandos a seguir:
svn co https://svn.ntop.org/svn/ntop/trunk/ntopng/
cd ntopng
./autogen.sh
./configure
make geoip
make
make install
Para executar o ntop, passe como parmetro a interface de rede que dever se monitorada.
Com esse comando, ser habilitada a captura dos fluxos na interface de rede e disponibilizado o acesso atravs da porta 3000, que poder ser acessada pelo browser, como demonstrado na figura 6.30.
Exemplo: http://127.0.0.1:3000
Usurio: admin
Senha: admin
Figura 6.30
Dashboard
do Ntop.
Figura 6.31
Fluxos ativos
do Ntop.
173
174
7
Conhecer o tratamento de Logs; Aprender sobre monitoramento de fluxos.
conceitos
objetivos
Tratamento de registros de
ocorrncias (logs) e fluxos de dados
175
Um desses casos pode ser visualizado a seguir, onde registrado nos logs de um roteador a
falta de memria para que esse realize as suas funes.
2013-04-11T14:58:31-03:00 c12000 94211: C12000 RP/0/4/CPU0:Apr 11 14:58:29.886 :
wdsysmon[429]: %HA-HA_WD-6-IN_DEP_LIST : Process devb-eide-prp2 pid 40991 is
present in Dependency List and will not be killed.
2013-04-11T14:58:31-03:00 c12000 94212: C12000 RP/0/4/CPU0:Apr 11 14:58:29.886
: wdsysmon[429]: %HA-HA_WD-4-MEMORY_STATE_CHANGE : New memory state:
Severe
2013-04-11T14:58:42-03:00 c12000 94230: C12000 RP/0/4/CPU0:Apr 11 14:58:42.722
: l2fib[291]: %OS-SHMWIN-2-ERROR_ENCOUNTERED : SHMWIN: Error encountered:
System memory state is severe, please check the availability of the system memory
2013-04-11T14:58:58-03:00 c12000 94231: C12000 RP/0/4/CPU0:Apr 11 14:58:58.171 :
fib_mgr[215]: %OS-SHMWIN-2-ERROR_ENCOUNTERED : SHMWIN: Error encountered:
System memory state is severe, please check the availability of the system memory
Figura 7.1
Exemplo de LOGs.
11 Em uma invaso.
22 Podem ser removidos ou alterados.
22 O sistema de LOGs pode ser desabilitado.
11 O registro remoto necessrio.
22 O conceito de LOGHOST.
Muitos equipamentos, como roteadores e switches, em razo do custo da sua memria de
armazenamento, no mantm seus registros de auditoria por muito tempo. Em geral, estes utilizam uma pequena frao de sua memria voltil (RAM) para armazenamento, utilizada como
um buffer circular. Nesse caso, as mensagens mais antigas acabam sendo sobrepostas pelas
mais atuais. normal que esses equipamentos mantenham somente os registros de atividades
da ordem de dias ou semanas, o que torna-se necessrio que esses LOGs sejam enviados para
176
O equipamento que utilizado para armazenar os logs enviados por outros equipamentos
normalmente conhecido pelo nome de LOGHOST. Nesse modo de operao, normal que
os logs sejam gerados em duplicidade: uma cpia no servidor local e outra no Loghost. Essa
abordagem especialmente importante em casos de invases de hackers em servidores,
onde normalmente a primeira atividade do invasor remover e adulterar os registros de
auditoria da mquina invadida. O uso de um servidor de LOGs externo permite que os
registros de auditoria sejam mantidos a salvo no servidor remoto. Esse tipo de atividade
fortemente recomendado e reconhecida como parte necessria reconstruo da linha
do tempo dos eventos ocorridos no caso de uma auditoria na rede ou sistemas.
Pelo tipo e importncia dos dados mantidos pelo servidor de Logs, o servidor que ser escolhido como Loghost deve ser preparado para suportar sozinho um ataque, independente
de outras linhas de defesa que possam existir na rede (exemplo: firewall, IPS etc.). Ele deve
ser construdo obedecendo s mesmas diretivas da construo de um bastion host, ou
seja, deve ser dedicado para a atividade de Logs, suportando somente aplicativos diretamente relacionado a essas atividades e estar preparado para ataques da mesma forma que
uma mquina totalmente exposta internet. Deve possuir seu prprio firewall (exemplo:
iptables, ipfilter etc.) e no rodar nenhum servio ou protocolo desnecessrio. Tambm
aconselhado que se faa uso de outros dispositivos de segurana, como um kernel customizado e proteo adicional ao sistema de arquivos, onde estaro os arquivos de LOGs. Outro
ponto importante a restrio no acesso remoto a esse servidor e as pessoas que eventualmente tm um login para acesso.
nistrao do LOGHOST fica a cargo do SOC, sendo o NOC um usurio dessas informaes.
177
Dessa forma, cria-se uma estratgia de vigilncia cruzada, onde o reincio do servidor de
LOGs (indcio de uma possvel violao) ficar registrado na estao de gerncia (NMS) administrada pelo NOC, e as alteraes nos equipamentos administrados pelo NOC e equipes de
sistemas ficaro registrados no servidor de Logs (LOGHOST) administrado pelo SOC. Complementarmente a essas implementaes de segurana, relevante que o acesso fsico ao
servidor de LOGs seja controlado. Em ambientes mais crticos, o servidor de Logs tratado
de forma semelhante a uma unidade certificadora (acesso fsico restrito e sem login remoto).
LOGHOST
11 exclusivo para o servio de LOGS.
O volume de informaes
11 Depende do nvel de segurana da instituio:
22 Militar.
22 Educacional.
22 Comercial.
11 Volume de informaes gerado considervel.
11 A anlise manual invivel.
11 Uma empresa mdia gera em torno de 5GB/dia de logs (~100 milhes de eventos distintos).
A quantidade de logs gerada por uma instituio depende muito de quais atividades sero
elegveis para armazenamento e por quanto tempo se pretende guard-las. O Marco Civil da
Internet (Lei n 12.965, de23 de abrilde2014)exige que provedores de acesso mantenham
logs de acesso de seus clientes por 12 meses. Outras recomendaes, como a da Anatel
(Resoluo n 614, de 28 de maio de 2013), indica que as empresas de Servio de Comunicao Multimdia (SCM) devam manter informaes dos registros de conexo e dados dos
178
usurios pelo prazo mnimo de um ano (Artigo 53). J o CGI-BR recomenda que as informaes de acesso rede sejam mantidas pelo prazo mnimo de trs anos
(http://www.cgi.br/publicacoes/documentacao/desenvolvimento.htm).
O Marco Civil (Lei n 12.965, de23 de abrilde2014)especifica:
11 Art. 13. Na proviso de conexo internet, cabe ao administrador de sistema autnomo respectivo o dever de manter os registros de conexo, sob sigilo, em ambiente
controlado e de segurana, pelo prazo de 1 (um) ano, nos termos do regulamento.
11 Art. 15. O provedor de aplicaes de internet constitudo na forma de pessoa jurdica
e que exera essa atividade de forma organizada, profissionalmente e com fins econmicos dever manter os respectivos registros de acesso a aplicaes de internet,
sob sigilo, em ambiente controlado e de segurana, pelo prazo de 6 (seis) meses, nos
termos do regulamento.
Considera-se que esses logs podem posteriormente ficar armazenados de forma off-line, ou
seja, gravados em uma mdia externa (CD-ROM, DVD-ROM) e guardados em local seguro.
Para ter-se ideia do volume das informaes geradas, uma empresa mdia gera em torno de
5GB/dia de logs (~100 milhes de eventos distintos), considerando-se logs de firewall, e-mail,
acesso a sites etc. Entretanto, essas informaes so altamente compactveis, j que se
tratam de informaes textuais. Em ambientes com requisitos maiores de segurana, esse
volume pode ser multiplicado vrias vezes, podendo ser registrados inclusive as informaes de conexes e acessos realizados por cada um dos elementos da rede (exemplo: log de
flows, proxies e NAT).
um agravante: realizar pesquisas nesses logs no uma tarefa simples, dado que os logs
180
Internet
Figura 7.2
Servidor de Logs
e sua posio
na rede.
Firewall
Firewall
Servidores Unix/Linux
Para os casos onde a rede da instituio distribuda por uma conexo de baixo desempenho, possvel optar por servidores de logs distribudos, criando a possibilidade de logs
locais para os casos onde o site esteja off-line. Uma boa estratgia nesses casos providenciar a transferncia dos logs rotacionados para o servidor principal em determinados
perodos de tempo. Essa estratgia aumenta a complexidade da soluo e somente deve ser
utilizada em casos especiais.
Intranet
WWW
Printer
Branch-2
loghost
Figura 7.3
Servidores de logs
distribudos.
Branch-1
loghost
Central
loghost
Branch-3
loghost
File server
181
Como dito, o mais comumente usado mesmo o transporte utilizando a porta 514/UDP, e
nesse caso existe sempre a possibilidade de ataques de negao de servio e ou de falsificao de mensagens para o servidor de LOGs. Outro problema com essa abordagem a
perda eventual de mensagens, j que o protocolo UDP no possui garantia de entrega.
Um dos contornos possveis para esses problemas o uso da rede de gerncia out-of-band
(OOB) para transporte tambm dos logs de equipamentos e servidores, enquanto as novas
solues ainda no so difundidas. A gerncia OOB caracterizada por cada equipamento
possuir uma interface fsica distinta para a gerncia da rede nessa interface no h trfego
de produo, somente trfego de controle (gerncia SNMP, Backup, acesso SSH para configurao etc.). Outra caracterstica que existe na maioria das implementaes de gerncia
OOB que no existe roteamento, todo o acesso realizado em camada 2.
Servidores Unix-like utilizam:
O protocolo Syslog
formada por um cdigo bsico que duas informaes bsicas: o tipo de evento conhecido
como facility e a severidade do evento que est sendo informado (fonte RFC5424):
182
Cdigo
Facilidade
Descrio
Kern
Mensagens do Kernel
User
Sistema de e-mail
Daemon
Auth
Mensagens de segurana/autorizao/autenticao
Syslog
Lpr
Tabela 7.1
Tabela de
Facilidades dos
protocolos syslog.
Cdigo
Facilidade
Descrio
News
Subsistema de News
Uucp
Subsistema UUCP
Cron
10
Authpriv
Mensagens de segurana/autorizao/autenticao
11
ftp
12
ntp
Subsistema NTP
13
audit
14
console
15
Cron2
16
Local0
17
Local1
18
Local2
19
Local3
20
Local4
21
Local5
22
Local6
23
Local7
Quanto ao nvel de prioridade, o protocolo define um nvel de severidade do erro para cada
no equipamento ou subsistema em questo. So eles:
Tabela 7.2
Tabela de
Severidade dos
protocolos syslog.
Cdigo
Prioridade
Descrio
Emerg
Alert
Crit
Error
Warning
Notice
Informational
Debug
183
Segue o exemplo de um tcpdump de uma mensagem do sistema syslog, formada pelo nome
do programa que envia a requisio (proftp), a facilidade utilizada (daemon) e a prioridade
ou severidade da mensagem (6=informativa).
184
change-log any
facility-override local2
*.*
@192.168.1.79
Essa configurao enviar uma cpia de todos os logs gerados pelo servidor para o loghost
definido para a rede (@loghost).
Em mquinas Windows, como dito anteriormente, necessrio realizar a configurao de
um software adicional. A tela a seguir refere-se configurao do servidor de logs utilizando
o software freeware Winsyslog (http://www.winsyslog.com). Outra alternativa para os servidores Windows o eventlog-to-syslog (http://code.google.com/p/eventlog-to-syslog/).
Para instal-lo, execute como administrador do sistema os seguintes comandos:
Figura 7.4
Registro EvtSys
no Windows.
11 Facility
(DWORD) Default: 3
11 IncludeOnly
(DWORD) Default: 0
11 LogHost
11 LogHost2
11 LogLevel
(DWORD) Default: 0
11 Port
11 QueryDhcp
(DWORD) Default: 0
11 StatusInterval
(DWORD) Default: 0
so instalados em HKLM\SOFTWARE\ECN\EvtSys\3.0:
185
Analisando os LOGs
Anlise Manual:
186
11 Awstat
11 Sarg
11 Splunk
11 Elsa
Embora a anlise manual dos logs seja algo relativamente corriqueiro nas atividades de operao de redes e servidores, e com valia para gerncia reativa, o grande volume de dados
oculta muitas informaes importantes, dificultando a anlise proativa e correlao das
informaes de diversos servios ou servidores, tornando-se imprescindvel um ferramental
que realize uma anlise automatizada desses dados com o objetivo de identificar principalmente problemas menores que tendem a se manifestar com o passar do tempo.
Vrias ferramentas existem nesse sentido, sendo algumas delas bastante conhecidas.
grande problema a falta de padronizao de partes simples das mensagens de log, como
por exemplo o prprio identificador de tempo das mensagens, que varia entre inmeros
servidores conhecidos (codificao ISO, expresso em inteiro, ponto flutuante, ...).
Entre o ferramental conhecido existem alguns que podem ser referenciados como opes
para os diferentes problemas de anlise de logs. Basicamente so softwares com algum tipo
de interface web e que necessitam de acesso aos arquivos de log do sistema:
AWSTAT
Awstats (http://awstats.sourceforge.net/) uma excelente ferramenta para anlise de websites, permitindo gerar relatrios baseados em histricos de acesso aos sites. Informaes
como a origem dos acessos, pginas mais acessadas e navegadores mais utilizados para
acesso ao site so visualizadas em forma grfica e transparente pela ferramenta.
187
Figura 7.5
Exemplo de tela
do AWStats.
SARG
Squid Analysis Report Generator (SARG), http://awstats.sourceforge.net/, uma ferramenta
para anlise de logs do Squid (proxy web), permitindo gerar relatrios de uso individual para
usurios, alm de vrias outras informaes, como uso de banda e sites mais acessados.
Uma opo possvel utiliz-lo para monitorar acessos de usurios em um firewall pfsense.
Figura 7.6
Exemplo de tela
do SARG.
ELSA
Enterprise Log and Search Archive (ELSA), https://code.google.com/p/enterprise-log-search-and-archive/, um projeto relativamente novo e tem por meta processar os logs centralizados com o syslog-ng em um LOGHOST. A ideia bsica do software facilitar a vida do
administrador, que necessita gerar relatrios e buscar informaes nos arquivos de logs
sem necessitar de programao script (shell, perl) ou ter de dispensar um tempo conside Gerncia de Redes de Computadores
rvel pensando em expresses regulares complexas para buscar o que procura. A interface
188
Figura 7.7
Exemplo de tela
do ELSA.
SPLUNK
SPLUNK, http://www.splunk.com, uma ferramenta comercial que tem por objetivo
indexar em um banco de dados todos os arquivos de LOGs de um servidor (exemplo:
LOGHOST) e permitir buscas rpidas nessa base de dados, alm de permitir gerar alarmes
de maneira semelhante a um Log-based Intrusion Detection System (LIDS). Ele possui uma
interface relativamente simples, que permite a gerao de relatrios e buscas rpidas nos
LOGs baseado em operaes lgicas simples para o usurio.
Uma funcionalidade interessante do software a existncia de um Dashboard que o
usurio pode configurar previamente com as consultas e grficos que julgue mais relevantes, como um grfico instantnea de todas as mensagens de erro ou warnings que esto
sendo locados por todos os servidores naquele momento. O software tem uma integrao
Figura 7.8
Exemplo de tela
do Splunk.
interpretao de logs de Cisco, Juniper, Linux, Mysql, Xen, VMWare, NAGIOS e muitos outros.
Porm, um grande ponto negativo que a licena de uso gratuita somente permite a anlise
diria de at 500 MB.
muito boa da parte grfica e da pesquisa nos logs, tendo inclusive vrios add-ons para
189
Monitoramento de fluxos
Introduo
Monitoramento de fluxos:
11 Traa perfis de trfego com base em fluxos.
11 Coleta em pontos-chave da rede.
Fluxo de rede entre ns finais:
11 Sequncia unidirecional de pacotes.
Implementaes:
11 Conjunto de informaes e protocolo.
Trac
Inspect Packet
NetFlow Cache
Source IP address
Destination IP address
Source port
Destination port
Layer 3 protocol
TOS byte (DSCP)
Flow Information
Packet
Bytes/packet
Address, ports...
11000
1528
...
Create a ow from
the packet attributes
Figura 7.9
Um fluxo de
dados sempre
unidirecional.
Input Interface
As implementaes definem um conjunto de informaes a serem derivadas dos fluxos
e um protocolo que permite a exportao dessas informaes para um equipamento de
coleta e anlise.
190
Alguns outros exemplos de uso dos flows podem ser considerados em anlises como:
11 Identificar o trfego demasiado alto entre ns no relacionados;
11 Planejar e avaliar a adio de trfego;
11 Interfaces de rede sobrecarregadas;
11 Trfego de software malicioso worm;
11 Ataques de negao de servio de rede;
11 Enumerao de mquinas e servios disponveis port scan;
11 Envio de e-mail alertando os administradores de problemas.
Figura 7.10
Detectando um
DoS atravs
da anlise grfica
dos fluxos.
191
Para obter as informaes sobre os fluxos, necessrio identific-los univocamente e registr-los. Essa tarefa fica a cargo de sondas ativadas em equipamentos de rede, tais como:
roteadores, switches, gateways etc. As sondas so projetadas para manter os registros em
um cache pequeno e voltil. A leitura dos registros do cache permite ter um retrato imediato
do que est passando pelo equipamento. No entanto, normalmente as sondas esto instaladas em mquinas que no conseguem armazenar muitos registros, por isso, de tempos
em tempos, esses fluxos so exportados para uma mquina coletora, deixando no cache
somente o registro dos fluxos mais recentes.
As informaes de fluxo so coletadas e guardadas em uma mquina com maior capacidade
de armazenamento, permitindo manter um histrico dos fluxos da rede.
Equipamento com
sonda de uxos
Figura 7.11
Processo de coleta
de fluxos.
Trfego
1
Inspecionar pacote
Cache de Fluxos
Endereo IP de origem
Endereo IP de destino
Campos de
chave do uxo
1528
Pacotes de uxos
exportados
Protocolo de camada 3
Interface de camada
192
11000
...
Porta de destino
Byte TOS (DSCP)1
Porta de origem
3
Gerar relatrio sobre
Cada pacote que passa pela sonda incrementa os contadores dos fluxos existentes ou, no caso uma
nova identificao unvoca de fluxo, ele eleito para criar uma nova entrada na tabela de fluxos.
Essa identificao feita atravs da inspeo de campos-chaves contidos em um pacote recebido.
Nas primeiras verses das implementaes, os campos-chave eram fixos:
11 Endereo IP de origem;
11 Endereo IP de destino;
11 Porta de origem da camada de transporte;
11 Porta de destino da camada de transporte;
11 Protocolo da camada de rede;
11 Byte TOS/DSCP (Type of Service/DiffServ Code Point);
11 Interface de entrada (Identificador da interface mesmo obtido pelo SNMP ifIndex).
Nas implementaes mais recentes, possvel definir quais campos sero considerados
chave para a criao de um novo registro no cache de fluxos. As informaes contidas no
registro tambm podem variar de acordo com a implementao, mas no mnimo contm os
seguintes registros originais das primeiras verses:
11 Data e hora de incio e fim;
11 Endereos da origem e do destino;
11 Portas de origem e destino;
11 Protocolo (TCP, UDP, ICMP etc.);
11 Interface de entrada e de sada (valor referente a OID ifIndex da MIB-II do SNMP);
11 Contadores de bytes transferidos e pacotes usados;
Alm dessas informaes, tambm podem aparecer:
11 Cdigo ICMP;
Assim que um pacote chega sonda, ele inspecionado para determinar se os valores dos
campos-chave coincidem com o fluxo existente. Se coincidir, o pacote contabilizado nesse
fluxo. Caso contrrio, criada uma nova entrada no cache. Quando o fluxo termina, ele
exportado. O processo de trmino o mesmo dos protocolos UDP e TCP, timeout ou encerramento de conexo, existindo ainda a possibilidade de um fluxo mais antigo ser eleito para
envio ao coletor nos casos de falta de memria em cache para armazenar os novos fluxos
que esto chegando. Quando enviados para a mquina coletora, os registros so armazenados em disco para posterior processamento e anlise.
A exportao do fluxo s pode acontecer quando o fluxo termina. No caso do TCP, o
trmino marcado por um pacote com a flag FIN ou RST. No entanto, outros protocolos no
possuem um marcador de trmino natural, nesse caso, supe-se que o fluxo terminou por
inatividade na comunicao. O tempo de espera para supor esse trmino configurvel e
fica normalmente na casa das dezenas de segundos. Para todo pacote visto, iniciado um
contador de inatividade, se aparecer um novo pacote antes do contador atingir a quantidade
de tempo configurada, o contador reiniciado. Caso contrrio, o fluxo exportado.
A principal finalidade do uso de fluxos determinar em tempo hbil a situao da rede, mas
fluxos muitos longos s aparecem no coletor aps seu trmino, mascarando a situao real
da rede at que eles terminem. Por essa razo, a sonda tem uma pr-configurao que fora a
finalizao do fluxo em um prazo mximo. Isso causa o registro de dois ou mais fluxos pertencentes a um nico fluxo. Apesar de ser uma informao incorreta, os processadores conseguem
facilmente associar dois fluxos consecutivos ao fluxo correto. Esse tempo de vida mximo comumente varia entre 1 a 30 minutos, mas podem ser configurados tempos maiores.
A finalizao forada tambm usada para diminuir quantidade de recursos utilizados pela
sonda no equipamento.
Registro por amostragem:
194
Como o coletor ter apenas uma amostra do trfego, as informaes derivadas sero imprecisas, mas indicaro as tendncias do trfego.
Registro de fluxos agregados:
11 Sumrio de fluxos.
22 Critrio de agregao.
22 Feito pela sonda;
22 Usa cache principal e caches de agregao;
22 Parmetros configurveis na sonda.
11 Exportao.
nos fluxos que atendem ao critrio de agregao. A agregao feita pela sonda, atravs do
uso de mltiplos caches, um cache principal e caches auxiliares de agregao. Os registros
terminados ou expirados no cache principal so acumulados nos cache de agregao.
O critrio de agregao e expirao de fluxos dos caches de agregao so configurveis
na sonda. Devido agregao, o nmero de pacotes exportados menor, assim, h uma
diminuio do uso da banda e dos recursos usados pela mquina coletora para processar e
armazenar os fluxos.
As sondas so normalmente implementadas por equipamentos de interligao, tais como:
roteadores e switches, mas tambm podem ser implementadas por software em Sistemas
Operacionais de uso geral, como o Linux, por exemplo.
Tanto as sondas, quanto as coletoras e analisadoras, podem ser implementados por equipamento especificamente projetado para essas funes, com ganhos de desempenho e
facilidade de implantao.
Registros personalizados:
Saiba mais
destino. O registro do fluxo agregado deve conter a somatria das informaes contidas
195
Mtodos de exportao
A exportao dos fluxos pode ocorrer de vrias formas. A transmisso pode ser em unicast
(um destinatrio um coletor) e em multicast (grupo de destinatrios grupo de coletores).
J em relao ao protocolo, apesar da predominncia do uso do User Datagram Protocol
(UDP), tambm possvel usar o Transmission Control Procotol (TCP) e o Stream Control
Transmission Protocol (SCTP).
Depois que os fluxos esto armazenados, ento possvel process-los para derivar informaes mais sintticas sobre a massa de dados coletados, atravs da aplicao de filtros,
agregao de fluxos e correlacionamento de fluxos. Com isso, geram-se relatrios textuais e
grficos com base nos fluxos coletados, tais como protocolos mais usados, banda utilizada
por mquina etc. Algumas dessas ferramentas so de tal forma inteligentes que so capazes
de determinar se h algum tipo de trfego abusivo com base em trfegos considerados
normais previamente coletados ou em limiares predefinidos pelo administrador. As ferramentas NFSen e Plixer Scrutinizer so exemplos de ferramentas com tal inteligncia.
Implementaes
Tecnologias concorrentes:
11 NetFlow (Network Flow), da Cisco Systems.
22 Deu incio a tudo e hoje em dia muito flexvel.
22 Verso 5 a mais usada, mas existe a verso 9.
11 sFlow (Sampling Flow), da InMon Corporation.
22 Introduziu o conceito de amostragem de trfego.
22 Implementada por CHIP dedicado adicionado ao hardware.
22 Tipos de mensagens diferentes. Est na verso 5.
196
22 Nmon nBox.
197
Figura 7.12
Hardwares
especializados
em coleta de fluxos
na rede.
Netflow v9
sFlow v5
fprobe
softflowd
pmacct
nProbe
IPFIX
Coletores:
11 Appliances;
22 Interface de administrao e operao remota.
22 Com cdigo proprietrio ou aberto.
11 Proprietrios;
22 Plixer International Scrutinizer
22 ManageEngine Netflow Analyzer
22 Lancope StealthWatch
Tabela 7.3
Formatos
suportados por
cada soluo.
Exemplos de Configuraes
11 Sonda: Cisco Systems IOS (configurao)
interface FastEthernet0/0
description Access to backbone
ip address 192.168.0.1 255.255.255.0
ip route-cache flow
IOS ver
ip flow [ingress|egress] !
< 12.4
duplex auto
speed auto
!
ip flow-export version 5
199
11 As sondas fprobe e softflowd rodam em sistemas Linux e FreeBSD e fazem uso da biblioteca libpcap para interceptar o trfego. A seguir seguem os endereos da pgina web
destas ferramentas:
22 fprobe: http://fprobe.sourceforge.net/
22 softflowd: http://www.mindrot.org/projects/softflowd/
11 O Flow-tools uma biblioteca e um conjunto de ferramentas de linha de comando usados
para coletar e processar fluxos NetFlow e para gerar relatrios sobre esses fluxos.
22 flow-capture coleta, comprime, armazena e mantm o espao utilizado no disco.
22 flow-cat concatena arquivos que contm os fluxos coletados.
22 flow-dscan ferramenta simples para detectar alguns tipos de varreduras de rede e
ataques de negao de servio.
22 flow-expire expira fluxos usando as mesmas polticas disponveis no flow-capture.
22 flow-export: exporta fluxos para o formato ASCII ou cflowd.
22 flow-fanout replica os pacotes Netflow para destinos unicast e multicast, permitindo
o uso de mltiplos coletores simultneos.
22 flow-filter filtra fluxos com base em qualquer dos campos contidos no registro do fluxo.
22 flow-gen gera dados de teste.
22 flow-header mostra meta informaes contidas no arquivo de fluxos.
22 flow-import importa fluxos no formato ASCII ou cflowd.
22 flow-log2rrd: processa as linhas STAT (estatsticas) do log provenientes do flow-capture
e flow-fanout e converte para RRD
22 flow-mask: aplica rtulos a arquivos de fluxos
22 flow-merge junta arquivos de fluxos em ordem cronolgica.
22 flow-nfilter: filtra fluxos com base em qualquer dos campos contidos no registro do
fluxo. Filtros definidos em arquivo.
22 flow-print: mostra os fluxos em ASCII usando um formatos predefinido. O formato
selecionvel entre vrios.
22 flow-receive: recebe fluxos exportados no formato Netflow sem armazenar no disco
22 flow-report gera relatrios sobre o conjunto de dados coletados.
22 flow-rpt2rrd: converte a sada do flow-report separado por vrgula para o formato RRD
22 flow-rptfmt: converte a sada do flow-report separado por vrgula para ASCII ou HTML
formatado
200
22 flow-split: parte arquivos de fluxos em arquivos menores com base em tamanho, data
e hora ou rtulo.
22 flow-stat: gera relatrios com os dados dos fluxos capturados.
22 flow-tag: rotula fluxos com base no endereo IP ou nmero do AS, facilitando o agrupamento desses fluxos.
22 flow-xlate: executa a traduo de alguns campos de registro de fluxos.
11 O NFDump um conjunto de ferramentas de linha de comando para coleta e processamento de fluxos de dados.
22 nfcapd capturador de fluxos no formato NetFlow
Consideraes finais
11 Problemas
22 Os fluxos no so classificados pelo contedo
22 Fluxos perdidos tornam a informao imprecisa
22 O espao em disco consumido no coletor grande
Figura 7.13
Interface para
anlise de fluxos
do NFSen.
referencial de comparao.
202
Com tudo isto, o uso de fluxos mais uma facilidade para resolver problemas de rede, as
informaes deles derivadas podem indicar imediatamente um problema especfico ou
podem ser usadas em conjunto com outras ferramentas para se chegar a uma soluo.
Referncias
11 SINGER, A.; BIRD, T. Building a Logging Infrastructure. The USENIX Association. 2004.
ISBN: 978-1-9319-7125-6
11 KENT, K.; SOUPPAYA, M. Guide to Computer Security Log Management: Recommendations of the National Institute of Standards and Technology. NIST Special Publication
800-92. 2006. http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
11 REID, Gavin. Cisco CSIRT on Advanced Persistent Threat. 2011. Cisco Blogs.
http://blogs.cisco.com/security/cisco-csirt-on-advanced-persistent-threat/ .
Disponvel em 23/09/2013.
11 Cisco IOS Netflow: http://www.cisco.com/web/go/netflow
11 InMon sFlow: http://www.sflow.org/
11 IPFIX: http://www.ietf.org/html.charters/ipfix-charter.html
11 Port Mirroring: http://en.wikipedia.org/wiki/Port_mirroring
11 Libpcap: http://www.tcpdump.org/
11 nBox: http://www.nmon.net/nBox.html
11 FlowMon Probe: http://www.invea-tech.com/products/flowmon-probes
11 fprobe: http://fprobe.sourceforge.net/
11 Softflowd: http://www.mindrot.org/projects/softflowd/
11 Pmacct: http://www.pmacct.net/
11 nProbe: http://www.ntop.org/nProbe.html
11 Plixer Scrutinizer: http://www.plixer.com/products/scrutinizer.php
11 ManageEngine Netflow: http://www.manageengine.com/products/netflow/
11 Lancope StealthWatch: http://www.lancope.com/products/
11 Flow-tools: http://www.splintered.net/sw/flow-tools/
11 NFDump: http://nfdump.sourceforge.net/
11 NFSen: http://nfsen.sourceforge.net/
11 SiLK: http://tools.netsa.cert.org/silk/
11 FlowScan: http://net.doit.wisc.edu/~plonka/FlowScan/
203
204
8
Gerenciamento de performance
e qualidade de servio
de QoS. Entender o QoS na Internet. Conhecer as caractersticas do provisionamento
de trfego. Entender os Tipos de Servios. Conhecer o mecanismo de Service Level
Agreements (SLA). Conhecer os mecanismos de implementao de QoS. Entender as
mtricas e os padres para o gerenciamento de rede. Conhecer as ferramentas de
diagnstico/monitorao da rede.
Viso Geral Sobre QoS, Qos na Internet, Servios Diferenciados, Condies de provisioAgreements, Mecanismos para implementar QoS, Gerenciamento de Congestionamento,
Mecanismos de policiamento e conformao, Mtricas para o gerenciamento de rede,
Padres para Monitorao da Rede, Fluxos, Disponibilidade, Ferramentas de diagnstico
conceitos
e monitorao da rede
Introduo
Embora a capacidade de banda atualmente disponvel seja bem superior ao que havia h
cinco anos, por exemplo, em funo dos backbones em fibra tica, ainda assim insuficiente,
pois o trfego continuamente cresce at o limite da capacidade instalada. preciso gerenciar
continuamente a performance da rede e desencadear medidas paliativas quando necessrio.
Expandir a capacidade nem sempre a soluo possvel, especialmente por razes de custo,
mas que tambm pode ser inibida por limites da tecnologia disponvel. Por isso, necessrio
avaliar se o uso da rede apropriado, se no est ocorrendo uso suprfluo, com aplicaes
no prioritrias ou que no apoiem a misso da instituio, gerando trfego, em detrimento
de aplicaes relevantes e necessrias. Isso leva necessidade de definio e implantao
de alguma forma de provimento de servios com nveis de qualidade diferenciada. A qualidade de servio pode ser gerenciada na internet com o apoio de solues que permitam
atender diferentes parcelas do trfego com estratgias de priorizao diferenciadas.
O Gerenciamento da Qualidade de Servio, que costuma ser designado como Qos (Quality
of Service), precisa ser acompanhado de gerenciamento de banda. Os mecanismos de Qualidade de Servio a serem utilizados so derivados do que combinado no contrato de pres-
objetivos
tao de servio, e esse acordo usualmente referido como SLA (Service Level Agreement).
205
11 Novas aplicaes:
22 Videoconferncia e telemedicina;
22 educao a distncia.
11 No funcionam adequadamente em redes baseadas em melhor esforo, como a internet.
A questo : qual o melhor mecanismo para implementar QoS? Na dcada de 1990, foram
propostos modelos para internet, como o Integrated Services e o Differentiated Service
(DiffServ), os quais abordam vrios tipos de servios, incluindo servios best-effort e real-time,
alm de permitir reserva de banda.
O IntServ ou Servios Integrados um modelo de implementao do QoS desenvolvido para
garantir a qualidade do servio para fluxos individuais de trfego, usando para tanto a sinalizao fim-a-fim e a reserva de recursos por toda a rede, dos roteadores intermedirios at o
roteador de destino. O modelo de servios integrados caracterizado pela reserva de recursos.
Antes de iniciar uma comunicao, o emissor solicita ao receptor a alocao de recursos
necessrias para definir-se uma boa qualidade na transmisso dos dados. O protocolo Resource
Reservation Protocol (RSVP) utilizado, nesse modelo, para troca de mensagens de controle de
alocao dos recursos. A alocao de recursos diz respeito largura de banda e ao tempo em
que ser mantida a conexo. Nesse perodo de tempo, o emissor daquele servio tem uma faixa
da largura de banda disponvel para transmitir seus dados (Santos, 1999).
Modelo atual na internet:
Demonstrao
O modelo de servios diferenciados (DiffSev) implementa QoS com base na definio de
tipos de servios. No cabealho de um pacote IP, existe um campo chamado TOS (Type of
Service), que pode representar o tipo do servio. Esse campo inclui poucos bits, conhecidos
como IP Precedence, que so usados para priorizar trfego atravs de enfileiramento diferenciado dentro de roteadores. Por exemplo, trfego de alta prioridade, indicado pelo valor
mais alto do campo IP Precedence, deve ser colocado na fila de alta prioridade no roteador e
207
pode ocorrer de diferentes maneiras. Por exemplo: usando o bit IP Precedence setado
208
em pacotes IP ou endereos de fonte e destino. A rede usa a especificao QoS para classificar, conformar e policiar trfego, e para realizar enfileiramento inteligente.
O modelo de servios diferenciados usado por inmeras aplicaes de misso crtica e
para prover QoS fim a fim. Tipicamente, esse modelo de servio apropriado para fluxos
agregados porque ele realiza classificao de trfego. Caractersticas do modelo de Servios
Diferenciados incluem:
11 O Committed Access Rate (CAR) realiza classificao de pacotes atravs do IP Precedence
e conjuntos de regras de QoS. O CAR realiza medies e policiamento de trfego, provendo gerenciamento de banda;
Qos na internet
Na internet atual, cada elemento ao longo do caminho do pacote IP no faz nada mais que o
melhor esforo para entregar o pacote a seu destino. Se a fila do roteador sobrecarregada,
pacotes so descartados com pouca ou nenhuma distino entre trfego de baixa prioridade e trfego urgente. Isso conhecido como servio best-effort.
Para funcionar corretamente, muitas aplicaes avanadas necessitam o mximo de banda
garantida e o mnimo de atraso do pacote (latncia), os quais o meri best-effort no pode
disponibilizar. Por exemplo, ferramentas remotas de colaborao, videoconferncia ou telemedicina geralmente tm requisitos de qualidade mais exigentes que podem ser descritos
em termos de demanda de banda e latncia mnimos. Se tais requisitos no forem atendidos, a aplicao pode ser inviabilizada.
Com vistas a poder oferecer QoS na internet, o internet2 QoS Working Group identificou
alguns requisitos:
11 Habilitar aplicaes avanadas;
11 Escalabilidade;
11 Administrao;
11 Medio;
11 Admitir mltiplas e interoperveis implementaes de pedaos individuais de equipamentos e nuvens;
11 Suporte de Sistemas Operacionais e middleware.
Quando algum pergunta qual a qualidade de servio que uma aplicao necessita da rede,
desenvolvedores de aplicaes costumam dizer coisas como: Eu necessito de toda a banda
que puder ser dada com pouca latncia, pouco jitter e pouca perda. Essa resposta na verdade
uma utopia. A realidade das redes faz com que os responsveis pelo desenvolvimento de
aplicaes procurem tornar o software capaz de ajustar-se a uma grande variedade de throuputs. Mas tudo tem limite. Se a rede no conseguir proporcionar um conjunto de requisitos de
Weighted random
early detection
(WRED)
Para dar suporte ao desenvolvimento de aplicaes ditas avanadas, o protocolo de transporte internet, TCP, tem sido aperfeioado nos ltimos anos com vistas a adaptar-se e tentar
compensar os efeitos de congestionamento na rede. Mas nesse contexto no h limite para
os pedidos de conexo que vo sendo ativados. O que ocorre quando esse nmero aumenta
que a falta de recursos para atendimento de toda a demanda provoca uma degradao
gradual na performance das conexes. Por outro lado, em uma rede com QoS habilitada,
o usurio perceber um modelo de servio parecido com o sistema de telefonia. Ao tentar
estabelecer uma conexo, precisa iniciar a conexo e reservar os recursos necessrios.
Se isso for possvel, o usurio obtm um canal livre para transmitir, com os requisitos
solicitados. Alternativamente, no momento de call setup, o usurio talvez receba um sinal
ocupado e lhe seja negado o privilgio de conectar em um nvel de QoS desejado.
Saiba mais
Algumas aplicaes
requerem tambm
jitter limitado (variao
no atraso dos pacotes),
embora a maioria
mascare o jitter atravs
de buffers.
Roteador
de borda
Roteador
de borda
210
Figura 8.1
Elementos
integrantes de uma
rede com QoS.
Qualquer tipo de QoS escolhido para ser implementado deve ser suportado por um ou por
muitos fornecedores de equipamentos. Em redes heterogneas grandes, como a internet, a
interoperabilidade entre equipamentos de diferentes fabricantes absolutamente essencial.
Adicionalmente, a habilitao QoS em fluxos e sinalizao de call setup deve ser tratada de
maneira padronizada em ligaes entre redes sob administraes diferentes, mesmo que
cada uma das redes possa implementar QoS internamente de diferentes maneiras. Implementaes internas de QoS podem variar, dependendo das tecnologias empregadas na rede,
do policiamento interno e das decises de provisionamento.
Interoperabilidade entre
diferentes elementos de rede
Dominio DS
Dominio DS
Figura 8.2
Interoperabilidade
entre redes.
Servios Diferenciados
A arquitetura de servios diferenciados (referida como Diffserv) procura prover um espectro
de servios na internet sem ter de manter estados de fluxos para cada roteador. Isso ocorre
atravs da unio de fluxos dentro de um pequeno nmero de agregados, aos quais oferecido
e armazenamento de informaes sobre cada fluxo individual no roteador do core. Cada
fluxo policiado e marcado no primeiro roteador por onde for encaminhado e que integre
o servio Diffserv. Isso acontece de acordo com o perfil de servio contratado. Na viso do
administrador de rede, o primeiro roteador um roteador-de borda na periferia da rede. Esse
roteador responsvel por realizar o policiamento e marcao dos pacotes recebidos dos
hosts usurios da rede. Quando uma deciso de controle de admisso local for feita pela rede,
o roteador configurado com o perfil de contrato do fluxo do servio. No trajeto a partir desse
roteador, todo o trfego integrante daquele perfil tratado como agregado.
definida atravs de um modelo simples no qual trfego que entra na rede :
11 Classificado;
11 Possivelmente condicionado na borda da rede;
11 Atribudo a diferentes agregaes de comportamento.
Cada agregao de comportamento definida por um nico DS field.
Dentro do core da rede, os pacotes so encaminhados de acordo com o per-hop behavior
associado com o DS field.
211
SLA agregado
Figura 8.3
Arquitetura
fsica de Servios
Diferenciados.
PHB
Figura 8.4
Comportamento de
encaminhamento.
DS Behavior Aggregate
212
Dominio DS
DS Boundary Node
SLA
Dominio DS
SLA
SL
No DS-Compliant
Dominio DS
voz
Figura 8.5
Arquitetura
lgica de Servios
Diferenciados.
SLA
vdeo
DADOS
SLSs e TCSs
Para cada servio, diferentes aspectos tcnicos do servio a ser provido so definidos em
forma de um Service Level Specification (SLS), que especifica todas as caractersticas e a
performance esperadas pelo cliente. Devido ao fato de os servios DS serem unidirecionais,
as duas direes de fluxo devem ser consideradas separadamente. Um subset importante
do SLS o Traffic Conditioning Specification ou TCS.
Dominio DS
Figura 8.6
TCS Traffic
Conditioning
Specification.
SLS
Subset - TCS
Nodo DS-compliant
SLS
Subset - TCS
Cliente
Legacy Node
Nodo DS-compliant
213
O TCS especifica perfis de trfego e aes para pacotes dentro do perfil (in-profile) e fora do
perfil (out-of-profile). Perfis de trfego so responsveis por especificar regras para classificar e medir um fluxo, identificar quais so elegveis e definir regras para determinar se um
pacote est dentro ou fora do perfil. Um pacote dentro do perfil pode ser adicionado a uma
agregao de comportamento diretamente, enquanto um pacote fora do perfil pode ser
conformado antes da entrega da seguinte forma:
11 Pode ser atrasado at que esteja dentro do perfil;
11 Pode ser descartado.
Entre os parmetros de servio para cada nvel de servio que o TCS especifica, temos:
11 Parmetros de performance, tais como: throughput, probabilidade de descarte e latncia;
11 Indicao do escopo de cada servio nos pontos de ingresso e sada;
11 Perfis de trfego;
11 Disposio do trfego submetido em excesso ao perfil especificado;
11 Marcao do servio proporcionado;
11 Conformao do servio proporcionado.
11 O trfego oferecido no nvel de servio E ter duas vezes mais banda do que o nvel F;
11 O trfego com drop precedence AF12 tem uma prioridade de entrega maior de que o
trfego com drop precedence AF13.
De uma forma geral, quando um provedor oferece um servio quantitativo, ser necessrio
especificar perfis de policiamento quantitativo.
214
O SLS dinmico, ao contrrio, pode mudar frequentemente. Tais mudanas podem resultar,
por exemplo, de variaes na carga de trfego oferecida, relativa a thresholds ou de
mudanas no preo oferecida pelo provedor. Os SLSs dinmicos mudam sem interveno
humana e requerem protocolos automatizados.
Destino
Figura 8.7
Componentes do
condicionamento.
Nodo DS
Marcao
de pacotes
Core
Nodo de sada
Conformao
da agregao
Nodo de ingresso
Classicao,
policiamento e
marcao de agregao
Core
11 Classificador;
11 Medidor;
11 Marcador;
11 Suavizador;
Condicionadores de trfego podem ser encontrados dentro de um domnio DS, na borda de
um domnio. Nem todos os quatro elementos do condicionamento precisam estar presentes
em todos os ns de borda. Uma viso lgica de condicionamento de trfego mostrada na
figura a seguir:
Medidor
Pacotes
Classicador
Marcador
Figura 8.8
Viso lgica de
um classificador e
condicionador de
trfego.
Conformador/
Descartador
O provedor deve provisionar nodos internos na sua rede, de modo a atender as garantias
216
oferecidas pelos SLSs negociados no limite da rede. Para fazer isso, o provedor pode usar
mecanismos de condicionamento de trfego similares aos usados no limite da rede. O
provedor pode policiar periodicamente dentro da rede, por remodelagem, remarcao ou
descarte de trfego.
A arquitetura de servios diferenciados prope que um servio fim a fim pode ser construdo pela concatenao de servios de domnios e SLAs associados ao cliente-provedor
para cada um dos domnios onde o trfego venha a passar.
Tipos de servios
Todo tipo de transmisso pode ser tratada como dados. Uma vez que um sinal analgico
convertido para um sinal digital, ele pode ser tratado como se fosse um pedao de dados.
Entretanto, diferentes tipos de transmisso podem possuir diferentes tipos de requisitos.
Tanto voz como transmisses de vdeo de baixa qualidade apresentam alta tolerncia a
erros. Se um pacote ocasionalmente descartado, a fidelidade na reproduo de voz e vdeo
no ser severamente afetada. Em contraste, pacotes de dados tm baixa tolerncia a erros.
Um bit errado pode mudar o significado dos dados.
Transmisso de voz, vdeo e dados tambm tm diferentes requisitos em relao a atrasos.
Para que uma voz, que foi encapsulada em um pacote, possa ser traduzida para um sinal
analgico, o atraso de rede para esses pacotes devem ser constantes e baixos. No caso de
pacotes de dados, o atraso de rede pode variar consideravelmente. Pacotes de dados podem
ser transmitidos de forma assncrona atravs da rede, sem se importar com o tempo entre
o emissor e o receptor. Em contraste, a transmisso de vdeo deve possuir uma relao de
tempo entre o emissor e o receptor.
Pacotes de vdeo e voz, ocasionalmente, podem ser perdidos ou descartados. Em casos
de eventos de excessivo atraso na rede, os pacotes podem ser descartados porque j no
possuem utilidade. Essa perda no afeta severamente a fidelidade da voz, se a perda de
pacotes for menor que 1% do total de pacotes transmitidos.
A transmisso de voz e vdeo tambm requer um tamanho de fila pequeno nos nodos da
rede, de modo a reduzir o atraso e torn-lo previsvel. Um tamanho de fila de pacotes de voz
pequeno pode prevenir um overflow ocasional, o qual poderia resultar na perda de pacotes.
Entretanto, pacotes de dados requerem uma fila de tamanho grande, de modo a prevenir
que pacotes possam ser perdidos em condies de overflow.
A seguir sero descritos exemplos de servios e como eles podem ser suportados por
especficos PHBs. Lembremos que tais exemplos tm carter to-somente ilustrativo, em
se considerando a grande quantidade de servios que podem ser empregados usando o
Internet
SAP
Figura 8.9
Tipos de servios
diferenciados.
Internet
Servio Olmpico
Servio Premiun
Servio Assegurado
Vdeo
SAP
Vdeo
refere-se ao servio melhor, relativo a quem paga menos. Tem as seguintes caractersticas:
217
11 O PHB nesse caso tem como regra encaminhar o pacote primeiro (EF);
218
Os pacotes submetidos pelo servio de linha privada devem ser marcados com o codepoint
no campo DS correspondente a EF PHB [EF]. Do ponto de ingresso A para o ponto de sada B,
o provedor promete transportar at 100 kbps de trfego. O trfego excedente ser descartado. Do ponto de ingresso A, para o ponto de sada C, o provedor promete transportar
50 Kbps de trfego. claro, existem algumas tolerncias requisitadas em policiamento de
trfego, como jitter e tamanho de rajada. Entretanto, para servios de linha privada, o primeiro parmetro de perfil de trfego pode ser o sustained traffic rate.
O provedor provisionar policiamento no ponto de ingresso A para limitar o trfego destinado ao ponto de sada B a 100 Kbps. Similarmente, um policiamento ser configurado,
de modo a limitar o trfego destinado ao ponto de sada C a 50 Kbps. Esses policiamentos
requerem classificao baseada no DS-mark e o endereo de destino em cada pacote.
A fim de prover esse servio, o provedor ter de implementar a EF PHB no equipamento
do core da rede. A EF PHB pode ser implementada usando strict priority queuing ou,
alternativamente, aplicando pacotes marcados com EF no esquema WFQ (heavily weighted
queue). O provedor ter de provisionar equipamentos no core da sua rede. Por exemplo,
roteadores transportando trfego entre o ponto A e ponto B e/ou C tero que ser provisionados considerando-se os recursos comprometidos pelo TCS no ponto A. Isso significa
que um roteador o qual essa no caminho de A e B e de A e C, ter de ser considerado como
tendo comprometido 150 Kbps de sua largura de banda como resultado do TCS colocado
em A. Um roteador, apenas no caminho entre A e B, ter de ser considerado como tendo um
comprometimento de 100 Kbps como resultado do TCS. claro, o roteamento est sujeito a
mudar, falhas nos caminhos podem tambm ser provisionadas. Para aumentar a segurana
oferecida pelos servios EF, os provedores podem empregar mecanismos de roteamento,
como: route pinning mechanisms ou QoS routing mechanisms.
Acima dessa taxa, o trfego sujeito a um atraso ou descarte significativo. Esse tipo de
219
Os pacotes submetidos ao servio de playback confivel devem ser marcados com o codepoint do campo DS correspondendo a AF11 PHB. Do ponto de ingresso A para o ponto de
sada B, o provedor promete um transporte at 100 Kbps do trfego tolerado (sustained
traffic) com rajadas (burst) de 100 Kbps de tamanho e taxa de pico de 200 Kbps. Rajadas de
trfego excedentes sero marcadas com o codepoint AF12 e o trfego fora do perfil ser
transportado com o codepoint AF13. To logo essas condies sejam encontradas, a latncia
ser limitada a um segundo. Note-se que para esse servio o perfil de trfego descrito
usando um conjunto completo de parmetros de token bucket. Uma vez que o limite de
latncia para tal servio menos rigoroso que no servio de linhas privadas, um certo grau
de traffic burstiness pode ser tolerado.
O provedor deve suportar as AF11, AF12 e AF13 PHBs nos roteadores do core da rede. Essas
PHBs podem ser providas, por exemplo, direcionando o trfego marcado com AF11, AF12,
AF13 para uma nica fila RIO com alto limite de descarte. Os policiais na borda limitaro a
competio de trfego na linha com o TCS, de modo a assegurar que a latncia possa ser
encontrada. O provedor de servio ter de provisionar dispositivos no core da rede.
O provisionamento discutido em linhas privadas pode ser aplicado aqui, entretanto, em
geral, o provedor de servio tem a liberdade de ser menos conservativo no provisionamento
e realizar melhores ganhos estatsticos.
Provisionamento e configurao
O provisionamento de servios diferenciados requer provisionamento e configurao cuidadosa, e refere-se determinao e alocao de recursos necessrios em vrios pontos na
rede. O provisionamento pode:
11 Ditar a soma ou a remoo de recursos fsicos em vrios pontos (provisionamento fsico);
11 Definir a modificao de parmetros operacionais dentro de equipamentos existentes na
rede, de modo a alterar relativos compartilhamentos de recursos de rede os quais so
alocados a uma ou outra classe de servio (provisionamento lgico).
A configurao refere-se distribuio de parmetros operacionais apropriados para equipamentos de rede, de modo a alcanar objetivos de provisionamento. A configurao pode
ser feita utilizando protocolos como SNMP, CLI, RSVP, COPS e LDAP.
11 Classificador e marcador.
11 Mecanismos que permitem ler e escrever contedo de campos.
220
mento e configurao. O importante notar aqui que provisionamento na borda da rede deve
ser tratado separadamente de provisionamento no interior da rede. Desde que o provedor
de servios diferenciados vende um contrato (SLA) na borda da rede, podemos considerar o
provisionamento de borda, o qual suporta SLSs, como sendo o responsvel em determinar
o provisionamento do interior do provedor. Por exemplo, um operador de rede no pode
oferecer um SLS o qual no pode localizar recursos disponveis no interior da rede. De uma
forma geral, o processo geral de provisionamento interage entre bordas e interior. De agora
em diante, referenciaremos o provisionamento em respeito a TCS em vez de SLS, j que o TCS
um componente do SLS que define detalhes de parmetros de manipulao de trfego.
Provisionamento de borda
No mnimo, o provedor deve assegurar que recursos fsicos suficientes estejam provisionados
na borda de modo a poder encontrar os requisitos do TCS. Por exemplo, se a soma dos perfis
suportados em um ponto de ingresso permitir 10 Mbps de trfego, inaceitvel provisionar
o link com um acesso T1. Um T3, entretanto, seria suficiente. Uma vez que o provisionamento
fsico implementado, necessrio aplicar o provisionamento lgico apropriado. Isso alcanado via configurao de policiamento que limita a quantidade de trfego aceito pelo link T3,
em cada nvel de acesso e para duplos TCSs finais, para o ponto de sada apropriado.
Tambm pode ser necessrio configurar uma quantidade de buffer para as filas usadas para
o servio. O provisionamento similar tambm apropriado em cada ponto de sada, se o
agregado do perfil provisionado para a sada exceder a capacidade de sada do link.
11 Controle de congestionamento.
11 Mecanismos de escalonamento de pacotes (disciplinas de servio).
11 Ou seja, enfileiramento.
11 Preveno de congestionamento.
11 Tcnicas para evitar transbordamento das filas.
11 Influncia do controle de congestionamento do protocolo TCP (fonte cooperante).
O processo de provisionamento fsico , por necessidade, relativamente esttico e no pode
ser automatizado, desde que requeira instalao de equipamentos fsicos. Entretanto, o
provisionamento lgico e configuraes podem e devem ser automatizados. Nesta sesso,
abordaremos tcnicas de distribuio de informaes de configurao.
No caso mais simples, os TCSs so estticos e as bordas e o interior da rede so provisionados
estaticamente atravs do processo de envio da informao de configurao para o nodo de
de policiamento. Nesse momento, os nodos so configurados pelo provedor. O administrador
de rede pode usar um dos vrios protocolos para fazer isto, incluindo SNMP ou CLI.
De modo a acomodar o trfego submetido pelo provisionamento de um novo TCS, necessrio provisionar o interior da rede. Nesse caso de configurao top down, as informaes
de configurao de interior so tambm enviadas via protocolo de configurao, tal como
SMNP ou CLI.
Servidores de policiamento podem ser usados para extrair informaes de base de dados e para
convert-las em informaes de configurao, as quais so enviados para nodos individuais.
Nesse cenrio, os servidores de policiamento poderiam utilizar protocolos do tipo diretory
access protocol, tal como LDAP, para buscar informaes do diretrio e usar um protocolo
de configurao como SMNP ou CLI para push down a informao de configurao para o
nodo da rede.
rede apropriado. A configurao dos nodos de borda requer primeiro o envio da informao
de trfego quantitativo sejam relativamente previstos. Entretanto, ele pode aumentar significativamente a eficincia com a qual o provisionamento qualitativo pode ser alcanado.
O objetivo final em relao a QoS prover a usurios e aplicaes alta qualidade na entrega
de servios de dados. No ponto de vista do roteador, o suporte qualidade de servio dividida em trs partes: definio de classes de tratamento de pacotes, especificao da quantidade de recursos para cada classe e classificao de todos os pacotes de entrada da rede
dentro de suas classes correspondentes. O modelo DiffServ especifica a primeira e a terceira
parte: ele especifica classes de trfego, bem como prov um mecanismo simples de classificao de pacotes. J o modelo Bandwidth Broker (BB) especifica a segunda parte, mantendo
a informao de alocao atual do trfego marcado e interpretando novas requisies.
O BB tem responsabilidades internas e externas referentes a gerenciamento de recursos
e controle de trfego. Internamente, um BB pode manter informaes de requisies de
QoS de usurios individuais e aplicaes, e alocar recursos internos de acordo com regras
de policiamento usadas para recursos especficos dentro do domnio. Externamente, o BB
tem responsabilidades de configurar e manter acordos bilaterais de servios com os BBs de
domnios vizinhos de modo a assegurar a manipulao de QoS do trfego de dados entre as
bordas.
O Bandwidth Broker (BB) um agente responsvel pela alocao de servios preferenciais
para usurios no momento da requisio, e por configurar os roteadores da rede com o
comportamento de entrega correto para o servio definido. Um BB est associado a uma
regio de confiana particular, um por domnio; tem uma base de dados para policiamento
que mantm as informaes de quem pode fazer o qu, quando e um mtodo de utilizar a
base de dados para autenticao de requisies. Apenas o BB pode configurar o roteador
folha para entregar um servio particular para um fluxo, crucial para o desenvolvimento de
um sistema seguro.
Quando uma alocao desejada para um fluxo particular, uma requisio enviada para
o BB. A requisio inclui o tipo de servio, a taxa-destino, a rajada mxima e o perodo de
tempo que o servio ser utilizado. A requisio pode ser realizada por um usurio ou ela
pode vir de outras regies de BB. Um BB autentica em primeiro as credenciais do requisitor, ento, verifica se existe largura de banda disponvel suficiente para a requisio. Se a
requisio passa por esse teste, a largura de banda disponvel reduzida pela quantidade
requisitada e a especificao do fluxo registrada.
O BB configura o roteador-folha com informaes sobre o fluxo de pacotes a ser dado ao
servio no momento que este se inicia.
A ideia do BB foi introduzida como parte da arquitetura de Servios Diferenciados. O BB
Gerncia de Redes de Computadores
222
pores desse servio podem ser associadas a fluxos especficos. O SLA inclui as seguintes
informaes:
11 Identificao do cliente;
11 Tipo de servio;
11 Parmetros de tipo de servio;
11 Restries do servio.
O Bandwidth Broker assegura que todas as obrigaes para qualquer servio no exceda a
quantidade desse servio disponvel na regio de confiana.
Configurao do roteador
O Bandwidth Broker tem de configurar um grupo de roteadores com capacidades de Diff-
Classificao
A classificao utiliza um descritor de trfego para categorizar um pacote dentro de um
grupo especfico, e para definir o pacote e marc-lo como acessvel para manipulao de
QoS na rede. Usando classificao de pacotes, podemos particionar o trfego da rede dentro
de mltiplos nveis de prioridade ou classes de servios. Quando os descritores de trfego
so usados para classificar trfego, a origem concorda seguir os termos do contrato e a
rede promete qualidade de servio. O policiamento de trfego, tal como a caracterstica de
limite de taxa do Committed Access Rate (CAR) e conformao de trfego, alm de Frame
Relay Traffic Shaping (FRTS) e Generic Traffic Shaping (GTS), usam um descritor de trfego de
pacotes classificao para assegurar o contrato (Cisco 99b).
A classificao de pacotes primordial para tcnicas de policiamento que selecionam
pacotes que cruzam elementos de rede ou uma interface particular para diferentes tipos de
servios QoS. Os mtodos antigos de classificao eram limitados ao contedo do cabealho
do pacote. Os mtodos atuais de marcao de pacote para classificao permitem configurar informaes em cabealhos de nvel 2, 3 ou 4, ou at configurar informaes dentro
do payload do pacote.
O uso do IP Precedence permite especificar a classe de servio (CoS) para um pacote. So
usados os trs bits precedentes do campo ToS no cabealho IPv4 para esse propsito.
Precedence
Precedence
Tipo de servio
Precedence
Usando os bits ToS, podemos definir at seis classes de servios. Outras caractersticas
configuradas atravs da rede, podem ento usar esses bits para determinar como tratar o
pacote, em vez de considerar o tipo de servio para garanti-lo. Essas outras caractersticas
de QoS podem fornecer polticas apropriadas de manipulao de trfego, incluindo estrat-
224
Figura 8.10
Histrico do campo
IP Precedence
Premium
Olimpico
Marcadores
Figura 8.11
IP Precedence.
225
Nmero
Nome
Rotineira
Prioritria
Imediata
Flash
Flash override
Crtica
Internet
Network
Policy-Based Routing
Gerncia de Redes de Computadores
Tabela 8.1
Valores do IP
Precedence.
Por exemplo, a classificao de trfego por PBR permite identificar trfego por diferentes
tipos de servio na borda da rede e ento implementar QoS definido por cada CoS no core
da rede, usando tcnicas de prioridade ou weighted fair queueing. Esse processo obviamente necessita classificao de trfego, explicitamente em cada interface no core da rede.
Todos os pacotes recebidos, com PBR habilitado na interface, so passados atravs de
filtros conhecidos como mapas de rotas. O mapa de rotas usado pelo PBR dita o policiamento, determinando para onde os pacotes devem ser encaminhados. Algumas aplicaes
ou trfegos podem ser beneficiados por roteamento; por exemplo, poderamos transferir
registros de estoque para um escritrio com alta largura de banda, enquanto transmitimos
aplicaes rotineiras tal como e-mail, atravs de links de baixa velocidade.
O Border Gateway Protocol (BGP) um protocolo de roteamento entre domnios, que troca
informaes de roteamento com outros sistemas BGP (definido no RFC 1163). Polticas de
propagao via BGP permitem classificar pacotes baseados em:
11 Lista de acesso;
11 Lista de community BGP;
11 Caminhos de sistemas autnomos BGP;
11 IP Precedence;
11 Endereos de origem e destino.
Depois de o pacote ter sido classificado usando BGP, pode-se usar caractersticas de QoS,
tal como CAR e WRED, para especificar policiamento compatveis com o modelo do negcio
da organizao. O CAR um mecanismo que implementa classificao de servios e policiamento atravs de limites de taxa. Podemos utilizar servios de classificao por CAR
para configurar IP Precedence em pacotes que entram na rede. Essa caracterstica do CAR
permite particionar a rede em mltiplos nveis de prioridade ou classes de servio. Dispositivos de rede dentro da rede podem utilizar o IP Precedence para determinar como o trfego
deve ser tratado. Depois do pacote ser classificado, a rede pode aceitar ou reescrever e
reclassificar o pacote, de acordo com um policiamento especfico.
O Committed Access Rate (CAR) tem como objetivo prover ao operador da rede a caracters-
227
CAR
CAR
Figura 8.12
Committed
Access Rate.
Gerenciamento de congestionamento
As caractersticas de gerenciamento de congestionamento permitem o controle de congestionamento, pela determinao da ordem com que os pacotes so transmitidos para fora
da interface, baseada em prioridades para esses pacotes. O gerenciamento de congestionamento est diretamente ligado criao de filas; o direcionamento dos pacotes para essas
filas baseia-se na classificao dos pacotes e na programao dos pacotes em uma fila para
transmisso. A caracterstica de gerenciamento de congestionamento oferece quatro tipos
de protocolos, cada um dos quais permite que se especifique a criao de um nmero diferente de fila, de acordo com o tipo de trfego e a ordem na qual os pacotes so transmitidos.
Durante perodos onde no existe congestionamento, os pacotes so transmitidos para fora
da interface assim que chegam. Durante perodos de congestionamento, os pacotes chegam
mais rpido que a interface de sada pode suportar. Se for utilizado o gerenciamento de
congestionamento, os pacotes acumulados na interface so enfileirados at que a interface esteja livre novamente; o envio dos pacotes ento programado para transmisso, de
acordo com sua prioridade, e o mecanismo de enfileiramento configurado para a interface.
O roteador determina a ordem com que os pacotes so transmitidos, controlando quais
pacotes so colocados nas filas e como filas so servidas com respeito as outras.
Existem esses quatro tipos bsicos de enfileiramento, os quais constituem os mecanismos
de gerenciamento de congestionamento para QoS:
11 First-In, First-Out Queueing (FIFO): o mtodo FIFO no utiliza o conceito de priorizao
ou classes de trfego. Com FIFO, a transmisso de pacotes para fora da interface ocorre
228
11 Weighted Fair Queueing (WFQ): o WFQ divide o bandwidth atravs de filas de trfego
baseado em pesos. O WFQ assegura que todo o trfego tratado de acordo com as
regras, dado seu peso. Para ajudar a entender como o WFQ trabalha, considere uma
fila para pacotes FTP como uma fila coletiva, e uma fila para trfego de pacotes interativos como uma fila individual. Dado o peso das filas, o WFQ assegura que para todos
os pacotes da fila coletiva transmitidos, um nmero igual de pacotes da fila individual
transmitido. Assim, o WFQ assegura, satisfatoriamente, o tempo de resposta a aplicaes
crticas, tal como as interativas, aplicaes baseadas em transaes que so intolerantes
a degradaes de performance;
11 Custom Queueing (CQ): com CQ, o bandwidth alocado proporcionalmente para cada
classe de trfego diferente. O CQ permite especificar o nmero de bytes ou pacotes para
a fila. Nesse caso, o CQ usado geralmente para interface de baixa velocidade;
11 Priority Queueing (PQ): com PQ, pacotes com prioridade maior so enviados antes
que todos os pacotes com prioridade menor, de modo a assegurar o tempo de entrega
desses pacotes.
Atualmente, existe uma necessidade real de que o trfego seja compartilhado entre aplicaes, de modo que no venha a afetar a performance. Nesse caso, deve-se considerar cada
vez mais o uso de tcnicas de gerenciamento de congestionamento para assegurar o tratamento atravs dos vrios tipos de trfego. Isso derivado de necessidades tais como:
11 A priorizao de trfego especialmente importante para aplicaes sensveis ao atraso
e transaes interativas por exemplo, vdeo-conferncia que necessitam prioridade
maior que aplicaes de transferncia de arquivos;
11 A priorizao mais efetiva em links WAN nos quais a combinao entre trfego em
rajadas e taxas menores de dados podem causar congestionamentos temporrios;
11 Dependendo do tamanho mdio dos pacotes, a priorizao mais efetiva quando aplicada a links T1/E1 ou menores;
11 Se os usurios de aplicaes que rodam atravs da rede identificam uma resposta pobre
em relao ao tempo, deve ser considerada o uso de caractersticas de gerenciamento de
congestionamento. Caractersticas de gerenciamento de congestionamento so dinmicas, podendo se ajustar sozinha s condies existentes na rede. Entretanto, considerando que se um link WAN est constantemente congestionado, a priorizao de trfego
pode no resolver o problema. A melhor soluo seria aumentar o tamanho do link;
11 Se no existe congestionamento no link WAN, no h razo para implementar priorizao
de trfego.
Tail Drop
O mecanismo de tail drop trata todo trfego da mesma maneira e no faz diferenciao
entre as classes de servios. As filas so preenchidas em perodos de congestionamento.
Quando a fila de sada completada e o mecanismo de tail drop est em vigor, os pacotes
so descartados at que o congestionamento seja eliminado e a fila no esteja mais cheia.
229
de congestionamento.
11 O RED trabalha em conjunto com protocolos como TCP, de modo a evitar
congestionamento da rede.
Esta sesso de aprendizagem oferece uma introduo breve dos conceitos de RED e enderea o WRED, uma implementao de RED. O mecanismo RED foi proposto por Sally Floyd e
Van Jacobson em 1990, para enderear congestionamento de rede em resposta maneira
tradicional. O mecanismo RED est baseado na premissa de que a maioria do trfego roda
em implementaes de transporte de dados, as quais so sensveis perda, e em determinados perodos sofre um atraso devido ao descarte do seu trfego. O TCP, que responde
apropriadamente ao descarte do trfego atravs de tcnicas de atraso no envio deste,
permite o uso do RED com um mecanismo de sinalizao para evitar congestionamento.
importante considerar que o uso do RED deve ser empregado em transportes de rede tal
como TCP, onde o protocolo robusto, em resposta perda de pacotes. No caso do protocolo Novell Netware e AppleTalk, nenhum deles robusto em resposta perda de pacotes,
assim no devemos utilizar RED nesses casos.
O objetivo do RED controlar o tamanho mdio da fila indicando aos hosts quando eles
devem transmitir seus pacotes mais lentamente. O RED leva vantagem ao utilizar-se do
mecanismo de controle de congestionamento do TCP. Atravs do descarte randmico de
pacotes em perodos de grande congestionamento, o RED conta a origem dos pacotes nos
quais deve ocorrer uma diminuio na sua taxa de transmisso. Assumindo que o pacote
de origem est utilizando TCP, a fonte vai diminuir sua taxa de transmisso at que todos
os pacotes possam alcanar o seu destino, indicando que o congestionamento no ocorre
mais. Na verdade, o TCP no para totalmente, ele reinicia rapidamente e adapta-se taxa de
transmisso que a rede pode suportar.
RE
230
Figura 8.13
Random Early
Detection.
seja temporrio e que o trfego no fique excessivo, exceto nos pontos nos quais ocorre o
231
Tambm o IP Precedence governa quais pacotes so descartados o trfego de baixa prioridade tem uma taxa de descarte maior que a dos de alta prioridade.
O WRED difere de outras tcnicas para evitar congestionamento tal como estratgias de
filas, porque uma vez que ocorra congestionamento, no lugar de control-lo, ele procura se
antecipar e evit-lo.
Teste de
descarte
Passa
Pacotes que
chegam
Fila
transmitida
Pacotes
de sada
Saiba mais
O Weighted RED
trabalha com mltiplos
thresholds, um para
cada classe de servio.
Servios de baixa prioridade so descartados
antes dos servios de
alta prioridade.
Falha
Programao FIFO
Descarte baseado
Recursos de buer
no teste:
de enleiramento
Profundidade da la
IP Precedence
Sesso RSVP
O WRED faz a antecipao de deteco de congestionamento possvel e prov para mltiplas classes de trfego. Ele tambm protege contra a sincronizao global. Por essa razo,
o WRED utilizado em qualquer interface de sada na qual esperada uma ocorrncia de
congestionamento. Entretanto, o WRED geralmente usado em roteadores do core da rede,
e no nos roteadores da borda. Roteadores de borda marcam precedncia IP para pacotes
quando eles entram na rede. O WRED usa essa precedncia para determinar como tratar
diferentes tipos de trfego. O WRED prov thresholds e pesos separados para diferentes IP
Precendence, permitindo prover diferentes qualidades de servios com descarte de pacotes
para diferentes tipos de trfego. Nesse caso, o trfego tradicional pode ser descartado mais
frequentemente que o trfego do tipo premium durante perodos de congestionamento.
Em perodos de congestionamento, quando os pacotes comeam a ser descartados, o WRED
avisa a fonte dos pacotes para decrescer sua taxa de transmisso. Se a fonte dos pacotes
est utilizando TCP, ela decrescer a taxa de transmisso de pacotes at que todos os
pacotes alcancem o seu destino, que indica que o congestionamento no existe mais.
O WRED geralmente descarta pacotes seletivamente baseados no IP Pecedence. Os pacotes
com o maior IP Precedence so descartados em menor proporo do que os de menor
Gerncia de Redes de Computadores
precedncia. Assim, quanto mais alta a prioridade dos pacotes, mais alta a probabilidade
232
de que os pacotes sejam entregues. O WRED reduz as chances do tail drop atravs da
seleo do descarte dos pacotes quando a interface de sada comea a mostrar sinais de
congestionamento. Dropando alguns pacotes antecipadamente, em vez de esperar que a
fila complete, o WRED evita um descarte numeroso de pacotes de uma s vez e minimiza
as chances de sincronismo global. Assim, o WRED permite que a linha seja usada completamente. O WRED til quando o trfego do tipo TCP/IP. Com TCP, pacotes descartados
indicam congestionamento, ento a fonte dos pacotes reduz a taxa de transmisso.
Figura 8.14
Weighted Random
Early Detection.
cificados seja transmitido, enquanto descarta pacotes que excedam a quantidade de trfego
233
11 Controle de acesso ao bandwidth quando o policiamento dita que a taxa de uma dada
interface no deveria, na mdia, exceder uma certa taxa, embora a taxa de acesso exceda
a velocidade;
11 Configurar conformao de trfego na interface tendo uma rede com diferentes taxas de
acesso. Suponha que os links Frame Relay tenha 128 kbps e 256 kbps. Enviar pacotes a
256 kbps pode causar falha na aplicao.
O conformador de trfego previne perda de pacotes. O seu uso especialmente importante em
redes Frame relay porque o switch no pode determinar quais pacotes tm precedncia, alm
de quais pacotes devem ser descartados quando o congestionamento ocorre. de importncia
crtica para o trfego do tipo real-time, tal como Voz sobre Frame relay, cuja latncia limitada,
limitando assim a quantidade de trfego e perda de trfego em links de redes de dados em
qualquer tempo, mantendo o dado em roteadores que fazem a garantia. A reteno do dado
em roteadores permite que o roteador priorize o trfego de acordo com a garantia. (A perda de
pacotes pode ser resultante da consequncia de aplicaes real-time e interativas.)
O conformador de trfego limita a taxa de transmisso de dados atravs de:
11 Uma taxa especfica configurada;
11 Uma taxa derivada, baseada no nvel de congestionamento.
Como mencionado, a taxa de transferncia depende de trs componentes que constituem o
token bucket: tamanho da rajada, taxa resultante e intervalo de tempo. A taxa resultante
igual ao tamanho da rajada dividido pelo intervalo.
Quando o conformador de trfego habilitado, a taxa de bits da interface no vai exceder a
taxa resultante sobre qualquer intervalo mltiplo do integral. Em outras palavras, durante
todo o intervalo, um tamanho mximo de rajada pode ser transmitido. Dentro do intervalo,
entretanto, a taxa de bit pode ser mais rpida que a taxa resultante em qualquer tempo dado.
Pode-se especificar qual pacote Frame Relay tem baixa prioridade ou baixa sensibilidade ao
tempo e ser o primeiro a ser descartado quando um Frame Relay estiver congestionado.
O mecanismo que permite um Frame Relay identificar tal pacote o bit DE.
Pode-se definir listas de DE que identificam caractersticas de pacotes a serem descartados.
Uma lista DE pode ser baseada em protocolos ou interfaces e em caractersticas, tal como
fragmentao de pacotes, um TCP especfico ou porta User Datagram Protocol (UDP), um
nmero de lista de acesso ou tamanho de pacote.
234
Backbone
WAN core
POS, ATM, T3
Backbone
Backbone
Core
Backbone
Connectivity
Backbone
Connectivity
Concentration
Concentration
Distribuition
Dial Access
SOHO
Cable Access
Direct Access
SOHO
or Campus
SOHO
or Campus
Frame/Leased
to Campus
Access / Services
Acesso
no nvel de acesso que o policiamento deve ser empregado. Isso ocorre devido ao fato da
necessidade de limitar a taxa do trfego de cada cliente requerido pelo SLA. Ou seja, cada
cliente dentro da soluo cobrado pela banda que utiliza. Assim, para cada cliente o policiamento deve ser empregado.
Nesse nvel tambm classificado o trfego do cliente de modo a se enquadrar em um dos
seguintes tipos (classificao por DiffServ): Ouro (Gold traffic), Prata (Silver traffic) e Bronze
(Bronze traffic). Esses tipos so relacionados usualmente a aplicaes especficas:
11 Ouro: voz e outras aplicaes em tempo real;
11 Prata: comrcio eletrnico;
11 Bronze: e-mail e web.
As tcnicas para garantir o SLA do cliente podem envolver o uso de CAR ou WFQ.
11 Commited Access Rate (CAR):
22 Marcao/Classificao de pacotes: IP Precedence e QoS group setting;
22 Gerncia de acesso a banda: limitao de banda (policiamento).
11 Class-Based WFQ;
22 Configurao de limite mnimo de bandwidth;
22 Servio de enfileiramento para controlar a latncia.
Distribuio
O nvel de distribuio tem como funo definir quais sero as polticas de descarte de
rede quando a rede estiver congestionada. Ou seja, a distribuio tem como funo evitar
e gerenciar o congestionamento da rede. Assim, quando ocorre um congestionamento, o
trfego Silver ou Bronze descartado, de modo a no afetar o trfego Gold.
Figura 8.15
Nveis de rede.
DSL Access
235
O que vale ressaltar que o trfego que ser descartado em caso de congestionamento ser
o trfego de um agregado de menor priorizao, e no aleatrio.
Gold
High Precedence
(Guarantees
Mission-Critical App,
I.e., Great Plains, Claris,
Plvotal, Peoplesoft,
Unied in Messaging)
Silver
Medium Precedence
E-mail, Interactive,
Video, Web
Bronze
E-fax, FTP
Figura 8.16
Tcnica de
descarte.
Core
Como o nvel de distribuio, o Core tambm tem a funo de prevenir o congestionamento
da rede. Esse nvel tem tambm a responsabilidade de interagir com o trfego de ingresso e
de sada. Ou seja, nesse nvel que os acordos bilaterais para fazer valer o QoS entre domnios devem ocorrer.
Concluso
A internet global est mudando tudo e todos. O mundo est convergindo para o protocolo
da internet e para suas necessidades de rede. Porm, nesse processo, o projeto original do IP
tornou-se muito dbil. Como resultado, a internet necessita mudar para acomodar a demanda
de novas aplicaes. A largura de banda uma soluo, mas no suficiente. De um modo
geral, a internet necessita gerenciamento dessa largura de banda, ela necessita de inteligncia.
At agora, a internet tem provido apenas o servio best-effort, no qual os recursos so
compartilhados igualmente. Somar QoS significa somar inteligncia internet, o que uma
necessidade imediata, uma vez que habilita a possibilidade de diferenciao dos servios.
Nos provedores, essa necessidade torna-se uma prioridade, uma vez que precisamos disponi-
bilizar mais formas de acomodar o mundo da internet em um ambiente rico em servios. Pois,
236
com esse tipo de arquitetura, os ISPs podero segmentar seu mercado, entregar mais valor ao
cliente, alcanar negcios mais lucrativos e esquentar o crescimento mundial na internet.
11 Pesquisadores:
princpios simples que podem ser medidos, monitorados e controlados pelo administrador
237
239
Exemplo: resultados da medio da vazo mxima obtida entre dois servidores HPML385.
Na tabela 1, a vazo foi medida com Jumbo frame no habilitado, enquanto na tabela 2 o
MTU foi definido em 9000 Bytes (Jumbo frame habilitado).
Exemplo: Canal de 2Mbps e atraso RTT = 300ms
2000000 x 0,30 = 60.000 / 8 = 75.000 bytes = Valor da janela TCP, ou 2/8 = 0,25 * 0,3 =
0,75M = 75Kbytes.
Tabela 8.2
Servidor HP ML385
sem Jumbo frame.
569 MBytes
955 Mbits/sec
0.034 ms
1024/406888 (0.25%)
[ 3]
569 MBytes
955 Mbits/sec
0.003 ms
1056/406915 (0.26%)
[ 3]
569 MBytes
955 Mbits/sec
0.012 ms
1088/406946 (0.27%)
[ 3]
569 MBytes
955 Mbits/sec
0.002 ms
1056/406915 (0,26%)
569 MBytes
955 Mbits/sec
0.003ms
1024/406889 (0.25%)
[ 3]
569 MBytes
955 Mbits/sec
0.002ms
1056/406915 (0.26%)
[ 3]
569 MBytes
955 Mbits/sec
0.002ms
1088/406947 (0.27%)
[ 3]
569 MBytes
955 Mbits/sec
0.024ms
1056/406916 (0,26%)
240
[ 3]
591 Mbytes
25/69704 (0036%)
[ 3]
591 Mbytes
35/69715 (005%)
[ 3]
591 Mbytes
30/69709 (0043%)
[ 3]
591 Mbytes
35/69714 (005%)
591 Mbytes
25/69704 (0036%)
[ 3]
591 Mbytes
35/69714 (005%)
[ 3]
591 Mbytes
30/69709 (0043%)
[ 3]
591 Mbytes
35/69715 (005%)
Tabela 8.3
Servidor HP ML385
com Jumbo frame.
w
Para saber mais, acesse
http://www.ietf.org/
rfc/rfc2679.txt.
11 Aplicabilidade:
22 Detectar sintomas de congestionamento na rede e determinar exatamente em
qual sentido da comunicao o congestionamento est ocorrendo;
22 Realizar a medio com alta preciso;
VoIP
Voz sobre IP.
241
11 Composio do OWD:
22 Atraso por canal de comunicao (link):
33 Atraso de serializao;
33 Atraso de propagao.
22 Atraso por n de rede (roteador)
33 Atraso de enfileiramento;
33 Atraso de encaminhamento (forwarding).
22 Atraso de Serializao:
33 O atraso de serializao o tempo necessrio para separar um pacote em unidades de transmisso sequenciais no canal (link).
22 Atraso de propagao:
33 O atraso de propagao o tempo de durao para mover os sinais (bits) do
transmissor para o receptor de um canal de comunicao.
33 Fonte: http://kb.pert.geant.net/PERTKB/SerializationDelay
Fibre lenght
One-way delay
Round-trip time
1m
5 ns
10 ns
1km
5 s
10 s
10km
50 s
100 s
100km
500 s
1 ms
1000km
5 ms
10 ms
10000km
50 ms
100 ms
242
Link Rate
64 kb/s
1 Mb/s
10 Mb/s
100 Mb/s
1Gb/s
64 bytes
8 ms
0,512 ms
5.12 s
5.12 s
0.512 s
512 bytes
64 ms
4.096 ms
409,6 s
40.96 s
4.096 s
1500 bytes
185,5 ms
12 ms
1.2 ms
120 s
12 s
9000 bytes
1125 ms
72 ms
7.2 ms
720 s
72 s
Packet Size
Saiba mais
O traceroute incrementa o TTL em uma
unidade para cada
conjunto de pacotes
que ele envia, conseguindo assim realizar
o rastreamento dos
gateways/roteadores
pelo caminho.
um sentido da fonte para o destino, do destino para a fonte e mais o tempo que o
destino leva para formular a resposta.
11 Padro que define a mtrica:
22 IPPM RFC 2681: A Round-trip Delay Metric for IPPM
11 Formas de medio:
22 Injeo de pacotes na rede, podendo usar os protocolos ICMP, UDP ou TCP.
11 Unidade de medio:
22 Tipicamente em milissegundos.
11 Aplicabilidade:
22 Detectar sintomas de congestionamento na rede.
22 Identificar baixo desempenho em TCP, em canais de alta capacidade.
22 Medir a disponibilidade de dispositivos de rede.
22 Estimar o atraso sem a necessidade de sincronizao de relgios.
de requisio enviado pelo n fonte e o instante de tempo que ele recebe o pacote de
resposta correspondente. O pacote de resposta deve ser enviado ao n fonte assim que o
pacote de requisio for recebido.
Valores altos de RTT podem causar problemas para o TCP e outros protocolos de transporte
baseados em janela.
Esse comportamento do TCP pode ser exemplificado no clculo da vazo TCP terica entre o
PoP-SC -> internet2.edu.
Ou seja, o atraso entre esses dois sites na internet da ordem de 200ms a janela TCP
padro de 64Kbps. Pela frmula do BDP, visto anteriormente, conclui-se que a vazo
mxima ser da ordem de 2,6Mbps.
Exemplo do clculo do BDP com janela de 64K e atraso de 200ms:
O RTT pode ser definido tambm como o perodo entre o instante de tempo que um pacote
243
11 Define-se variao de atraso, comumente jitter, como sendo a diferena entre o OWD
do pacote atual e a mdia do OWD.
11 Segundo o IETF, dados um conjunto de pelo menos dois pacotes entre A e B, a
variao do atraso a diferena do atraso em um sentido (OWD) de um par selecionado de pacotes no conjunto.
11 Erros e incertezas na medio:
22 Sincronizao entre pontos de observao.
22 Perda de pacotes; Fragmentao.
22 Impreciso dos carimbos de tempo (timestamps).
11 Padro que define a mtrica:
22 RFC 3393: IP Packet Delay Variation Metric for IP Performance Metrics (IPPM)
11 Unidade de medio:
22 Tipicamente em milissegundos
11 Aplicabilidade:
22 Predio de desempenho de aplicaes sensveis variao do atraso (VoIP).
22 Dimensionamento do de-jitter buffer.
O ITU-T define a variao do atraso com a diferena entre o percentil 99,9 do OWD e um
atraso referncia (aconselhado atraso mnimo do caminho).
244
longos perodos de tempo ou pela chegada repentina de uma quantidade muito grande de
trfego (trfego em rajada).
O congestionamento pode ser causado por condies de carga moderada mantidas por
11 Aplicabilidade:
246
11 Aplicabilidade:
22 Certificao do enlace contratado.
22 Dimensionamento de aplicaes.
22 Simulao e aplicao rodando na rede.
11 Descartes.
11 Erros.
11 Atraso em um sentido.
11 Largura de banda utilizada.
11 Fluxos.
11 Disponibilidade.
Descartes
11 um contador representando o nmero de pacotes descartados para uma determi-
Erros
11 um contador que representa o nmero de erros em uma determinada interface
(CRC e FCS).
11 Coletado via SNMP ou comandos remotos nos ativos de rede.
11 Dessa mtrica derivada a taxa de erros, que a razo entre o nmero de pacotes
que no foram entregues ao destino final e o nmero total de pacotes, em um deter-
Formas de medio:
11 Ocorrem devido a:
22 Erros nos pacotes.
22 Erros de transmisso.
22 Insuficincia da taxa de transmisso.
uma mtrica normalmente obtida atravs de SNMP, que indica o nmero de erros em uma
determinada interface.
11 Frame Check Sequence (FCS);
11 Cyclic Redundancy Check (CRC).
Valores elevados de erros de FCS/CRC so indicativos de problemas no meio de transmisso,
como por exemplo um link WAN fornecido pela operadora ou uma fibra ptica mal conectada em uma rede de Campus.
Taxa de erros:
a razo entre o nmero de pacotes que no foram entregues ao destino final e o nmero
total de pacotes, em um determinado perodo de tempo.
As perdas de pacotes normalmente ocorrem devido a:
11 Erros nos pacotes:
22 Cabealhos: descarte em roteadores;
22 Dados (payload): descarte pelo Sistema Operacional;
22 Erros de transmisso em geral, inerentes aos meios de transmisso, falhas em equipamentos ou ocorridos no nvel de enlace;
22 Insuficincia da taxa de transmisso (banda de rede) em relao aos requisitos da taxa
de transferncia: estouros de buffer e descartes de pacotes.
Erros e incertezas na medio:
11 Equipamentos de rede indevidamente configurados;
11 Problemas de buffer overflow dos contadores.
Formas de medio:
11 Atravs da coleta de dados via SNMP;
11 Atravs de comandos remotos nos ativos de rede.
Unidade de medio:
248
em um determinado momento.
11 limitada pela capacidade dos contadores de medio.
11 Usada para planejamento de capacidade, contabilizao e perfil de comportamento
do trfego e deteco de anomalias.
11 Pode ser obtida atravs de contadores de trfego dos roteadores, SNMP e CLI.
Quantidade de trfego em um enlace em um determinado momento. A quantia da capaci(perodo) (normalmente 5-15 minutos).
Erros e incertezas na medio
Capacidades dos contadores. O SNMPv1 possui limitao de capacidade dos contadores.
Em redes com muito trfego, esses podem estourar e reiniciar para zero entre uma coleta e
outra.
Formas de medio
11 Contadores de trfego dos roteadores;
11 SNMP e CLI.
Com SNMP, a varivel ifInOctets contm o nmero total de octetos recebidos pela interface
e a varivel ifOutOctets contm o total de octetos transmitidos pela interface.
Unidade de medio
11 Bits por segundo (bps) ou mltiplos (Mbps e Gbps).
dade usada por pacotes IP (ambos cabealho e dados) sobre uma janela de tempo especfica
249
Aplicabilidade
11 Planejamento de capacidade;
11 Contabilizao;
11 Perfil de comportamento do trfego e deteco de anomalias.
Fluxos
11 utilizada para avaliar o trfego sendo transmitido na rede (amostra ou total),
Aplicabilidade
250
11 Segurana/Deteco de anomalias;
11 Estudo de padres de trfego;
11 Planejamento de redes;
11 Engenharia de trfego;
11 Contabilizao (Accounting);
11 Bilhetagem (Billing).
Disponibilidade
11 a medida percentual do tempo durante o qual um canal de comunicao, dispositivo
Aplicabilidade
11 Acordos de Nvel de Servio (SLA);
11 Largura de banda utilizada;
11 Fluxos;
11 Disponibilidade.
251
Existem inmeras ferramentas que auxiliam o diagnstico e desempenho da rede. Como Ping,
Traceroute, OWAMP, IPERF, NDT etc. As principais ferramentas sero abordadas a seguir.
Ping
11 Uma das mais antigas e utilizadas ferramentas de diagnstico.
Traceroute
11 Baseada no campo TTL do pacote IP.
252
Para realizar esse rastreamento do caminho por onde o pacote passou, o traceroute utiliza
o campo TTL (Time to Live) do cabealho IP. O TTL um mecanismo criado para evitar que
loops de roteamento acabem fazendo com que os pacotes fiquem circulando para sempre
na rede. Para contornar isso, o campo TTL decrescido de 1 unidade a cada roteador por
onde o pacote passa. Quando esse nmero chega a 0 (zero), uma mensagem ICMP time
exceeded in-transit enviada pelo roteador.
OWAMP
11 One-way Active Measurement Protocol.
253
Server
owampd
[Resource Broker]
Spawn
Child
Client
Inicial Connection
esult
st / R
e
Requ
owping Client
[Control]
Spawn
Child
owampd
[Control]
Spawn
Child
OWD
kets
t Pac
Tes
OWAMP Funcionalidades
11 Suporte a AAA.
Figura 8.17
OWAMP
Protocolo.
254
$ owping owamp.pop-am.rnp.br
Approximately 13.8 seconds until results available
--- owping statistics from [owamp.pop-sc.rnp.br]:53874 to [owamp.pop-am.rnp.br]:50630 --SID: c8819c6acf40067165b5c233e151be3d
first: 2010-03-08T20:27:47.342
last:
2010-03-08T20:27:57.591
2010-03-08T20:27:57.213
O uso bsico da ferramenta bastante simples nos parmetros padres, com o cliente
owping especificado um endereo de ponto de medio owamp e a ferramenta executa
100 testes da origem para o destino e mais 100 do destino para a origem. Conforme o
exemplo apresentado no slide ao lado.
Em negrito esto marcados os principais resultados obtidos com essa ferramenta, sendo
pacotes enviados (sent), pacotes perdidos (lost) e seu percentual, e se houve ou no pacotes
duplicados (duplicates).
Na prxima linha, apresenta o atraso em um sentido (one-way delay), sendo o tempo
mnimo/mediana/mximo e entre parnteses o erro da medio, em milissegundos,
baseado na soma dos erros fornecido pelo NTP em ambos os hosts. Alm disso, observa-se
duas medies, sendo a primeira os resultados da origem para o destino e a prxima do
destino para origem.
Analisando os testes acima, podemos observar facilmente que existe perda de pacotes de
SC g AC (13%) e no no sentido contrrio e ainda que essas perdas esto sendo provavelmente causadas por causa de congestionamento de algum enlace no caminho SC g AC,
pois o tempo da mediana referente ao atraso de 89.3ms, muito superior ao tempo mnimo
de 43.8ms. Outro indicativo de congestionamento o One-Way Jitter, quanto mais varivel
indica oscilaes no atraso. Dependendo do nmero elevado de perdas, a One-Way Jitter
desconsiderado e marcada como nan.
O One-Way Jitter, ou simplesmente variao de atraso em um sentido, calculado pela ferramenta se utilizando os percentis 95 e 50 (P95 e P50). A ferramenta obtm esse valor atravs
da subtrao do P95 com o P50, variveis que so mais explanadas a seguir.
Figura 8.18
OWPING Exemplo.
255
IPERF
11 Realiza testes de vazo em TCP e UDP.
256
(cliente)
cliente$ iperf -c 200.237.XXX.XXX -t 10
---------------------------------------------------------------------------------------------Client connecting to 200.237.XXX.YYY, TCP port 5001
TCP window size: 16.0 KByte (default)
---------------------------------------------------------------------------------------------[
Figura 8.19
IPERF Exemplo.
853 Mbits/sec
257
Operating
System
RFC Path
MTU
Discovery
RFC1323
Suport
Default maximum
socket buffer size
Defalt TCP
socket
buffer size
Defalt UDP
socket buffer
size
EFC2018
SACK
Support
FreeBSD
Yes
Yes
256kB
32Kb
40Kb
Yes
Yes
Yes
64kB
32Kb
32Kb(?)
Yes
Mac OS X
Yes
Yes
256kB
32Kb
42kb (receive)
Yes!
Sun Solaris 10
Yes
Yes
48Kb
8kB
Yes
Windows XP
Yes
Yes
Yes
Tabela 8.4
Podem ser
ajustados para
aumentar as taxas
de transferncias.
11 RTT SC <-> PA ~ 60 ms
11 Menor enlace no caminho a 100 Mbps / 8 =12,5MB/s
11 BDP = 12,5 * 0,06 = 0,75 Mbytes
11 Janela TCP recomendada para vazo mxima = 750KB.
11 Para medir no IPERF, parmetro -W 750k
Figura 8.20
IPERF: Exemplo
1: Uso do BDP na
medio entre
SC e PA.
RECEIVE START
iperf -B 200.237.193.1 -P 1 -s -f -m -p 5045 -w 65536 -t 10
----------------------------------------------------------------Server listening on TCP port 5045
Binding to local address 200.237.193.1
TCP window size: 65536 byte
----------------------------------------------------------------[ 14] local 200.237.193.1 port 5045 connected with 200.129.132.13 port 5045
[ 14] 0.0-10.0 sec 9969664 Bytes 7.960.334 bits/sec
[ 14] MSS size 1448 bytes (MTU 1500 bytes, ethernet)
RECEIVER END
258
O exemplo de medio mostra o emprego do clculo do BDP para realizar o ajuste da janela;
possvel observar uma tima melhora na vazo, de 7.9Mbps para 23.4Mbps.
Figura 8.21
IPERF: Exemplo 2
(parte 1): Efeito do
tamanho da janela
TCP na vazo.
Figura 8.22
IPERF Exemplo 2
(parte 2).
NDT
11 Network Diagnostic Tool.
259
Uma das grandes vantagens que ela pode ser utilizada pelo usurio final em qualquer
lugar e em qualquer tempo, sem a necessidade de um software adicional, sendo necessrio
somente um navegador WEB com suporte a Java instalado. Ela foi projetada para identificar de forma rpida e fcil condies especficas de problemas normalmente encontrados
prximos ao usurio que impactam o desempenho da rede, pois a grande maioria dos problemas de desempenho ocorrem na ltima milha prximos dos usurios em suas estaes
de trabalho; sendo assim, essa ferramenta recomendada para testes de ltima milha.
Ela possibilita o usurio final ter uma viso do desempenho da rede, facilitando a ajuda na
identificao de problemas de configurao de rede (falha na negociao do Duplex, por
exemplo), desempenho (incluindo problemas na estao do usurio), fornecendo algumas
evidncias que podem ajudar usurios e administradores a isolar problemas.
uma ferramenta de diagnstico em tempo real, no utilizando dados histricos de
medies. Ela funciona atravs de assinaturas de rede, desenvolvidas para identificar
problemas tpicos que acontecem na maioria das redes, alm de realizar alguns aconselhamentos para melhorar o desempeno de uma conexo.
O modo de operao do NDT funciona atravs da execuo de testes de ida e volta para
obteno de dados fim-a-fim, alm da obteno de dados de mltiplas variveis do servidor.
Aps ser realizada a comparao do desempenho atravs de valores analticos, realizada a
traduo de valores de rede em mensagens de texto, gerando um diagnstico mais voltado a
rede de campus, onde os usurios esto geralmente bem conectados no backbone da universidade e participando de uma rede acadmica de alta capacidade de transmisso de dados.
modo Duplex, que uma falha de negociao entre a placa de rede do PC e do switch. Ela acar-
260
reta alto impacto no desempenho, embora exista a conectividade bsica. No pode ser detectado por ping, traceroute e faz com que as aplicaes de rede rodem extremamente lentas.
Alm disso, pode ser til na deteco de perdas ocorridas sem congestionamento, como
falha na placa de rede ou Interface do Switch, problemas no cabo UTP, sujeira no conector
ptico etc. Trabalhos preliminares indicam que possvel distinguir entre perdas ocorridas
por congestionamento e ocorridas sem congestionamento.
Possibilita a deteco de conexo half-duplex em caminho fim-a-fim, identificando quando a
vazo limitada por operaes half-duplex.
As infraestruturas de redes compartilhadas causam episdios de congestionamentos peridicos, possibilitando a deteco e relatrio quando a vazo limitada por trfego cruzado
ou pelo prprio trafego gerado pelo NDT.
A figura mostra um exemplo do applet Java executado pelo cliente reportando a banda
enviada e recebida.
Tenta detectar o menor link no caminho essa informao no muito precisa.
Caso o usurio clique em estatsticas e mais detalhes, nveis de diagnstico mais detalhados
sero apresentados.
perfSONAR
11 uma infraestrutura de monitoramento de desempenho de redes para resolver
Figura 8.23
NDT Exemplo
de uso.
261
262
MP e MA
Principais funes do MP:
LS e AS
Principais funes do LS:
11 Manter as informaes sobre a infraestrutura atual existente.
11 Manter informaes sobre os recursos de cada servio e publicar para os demais
servios.
11 Permite que os servios sejam visveis a arquitetura.
Principais funes do AS:
11 Autenticar clientes e servios.
atribuies so:
263
RP, TS e TopS
Principais funes do RP:
264
11 Atravs das premissas mnimas identificadas pelo GFD, foi escolhida a Arquitetura
Definio da arquitetura/tecnologia
265
Network
Monitoring
Web Services
perfSONAR
Web Services
Local Measurement
Points and Database
AB: Available Bandwidth
Network
Monitoring
Web Services
Network
Monitoring
Web Services
AB
OWD
PL
OWD
PL
AB
OWD
PL
DV
Domain A
Domain B
Domain C
OWD: One-Way-Delay
Interao multidomnio
11 implcito a questo de se possuir mltiplos domnios, pois a infraestrutura
Start/Stop
Archive
Discovery
AA
Transformation
baseada em servios.
Figura 8.24
Definio da
arquitetura/
tecnologia.
AA A
Cliente
LS A
266
MA A
AA B
LS B
MA B
No perfSONAR h implcita a questo de se possuir mltiplos domnios. Como a infraestrutura baseada em servios, a interao multidomnio se d atravs dos servios de
localizao, para descobrir os componentes pertencentes infraestratura perfSONAR e/ou
atravs das ferramentas dos clientes diretamente.
11 Ferramentas de visualizao:
22 CACTISonar: para usurios administradores de rede que tenham necessidade de
realizar testes regulares agendados.
22 ICE: para usurios finais que desejem realizar testes sob demanda.
Os componentes perfSONAR implantados na malha de medio da RNP so:
11 MPs: o servio definido para gerenciar os testes, realizando agendamentos e testes sob
demanda, o Command Line MP (CLMP);
11 MAs: para realizar o armazenamento dos testes utilizado o SQL-MA, com o intuito de
armazenar dados histricos e o RRD-MA, que guarda informaes das medies utilizando arquivos RRD;
11 LS: o servio de descoberta implantando o gLS (escopo global) e hLS (escopo local);
11 AS: o servio de autenticao (AS) fornecido pelo perfSONAR foi implantado.
As ferramentas de visualizao usadas pela RNP so o CACTISonar, para usurios administradores de rede que tenham necessidade de realizar testes regulares agendados, e o ICE,
ferramenta para usurios finais que desejem realizar testes sob demanda.
267
268
9
Aprender a definir requisitos de gerncia; Conhecer o Sistema de Registro de
Problemas (Trouble Ticket System); Montar uma soluo de gerncia.
conceitos
Introduo
11 Definindo seus requisitos de gerncia.
objetivos
Montagem em laboratrio de
soluo de gerncia
269
Implementando Gerenciamento
11 Identificar:
jvel diretamente proporcional aos recursos humanos e financeiros destinados a esse fim.
270
Outro ponto que tambm deve ser definido nesse momento o SLA. O nvel de servio tem
impacto direto na escolha de equipamentos, softwares e fornecedores de servios a serem
utilizados pela empresa, tendo impacto direto na soluo de NMS a ser utilizada.
O passo seguinte a escolha dos produtos a serem utilizados na soluo de gerenciamento,
de forma a contemplar todos os requisitos listados (incluindo aqui o financeiro). importante
definir o modelo de distribuio das aplicaes, baseado nas caractersticas do ambiente a
ser gerenciado, como a possibilidade de criar diferentes domnios de gerenciamento, comuns
em redes maiores. Tpicos como protocolos a serem usados e a modelagem da informao
de gerenciamento, com base no modelo adotado, tambm sero importantes.
Em muitos casos, ser concebido um Network Operations Center (NOC): uma infraestrutura
centralizada de apoio atividade de gerncia, composta de recursos de rede (sistemas e
humanos) para uma melhor resposta da atividade de gerenciamento.
Pode ser necessrio o desenvolvimento de novas aplicaes de gerenciamento que atendam
s necessidades locais. Muitas vezes so customizaes ou scripts; em outras, sistemas
inteiros complementam o conjunto de aplicaes. O NMS a ser definido est diretamente
relacionado a esses itens.
Outros tpicos no menos importantes so o planejamento do suporte e do treinamento
da equipe.
Instalao e configurao dos produtos de gerenciamento:
plataforma j possui e a regularidade das suas atualizaes deve ser levada em conta.
271
em um TTS:
11 Hora e data do incio do problema.
11 Operador que est abrindo o registro.
11 Descrio e seriedade do problema.
11 Equipamentos envolvidos e seus detalhes.
11 Destinatrio (e responsvel) do registro.
11 Prxima ao e recomendaes de ao baseada em ocorrncias semelhantes.
Depois:
11 Hora e data da resoluo.
11 Descrio da soluo.
11 Outros.
272
TTSs possuem integrados a eles sistemas de pergunta-resposta, como um wiki que exprime
soluo Nagios, incluindo a maioria das ferramentas/plugins fornecidos pela Comunidade Nagios.
11 As principais ferramentas integradas so:
22 Nagios: aplicativo de monitoramento central.
22 Nagios plugins: plugins para monitorar diferentes tipos de equipamentos/servios.
22 Centreon: interface web para o Nagios.
22 NagVis: permite a criao de mapas para visualizar o sistema de monitoramento
(geogrfica, funcional, pelos servios ...).
22 NDOUtils: armazena os dados do Nagios em um banco de dados MySQL.
22 NRPE: torna possvel monitorar os servidores Windows (o daemon NRPE no
fornecido).
22 NaReTo (Nagios Reporting Tools): ferramenta de gerao de relatrio de disponibilidade.
FAN significa Fully Automated Nagios (Nagios Totalmente Automatizado). O principal objetivo dessa distribuio fornecer uma instalao customizada da soluo Nagios, incluindo
a maioria das ferramentas/plugins fornecidos pela Comunidade Nagios.
O FAN fornece uma imagem ISO baseado no CentOS. Todos os pacotes do CentOS perma-
274
necem disponveis, de modo que voc pode manter todas as vantagens do CentOS, alm de
possuir todas as ferramentas Nagios j instaladas e configuradas para voc.
As ferramentas integradas:
11 Nagios: aplicativo de monitoramento central;
11 Nagios plugins: plugins para monitorar diferentes tipos de equipamentos/servios;
11 Centreon: interface web para o Nagios;
11 NagVis: permite a criao de mapas para visualizar o sistema de monitoramento
(geogrfica, funcional e pelos servios);
11 NDOUtils: armazena os dados do Nagios em um banco de dados MySQL;
NagVis
Nagios
NaReTo
Centreon
Nagios
Conhecido como Netsaint, um aplicativo desenvolvido com o objetivo de realizar o
Figura 9.1
Ferramentas
integradas
ao Nagios.
acts
Service
tgro
ou
ps
Service Group
rio
pe
k_
ec
rio
_pe
hos
contact_groups
nam
e
m
up_
na
st_
ho
gr
ch
ion
ion_
peri
chec
ac
od
k_pe
riod
Time Period
up
ro
t_g
Figura 9.2
Objetos disponveis
no Nagios e seus
relacionamentos.
hostgroups
ice
cat
cat
nt
Host Group
noti
co
Parents
rv
ti
ts
ac
nt
co
Host
se
no
Contact
cont
Contact Group
A figura anterior representa os principais objetos disponveis no Nagios e como estes esto
associados entre si. Como pode ser observador, o fundamento central de um sistema de
gerncia de falhas identificar problemas nos servios da rede. Portanto, as primeiras definies para a implantao desse tipo de sistema identificar quais sero os servios (Service) e
dispositivos (hosts) monitorados, e quem ser avisado em caso de falhas (contact).
Plugins do Nagios
276
Uma das muitas vantagens do Nagios a sua excelente API para criao de plugins.
Entre os principais plug-ins, destacamos:
11 Nagios::Plug-in::SNMP (./check_snmp_procs, ./check_snmp_loads etc.).
11 HTTP Scraping Plug-ins (./check_http).
11 Testing Telnet/SSH-like Interfaces (./check_port).
11 Monitoring LDAP (./check_ldap_replication.pl)
11 Monitoring Databases (./check_mysql, ./check_postgres etc.).
Saiba mais
O Nagios possui formas
interessantes de agrupamento de Servio
(Service Group), Contatos (Contact Group)
e dispositivos (Host
Group), que permitem
customizar e facilitar
o desenho da soluo
como um todo.
Uma das muitas vantagens do Nagios a sua excelente API para criao de plugins. A API de
plugins do Nagios aberta, fcil de usar e bem documentada. Voc pode desenvolver seus
plugins em qualquer linguagem que voc queira, permitindo monitorar tudo o que voc
considerar importante. Principais plug-ins:
11 Nagios::Plug-in::SNMP (./check_snmp_procs, ./check_snmp_loads, etc.): permite o
monitoramento, via SNMP, de informaes como: uso de CPU, utilizao de swap, uso de
memria RAM e uso de partio de disco, entre outros;
11 HTTP Scraping Plug-ins (./check_http): define cdigos de erro, realiza testes com robs
e monitora atividades referente ao protocolo HTTPe linguagem HTML;
11 Testing Telnet/SSH-like Interfaces (./check_port): verifica se os servios Telnet e SSH
esto ativos e disponveis na mquina alvo. Esse plugin pode, tambm, ser utilizado para
verificar se uma determinada porta TCP est aberta na mquina alvo;
11 Monitoring LDAP (./check_ldap_replication.pl): permite avaliar a replicao, integrao
e escalabilidade de servidores LDAP;
11 Monitoring Databases (./check_mysql, ./check_postgres etc.): conecta a um banco de
dados SGBP e realiza um comando SQL com o objetivo de medir o desempenho e resposta.
Objetivo
MIBs necessrias
OIDs necessrios
Exemplo de comando
Utilizao
de CPU
CISCO-PROCESS-MIB
CISCO-PROCESS-MIB
ENTITY-MIB
cpmCPUTotal5secRev:
1.3.6.1.4.1.9.9.109.1.1.1.1.6
cpmCPUTotal1minRev:
1.3.6.1.4.1.9.9.109.1.1.1.1.7
cpmCPUTotal5minRev:
1.3.6.1.4.1.9.9.109.1.1.1.1.8
cpmCPUTotalPhysicalIndex:
1.3.6.1.4.1.9.9.109.1.1.1.1.2
ENTITY-MIB
entPhysicalName:
1.3.6.1.2.1.47.1.1.1.1.7
Utilizao
de memria
CISCO-MEMORY-POOL-MIB
ciscoMemoryPoolName:
1.3.6.1.4.1.9.9.48.1.1.1.2
ciscoMemoryPoolUsed:
1.3.6.1.4.1.9.9.48.1.1.1.5
ciscoMemoryPoolFree:
1.3.6.1.4.1.9.9.48.1.1.1.6
Tabela 9.1
Exemplos de
monitoramento
no Nagios.
277
Objetivo
MIBs necessrias
OIDs necessrios
Exemplo de comando
Controle de
temperatura
ENTITY-MIB
ENTITY-MIB:
CISCO-ENTITY-SENSOR-MIB
entPhysicalDescr:
1.3.6.1.2.1.47.1.1.1.1.2
CISCO-ENTITY-SENSOR-MIB
entSensorType:
1.3.6.1.4.1.9.9.91.1.1.1.1.1
entSensorScale:
1.3.6.1.4.1.9.9.91.1.1.1.1.2
entSensorValue:
1.3.6.1.4.1.9.9.91.1.1.1.1.4
entSensorStatus:
1.3.6.1.4.1.9.9.91.1.1.1.1.5
Utilizao
de banda
IF-MIB
IF-MIB
ETHERLIKE-MIB
ifDescr: 1.3.6.1.2.1.2.2.1.2
ifSpeed: 1.3.6.1.2.1.2.2.1.5
ifOperStatus: 1.3.6.1.2.1.2.2.1.8
ifInOctets: 1.3.6.1.2.1.2.2.1.10
ifOutOctets: 1.3.6.1.2.1.2.2.1.16
ETHERLIKE-MIB:
dot3StatsIndex:1.3.6.1.2.1.10.7.2.1.1
dot3StatsDuplexStatus:
1.3.6.1.2.1.10.7.2.1.19
Utilizao
de CPU
UCD-SNMP-MIB
./check_net_snmp_cpu.pl --hostname
host.example.com --snmp-version 3
278
Objetivo
MIBs necessrias
OIDs necessrios
Exemplo de comando
Uso de partio
HOST-RESOURCES-MIB
hrFSMountPoint:
1.3.6.1.2.1.25.3.8.1.2
hrFSIndex: 1.3.6.1.2.1.25.3.8.1.1
hrFSStorageIndex:
1.3.6.1.2.1.25.3.8.1.7 -> link to hrStorageEntry for this device
hrFSType: 1.3.6.1.2.1.25.3.8.1.4 ->
FS type from hrFSTypes
HR FS Types: 1.3.6.1.2.1.25.3.9
hrStorageDescr:
.1.3.6.1.2.1.25.2.3.1.3.1
hrStorageAllocationUnits:
1.3.6.1.2.1.25.2.3.1.4
hrStorageSize: 1.3.6.1.2.1.25.2.3.1.5
hrStorageUsed:
1.3.6.1.2.1.25.2.3.1.6
hrStorageAllocationFailures:
1.3.6.1.2.1.25.2.3.1.7
hrStorageType: 1.3.6.1.2.1.25.2.1
type of storage device; e.g., (hrStorageFixed
Disk, hrStorageRemovableDisk)
Device Type
Index:.1.3.6.1.2.1.25.3.2.1.2
Carga
UCD-SNMP-MIB
./check_net_snmp_load.pl -H
hostname --snmp-version 3 --auth-username joesmith --auth-password
mypassword -w 20:15:10 -c 40:30:20
Nmero de
processos
por status
HOST-RESOURCES MIB
hrSWRunName:
1.3.6.1.2.1.25.4.2.1.2
hrSWRunPath: 1.3.6.1.2.1.25.4.2.1.4
hrSWRunParameters:
1.3.6.1.2.1.25.4.2.1.5
hrSWRunStatus:
1.3.6.1.2.1.25.4.2.1.7
./check_snmp_procs.pl --hostname
host1.example.com --snmp-version
3 auth-username myuser --auth-password mypass --auth-protocol
md5 ./check_snmp_procs.pl mode
count --match /bin/httpd:apache
--match mysqld.+basedir:mysql
--critical apache,lt,1:apache,gt,150:my
sql,lt,1: mysql,gt,20 --snmp-max-msg-size 50000
ou
./check_snmp_procs.pl --hostname
host1.example.com --snmp-version 3
auth-username myuser --auth-password mypass --auth-protocol md5 ./
check_snmp_procs.pl --mode state
--match mysqld.+basedir:mysql
--warning runnable,gt,30 --critical
total,gt,100 --snmp-max-msg-size
50000
279
Centreon
11 Tem como objetivo fornecer uma interface amigvel, o que torna possvel para um
Nareto e NagVis
11 Nareto: utiliza as informaes Nagios para fornecer vises de alto nvel para dife-
280
XCC
RZ_Hagen / ESXFarm-1
ESX1F1
ESX2F1
XCC1
ESX3F1
SSN / DMZ
ESX2
Firewall
SSN
LAN
VMFS Volumes
DIS / Standard
60229627:VMFS_Data_1
ESX3
ESX6
ESX5
ESX7
058100_1_1000:VMFS_Data_2
ESX8
40023627:VMFS_Data_3
Management
60023627:VMFS_OS_1
70223627:VMFS_OS_2
DIS3
Figura 9.3
NagVis.
OK
Warning
Critical
Unknows
Acknowfedgs
Primeiras configuraes
Antes da primeira linha de comando, importante definir com preciso os requisitos.
Legenda:
60123627:VMFS_Snaoshots
VCONTROL
281
End_User
Apache
mod_authnz_ldap
LDAP
Nagios
GET/nagios/status.cgi
.htaccess le or
httpd.conf <location>
section
Search LDAP for user
User found,
password matches
Request passes to status.cgi,
user in REMOTE_USER variable
enable_splunk_integration=1
splunk_url=http://splunk.localhost.net:8000/
Splunk um produto comercial que atua como uma espcie de Google para os registros
gerados pelo Nagios. O Nagios nos permite monitorar qualquer dispositivo ou servio,
282
enable_splunk_integration=1
splunk_url=http://splunk.localhost.net:8000/
Figura 9.4
Nagios e LDAP.
283
Nagios
Puppet
Agent does the following:
Can manage critical services
on a host
Sends reports to server after every
periodic run; Reports show what
policies were checked and what
changed between runs.
Can watch critical les and replace
them with clean server copies if
they change.
Performs system management and
administration jobs; jobs can be
scheduled like cron jobs or can be
triggered by changes in the system.
Submit to Nagios
as passive checks
SNMPTT
SNMP Traps
SNMP
Agent
Puppet
Agent
Figura 9.5
Puppet e Nagios.
Managed Device
Nagios
284
Managed Device
Figura 9.6
Integrao Nagios
com TTS.
10
objetivos
conceitos
CMIP
SNMP
Aplicao
Apresentao
Sesso
Figura 10.1
Gerenciamento de
rede no contexto
ISO/OSI e TCP/IP.
Aplicao
TELNET, FTP,
SMTP, DNS
Transporte
TCP/UDP
Rede
IP
Enlace
Fsica
Enlace e fsica
CSMA/CD
HDLC, PPP
ISO/OSI
TCP/IP
285
Por outro lado, a soluo de gerncia de rede baseada na arquitetura TCP/IP e que tinha no
prprio nome do protocolo de gerncia, Simple Network Management Protocol (SNMP) a
ideia de uma soluo simples e leve, teve continuidade e foi disseminada amplamente. Atualmente, pode-se afirmar que a arquitetura SNMP de gerenciamento um padro de fato,
apesar de a arquitetura OSI de gerenciamento oferecer uma estrutura mais robusta que
SNMP, permitindo a execuo de tarefas mais sofisticadas.
Apesar da disseminao da soluo de gerncia de rede, so bem conhecidas as limitaes do
protocolo SNMP, especialmente em suas verses iniciais, que no usam mecanismos fortes de
segurana para proteo contra acesso no autorizado. Como os dados de controle de acesso
(community name) so transmitidos sem criptografia nas verses SNMP v1 e v2, seu uso tem
sido limitado a funes de monitorao. Gerenciamento de configurao tem sido realizado
mediante o uso de solues envolvendo acesso direto aos recursos da rede (com SSH) e alguma
linguagem de comando (CLI Command Line Interface) especfica de famlias de produtos
produzidos por fornecedores. Diversas solues e estratgias de evoluo foram propostas
para a internet em si e para a gerncia da futura internet. Tais solues tm sido classificadas
como evolutivas ou clean state. No primeiro grupo temos solues que consideram a rede
atualmente existente e as propostas indicam adaptaes nos protocolos para atender s novas
necessidades de redes com maior velocidade, mobilidade e heterogeneidade de dispositivos.
O grupo clean state mais radical e prope uma arquitetura totalmente nova para a internet
e solues de gerncia que separam a parte de comando da parte de dados.
As novas solues tm sido demandadas especialmente porque o contexto de gerncia
de rede est sendo ampliado muito em relao ao que inicialmente estava previsto, que
inclua apenas roteadores e equipamentos de rede de modo geral, e informaes bsicas
sobre os servidores e computadores conectados internet. Atualmente, a quantidade de
equipamentos que comea a ser interligada est crescendo. A proliferao de dispositivos
interconectveis em rede, com baixo custo e tamanho cada vez menor, levou ampliao
no espectro de solues para servios de Tecnologia de Informao (TI) bem diferenciados
daquelas que foram usadas nos primrdios da computao e das redes.
Estimativas do Silicom Labs (2014) indicam que em 2015 mais pessoas vo acessar a internet a
partir de dispositivos mveis do que de computadores convencionais. Em 2015, 14 bilhes de
dispositivos e aparelhos estaro conectados internet mvel, incluindo no apenas dispositivos do tipo smartphone e tablet, mas tambm mquinas de lavar, carros e roupas, que sero
conectados. A figura 10.2 salienta essa tendncia de reduo no custo dos dispositivos interligados internet em funo de miniaturizao de componentes, o que enseja um crescimento
em seu uso, bem como ampliao na quantidade e variedade de equipamentos interligados.
A operao e gesto da internet considerando o contexto da Internet das Coisas vai ser uma
Gerncia de Redes de Computadores
tarefa importante na operao do backbone da rede. Para migrar para a Internet das Coisas
286
a partir dos ambientes atuais, a tarefa de integrar esse novo conjunto mais heterognea de
dispositivos complexo, mas importante. Nesse tipo de rede, a qualidade da comunicao
entre objetos ou coisas precisa contemplar novas solues e ser melhorada.
Custo
Miniaturizao
4 Smart things
3
Mobiles / Smart Cards
PCs
2
Mainframe
1
Tempo
Figura 10.2
Evoluo dos
equipamentos
interligados
internet.
A gerncia de rede precisa contemplar solues para atender as necessidades de gerenciamento tambm da Internet das Coisas, pois esse segmento parte integrante da Internet do
Futuro. A rede para a Internet das Coisas pode ser definida como uma infraestrutura de rede
global dinmica baseada em protocolos de comunicao padro, com recursos de autoconfigurveis e interoperveis onde
Identificao por
radiofrequncia ou
RFID (Radio-Frequency
IDentification)
um mtodo de identificao automtica
atravs de sinais de
rdio, recuperando e
armazenando dados
remotamente atravs
de dispositivos denominados etiquetas RFID.
pela sigla IoT (Internet of Things), passou a se referir ideia geral de coisas, especialmente
287
Tecnologia
Reduo de custo
levando segunda
onda de aplicaes
Demandas para
agilizar logstica
Web e
mundo fsico
Localizao de pessoas
e objetos comuns
Teleoperao e telepresena:
monitorar e controlar objetos
Posicionamento
onipresente
Aplicao de mercado
verticalizadas
Auxlio na cadeia
de suprimento
Tempo
A figura 10.3 mostra a evoluo do uso da Internet das Coisas no escopo de servios de TI
com tecnologias cada vez mais baseadas em dispositivos de pequeno porte e software
altamente sofisticado. Um exemplo de novas aplicaes a derivada da wearable computing. Uma tendncia atual de uso de novos tipos de equipamentos que as pessoas usam
est sendo designada como Bring Your Own Wearables (BYOW) traz para o contexto das
empresas tecnologia de vestir, tais como monitores de aptido fsica e sade, relgios
inteligentes ligados a telefones celulares, alm de culos com funcionalidades avanadas de
captura e exibio de dados, tal como o Google Glass. Isso vai demandar das empresas uma
reavaliao das polticas existentes para acomodar esses novos dispositivos, tendo em vista
potenciais ameaas segurana, por exemplo.
Na viso do Internet Engineering Task Force (IETF), o novo paradigma inerente Internet
das Coisas implica em muitas vises por parte de um rgo de padronizao. Usualmente,
o IETF concentra seus esforos da definio de novos objetos com funes de comunicao,
sensoriamento e ao que possam interoperar via IP (Lee 2013). Mas embora sensores
sejam baseados em IP ou dispositivos com restries (memria e recursos de CPU muito
Gerncia de Redes de Computadores
Figura 10.3
Evoluo de uso da
Internet das Coisas.
11 Aplicaes: cada dispositivo pode ser usado por mltiplas aplicaes e servios, com
diferentes caractersticas;
11 Rede: necessria uma tecnologia de comunicao comum que suporte todas as aplicaes
ou servios, bem como equipamentos heterogneos;
11 Aspecto de camada de enlace: h vrios tipos de interface de rede com cobertura e
velocidade diferenciados. Esses ambientes tm caractersticas de operao para baixo
consumo de energia e redes com perda, tais como Bluetooth ou IEEE 802.15.4;
11 Aspectos dos objetos inteligentes: os objetos inteligentes interconectados so heterogneos e tm tamanho, mobilidade, potncia, conectividade e protocolos diferentes. Podem
operar tambm em modo federado com sensores e atuadores interagindo diretamente em
escala residencial ou em escopo mais amplo, tais como no contexto de cidades inteligentes.
Os dispositivos da Internet das Coisas so tipicamente dispositivos de uso especfico, com
CPU, memria e recursos de energia limitados. Esses dispositivos limitados (sensores, objetos
inteligentes ou dispositivos inteligentes) podem ser conectados a uma rede. Essa rede dos
dispositivos limitados pode ser em si limitada ou prejudicada por canais no confiveis ou
com perdas, tecnologias sem fio com largura de banda limitada e uma topologia dinmica,
necessitando o servio de um gateway ou proxy para se conectar internet tal como exemplificado na figura 10.4. Em outras situaes, os dispositivos limitados podem ser conectados
a uma rede no limitada usando pilhas de protocolos normais. Dispositivos limitados podem
ser responsveis pela coleta de informaes em diversas situaes, incluindo os ecossistemas
naturais, edifcios e fbricas, e enviar as informaes para um ou mais servidores.
Imager
PAR
sensor
Figura 10.4
Sensores em
ecossistemas.
Air temperature
windspeed,
humidity sensors
Microclimate
station
Air CO2
sensor
Minirhizotron
Nitrate sensor
Infrared
and net
radiation
sensors
Devido a essas limitaes, a gesto de uma rede com dispositivos restritos oferece
vrios tipos de desafios em comparao com a gesto de uma rede IP tradicional.
Alm dos requisitos de gesto impostas pelos diferentes casos de uso, as tecnologias de
acesso usadas por
IEEE 802.15.4
Para conectividade da rede. IEEE 802.15.4 um padro que especifica a camada fsica e
efetua o controle de acesso para redes sem fio pessoais de baixas taxas de transmisso.
O padro IEEE 802.15.4 pretende oferecer os fundamentos para as camadas inferiores em
uma rede do tipo de rea pessoal e sem fio (WPAN-Wireless Personal Area Network), que
tem foco no baixo custo, a comunicao de baixa velocidade onipresente entre os dispositivos em contraste com outros, mais o usurio final abordagens orientadas, tais como Wi-Fi.
A estrutura bsica pressupe uma distncia mdia de 10 metros para comunicaes com
uma taxa de transferncia de 250 kbit/s. A figura seguinte ilustra os padres que integram a
definio a soluo IEEE 802.15.4
Camadas superiores
290
IEEE 802.15.4
868/915 MHz
PHY
Zigbee
802.15.4
IEEE 802.15.4
2400 MHz
PHY
O termo ZigBee designa um conjunto de especificaes para a comunicao sem fio entre dispositivos eletrnicos, com nfase na baixa potncia de operao, na baixa taxa de transmisso
de dados e no baixo custo de implantao. Tal conjunto de especificaes define camadas do
modelo OSI subsequentes quelas estabelecidas pelo padro IEEE 802.15.4 (IEEE 2003).
Foi pensada para inteligar pequenas unidades de coleta de dados e controle recorrendo
a sinais de radiofrequncia no licenciados. A tecnologia utilizada comparvel s redes
Figura 10.5
Padro IEEE
802.15.4.
Wi-Fi e Bluetooth, e diferencia-se dessas por desenvolver menor consumo, por um alcance
reduzido (cerca de 100 metros) e a comunicao entre duas unidades poder ser repetida
sucessivamente pelas unidades existentes na rede at atingir o destino final. Todos os
pontos da rede podem funcionar como retransmissores de informao. Uma malha (Mesh)
de unidades ZigBee pode realizar-se em uma extenso domstica ou industrial sem necessidade de utilizar ligaes elctricas entre elas.
DECT ULE
Digital Enhanced Cordless Telecommunications (DECT) foi definido em 1987 como um
padro para comunicao com telefones sem fio. A ltima verso DECT Ultra Low Energy
(ULE) e popularizou-se como uma tecnologia para automao e segurana nas residncias.
Suas caractersticas incluem baixo custo, baixo consumo de energia, longo alcance (pode
alcanar a casa toda com uma topologia estrela), resistente a interferncias, estvel permitindo transmisso de voz e vdeo.
sensor de
movimento
Tomada
eltrica
Monitor
de bebs
Healthcare
Fumaa
Figura 10.6
Soluo DECT para
automao nas
residncias.
Painel de
controle
291
Na rea da sade, esse padro usado para interligar dispositivos tais como:
11 Dispositivos mdicos de medio de temperatura;
11 Monitores de glicose no sangue;
11 Monitores de presso sangunea;
11 Na rea de esportes e aptido, pode permitir interligar dispositivos como:
11 Medidos de ritmo cardaco;
11 Sensores ligados a bicicletas ou aparelhos de exerccios, para medir cadncia e velocidade;
11 Velocidade e cadncia do perfil de corrida;
11 Perfil e potncia ao pedalar;
11 Perfil de localizao e navegao.
Para sensoriamentos de proximidade, essa tecnologia pode ser usada em dispositivos de:
11 Localizao;
11 Deteco de proximidade.
Figura 10.7
Exemplos de uso
de dispositivos
operando com
BT-LE.
Em todos esses cenrios, importante para o sistema de gerncia de rede estar ciente das
restries impostas por essas tecnologias de acesso, para gerenciar com eficincia esses
dispositivos limitados.
femtocell
Internet
Roteador
Figura 10.8
Rede usando
tecnologia
femtocell.
A soluo femtocell envolve operao em baixa potncia, nas frequncias utilizadas pelas
operadoras de celular, e a conexo com a rede da operadora feita atravs de conexo
banda larga existente na residncia (ADSL, Cabo etc.).
11 Um mdulo celular incorporado com rdio LTE pode conectar os dispositivos na rede
de um carro com o servidor que est executando o servio de telemtica. LTE sigla de
Long Term Evolution (em portugus, Evoluo a Longo Prazo), cujo significado se refere
um padro de redes celulares que permite banda larga mvel com velocidades de
conexo de at 100 Mbps, possibilitando maior abrangncia de comunicaes de voz e
transferncia de dados.
a uma tecnologia de telefonia mvel tambm conhecida como 4G (quarta gerao). LTE
293
Figura 10.9
Carro com servios
proporcionados
pela tecnologia LTE
(4G).
ZigBee
que cria e mantm as especificaes para uso do IPv6 nas redes IEEE 802.15.4).
294
Nos ltimos anos, o equilbrio, a evoluo e as relaes entre os vrios requisitos de rede
mudaram significativamente, criando a necessidade de novos sistemas de rede. Essas
alteraes incluem diferentes novos equipamentos e dispositivos mveis conectados rede
pblica de telecomunicaes, nmero significativo de centros de dados, solues de computao em nuvem e grande nmero de diferentes sensores, atuadores e outras coisas
conectadas na rede, operando com comunicao Machine-to-Machine (M2M) e provendo
servios envolvendo Internet das Coisas.
A comunidade de pesquisa, bem como a indstria, tem dedicado esforo contnuo para
investigar tecnologias e sistemas para as redes futuras. Vrias tecnologias, tais como virtualizao de redes, redes centradas em informao, gerenciamento autonmico e conectividade aberta tem sido consideradas.
Diversas organizaes e grupos se esforam para levar padres para esse novo cenrio.
A International Telecommunication Union Telecommunication Standardization Sector (ITU-T)
iniciou um esforo de padronizao da futura internet visando as redes para o perodo de
2015-2020. O resultado da anlise refletiu na Recomendao ITU-T Y.3001 do ITU (Matsabura
2013). Ela inclui diversas tecnologias candidatas a serem usadas como parte da futura rede,
tais como tecnologia de virtualizao de rede nos moldes das solues Software Defined
Networks (SDN), que j comeam a ser usadas.
No que concerne especificamente ao gerenciamento da futura internet, Festor, Pras e Stilles
(2010) destacaram as seguintes necessidades:
11 Mecanismos de Gesto para a futura internet: embora uma srie de futuras arquiteturas de internet estivessem sendo debatidas, o conjunto de princpios de gesto relacionados no haviam sido abordadas;
11 Falha, Configurao e Operao de Segurana na Internet do Futuro: o design, modelagem e avaliao de algoritmos em trs reas funcionais tm de lidar com sistemas de
larga escala;
11 Gesto autonmica intra e interdomnio na Internet do Futuro: para redes fixas,
o grau de gerenciamento automatizado de QoS interdomnio, a autogesto de redes
pticas usando MPLS, o gerenciamento de falhas automatizado intra e interdomnio, isto
, a recuperao de servio e sua resilincia precisam ser determinados;
11 Gesto de Rede e Servios econmica na internet do Futuro: em apoio a uma aborforma eficiente, necessrio a gerenciamento de rede e servio baseados em consideraes tecnolgicas e econmicas.
Existem diversos problemas no gerenciamento de rede para o contexto da Internet das
Coisas, tal como identificado por Lee (2013):
11 Identificao: os cdigos de identificao usados nos dispositivos so diferentes e derivados de seu uso. Embora o esquema de endereamento do IPv6 possa contemplar, h
a necessidade de esquemas de identificao diferenciados, pois alguns itens, tais como
livros, medicamentos e roupas podem no requerer identificao global alguns objetos
tm existncia temporria e desaparecem aps algum tempo;
dagem tecnicamente vivel de operar uma rede para numerosos servios comerciais, de
295
11 Servios de nomes: servios de suporte a nomes na internet, tal como Domain Name
Services (DNS) so indispensveis para o funcionamento da internet. De modo similar,
so necessrios servios de traduo que convertam nomes apropriados para as
coisas e que podem seguir um esquema de identificao heterogneo de um particular espao de nomeamento em diferentes redes. Essa compatibilizao de esquemas
de nomeamento usados na internet e no contexto da IoC um dos aspectos mais
importantes a serem resolvidos. Esquemas de endereamento Ip e no IP vo precisar
conviver. IPv6 vai ser especialmente necessrio para acomodar a quantidade de dispositivos a serem endereados;
11 Segurana, privacidade, autoridade: a perda de segurana e privacidade na comunicao e servios que tratam com dados pessoais um dos problemas que crescem muito
atualmente. A necessidade de assegurar confiabilidade e sigilo na comunicao colide
com a limitada capacidade de tratar algoritmos mais complexos de autenticao, autorizao e controle de uso (AAA Authentication, Authorization, Accounting);
11 Deteco de presena: refere-se a mecanismos que aceitem, armazenem e distribuam
informao relativa presena e proximidade de pessoas e dispositivos. Como a mobilidade uma caracterstica intrnseca, protocolos que contemplem as mudanas derivadas
da mobilidade so relevantes e necessrios;
11 Descoberta e pesquisa: cada objeto pode ser uma fonte de informao que deve poder
ser armazenada e descoberta para que possa ser usada pelas pessoas;
11 Autonomia: autoconfigurao necessria nesse contexto e os dispositivos devem
poder estabelecer automaticamente os parmetros necessrios para sua conectividade
de forma fcil e automatizada. Os mecanismos de autoconfigurao do IPv6 so teis
nesse sentido. Objetos com recursos limitados podem ter menor capacidade de adaptao e autoconfigurao;
11 Energia: dadas as limitaes de energia dos dispositivos, importante que os mecanismos de comunicao sejam eficientes. Modos ativo e suspenso podem ser usados
alternativamente para economizar energia. Face variedade de volume de trfego
transmitido/recebido, esse tipo de soluo apropriado e necessrio para prolongar a
operao do dispositivo;
11 Servios web: o acesso aos objetos pode ser realizado via web e, nesse sentido, catalogao de objetos e associao com URLs devem ser realizadas.
11 Objetos distribudos.
296
11 Gerenciamento web-based.
11 Distributed Management Task Force (DMTF).
Tudo indica que SNMP ter um futuro promissor por muito tempo. Apesar disso, a crescente
diversidade de contextos e oramentos busca alternativas para gerenciamento, especialmente
tendo em vista a quantidade de objetos gerenciados que continuamente so definidos.
O uso de SNMP em dispositivos limitados foi analisado por Schenwalder (2013), que demonstrou ser possvel implementar uma pilha SNMP (Contiki-SNMP) em dispositivos limitados.
Essa implementao do SNMP oferece mecanismos bsicos e mesmo mais complexos:
Sistemas especialistas
DISMAN Distributed Management
11 Distributed Management Expression MIB (RFC 2982).
Gerenciamento web-based
11 HTTP/HTML.
11 CGI.
11 XML.
11 SSL.
11 SOAP.
11 LDAP.
297
Aplicaes web em servidores disponibilizariam a informao e as operaes de gerenciamento com o uso de tecnologias presentes na internet.
Entre as vantagens das ferramentas de gerncia baseadas em web, encontram-se:
11 A possibilidade de monitorar e controlar os elementos da rede usando qualquer navegador em qualquer n da rede. Antes, quando falvamos de aplicaes de gerncia
standalone, os gerentes de rede s podiam usar a ferramenta em mquinas onde ela
estivesse instalada e devidamente configurada;
11 A interface grfica da web j bem conhecida, e as operaes realizadas em um navegador tambm, no sendo necessrios gastos com treinamento de pessoal;
11 Usar a web para distribuir as informaes sobre a operao da rede tem se mostrado
uma tarefa eficaz. Por exemplo, em um determinado endereo da intranet poderamos
disponibilizar informaes para os usurios sobre o estado da rede e atualizaes que
precisam ser realizadas. Isso evitaria, entre outras perturbaes, ligaes excessivas ao
help desk;
11 Alm disso, no precisamos usar ferramentas diferentes para gerenciar os diversos elementos da infraestrutura de TI, inclusive os servios.
Web Browser
Element Manager
HTTP
SNMP
SNMP Agent
HTTP Server
Application Specic
HTTP functionality
Application Specic
SNMP functionality
Equipment
Handler
298
Alarm
Handler
Figura 10.10
Gerenciamento
Web-based.
Connection Other
Handler
Subsystems
Gerenciamento de capacidade
Gerenciamento de capacidade (capacity planning) o processo de determinao dos
recursos de rede necessrios para evitar um impacto de desempenho ou disponibilidade
sobre aplicaes crticas.
Costuma-se dizer que gerenciamento de performance a prtica de gerenciar tempo de
resposta, consistncia e qualidade da rede para servios, individualmente e de modo global.
Problemas de performance normalmente so relacionados com capacidade. Dois aspectos
envolvem a capacidade de uma rede:
11 O chamado data plane a poro da capacidade gasta efetivamente com os dados no
percurso pela rede. So os dados de usurio;
11 O chamado control plane, por outro lado, a poro relativa aos mecanismos de rede
que a mantm em operao. Pode-se incluir a o trfego adicional gerado por protocolos de gerncia, spanning-tree, protocolos de roteamento, keep alives, alm de CPU,
memria e buffering;
11 Anlise what-if: a forma como as mudanas propostas poderiam alterar o uso da rede;
rede. necessria uma grande quantidade de informaes para que isso seja realizado
em uma rede grande.
Obter congurao
e informaes de trfego
Implementar mudanas
Observar estatsticas
Coletar dados de capacidade
Analisar trfego
Resolver problemas
Planejar mudanas
Avaliar
Baselining
de performance
Anlise e-se ?
299
300
Bibliografia
11 BACKMAN, Dan. Basking in Glory-SNMPv3.
http://www.networkcomputing.com/915/915f1.html
11 BALLEW, Scott. Managing IP Networks. OReilly, 1997.
11 BLUM, Rick. IT Operations Centers (ITOCs),
http://www.ins.com/resources/surveys/ 2008
11 BRISA (Nome de conjunto de 19 autores). Gerenciamento de Redes:
Uma abordagem de sistemas abertos, Makron Book, 1993.
11 CASE, J.; FEDOR, M.; SCHOFFSTALL, M.; DAVIN, J. Simple Network Management
Protocol: RFC 1157. [S.l.]: Internet Engineering Task Force, Network
Working Group, 1990.
11 CISCO. Capacity and Performance Management: Best Practices White
Paper. Cisco Systems. 2009-2010
http://www.cisco.com/image/gif/paws/20769/performwp.pdf
11 CISCO. Change Management: Best Practices White Paper. Cisco Systems. 2008.
http://www.cisco.com/en/US/technologies/collateral/tk869/tk769/white_
paper_c11-458050.pdf
11 CISCO. Network Management System: Best Practices White Paper. Cisco
Systems. 2007.
http://www.cisco.com/image/gif/paws/15114/NMS_bestpractice.pdf
11 CHIU, Dah. SUDAMA, Ram. Network Monitoring Explained. Ellis Horwood
Limited. 1992.
11 CLEMM, Alexander. Network Management Fundamentals.. Cisco Press.
Morgan Kaufman Publishers. 2007.
11 CHAPPEL, Laura. Wireshark Network Analysis. Protocol Analysis
Institute. 2010.
11 COELHO, Josiane et all. How much management is management enough?
Providing Monitoring Processes with Online Adaptation and Learning
Management. New York. 2009.
Bibliografia
301
302
11 McCLOGHRIE, K.; PERKINS, D.; SCHOENWAELDER, J.; CASE, J.; ROSE, M.;
WALDBUSSER, S. Structure of Management Information Version 2
(SMIv2): RFC 2578. [S.l.]: Internet Engineering Task Force, Network
Working Group, 1999.
11 MELCHIORS. Cristina. TAROUCO, Liane. Fault Management in Computer
Networks Using Case Based Reasoning: DUMBO System. Lecture Notes on
Artiticial Intelligence. Springer-Verlag 1999 p 510-524.
Bibliografia
303
304
O curso desenvolve competncias para analisar as necessidades da gerncia de redes, entendendo a estrutura
de uma soluo de gerncia e o suporte adequado a ela.
O conhecimento adquirido sobre as principais ferramentas do mercado permitir ao aluno montar em laboratrio
uma soluo integrada de gerenciamento de redes. Sero
estudados os conceitos bsicos de Gerncia de Redes, as
reas funcionais de gerenciamento (modelo OSI), o modelo ITIL, os protocolos de gerenciamento mais utilizados
na prtica, as MIBs padronizadas, os Sistemas de Gerenciamento de Redes (NMS), ferramentas livres de gerenciamento, Service Level Agreements (SLA), mecanismos de
QoS, as principais plataformas de gerenciamento e as ferramentas de diagnstico e monitorao de redes.