estratÉgia para anÁlise de trÁfego de …siaibib01.univali.br/pdf/willian savi.pdf · para tal,...
TRANSCRIPT
UNIVERSIDADE DO VALE DO ITAJAÍ
WILLIAN SAVI
ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES
LOCAIS UTILIZANDO VLAN
São José
2005
WILLIAN SAVI
ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES
LOCAIS UTILIZANDO VLAN
Trabalho De Conclusão de Curso apresentado como requisito parcial para obtenção do título de Bacharel em Ciência da Computação na Universidade do Vale do Itajaí, Centro de Educação São José.
Prof. Msc. Alexandre Moraes Ramos
São José
2005
WILLIAN SAVI
ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES
LOCAIS UTILIZANDO VLAN
Este trabalho de Conclusão de Curso foi julgado adequado para obtenção do título de
Bacharel em Ciência da Computação e aprovado pelo Curso de Ciência da Computação, da
Universidade do Vale do Itajaí (SC), Centro de Educação São José.
São José, 14 de Dezembro de 2005.
Apresentada à Banca Examinadora formada pelos professores:
Prof. Msc. Alexandre Moraes Ramos
Univali – Centro de Educação São José
Prof. Sandro Daros de Luca, membro da banca examinadora
Prof. Paulo Roberto Riccioni Gonsalves, membro da banca examinadora
DEDICATÓRIA
A meu pai (in memorium) que despertou em mim o desejo pelo conhecimento.
AGRADECIMENTOS
Agradeço a Deus por me permitir lutar por meus objetivos;
Á minha esposa Raquel pelo eterno companheirismo;
Á minha família e principalmente a minha mãe pelo apoio moral e financeiro;
E aos colegas de trabalho pela compreensão e ajuda.
“Toda tecnologia suficientemente avançada é indistinguível da magia"
Arthur C. Clarke
RESUMO
Apesar da tecnologia VLAN ser comumente utilizada para segmentação de redes locais e suas
vantagens teoricamente conhecidas, poucos são os estudos que comprovam na prática sua
eficiência, ou ainda que indiquem as diferenças entre os tipos existentes. Desta forma, este
estudo propõe verificar o comportamento do fluxo de dados em uma rede local, quando esta é
segmentada utilizando-se uma VLAN de teste. Para tal, serão coletados dados que permitam
monitorar o comportamento do throughput, latência, perda de pacotes e broadcast.
Palavras Chaves : VLAN, 802.1q, MAC, TAG, assimétrica, por porta, throughput, latência,
perda de pacotes, broadcast.
ABSTRACT
Despite the technology VLAN widespread used for segmentation of local network and its
advantages theoretically known, few they are the studies that prove them in the practical one
or that they indicate the differences between the diverse existing types. This study it considers
to verify the behavior of the flow of data, in a local area network, when of the implementation
of one VLAN of tests using the segmentations symmetrical and for door. For such, will be
collected date that will allow to monitor the behavior of throughput, latency, loss of packages
and broadcast.
Keys Words : VLAN, 802.1q, MAC, TAG, symmetrical, for door, throughput, latency, loss
of packages, broadcast.
LISTAS
LISTA DE FIGURAS
Figura 1 – Exemplo de VLAN com segmentação por Porta. ...................................................20
Figura 2 - Exemplo de VLAN com segmentação por endereço MAC.....................................21
Figura 3 - Exemplo de VLAN com segmentação por protocolo .............................................23
Figura 4 – Formato de quadro Ethernet 802.3 e 802.1Q. .........................................................25
Figura 5 - Formato clássico do quadro Ethernet.......................................................................28
Figura 6 – Formato utilizado pela BayNetWork ......................................................................28
Figura 7 – Tratamento de quadro (antes)..................................................................................28
Figura 8 – Tratamento de quadros (depois)..............................................................................29
Figura 9 – Tratamento de quadro com TAG (antes) ................................................................30
Figura 10 - Tratamento de quadro com TAG (depois).............................................................30
Figura 11 – Exemplo de utilização...........................................................................................31
Figura 12 – Exemplo de utilização com roteador.....................................................................31
Figura 13 – Exemplo de utilização assimétrica........................................................................32
Figura 14 – Exemplo prático de utilização...............................................................................33
Figura 15 – Formas da latência.................................................................................................35
Figura 16- Representação da alocação dos patch-panel...........................................................41
Figura 17 – Seqüência de etapas...............................................................................................45
Figura 18 – Ambiente 1 : VLAN por porta ..............................................................................46
Figura 19 – Ambiente 2 : Vlan assimétrica ..............................................................................50
Figura 20- Ambiente de coleta VLAN por porta - Protocolos .................................................52
Figura 21 – Ambiente de coleta VLAN assimétrica – Protocolos ...........................................53
Figura 22 –Ambiente de coleta VLAN roteada - Pacotes ........................................................53
Figura 23 – Ambiente de coleta VLAN assimétrica - Pacotes .................................................54
Figura 24 -Broadcast medido na VLAN 1 roteada...................................................................59
Figura 25 – Broadcast medido na VLAN 2 roteada .................................................................60
Figura 26 – Identificação do broadcast percebido na VLAN2 roteada ....................................61
Figura 27 – Identificação do protocolo do broadcast percebido na VLAN2 roteada..............61
Figura 28-Broadcast medido na VlAN 1 assimétrica...............................................................62
Figura 29 – Broadcast medido na VLAN 2 assimétrica...........................................................62
Figura 30 – Identificação de Broadcast na VLAN 2 assimétrica .............................................63
Figura 31 – Broadcast medido na VLAN 3 assimétrica...........................................................64
LISTA DE ABREVIATURAS
ANSI - American National Standards Institute
BPF - Berkeley Packet Filter
CRC - Cyclic Redundancy Check
CSMA/CD - Carrier Sense Multiple Acces with Collision Detect
EIA/TIA - Electronic / Telecommunications Industries Association.
IEEE - Institute of Eletrical and Eletronics Engineers
ISO - International Organization for Standardization
LAN - Local Area Network
MAC - Media Access Control
OSI - Open Systems Interconnection
RTT - Round-trip Time
VLAN - Virtual Local Area Network
UTP - Unshielded Twisted Pair
SUMÁRIO
1 INTRODUÇÃO ..........................................................................................................12
1.1 OBJETIVOS ...............................................................................................................12
1.1.1 Objetivo geral ...........................................................................................................12
1.1.2 Objetivos específicos................................................................................................13
1.2 JUSTIFICATIVA .......................................................................................................13
1.3 ESCOPO E DELIMITAÇÃO DO TRABALHO.....................................................14
1.4 ORGANIZAÇÃO DO TRABALHO ........................................................................14
2 VLAN...........................................................................................................................16
2.1 VANTAGENS DO USO DE VLAN..........................................................................17
2.2 TIPOS DE VLAN .......................................................................................................19
2.2.1 VLAN com segmentação por Porta..........................................................................19
2.2.2 VLAN com segmentação por MAC Address ...........................................................20
2.2.3 VLAN com segmentação por Protocolo...................................................................22
2.3 PADRÃO 802.1Q........................................................................................................24
2.4 PADRÃO 802.1P.........................................................................................................27
2.5 EXEMPLOS DE TRATAMENTO DE QUADROS ...............................................27
2.6 EXEMPLOS DE UTILIZAÇÃO ..............................................................................31
3 DIAGNÓSTICO DE REDE.......................................................................................34
3.1 DEFINIÇÃO DA VARIÁVEIS DE MEDIDAS.......................................................34
3.1.1 Latência ....................................................................................................................34
3.1.2 Perda de pacote.........................................................................................................36
3.1.3 Throughput ...............................................................................................................37
3.1.4 Broadcast ..................................................................................................................37
3.2 FERRAMENTAS .......................................................................................................38
3.2.1 NTOP........................................................................................................................38
3.2.2 ETHREAL................................................................................................................39
3.2.3 TCPDUMP ...............................................................................................................40
4 DESENVOLVIMENTO.............................................................................................41
4.1 AMBIENTE DE TESTES..........................................................................................41
4.1.1 Switch .......................................................................................................................42
4.1.2 Equipamentos ...........................................................................................................42
4.2 ASPECTOS METODOLÓGICOS DO EXPERIMENTO.....................................43
4.3 PREPARAÇÃO DO AMBIENTE DE TESTES......................................................45
4.3.1 Implantação da Vlan por porta .................................................................................46
4.3.1.1. Topologia..............................................................................................................46
4.3.1.2. Configuração dos elementos de rede ....................................................................47
4.3.2 Implantação da vlan assimétrica...............................................................................50
4.3.2.1. Topologia..............................................................................................................50
4.3.2.2. Configuração dos elementos de rede ....................................................................51
4.4 COLETA DE DADOS................................................................................................51
4.5 ANÁLISE DOS RESULTADOS ...............................................................................54
4.5.1 Throughput ...............................................................................................................54
4.5.2 Latência ....................................................................................................................57
4.5.3 Perda de pacotes .......................................................................................................58
4.5.4 Broadcast ..................................................................................................................58
5 CONSIDERAÇÕES FINAIS.....................................................................................65
6 REFERÊNCIA BIBLIOGRÁFICA..........................................................................68
1 INTRODUÇÃO
O atual estágio da evolução da tecnologia e a crescente dependência das empresas e
indivíduos aos recursos de rede, tem feito com que o volume do tráfego em LAN´s ( Local
Area Network) aumente de forma notável.
Para suportar esse rápido crescimento do número de redes, máquinas e usuários conectados,
há uma grande variedade tecnológica, tanto em infraestrutura como em aplicações utilizadas
nestas redes. Como exemplos de aplicações temos as trocas de e-mail´s, conversação,
comércio eletrônico, aplicações multimídia entre tantas outras. Esta diversidade de aplicações
reflete diretamente na alta variedade de diferentes tipos de protocolos, os quais trafegam neste
tipo específico de rede.
Topke (2001), afirma que em virtude deste volume e diversidade de tráfego os parâmetros que
definem as medidas qualitativas e quantitativas são de difícil mensuração. Isto faz com que a
maioria dos administradores de rede não conheçam o fluxo do tráfego das redes sobre as quais
são responsáveis, ou seja, desconhecem onde o tráfego se origina, qual o seu destino e quais
são as aplicações que mais geram tráfego.
É nesse cenário que este trabalho fará uma contribuição para a comunidade
acadêmica/científica por meio do desenvolvimento de estratégias para coleta e análise de
tráfego. Isto, por sua vez, permitirá um melhor conhecimento das características relevantes de
infraestruturas baseadas em redes TCP/IP.
Para tal, será avaliada a tecnologia de VLAN (Virtual Local Area Network), a qual vem sendo
usada para segmentar logicamente redes locais, com o intuito de torná-las mais seguras e de
menor complexidade de administração.
1.1 OBJETIVOS
1.1.1 Objetivo geral
Além de desenvolver estratégias para coleta e análise do fluxo do tráfego em uma rede local
baseada em TCP/IP, a fim de fornecer parâmetros que determinem o desempenho desta, este
trabalho tem como objetivo geral, a verificação do comportamento deste fluxo, quando a rede
analisada é segmentada utilizando-se a tecnologia de VLAN (Virtual Local Area Network) .
13
1.1.2 Objetivos específicos
• Estudo teórico da tecnologia VLAN.
• Definição dos parâmetros a serem medidos.
• Estudo prático das principais ferramentas disponíveis.
• Definição dos métodos de coleta de dados.
• Definição dos métodos de análise dos dados.
• Aplicação da coleta e análise.
• Implementação da tecnologia com a utilização de diferentes tipos de segmentação
lógica.
• Aplicação de uma nova coleta e análise de dados.
• Comparação dos resultados pré e pós-segmentação.
1.2 JUSTIFICATIVA
Sloan (2001) afirma que se um administrador não conhece o comportamento normal de uma
rede não estará habilitado a identificar um comportamento anormal. O mesmo autor afirma
ainda que, se não há um conhecimento do tipo do tráfego em uma rede, não é possível
determinar planos para solução de problemas que possam surgir.
Como administrar algo que não se conhece ?
Em virtude da grande variedade de aplicações, que atualmente estão implementadas em redes
locais, há uma profusão de diferentes protocolos trafegando nas redes locais modernas. Tal
fator acaba por gerar muitas dificuldades em entender e estabelecer parâmetros que
expressem, de forma simplificada e de fácil avaliação, as características do tráfego em redes
TCP/IP.
Há uma grande variedade de ferramentas para coleta e análise de dados, disponíveis no
mercado, que podem fornecer muitas informações acerca do comportamento de uma rede.
14
Porém, a forma mais adequada de realizar a coleta e análise destes dados é de difícil
definição, visto não haver uma clara determinação de quais as variáveis que devem ser
observadas.
Segundo Sloan (2001) o sucesso na solução de problemas relacionados a redes locais
depende, em grande parte, da eficiência e qualidade da coleta. Caso esta não seja realizada de
forma adequada a posterior análise estará comprometida. Desta forma não basta apenas
analisar corretamente os dados, deve se também coleta-los de forma adequada.
Através do correto monitoramento pode-se gerenciar melhor a distribuição dos recursos de
rede, gerando melhorias de desempenho e conseqüentemente economia de recursos
financeiros.
O que também justifica este trabalho é falta de estudos que realmente comprovem as
vantagens do uso da tecnologia VLAN. Muito se tem encontrado sobre esta tecnologia, porém
poucas referências demonstram na prática sua real eficiência.
1.3 ESCOPO E DELIMITAÇÃO DO TRABALHO
Este trabalho limita-se a interpretar os resultados apresentados pelas ferramentas já
disponíveis no mercado, fugindo de seu escopo a coleta, tratamento e análise dos dados
através da implementação de novas ferramentas.
Com relação aos aspectos relacionados ao fluxo de dados de rede, não será dado foco no fato
que originou este fluxo, limitando-se apenas a observar seu comportamento.
Neste trabalho não serão utilizados métodos estatísticos para análise da massa de dados
capturada.
1.4 ORGANIZAÇÃO DO TRABALHO
No capítulo 2, será apresentada uma revisão bibliográfica da tecnologia VLAN, onde serão
mostrados diversos conceitos e características pertinentes, além do detalhamento dos
principais tipos de implementação existentes, sendo finalizado por exemplos práticos de sua
utilização.
O capítulo 3, descreverá os aspectos relacionados a diagnóstico de rede tais como variáveis de
medida e ferramentas as quais serão utilizadas no decorrer deste trabalho.
15
No capítulo 4 será tratado da parte prática deste estudo, abordando com detalhes todos os
procedimentos realizados pra a preparação do ambiente de testes. Neste mesmo capítulo serão
apresentados todos os resultados obtidos, utilizando-se pra isso tabelas e gráficos, além de
telas capturas diretamente das ferramentas utilizadas.
E para finalizar este trabalho o capítulo 5 apresentará considerações finais sobre todo o
aprendizado obtido ao longo deste estudo.
16
2 VLAN
O conceito de VLAN (Virtual Local Area Network) surgiu em 1985 por meio das empresas
americanas AT&T, US Sprint e MCI e trata-se de uma segmentação lógica de uma rede física,
de acordo com uma organização básica.
De acordo com Vasconcelos (2003, p.100) as VLAN atuam basicamente na segmentação de
uma rede LAN em grupos específicos de trabalho, fazendo com que o tráfego de dados seja
direcionado a grupos de estações específicas.
Dentre as várias definições, pode-se destacar:
1. Varadarajan (2004) as define como "estruturas capazes de segmentar, logicamente,
uma rede local em diferentes domínios de broadcast".
2. “Uma definição mais precisa para uma VLAN seria um domínio lógico de difusão
(broadcast). Em outras palavras, temos um domínio no qual todos os participantes de
um mesmo grupo estão se vendo. Os demais, embora ligados no mesmo switch, não
pertencem à VLAN.” DANTAS (2002, p.180)
3. “Virtual LAN é uma rede composta de computadores instalados em diferentes pontos
(tais como andares ou ainda edifícios separados), que se comporta como uma rede
local.” CYCLADES (2000, p.62).
4. Para Peterson (2004, p.138) VLAN é uma técnica que permite que uma única LAN
seja dividida em várias LAN´s aparentemente separadas
Com base nos conceitos elencados, no contexto deste trabalho, entende-se por VLAN, como
sendo a segmentação de uma única LAN física em diversas LAN lógicas, sendo que estas
últimas se comportam como LAN físicas diferentes, de forma que as estações de cada uma
destas não se enxerguem diretamente, a não ser que se utilize algum elemento capaz de
interligá-las, como um roteador ou switch.
Face ao grande volume de pacotes de broadcast (difusão) gerado pelos muitos protocolos e
aplicações que fazem uso deste recurso, as VLAN têm assumido um papel importante para as
redes corporativas atuais, diminuindo o impacto do uso de tal recurso.
17
De acordo com Furtado (2004) todo o raio de ação de um pacote broadcast (difusão) é
considerado um domínio de broadcast, sendo que dois domínios de broadcast não poderão
comunicar-se entre si sem o auxílio de um dispositivo específico que realize tal conexão.
Segundo Furtado (2004), o grande problema do broadcast é que a maioria das estações
normalmente recebe pacotes inúteis. Muitos protocolos de comunicação e aplicações fazem o
envio de pacotes para todas as estações, mesmo que o objetivo seja alcançar somente um
único host. Uma vez que "todos" recebem pacotes de "todos", a todo instante, há uma redução
significativa na performance da rede, pois os computadores gastam banda e recursos de rede.
2.1 VANTAGENS DO USO DE VLAN
Segundo Vasconcelos (2003, p.100) a VLAN proporciona aumento de desempenho em redes
LAN, dando melhor controle sobre a segurança de dados, controle de acesso e melhoria do
tráfego. Obtém-se otimização da banda de rede, devido à redução do tráfego, visto que tal
tráfego é limitado a grupos de estações de trabalho específicos.
“A tecnologia fornece uma série de benefícios, entre outros a redução do tráfego broadcast,
um nível de segurança mais elevado, contenção do tráfego em segmentos locais da rede,
filtragem e priorização de tráfego.” (FALBRIARD, 2002, p.187).
Moraes (2002) sita a limitação do tráfego a domínios específicos já pré-estabelecidos,
proporcionando mais segurança a estes, ou seja dados acessados em uma VLAN, não poderão
ser acessados por outra e vice-versa. No quesito segurança as VLAN proporcionam controlar
se deve ocorrer e como deve ocorrer a comunicação entre diferentes segmentos,
proporcionando um nível a mais de segurança na rede.
De acordo com Vasconcelos (2003, p.101), o aspecto de segurança é implementado devido
ao fato das estações, apesar de estarem fisicamente conectadas ao mesmo switch, podem fazer
parte de VLAN diferentes.
Seu uso diminui o número de roteadores necessários, pois se criam domínios de broadcast
utilizando switch ao invés de roteadores.
Uma movimentação de um usuário, de um local para outro não gera tanto incômodo, pois
pode ser feita remotamente, sem a necessidade de modificações físicas, proporcionando
flexibilidade de trabalho.
18
Por não utilizar roteadores, introduzir uma possível redução de cabeamento e facilidade de
gerenciar, as redes se tornam mais econômicas. Sendo que a performance também é
ocasionada pela diminuição do número de equipamentos.
Para Peterson (2004, p.138) a técnica aumenta a escalabilidade das LAN, nas palavras deste
autor, “um recurso atraente nas VLANs” é a possibilidade de alterar a topologia lógica sem
mover o cabeamento ou alterar quaisquer endereços.
De acordo com Moraes (2002) utilizando VLAN têm-se a possibilidade de organizar a rede
logicamente, sem estar limitado à topologia de rede e das ligações físicas. Dispositivos
conectados em diferentes switch podem estar agrupados na mesma VLAN, bem como
dispositivos que estejam em localizações físicas distantes (diferentes edifícios, diferentes
países).
Sua utilização também é benéfica por permitir uma organização (segmentação), da rede por
setores da empresa. Assim cada VLAN pode estar associada a um departamento, mesmo que
fisicamente seus integrantes estejam muito distantes, com isso a lógica de distribuição estará
implantada
Porém, segundo relatos de Peterson (2004, p.139), a principal vantagem é a limitação do
números de segmentos de uma LAN que receberão determinados pacotes de broadcast.
Como as VLAN demarcam um domínio de broadcast, elas evitam que o tráfego
desnecessário circule pela rede. Em redes onde o trafego de broadcast e multicast constituem
uma parte significativa do todo, as VLAN podem aumentar a performance (desempenho) da
rede.
Tendo por premissa os argumentos apresentados, nos parágrafos anteriores, pode-se resumir
as principais vantagens do uso de VLAN em:
- Melhora do desempenho da rede.
- Aumento da segurança.
- Maior facilidade de gerenciamento e organização.
- Aumento da escalabilidade.
- Redução de custos.
19
2.2 TIPOS DE VLAN
Existem várias formas de se implementar as VLAN, elas dependem da tecnologia empregada
e das funções existentes nos dispositivos que vão implementá-las. As formas, oficialmente
aceitas pelo IEEE (Institute of Electricaland Electronics Engineers), são estática e dinâmica.
Como exemplo de estáticas temos segmentação por Porta, sendo os tipos Mac Address e
Protocolo classificadas como VLAN dinâmicas.
Nos itens a seguir serão apresentadas as principais formas reconhecidas pela IEEE, suas
vantagens e desvantagens quando comparadas umas as outras .
2.2.1 VLAN com segmentação por Porta
Neste tipo, implementado na camada 1 do modelo de referencia OSI, a criação da VLAN é
feita definindo-se quais portas do switch pertencem a qual VLAN.
De acordo com Vasconcelos (2003) “dividem-se as portas do switch em redes LAN´s
diferentes, onde cada microrede é considerada uma LAN virtual”. Desta forma, os
equipamentos (estações, servidores, impressoras entre outros) conectados a estas portas farão
parte de uma rede local virtual, no qual poderão compartilhar suas informações e seus dados,
preservando a banda dos outros usuários e aumentando a performance da rede local como um
todo.
Cada porta do switch pode estar associada a uma VLAN, com isto, torna-se possível ter várias
VLANs no mesmo switch, sem que em nenhum momento elas se comuniquem. A ligação a
outros switch, que suportem VLAN, é feita através de trunk-ports (troncos) que normalmente
estão associadas a várias VLAN. Isto é possível, associando uma porta do switch à várias
VLAN e em seguida conecta-la a porta de outro switch, configurada da mesma forma.
Para Nicolleti (2000) este método de segmentação é o mais comumente utilizado pois sua
configuração é rápida e simples, garantindo um ótimo funcionamento da VLAN.
No entanto, este método apresenta alguns contratempos, uma de suas desvantagens está
associada a locomoção de usuários para um local diferente no qual originalmente ele estaria
conectado. Para isso o administrador de rede terá que configurar novamente a porta no switch,
e conseqüentemente a VLAN sofreria uma mudança.
20
Uma outra desvantagem, citada por Nicoletti (2000), é em relação a possibilidade de haver
um hub (repetidor) conectado a uma porta do switch. Isto fará com que, obrigatoriamente,
todas as portas que aquele hub tiver, façam parte de uma única rede, o que em alguns casos
pode não ser desejado. Atualmente tal problema não é muito significativo, já que a existência
de hubs é cada vez menos comum.
A figura abaixo nos mostra como uma VLAN com segmentação por porta pode ser
implementada.
Figura 1 – Exemplo de VLAN com segmentação por Porta.
Fonte : NICOLLETTI (2000)
Na figura 1 há duas VLAN, uma representada pela cor vermelha e outra pela cor azul.
Observa-se que os switch possuem apenas duas portas, sendo cada uma delas configurada
para pertencer a uma VLAN. Estações conectada a uma porta, configurada para uma
determinada VLAN, passa a fazer parte desta.
É importante perceber uma das desvantagens deste método acerca da utilização de hub, visto
não ser possível ter estações pertencentes a diferentes VLAN conectadas no mesmo hub.
2.2.2 VLAN com segmentação por MAC Address
As VLANs segmentadas por endereço MAC (Media Access Control), implementadas na
camada 2 do modelo de referência OSI, são criadas a partir da premissa que todos os
21
integrantes da VLAN em questão possuem um endereço MAC diferente. O switch então
reconhece todos os endereços MAC da requerida VLAN e os associa.
Para que isso seja possível, segundo Tanenbaum (2003), o “switch tem uma tabela listando o
endereço MAC de 48 bits de cada máquina conectada ao dispositivo, juntamente com a
VLAN em que essa máquina está.”
Neste tipo de VLAN ao mover um dispositivo da rede, não se faz por necessário reconfigurá-
lo para que este continue pertencendo a mesma VLAN, pois o endereço MAC faz parte da sua
placa de interface de rede. Comparando esta segmentação de VLAN com a VLAN baseada
em portas isto é uma vantagem, pois, não é necessário reconfigurar nenhuma tabela dos
integrantes da VLAN. Pois, neste tipo de configuração, não importa em que porta do switch
determinada placa de rede está conectada, mas sim o endereço MAC que cada uma carrega
consigo.
Porém, este tipo de segmentação apresenta desvantagem quando inicialmente tem-se que
inserir todos os integrantes de uma rede na tabela de endereços MAC do switch. Esta tarefa
fica complexa quanto maior for o número de dispositivos em uma rede.
Para Vasconcelos (2003) outra desvantagem deste método, ocorre quando da necessidade da
troca da interface de rede de uma estação, visto que neste caso será necessário a
reconfiguração da VLAN.
Na figura 2 demonstra-se como podemos segmentar uma VLAN por MAC Address.
Figura 2 - Exemplo de VLAN com segmentação por endereço MAC.
Fonte : NICOLLETTI (2000)
22
Na implementação, representada na figura 2, tem-se duas VLAN, não importando em qual
porta dos elementos as estações estão conectadas, mas sim seu endereço MAC. Ao analisarem
as estações conectadas em um hub, percebe-se que elas pertencem a VLAN diferentes,
eliminado o problema inerente a segmentação por porta.
2.2.3 VLAN com segmentação por Protocolo
As VLAN em questão associam ao switch que a implementa os endereços de rede (camada 3
do modelo OSI) que comporão a VLAN, ou pode-se estabelecer, que equipamentos que
utilizam determinado protocolo farão parte de uma VLAN e os que utilizam outro protocolo
farão parte da outra.
Segundo Nicolleti (2000) poderão ser usados os seguintes protocolos :
- DECNET.
- NETBEUI .
- IPX .
- IP .
Quando uma VLAN for segmenta por protocolos diferentes, sua implementação fica fácil pois
os integrantes da VLAN, em questão, podem ser identificados de acordo com campo “tipo de
protocolo” encontrado no cabeçalho da camada 2.
Porém, de acordo com Nicolleti (2000) se a segmentação por protocolo se referir ao
endereço lógico, tem-se cada endereço físico recebendo seu endereço de sub-rede, e o
encaminhamento de dados é feito através de roteamento baseado no endereço IP. Assim como
na segmentação por MAC Address, esta segmentação é independente da distribuição física.
Este tipo de segmentação de VLANs também apresenta suas deficiências, em relação ao
encaminhamento de pacotes, pois utiliza informações da camada 3, e isso causa retardo nos
pacotes.
Usar informações da camada 3 causa, para Vasconcelos (2003), a necessidade de switch que
possua a tecnologia conhecida com Layer 3. Porém a atual popularização do uso deste
elemento tem atualmente, atenuado tal dificuldade.
Ainda com relação as deficiências desta segmentação, Tanenbaum (2003, p.355) afirma que
”o único problema com essa abordagem é que ela viola a regra mais fundamental das redes : a
independência das camadas. Não interessa à camada de enlace de dados o que está no campo
23
de carga útil. Ela não deve examinar a carga útil e certamente não deve tomar decisões com
base no conteúdo desse campo. Uma conseqüência dessa abordagem é que uma mudança no
protocolo da camada 3 causa a falha repentina dos switch. Infelizmente, existem no mercado
switch que funcionam dessa maneira.”
Estas dificuldades fazem da segmentação por protocolo a menos popular entre os
administradores de redes.
Exemplifica-se, através da figura 3, uma situação de como implementar VLANs por
segmentação de protocolo se referindo ao endereço IP.
Figura 3 - Exemplo de VLAN com segmentação por protocolo .
Fonte : NICOLLETTI (2000)
Podemos observar que as estações que fazem parte da VLAN azul possuem endereços IP de
classes diferentes das estações da VLAN em vermelho.
De acordo com Dantas (2002), apesar da VLAN baseada em portas parecer consistente para
muitos produtos de fabricantes de rede, os produtos VLAN baseados em MAC e Protocolos
vêem ganhando uma grande aceitação. Principalmente com a popularização do switch de
nível 3.
Os tipos de VLAN apresentados são os principais, porém há disponíveis no mercado outros
tipos de segmentação, os principais exemplos são :
- segmentação baseada em autenticação de usuários;
- segmentação baseada em políticas gerais e
24
- segmentação baseada por aplicações.
Apesar desses tipos serem soluções proprietárias de diferentes fabricantes todas são baseadas
nos mesmos padrões da IEEE seguidos pelas VLAN com segmentação por porta, endereço
MAC e por protocolo. Tais padrões são apresentados a seguir.
2.3 PADRÃO 802.1Q
Em 1998 o IEEE publicou o padrão 802.1Q, uma mudança no padrão do cabeçalho Ethernet
para que este suportasse mais um campo, a ser utilizado em VLAN.
Este padrão determina as ações do switch ao receber um quadro, ou seja, define como deve
classificar o quadro em alguma VLAN, como decidir para onde o quadro será enviado, em
qual fila de prioridade será colocado na saída, qual informação de controle no quadro (tagging
de acordo com alguma regra - porta, MAC, protocolo etc.) deve modificar/incluir, além de
como um switch se comunica com outro.
Segundo Thomas (2003) as normas que regulamentam a operação de VLAN’s são a IEEE
802.1Q, de 1998, e a IEEE 802.1V, de 2001, que é um adendo à 802.1Q. Estas normas tratam
apenas de VLAN que utilizam o método de rotulação explícita, ou seja, as VLAN’s que
trabalham nas camadas 1 e 2 do modelo RM-OSI. Outros tipos de VLAN’s, definidas em
camadas mais elevadas, são soluções proprietárias.
Segundo Varadarajan (2004), quando um dispositivo de rede, com suporte ao padrão IEEE
802.1Q, recebe quadros vindos de uma estação de trabalho, ele os rotula, inserido um novo
campo chamado de TAG, indicando a rede virtual de onde vem o quadro e a prioridade. Este
processo é chamado de marcação explícita (explicit tagging).
O termo TAG é bastante utilizado em diversas áreas de Tecnologia da Informação, como por
exemplo delimitadores de estilo e/ou conteúdo nas linguagens HTML e XML, e não deve ter
seu objetivo confundido com o utilizado ao longo deste trabalho.
Para Moraes (2002) , tal marcação é necessária para que, ao serem enviados através da rede,
possam ser identificados a qual VLAN os quadros pertencem, de modo que o dispositivo
(ponte, switch) encaminhe-os somente para as portas que também pertencem a esta rede
virtual. Do contrário, os quadros são encaminhados para todas as portas.
25
De acordo com Dantas (2002) as TAG “são campos de 4 bytes inseridos no quadro Ethernet
original, entre os campos de endereço do remetente e o campo tipo/tamanho”.
A figura 4 apresenta o formato padrão 802.3 antes e depois da inserção.
Figura 4 – Formato de quadro Ethernet 802.3 e 802.1Q.
Fonte : Tanenbaum (2004)
De acordo com Bicudo (2004), esse novo campo de 4 bytes a ser adicionado, a chamada
TAG, contém:
• ID de protocolo de VLAN: dois bytes de valores fixos igual a 0x8100. Esse
valor específico determina que os próximos dois bytes carregam informações
do TAG dos padrões 802.1p e 802.1Q . Alguns autores utilizam apenas o rótulo
8100;
• Priorty: responsável por carregar a informação da prioridade através de
LANS. Os três bits são capazes de representar oito diferentes níveis de
prioridades ( de 0 a 7);
• CFI - Canonical Format Indicator: apenas um bit que em '0' indica forma
canônica, enquanto em '1' indica forma não-canônica. Esta forma é usada no
método de acesso ao meio roteados por FDDI/Token-Ring para sinalizar a
ordem da informação de endereço encapsulado no quadro. Tanembaun (2004)
faz sérias críticas de caráter político a existência deste campo :”a política do
comitê não é diferente da política comum : se você votar no meu bit eu voto no
seu.”
• VID – Identificador de VLAN : identifica a qual VLAN o quadro pertence.
Pelo seu tamanho, doze bits, pode-se calcular o número máximo de VLANs
que podem ser unicamente identificadas - 4096, sendo que a VLAN 0 e a
26
VLAN 4095 são reservadas. Para Tanenbaum (2003) este é o mais importante
campo.
A inclusão de um campo em um quadro pode gerar um problema para protocolos que não
contém um campo de priorização (como o Ethernet). O problema dessa inclusão é a não
conformidade com padrão de tamanho máximo do quadro de 1500 bytes de dados, ou seja,
todos os equipamentos que implementam Ethernet teriam ,teoricamente, problemas.
“De acordo com IEEE 802.3 o quadro Ethernet não pode exceder 1518 octetos, então se ao
quadro é adicionado o TAG do 802.1Q/p, o tamanho máximo passará a ser de 1522, o que
abre uma janela de possíveis problemas com equipamentos que implementam o Ethernet e
fazem isso através de hardware. “(Bicudo, 2004).
Uma solução proposta por Moraes (2002) seria a redução do tamanho máximo de "payload"
dos dados em 4 bytes, fazendo assim com que o tamanho do quadro se mantivesse.
Tanenbaum (2003) afirma que a solução é perceber que os campos VLAN só realmente são
usados pelas pontes e switch, e não pelas máquina dos usuários. A afirmação de Tanenbaum
(2003) é comprovada na prática, onde um switch recebe um quadro com TAG e tem que
entregá-lo a uma estação que possui uma interface de rede sem suporte ao 802.1Q ele
simplesmente retira essa TAG.
“Uma vez indicado o destino do quadro, também é necessário determinar se o identificador
VLAN deve ser adicionado ao quadro e enviado.” (Moraes, 2004)
Ainda segundo o mesmo autor, caso o destino do quadro seja um dispositivo com suporte a
VLAN a TAG é adicionada. Entretanto, se o destinatário não suporta o padrão IEEE 802.1Q o
dispositivo envia o quadro sem a TAG.
Porém, o problema não tem solução se o próprio switch não suporta 802.1Q.
“Também é possível determinar a qual VLAN o quadro recebido pertence utilizando a
marcação implícita (implicit tagging). Neste procedimento o quadro não é rotulado, mas a
VLAN de origem do quadro é identificada por outro tipo de informação, como por exemplo a
porta onde o quadro chegou.” (Moraes,2004).
Para saber onde deve ser encaminhado o quadro, o dispositivo de rede utiliza um base de
dados chamada de filtering database, que deve estar presente e ser a mesma em todos os
equipamentos da rede. Esta base, que deve estar sempre atualizada contém um mapeamento
entre VLANs. De acordo com Tanenbaum (2003), os dispositivos com suporte a 802.1Q
27
constroem suas tabelas dinamicamente com base na observação das TAG que passam por
eles.
2.4 PADRÃO 802.1P
O protocolo IEEE 802.1p é um padrão para priorização de tráfego em redes locais, sendo
especificado na norma IEEE 802.1D – LAN Bridges. Através dessa técnica, é possível utilizar
aplicações sensíveis a tempo em redes locais (LANs).
O objetivo principal do 802.1p é definir uma maneira de fazer encaminhamento expresso de
tráfego, através da inclusão de definições de prioridade. Isto é possível, rotulando os três bits
reservados para a prioridade do quadro localizados no campo TAG, especificado em IEEE
802.3Q. Com isso, segundo Falbriard (2002), o 802.1p introduz o conceito da identificação da
qualidade de serviço (QoS), visto que atribui prioridade administrando filas.
Porém Kamienski (2000) afirma que como o tratamento da prioridade é feito quadro-a-
quadro, caso haja uma rajada de tráfego é possível que o mecanismo de prioridade introduza
latência no fluxo tratado. Sendo que mesmo o 802.1p fazendo um reordenamento dos quadros
no seu buffer, aplicações muito sensíveis ao atraso, como voz e vídeo, podem ser prejudicadas
por esse mecanismo. Este autor recomenda para esses casos um mecanismo mais sólido de
QoS, como o ATM. Tanenbaum (2004) também não é cauteloso quanto a eficiência deste
padrão.
Alguns autores referem-se a 802.1Q engoblando a 802.1p, isto porque os bits de prioridade da
8021p, são inseridos na TAG adicionada pelo 802.1Q, ou seja ambas dividem o mesmo TAG.
Porém, se o interesse for apenas em priorização de tráfego, e não em VLANs, então os bits
802.1p podem ser utilizados independentemente, com informação nula para os bits 802.1Q.
2.5 EXEMPLOS DE TRATAMENTO DE QUADROS
Para melhor entendimento, será apresentado a seguir exemplos de tratamento de quadros
realizado por switch com suporte a 802.1Q.
A composição do quadro utilizado nos exemplos difere de algumas bibliografias acadêmicas,
isto é explicado pelo fato das ilustrações utilizadas terem sido retiradas de documentação
técnica (BayNetWork, 2004).
28
Na figura 5 tem-se o formato clássico do quadro Ethernet.
Figura 5 - Formato clássico do quadro Ethernet
Fonte : Tanembaum (2004)
Na figura 6 tem-se o formato utilizado, já com a tag, pela fabricante BayNetWork em sua
documentação técnica.
Figura 6 – Formato utilizado pela BayNetWork
Fonte : BayNetWork (2003)
Como a composição do quadro não prejudica o entendimento do tratamento dado ao quadro, e
é utilizada por importante fabricante de elementos ativos de rede, este formato será utilizado
ao longo desta seção.
Na figura 7 é mostrado o quadro chegando no switch de 8 portas, sendo que a porta 5 está
configurada com Tagged, um padrão de nomenclatura do fabricante do switch Bay Networks
que determina opção de inserção de TAG , ou seja marcação explícita , tal porta é configurada
como pertencendo a VLAN 2 . A porta 7 é configurada com Untagged , sem a opção de TAG,
ou marcação implícita como citado anteriormente, já esta porta pertence a VLAN 1. Observa-
se que, neste momento o quadro não possui o seguimento TAG.
Figura 7 – Tratamento de quadro (antes)
Fonte : BayNetWork (2004)
A figura 8 demonstra como os pacotes são transmitidos por portas com e sem a opção de
inserção de TAG.
29
Figura 8 – Tratamento de quadros (depois)
Fonte : BayNetWork (2004)
A análise da figura 8, mostra claramente a inserção da TAG no quadro sendo transmitido pela
porta 5. Sendo ainda, que este terá seu valor de CRC recalculado, ao contrário do enviado pela
7 que não sofre alteração alguma. Esta porta poderia ser utilizada para conectar uma estação
sem suporte a 802.1Q.
No exemplo da figura 8 o quadro recebido, originalmente não tinha a TAG, porém é possível
o dispositivo de rede receber um quadro já com a TAG. Nesse caso a TAG pode permanecer
ou ser retirada, de acordo com a configuração do dispositivo.
De acordo com Moraes (2002) se o estado de uma porta é unttaged, quando um quadro com
rótulo sai da porta, o seu rótulo é retirado e o quadro passa a ser sem rótulo.
Tal definição é claramente visualizada na figura 9 e 10.
Na figura 9 é visualizado o quadro , já com a TAG, chegando no switch:
30
Figura 9 – Tratamento de quadro com TAG (antes)
Fonte : BayNetWork (2004)
A seguir, na figura 10 é demonstrado os quadros saindo do switch:
Figura 10 - Tratamento de quadro com TAG (depois)
Fonte : BayNetWork (2004)
Através da figura 10, é possível identificar a não alteração de um quadro quando este é
enviado pela porta tagged, e a retirada da TAG, quando este mesmo quadro passa pela porta 7
(untagged).
31
2.6 EXEMPLOS DE UTILIZAÇÃO
A forma mais simples de configurar-se uma VLAN é mostrada abaixo na figura 11.
Figura 11 – Exemplo de utilização
Fonte : BayNetWork (2004) No exemplo da figura 11 em um único switch são configuradas duas VLANs, a VLAN 1 e a
VLAN 2, sendo que não há nenhuma interligação entre elas, de forma que não é possível uma
máquina de um VLAN comunicar-se com outra de uma VLAN diferente.
Na figura 12 é apresentado outra configuração de VLANs. Utilizando-se três VLAN em um
mesmo switch, e conecta-se este a um roteador.
Figura 12 – Exemplo de utilização com roteador
Fonte : Cisco (2004)
32
O roteador é conectado ao switch por meio de uma conexão específica do switch, que por
estar fora do contexto deste trabalho, não será detalhada. Tal conexão permite ao roteador
encaminhar pacotes entre VLAN diferentes.
Nesta configuração, haja vista a existência do roteador interligando as VLAN, é possível
equipamentos de VLAN diferentes comunicar-se entre si, desde que isso se desejável, sendo
necessário configurar o roteador pra tal.
A seguir na figura 13 é utilizada uma forma de implementação conhecida como VLAN
Assimétrica, na qual os equipamentos das VLAN 1 não acessam os equipamentos da VLAN
2 e vice-versa, porém ambos podem acessar recursos da VLAN 3.
Isto é possível pois os equipamentos da VLAN 3 também fazem parte das VLAN 1 e 2. Esta
forma de implementação é bastante adequada para redes que possuem muitos servidores
compartilhando recursos.
Figura 13 – Exemplo de utilização assimétrica
Na figura 14 é mostrado um exemplo com aplicação prática de utilização de VLAN, que por
possuir um roteador, permite a interconexão entre equipamentos de VLAN diferentes, caso
isso seja desejável.
33
Figura 14 – Exemplo prático de utilização
Fonte : Cisco (2004) No caso ilustrado da figura 14, é observado uma VLAN para cada departamento da empresa
(engineering, marketing, accounting), sendo que os equipamentos destes setores encontram-se
espalhados em andares diferentes do edifício. Neste exemplo, percebe-se uma aplicação da
VLAN incrementando a segurança, já que é possível que as estações de um setor não acessam
as de outro setor. Isto é possível por meio da configuração das rotas do roteador, a qual os
switch estão conectados.
34
3 DIAGNÓSTICO DE REDE
Segundo Topke (2001) a identificação dos parâmetros críticos de uma rede e a caracterização
do tráfego são processos importantes para a medida de seu desempenho.
No contexto deste trabalho, é por meio da mensuração de variáveis associadas ao desempenho
de uma rede que a tecnologia VLAN está sendo avaliada. Para isso o fluxo de tráfego é
analisado, visto que, de acordo com Vilela (2003), uma definição do fluxo de tráfego é
fundamental para a agregação de dados e para comparações de estatísticas de tráfego.
Peterson (2004) conceitua fluxo como uma seqüência de pacotes enviados entre um par de
origem e destino de estações seguindo o mesmo caminho.
Tal definição não é completa pois quando definido com um nível maior de detalhamento, um
fluxo pode ser entendido como a comunicação entre processos através das portas de uma
estação.
Sabe-se também que há casos em que os pacotes não seguem o mesmo caminho, por exemplo
na comutação por pacotes, porém isto ocorre apenas quando as estações de destino e origem
são interligadas por mais de um roteador.
3.1 DEFINIÇÃO DA VARIÁVEIS DE MEDIDAS
Nesta seção serão apresentadas as variáveis de medida a serem analisadas, que de acordo com
o estudo da teoria apresentada, são diretamente afetadas pela tecnologia VLAN.
3.1.1 Latência
Para Peterson (2004), a latência, corresponde ao tempo gasto para uma mensagem atravessar
uma rede de uma ponta de a outra .
Topke (2001) afirma que há duas formas de se medir a latência entre dois pontos de uma rede
TCP/IP:
- One-way Delay (atraso de ida) : Definido como sendo o tempo gasto desde a
inserção do primeiro bit de um pacote IP, até a chegada do último bit do mesmo
pacote ao destino.
35
- Round-trip Delay (atraso de ida-e-volta) : Definido como o tempo decorrido desde
a inserção do primeiro bit de um pacote IP (IP1), até a chegada do último bit de um
outro pacote IP (IP2) ao emissor. Nesta medida, é necessária a utilização de dois
pacotes IP diferentes, o primeiro é gerado pelo emissor (IP 1), e o segundo pacote
(IP2) é enviado pelo receptor como resposta à requisição do primeiro. Tal forma de
medida de latência também é conhecida como RTT (Round-trip Time).
Uma constatação importante entre as duas medidas, é que muitas vezes, o caminho de ida é
diferente do caminho de volta.
“Para o ponto de vista de um usuário a latência é entendida como sendo o tempo decorrido
entre o envio de um pacote e o recebimento de um pacote de confirmação retornado pelo
receptor. Para o usuário quanto maior a latência menor será sua capacidade de perceber a
interatividade entre ele e o destino” (TOPKE, 2001, p.19).
Visto a RTT ser o parâmetro realmente percebido pelo usuário, esta forma de medição de
latência é a utilizada ao longo deste trabalho.
Figura 15 – Formas da latência
Fonte : Topke (2001)
Principais motivações da medida de latência:
- Aplicações de tempo real necessitam que as medidas de jitter estejam o mais
próximo da realidade, para não comprometer o desempenho e/ou a qualidade da
aplicação.
- Aplicações de Voz sobre IP (VoIP) são prejudicadas pela latência;
36
- Através da definição de uma valor mínimo de latência entre dois pontos, podemos
identificar possíveis congestionamentos, em razão da observação das variações
deste valor.
- A comprovação prática da afirmação de Vasconcelos (2003), que afirma ser uma
das grandes vantagens do uso de VLAN a melhora do desempenho.
Para comprovar esta teoria a latência será medida, tendo por base teórica a afirmação
de :
- Peterson (2004), segundo o qual a latência é uma das medidas fundamentais de
desempenho de rede.
- Topke (2001), que leva a entender que para acompanhar o desempenho dos
protocolos de transporte é necessário a medida da latência.
3.1.2 Perda de pacote
A perda de pacotes quantifica o número de pacotes que são perdidos numa determinada
transmissão.
Para Topke (2001) o pacote é considerado perdido quando o destino não o recebe por um
tempo limite pré-determinado, conhecido como time-out. Há muita discussão sobre a
definição de um valor quantitativo que determine uma interrupção como sendo time-out. Os
valores sugeridos por Vilela (2003) variam de 10 a 64 segundos, de acordo com o contexto
em que é feita a transmissão dos pacotes.
O time-out irá depender de diversos fatores, como distancia entre as estações, do caminho por
onde o pacote passa, da capacidade da rede e das filas entre os pontos.
Principais motivações para medida de perda de pacotes:
- Aplicações de voz sobre IP são prejudicadas, assim como algumas aplicações de
tempo-real.
- O aumento de perda de pacotes pode indicar que a rede apresenta problemas, como
congestionamentos e erros de transmissão.
- Segundo Topke (2001) a medida da perda de pacotes é útil na avaliação do
desempenho da rede.
37
3.1.3 Throughput
Para Peterson (2004, p.30) throughput se refere ao número de bits por segundo que realmente
podemos transmitir na prática. A palavra throughput é normalmente utilizada para referir-se
ao desempenho medido de um sistema.
Desta forma, o objetivo desta métrica é medir a taxa de utilização da largura de banda, ou
seja, quanto da disponibilidade do enlace está sendo utilizado.
O que motiva sua medição é a afirmação teórica que deve diminuir o tráfego na rede após a
segmentação com VLAN, disponibilizando mais throughput.
3.1.4 Broadcast
Endereçamento broadcast (difusão) significa que um pacote, enviado por qualquer estação da
rede, está endereçado para todas as outras estações que compõem tal rede. Ele é formado
colocando-se todos os bits da parte de endereçamento de máquina de um endereço IP com valor 1 (255
em decimal). Veja os exemplos abaixo :
Endereço IP Mascara de rede Endereço broadcast
200 . 237 . 190 . 21 255.255.255.0 200 . 237 . 190 . 255
150 . 165 . 166 . 21 255.2550.0 150 . 165 . 255 . 255
26 . 27 . 28 . 21 26 255.0.0.0 26 . 255 . 255 . 255
Quando é utilizado o endereço de broadcast, todos os computadores da rede recebem o pacote
e processam o pacote.
O broadcast é utilizado por uma série de serviços, seja para fazer verificações periódicas de
nomes, para enviar uma mensagem para todas a estações da rede, para obter informações de
todos os computadores ou para verificar quais recursos de rede estão disponíveis.
Sua medição é motivada pelo fato de vários autores citarem sua diminuição como uma das
principais vantagens da implantação de VLAN.
A seguir na próxima seção serão apresentadas as ferramentas utilizadas neste trabalho.
38
3.2 FERRAMENTAS
Atualmente grande parte das ferramentas distribuídas como software-livre, que rodam sobre o
sistema operacional Linux, encontradas no mercado de gerência de redes utilizam a biblioteca
libcap. As ferramentas empregadas neste trabalho utilizam esta biblioteca.
Libpcap é uma biblioteca para captura de pacotes, desenvolvida pela Universidade da
Califórnia, nos Estados Unidos, atua na camada de rede e na cama da transporte, permitindo a
recuperação dos pacotes e a utilização de filtros BPF (Berkeley Packet Filter).
“BPF é um mecanismo para especificar às camadas de rede do kernel quais pacotes você está interessado. É implementado como um intérprete de linguagem de uma pilha especializada montada dentro do nível baixo do código de rede. Uma aplicação passa um programa escrito nesta linguagem para o kernel, e o kernel executa o programa em cada pacote que entra. Se o kernel tem aplicações do BPF múltiplas, cada programa roda em cada pacote.” GORTMAKER (1999).
Como as ferramentas de captura de pacotes são executados no nível de usuário, os pacotes
devem ser copiados do kernel para o nível do usuário antes de poderem ser analisados. Este
processo de cópia é realizado por um agente no kernel chamado de filtro de pacotes (packet
filter), que descarta os pacotes desnecessários o mais rápido possível, fazendo com que
chegue ao usuário apenas os pacotes que lhe interessam, sendo tal interesse manifestado na
configuração da ferramenta.
Por meio de uma análise das características técnicas e funcionais de ferramentas open-source
encontradas atualmente no mercado, escolheu-se as que elencadas abaixo para realização das
coletas e análise dos dados.
3.2.1 NTOP
Ntop é uma aplicação de monitoramento e medição de tráfego, inicialmente desenvolvida por
seus autores para observar a problemas de performance no backbone do campus de uma
universidade dos EUA. Seu nome é uma referência a ferramenta top, muito utilizada em
sistemas UNIX, para verificar quais processos estão ativos.
Ntop é uma aplicação open-source escrita na linguagem C, usando a biblioteca libpcap,
distribuída sobre a GNU public license. Isto permitiu que houvessem versões para quaisquer
plataformas em que a libpcap funcionasse.
39
Basicamente ele age como um sniffer (software que captura e analisa tráfego de uma rede),
recolhendo todos os dados presentes no barramento da rede, posteriormente classificando,
tratando e gerando gráficos e tabelas.
Segundo Deri (2000) suas características principais incluem:
- Portabilidade entre plataformas UNIX e não UNIX.
- Aplicação simples e eficiente, com baixo consumo de recursos.
- Possibilidade de monitorar e gerenciar um rede de uma localização remota sem a
necessidade de aplicações cliente.
- Análise rica em conteúdo e de fácil leitura.
- Análise de tráfego e fluxo.
Dentre as possibilidades da ferramenta, as que levaram a sua escolha para utilização neste
trabalho foram:
- Possibilidade de captura de pacotes.
- Análise básica de tráfego e caracterização de protocolo.
- Especificação e medida de fluxo de rede.
- Associação do pacote capturado com a estação que o enviou.
- Medida da taxa de ocupação da banda.
3.2.2 ETHREAL
Segundo Combs (2004) esta ferramenta usa a libcap e é distribuída sobre a GNU public
license, sendo um analisador de protocolo possuidor de uma excelente interface gráfica, que
permite a visualização em tempo real dos pacotes em uma rede ou a visualização de pacotes
previamente capturados. Uma característica que torna o Ethreal único é a capacidade de filtrar
pacotes mostrando informações resumidas e de fácil entendimento.
Esta ferramenta foi selecionada por ser muito difundida no meio, já que roda nas plataformas
Windows, Linux e Unix, ser de fácil utilização e configuração, além de gerar estatísticas e
gráficos que facilitam o entendimento dos dados.
40
No capítulo seguinte, será apresentada a proposta de trabalho a ser desenvolvida, que consiste
basicamente em implementar, de forma experimental, diferentes tipos de VLAN, realizar
diagnósticos por meio das ferramentas acima mencionadas e através da comparação das
variáveis de medida, elencadas no item 3.1, verificar os conceitos sobre a tecnologia VLAN
além da indicação das vantagens e desvantagens de cada tipo específico.
3.2.3 TCPDUMP
O TCPDUMP foi desenvolvido na Universidade da Califórnia por um grupo de
pesquisadores. Ele foi originalmente feito para analisar alguns problemas de performance do
protocolo TCP/IP. No decorrer do tempo várias outras opções foram adicionadas e ele foi
portado para vários sistemas operacionais
TCPDUMP é uma ferramenta que captura o tráfego em uma rede e gera um arquivo com os
cabeçalhos dos pacotes que estão trafegando.
Sua grande desvantagem é ser baseado em texto, não possuindo um interface gráfica, porém
os dados por ele capturado podem ser facilmente exportados para outra ferramentas mais
amigáveis.
41
4 DESENVOLVIMENTO
Neste capítulo, serão especificadas apenas as características, da rede e dos equipamentos, que
são relevantes ao estudo de caso deste trabalho e que estejam estritamente ligadas ao escopo
do estudo. Em virtude da política de segurança da empresa, maiores detalhes de configurações
de equipamentos e elementos de rede, assim como dos serviços instalados e técnicas
implementadas não são citadas.
4.1 AMBIENTE DE TESTES
O ambiente de testes utilizado para o desenvolvimento configura-se de uma LAN em
operação no edifício sede do Tribunal Regional Eleitoral de Santa Catarina, edificação de 10
andares, localizada no centro de Florianópolis. A conectividade dos componentes é realizada
por uma infra-estrutura de cabeamento estruturado de acordo com as normas EIA/TIA 568A¹
, EIA/TIA 569² e EIA/TIA 607³. Os cabos utilizados são UTP de 4 pares, categoria 5E.
No segundo andar do edifício está localizado o patch-panel principal (PPP), interligado por
meio do cabeamento vertical a outros 10 patch-panel secundários (PPA) um por andar,
responsáveis pela distribuição horizontal até os pontos de conexão ou outlets, como são
comumente chamados. A figura 16 mostra esta distribuição.
PPPPPA
PPA
PPA
PPA
PPA
PPA
PPA
PPA
PPA
PPA
OUTLETS
1º PAVTO
2º PAVTO
3º PAVTO
4º PAVTO
5º PAVTO
6º PAVTO
7º PAVTO
8º PAVTO
9º PAVTO
10º PAVTO
Figura 16- Representação da alocação dos patch-panel
¹ Define diversas partes de qualquer sistema de cabeamento em edifícios.
² Norma para edifícios comerciais para caminhos de telecomunicação e espaço.
³ Especificação de aterramento.
42
No 8º andar , observamos os outlets, que apesar de existirem em todos os outros
andares, forma mostrados apenas neste.
4.1.1 Switch
Os elementos ativos estão localizados no PPP, sendo eles :
- 11 switch BayNetwork , modelo 350-24T.
- 3 switch 3Com, modelo 4400 SE.
- 2 switch D-Link, modelo DES-3226S.
Todos os switch são Layer 2, com 24 portas e suporte a 802.1Q.
4.1.2 Equipamentos
A fim de prover os serviços necessários aos usuários, há os seguintes equipamentos
servidores:
- HP Server rp5470 Risc;
- HP Dclass 9000 Risc;
- 1 HP Proliant ML 350 Zion;
- 1 IBM e-Server Xseries 342 pentium;
- 1 Compaq Proliant 2500 pentium;
- 2 Gateway 7400 Server pentium;
- 1 HP NetServer LHPro pentium;
Todos equipados com placas de rede 10/100 Mbps, com suporte a 802.1Q.
Nos servidores Risc são utilizados sistemas operacionais HP-UX, da plataforma UNIX. Já nos
equipamentos com processador Pentium é utilizada a distribuição SUSE da plataforma Linux.
As estações (micro-computadores) conectadas são:
- 153 Digital pentium 200 MHz, 96 Mb RAM ;
- 55 IBM pentium IV 1.6 MHz, 256 Mb RAM;
- 45 Positivo pentium IV 2.0 MHz, 256 Mb RAM;
43
- 43 Microtec pentium III 866 MHz, 256 Mb RAM;
- 25 Compaq pentium IV 1.6 MHz, 256 Mb RAM;
- 10 HP pentium IV 2.0 MHz, 256 Mb RAM.
Nestes equipamentos estão instaladas placas de rede 10/100 Mbps, com suporte a 802.1Q.
Sendo as plataforma Windows e Linux, tendo a seguinte distribuição de sistemas
operacionais:
- 80% Windows NT 4.0;
- 10% Windows XP;
- 5% Windows 2000;
- 5 % Suse linux.
Conectadas a essa rede local, há as seguintes impressoras laser:
- 27 Lexmark E332n;
- 38 Lexmark T520.
4.2 ASPECTOS METODOLÓGICOS DO EXPERIMENTO
A pesquisa desenvolvida é do tipo descritiva. Conceitualmente, tal tipo expõe características
de determinada população ou de determinado fenômeno. Sendo ainda que pode estabelecer
correlações entre variáveis e definir sua natureza. Este tipo é caracterizado por não ter
compromisso de explicar os fenômenos que descreve, embora sirva de base para tal
explicação.
Em razão dos procedimentos técnicos adotados a pesquisa se caracteriza como uma
experimentação.
Segundo Barros (2000), a experimentação pode ser definida como um conjunto de
procedimentos para verificação de hipóteses, sendo sempre realizada em ambiente de
laboratório.
Com relação a população e amostra, foi feito um estudo de todo o fenômeno no período de
coleta de dados.
44
Para a coleta dos dados necessários à análise de perda de pacotes, broadcast e throughput
foram utilizados métodos de Operação Passivo, ou seja, nenhum recurso da rede foi utilizado,
ou seja não foi introduzido nenhuma perturbação no funcionamento normal da rede.
Porém, para a mensuração da latência foi necessária a utilização de métodos de Operação
Ativos, utilizando recursos e introduzindo perturbação na rede. Isto porque, segundo Topke
(2001), para a medida de tal métrica é necessário enviar pacotes através da rede para poder
realizar as medições.
Foi implantada junto a LAN, detalhada no item 4.1, uma VLAN experimental utilizada
exclusivamente para simulações e testes.
O experimento foi dividido em 5 etapas:
1ª etapa :
- Implantação da VLAN experimental utilizando a segmentação por porta.
2ª etapa :
- Por meio das ferramentas apresentadas no capítulo 3, foram realizadas as coletas de dados, a
fim de verificar os valores das variáveis propostas :
- Latência e Jitter;
- Perda de pacotes;
- Broadcast;
- Throughput.
3ª etapa:
- Implantação da VLAN experimental utilizando-se a tecnologia assimétrica.
4ª etapa:
- Repetição dos procedimentos realizados na 2ª etapa, agora na VLAN Assimétrica.
5ª etapa:
- Os resultados obtidos na 2ª e 3ª etapa foram analisados, a fim de verificar os conceitos
acerca da tecnologia VLAN, assim como a verificação dos prós e contras de ambas as
implementações.
45
A apresentação dos resultados foi feita a partir de tabelas em texto, gráficos no tempo e
captura de telas e saídas em formato texto apresentadas pelas ferramentas.
A figura 17 apresenta, resumidamente, estas etapas.
Figura 17 – Seqüência de etapas
4.3 PREPARAÇÃO DO AMBIENTE DE TESTES
Como visto no item 4.2 serão utilizadas duas formas diferentes de implementação de redes
VLAN:
- Ambiente 1 : segmentação por porta;
- Ambiente 2 : segmentação assimétrica.
Apesar de serem apresentadas no item 2.2, não foram utilizadas as segmentações por endereço
MAC e por protocolo, pois os switch disponíveis para o desenvolvimento deste trabalho não
suportam estas tecnologias.
A opção por VLAN assimétrica foi motivada pela grande utilização pelo mercado desta forma
de segmentação. Seu uso é bastante difundido pois não há a necessidade de utilização de
hardware adicional, o que permite sua implementação sem a necessidade de investimentos
financeiros diretos.
46
4.3.1 Implantação da Vlan por porta
Como visto no item 2.2.1, nesta forma de VLAN cada porta do switch é associada a um
segmento lógico, com isto, torna-se possível ter várias VLAN no mesmo switch, sem que em
nenhum momento elas se comuniquem.
A interconexão das duas VLAN é por meio de um roteador, onde são criadas duas redes
distintas com endereços IP diferentes (redes 10.9.6.0 e 172.16.0.0)
Neste trabalho iremos utilizar um roteador pois caso contrário não teríamos um cenário de
testes completos, teríamos apenas LAN separadas e não seria possível identificar a influência
de uma sobre a outra.
Com o roteador são criadas duas subredes distintas, em nível de rede, com endereços de redes
IP diferentes.
Nos itens seguintes são apresentados detalhes da implementação deste tipo específico de
VLAN.
4.3.1.1. Topologia
Para um melhor entendimento deste trabalho é apresentado a seguir a topologia montada pra a
realização das coletas relativas a VLAN por porta.
Figura 18 – Ambiente 1 : VLAN por porta
47
Neste experimento as portas de 1 à 12 do switch foram atribuídas a VLAN 1, sendo
representadas na figura 18 pela elipse da cor vermelha. As portas restantes, 13 à 24 foram
configuradas como pertencentes a VLAN 2, representadas pela elipse em azul.
As linhas contínuas representam as conexões realizadas por meio de cabos UTP.
Já a linha tracejada indica que há outras estações conectadas a VLAN 1, mas que por não
participarem diretamente do experimento não foram representadas com maiores detalhes.
É importante observar as conexões da estação utilizada como roteador, onde há duas linhas ,
sendo uma ligada a porta pertencente a VLAN 1 e outra a VLAN 2.
4.3.1.2. Configuração dos elementos de rede
Com o objetivo de realizar a implementação da VLAN, foi necessário realizar a configuração
de dois elementos ativos de rede, um switch e um roteador.
O switch utilizado trata-se do modelo DES-3226S, fabricante D-LINK, já pra realizar a
função de roteador foi utilizado um microcomputador PC com duas placas de rede e sistema
operacional Linux.
O primeiro passo foi a configuração do switch, para isso se fez necessário atribuir um
endereço IP ao mesmo, para que desta forma se tivesse acesso remoto a este.
Tal atribuição foi realizada por meio da porta console do equipamento conectada à porta serial
(padrão RS-232) de um microcomputador.
Neste microcomputador foi instalada a ferramenta MINICOM, que é distribuída livremente e
roda sobre o sistema operacional Linux. Trata-se simplesmente de um programa para
comunicação serial, que permitiu o acesso ao software de gerenciamento, embarcado no
switch. O MINICOM foi configurado com os seguintes parâmetros :
- Taxa de transmissão de 9600 bauds;
- Dados de 8 bits;
- Sem paridade;
- Bit de parada 1;
- Sem controle de fluxo;
48
Após tal configuração foi realizada, via aplicativo Telnet, uma conexão ao switch, que
apresentou uma interface em linha de comando.
Para a efetiva atribuição do IP 10.9.250.15/16 ao equipamento foi utilizada o seguinte
comando :
config ipif System ipaddress 10.9.250.15 / 255.255.0.0
Após realizar algumas teste de configuração utilizando-se esta interface, verificou-se ser
contraproducente, em razão dos comandos serem específicos deste fabricante, diferentes de
qualquer padrão já utilizado pelo autor destes trabalho.
Com a atribuição de um IP fixo ao switch, abriu-se a possibilidade de acessar o software de
gerenciamento Web do switch. Esta possibilidade melhorou em muito os procedimentos de
configuração, tendo em vista a interface gráfica, ser acessada via browser.
Contado com esta facilidade e tendo acesso à documentação do switch, procedeu-se a criação
de uma nova VLAN, já que por default, já existia uma VLAN a qual todas as portas faziam
parte.
Tendo o switch 24 portas, a nova VLAN foi configurada com as portas 17 à 24.
Imediatamente após tal configuração, percebeu-se que os equipamentos conectados a estas
portas não possuíam mais conectividade com os equipamentos conectados às portas 1 à 16.
Isto foi percebido com a utilização do comando PING.
Este comando envia um pacote de uma estação de origem a outra de destino, em seguida a de
destino devolve um pacote à origem.
Finalizada a configuração do switch, foi iniciada a configuração do microcomputador ,
utilizado como roteador. O primeiro passo foi instalar duas placas de rede neste equipamento
e o sistema operacional Linux, sendo a distribuição SuSE, versão 9.3 a utilizada. Em razão da
existência de duas placas de rede este equipamento contará com dois endereços IP.
Com o sistema operacional instalado e as duas placas de rede configuradas, foram adicionadas
as entradas, na tabela de rotas de roteador, necessárias ao encaminhamento do fluxo de dados
entre as VLAN. Para tal foi utilizado o comando ROUTE, nativo do sistema operacional
Linux é utilizado para alterar a tabela de roteamento do equipamento.
A sintaxe dos comando é apresentada abaixo :
49
A rota criada pelo primeiro comando, fez com que todo pacote, que chegue ao roteador,
endereçado a um IP pertencente à rede 172.16.10.0 fosse enviado pela interface eth1, que está
conectada a uma porta do switch pertencente a VLAN 2.
Da mesma forma todo fluxo endereçado a rede 10.9.0.0 será encaminhado a VLAN1, sendo
assim realizada a interconexão dos equipamentos pertencentes a VLAN diferentes.
É importante salientar que os equipamentos pertencentes a VLAN 2 tenha seus endereços de
gateway padrão configurados como 172.16.10.1, o endereço da interface do roteador
conectada a esta mesma VLAN.
Com o objetivo de evitar a necessidade de alterar o gateway padrão dos equipamentos
conetados a VLAN 1, foi adicionada em um outro roteador pertencente a VLAN 1, uma rota
que encaminhe o fluxo direcionado à rede 172.16.10.0 para a o endereço 10.9.6.231, visto ser
este o endereço do roteador alcançado por estes equipamentos.
Para esclarecer este roteamento, é apresentado abaixo a saída do comando TRACEROUTE,
executado a partir de um equipamento pertencente a VLAN 1 apontando para um outro
conectado a VLAN 2.
O TRACEROUTE permite visualizar o caminho feito por um pacote até uma determinada
estação de destino.
A interpretação desta saída descreve o caminho seguido pelo pacote enviado ao equipamento
172.16.10.2, que não encontrado nenhuma rota concordante com o endereço de destino, em
suas rotas locais, segue inicialmente ao gateway default (10.9.1.20). Este por sua vez,
direciona o pacote para o ip do roteador (10.9.6.231), que o recebe na eth0 e o encaminha ao
destino (172.16.10.2) por meio da eth1.
Como neste tipo de utilização se faz necessário a utilização de roteadores, muitos autores
chamam este tipo de implementação de VLAN roteada.
50
4.3.2 Implantação da vlan assimétrica
Esta forma de VLAN foi abordada no item 2.6, sendo caracterizada pela possibilidade dos
equipamentos a ela conectados participarem de mais de uma VLAN ao mesmo tempo,
permitindo que estes recebam pacotes de uma VLAN e enviem por outra diferente. Isto é
possível alterando o valor de PVID da porta.
4.3.2.1. Topologia
A figura 19 representa a infra-estrutura utilizada para coleta dos dados referentes a VLAN
assimétrica.
Figura 19 – Ambiente 2 : Vlan assimétrica
Neste experimento o switch foi configurado com as portas 1 à 11 pertencentes a VLAN 1,
representada na figura 19 pela elipse de cor vermelha. As portas 13 à 24 foram configuradas
como participantes da VLAN 2, representada pela elipse de cor azul.
A elipse amarela, que representa a VLAN 3, está englobando todas as portas, pois como será
demonstrado com maiores detalhes na próxima seção, todas as portas pertencem a VLAN 3,
porém apenas a porta 12 tem um PVID igual a 3. Já as outras portas possuem um PVID com
um valor correspondente a VLAN a que pertencem.
51
4.3.2.2. Configuração dos elementos de rede
Para implementar esta VLAN não são necessários elementos adicionais como roteadores, toda
configuração é feita diretamente no switch.
O primeiro passo foi habilitar a assimetria, visto tal tecnologia ser por default desabilitada. Ao
realizar este procedimento o software de gerenciamento do switch permitiu que uma mesma
porta pertencesse a diferentes VLAN.
Para configurar uma VLAN assimétrica deve-se conhecer o conceito de PVID, que trata-se de
um identificar único que determina a qual VLAN uma porta pertence.
Após criar as VLAN 1, 2 e 3 foi necessário alterar o valor do PVID da porta 12 . Esta porta é
a única que pertence à todas as VLAN, sendo que o valor do PVID desta porta foi alterado
para 3.
As portas 1 à 11 permaneceram com o PVID igual a 1 e as portas de 13 à 24 com PVID igual
a 2.
A VLAN 2 terá apenas um equipamento para que o ambiente interno a esta seja bastante
diferente ao encontrado na VLAN 1, desta forma será mais claro a percepção de qualquer
influência que ela venha sofrer.
4.4 COLETA DE DADOS
Como detalhado no item 4.2, para a obtenção dos dados, foram realizadas coletas em dois
cenários diferentes. O primeiro tratava-se de uma VLAN implementada por porta e o segundo
uma VLAN assimétrica.
Com o objetivo de garantir que as características existentes no ambiente da coleta, nestes
diferentes momentos, fossem as mais parecidas possíveis, estas foram realizadas nos mesmos
dias da semana com exatamente os mesmos horários de início e fim.
As coletas que envolviam geração de arquivos para posterior análise, caso das ferramentas
NTOP e ETHEREAL, eram realizadas com uma duração de 24 horas e eram feitas de forma
simultânea e idêntica dentro das VLAN analisada e fora desta, no ambiente de teste para
posterior comparação.
O ambiente de teste que corresponde a rede LAN já instalada na empresa será sempre, em
todos os ambientes deste experimento, configurada como VLAN 1.
52
Pelo fato da ferramenta NTOP não salvar os dados capturados, se fez necessário o emprego
do TCPDUMP, que geravam um arquivo exportável para o NTOP.
Já as coletas que apresentavam resultados instantâneos, o que era observado quando do uso da
ferramenta BING, eram repetidas 10 (dez) vezes seguidas em 3 sessões diferentes, sendo o
resultado final obtido pela média aritmética dos resultados reportados pela ferramenta.
O BING é capaz de inferir a capacidade de um link separado de outros por roteadores.
Para garantir a eficiência dos resultados o ambiente de coleta era constantemente monitorado,
sendo as coletas validadas somente se tal monitoramento não indicava diferenças importantes
em relação ao observado quando da coleta realizada no outro tipo de VLAN, ou seja, só eram
consideradas as coletas quando o ambiente de teste, nos dois momentos diferentes,
apresentava comportamento similar, em razão disso inúmeras coletas foram desprezadas.
Dois indicativos eram monitorados :
- Distribuição de pacotes;
- Tamanho de pacotes.
A distribuição de pacotes mostra a quantidade de dados de um determinado protocolo
trafegando na rede, já o outro indicativo relaciona o tamanho destes pacotes.
Na figura 20 é apresentada a distribuição de pacotes observada na rede quando da realização
da primeira coleta de dados.
Figura 20- Ambiente de coleta VLAN por porta - Protocolos
Em seguida na figura 21, tem-se a distribuição no momento em que era realizada a segunda
coleta.
53
Figura 21 – Ambiente de coleta VLAN assimétrica – Protocolos
Tais gráficos demonstram que a proporção de tipos de protocolos existentes na rede nos dois
momentos era bastante similar.
Já as figuras 22 e 23 mostram os tamanho dos pacotes existentes na rede durante a primeira e
segunda coleta, respectivamente.
Figura 22 –Ambiente de coleta VLAN roteada - Pacotes
A figura 22 revela que a maioria dos pacotes tinha um tamanho menor que 128 bytes.
Situação que se repete no momento da coleta seguinte, demonstrado pela figura 23.
54
Figura 23 – Ambiente de coleta VLAN assimétrica - Pacotes
Estes dados mostram que o tamanho dos pacotes existentes, no momento das coletas, era
praticamente o mesmo.
As informações apresentadas acima demonstram que os ambientes existentes quando da
realização das coletas eram relativamente idênticos, ou seja, para o escopo deste trabalho as
VLAN por porta e assimétrica estavam sujeitas ao mesmo ambiente.
4.5 ANÁLISE DOS RESULTADOS
4.5.1 Throughput
Para a determinação desta métrica foi utilizada o aplicativo BING, que permite identificar o
número de bits por segundo que realmente podemos transmitir na prática naquele momento, o
que coincide com o conceito de throughput, apresentado no item 3.1.3.
O BING, que sendo distribuída livremente, trata-se de uma ferramenta de mensuração ponto-
a-ponto que utiliza RTT, o padrão adotado por este trabalho.
55
Inicialmente as leituras foram realizadas com a VLAN por porta, cuja implementação
corresponde a figura 18.
Como esta ferramenta possibilita a medição entre dois equipamentos diferentes, foram
utilizadas duas máquinas, (10.9.6.220 e 10.9.7.92) localizados dentro na VLAN 1, que
representa o ambiente de testes.
Temos a seguir exemplo de resultado obtido:
Logo em seguida, as medições foram realizadas novamente, agora com a utilização de dois
equipamentos um (10.9.6.220) pertencente a VLAN 1 e outro (172.16.10.2) pertencente a
VLAN 2.
Exemplo de partes da saída do BING é apresentada abaixo:
Como determinado no item 4.4, foram realizadas 10 (dez) medições e o resultado a ser
utilizado foi a média aritmética destas medições obtidas.
Após a implementação da VLAN assimétrica, correspondente a figura 19 as medidas foram
novamente repetidas utilizando-se a mesma metodologia.
O primeiro passo foi, como mostra o exemplo abaixo, obter o throughput entre máquinas
pertencentes a VLAN 1.
Realizada entre a VLAN 1 (10.9.6.220) e a VLAN 3 (10.9.7.61) a medição seguinte
apresentou resultados exemplificados abaixo:
56
Dando continuidade ao experimento, foi feita nova utilização da ferramenta BING, sendo seus
parâmetros um equipamento pertencente a VLAN 2 (10.9.6.231) e outro à VLAN 3
(10.9.7.61), esta forneceu saídas como o seguinte exemplo:
Com o cálculo das médias a partir dos dados coletados, foram obtidos os valores finais de
throughput:
Sem VLAN 19 Mbps
VLAN roteada
- Entre VLAN 1 e VLAN2 7 Mbps
VLAN Assimétrica :
- Entre VLAN 1 e VLAN 3 19 Mbps
- Entre VLAN 2 e VLAN 3 45 Mbps
Como mostrado nos exemplos, quando estes resultados foram obtidos, o throughput medido
entre equipamentos da VLAN 1, que em ambas as implementações correspondia ao ambiente
de testes, de era de aproximadamente 19 Mbps. Valor este que se manteve praticamente
inalterado em ambas as coletas, validando assim o resultado desta métrica, já que as duas
implementações estavam sujeitas aos mesmos valores de throughput.
Com relação a VLAN por porta observou-se um queda considerável no throughput , de 19
Mbps para 7 Mbps. Isto é explicável pela presença do roteador.
Este valor, seria menor se fosse empregado um hardware específico para roteamento, e não
um computador com duas placas de rede, como utilizado neste trabalho, porém esta
diminuição do throughput sempre será observado.
É percebido, com a análise dos resultados referentes a VLAN assimétrica, que o throughput
entre a VLAN 1 e 3 é o mesmo observado entre máquinas pertencentes a mesma VLAN, ou
seja, é como se porta pertencente a VLAN 3 fosse integrante da VLAN 1, o que de fato é , já
que a única diferença é o PVID atribuído a porta.
Fato interessante é o throughput obtido entre a VLAN 2 e a VLAN 3. O valor de 45 Mbps
ocorrido na VLAN 2, por esta estar sendo subutilizada, não sofre nenhuma influência da
57
VLAN 1, ou seja, as portas pertencem a mesma VLAN 3, mas por terem diferentes valores de
PVID não recebem tráfego que não seja proveniente de portas com valor PVID coincidente
com o de sua respectiva VLAN ou da VLAN 3, a qual também fazem parte.
4.5.2 Latência
Como previsto no item 4.2, para a mensuração da latência foi necessário a utilização de
métodos de operação ativos, ou seja, introduzindo perturbação na rede, novamente foi
utilizada a ferramenta BING.
É apresentado abaixo um exemplo de parte da saída da ferramenta.
O exemplo apresentado acima, foi obtido entre equipamentos da mesma VLAN.
Em seguida temos um novo exemplo, de valor de latência, medido entre duas máquinas
localizadas em diferentes VLAN segmentadas por porta.
Já este último exemplo mostra o resultado do BING quando utilizado em um cenário com
VLAN assimétrica.
Para a obtenção dos valores finais foram realizadas 3 sessões de 10 medidas em cada cenário,
sendo as sessões realizadas sempre no mesmo horário. Com o calculo da média aritmética
chegou-se aos seguintes valores:
- Sem Vlan 0.115 ms
- Vlan por porta 0,620 ms
- Vlan assimétrica 0,140 ms
58
Como mostram os resultados a VLAN por porta apresenta a maior latência, isso é gerado pela
transferência de pacotes entre as redes, realizada pelo roteador. Este valor, a exemplo do
ocorrido com o throughput seria menor se fosse empregado um hardware específico para
roteamento, e não um computador com duas placas de rede.
Como na VLAN assimétrica não há elemento adicional algum, os valores obtidos foram
praticamente iguais aos observados entre micros pertencentes à mesma VLAN, ou seja a
tecnologia assimétrica não introduz nenhum atraso na entrega dos pacotes.
Com relação a esta métrica é como se as portas fossem todas da mesma VLAN.
4.5.3 Perda de pacotes
Em todas as coletas realizadas com a utilização da ferramenta BING, independente da VLAN
implementada, nunca foram percebidas perdas de pacotes, os valores obtidos sempre foram de
0 %, como mostra o exemplo abaixo.
Isso apenas confirma a eficiência do switch, que consegue evitar qualquer perda.
4.5.4 Broadcast
Para a obtenção dos dados necessários à análise do broadcast, foi necessário o emprego de
três ferramentas:
- TCPDUMP;
- NTOP;
- ETHEREAL.
Apenas com o uso conjunto destas três diferentes ferramentas foi possível obter informações
suficientes para as análises acerca desta métrica.
Inicialmente vejamos as informações obtidas com a implementação da VLAN por porta. Esta
VLAN é apresentada em detalhes na figura 18.
A figura 24 demonstra a captura de um tela gerada pelo aplicativo NTOP, a partir da
importação da massa de dados gerada pelo TCPDUMP.
59
Figura 24 -Broadcast medido na VLAN 1 roteada
Observado a figura 24, verificamos claramente a porcentagem de tráfego broadcast existente
na VLAN 1, nosso ambiente de testes. O valor de aproximadamente 50% nos dá a real
dimensão de um dos principais problemas desta rede, problema este que atinge grande parte
de todas as LAN de médio e grande porte.
A definição do motivo de tal valor, foge do escopo deste trabalho e por isso não é
abordado.
A seguir temos nova tela obtida no NTOP, agora com dados obtidos dentro da VLAN
2, separada da VLAN 1 por um roteador, mas que utiliza portas do mesmo switch.
60
Figura 25 – Broadcast medido na VLAN 2 roteada
Na figura 25 temos uma constatação bastante importante. Mesmo estando ligadas por um
roteador o tráfego broadcast gerado na VLAN 1 não é propagado para a VLAN 2.
A porcentagem de 1,5 %, que corresponde a 4 pacotes, foi gerada propositalmente. Isto por
que, para evitar a poluição dos dados capturados por algum pacote gerado pelas máquinas que
pertencem a VLAN 2, estas foram configuradas de forma a não gerar nenhum tipo de tráfego.
Tal intento foi conseguido desabilitando-se todos os serviços, instalados nestas máquinas.
Porém tal procedimento, que possibilitava que o tráfego fosse totalmente nulo, tinha como
conseqüência um arquivo de saída do TCPDUMP de tamanho zero, arquivo este não
importado pelo NTOP.
Para contornar esse problema a cada 8 horas era apagada, da tabela ARP da máquina
172.16.10.2, a entrada correspondente à maquina 172.16.10.1 e em seguida o comando PING,
direcionado para aquela máquina era executado a partir desta.
O tempo de 8 horas foi escolhido, pois, desta forma também era possível verificar se a coleta
de dados estava ativa.
A figura 26 mostra a origem e o destino desses 4 pacotes introduzidos na coleta.
61
Figura 26 – Identificação do broadcast percebido na VLAN2 roteada
Já a figura 27 dá maiores detalhes destes pacotes e comprova o procedimento acima
explicado, pois é possível verificar que os pacotes são do protocolo ARP.
Figura 27 – Identificação do protocolo do broadcast percebido na VLAN2 roteada
Em seguida vemos os resultados da coleta realizada na VLAN assimétrica, representada com
detalhes na figura 19.
Tem-se inicialmente, na figura 28, o broadcast percebido na VLAN 1.
62
Figura 28-Broadcast medido na VlAN 1 assimétrica
A comparação do valor de broadcast observado neste momento (48,3%), com o percebido
nesta mesma VLAN, quando da existência da VLAN por porta (49%), valida a captura de
dados, pois comprova que ambas as VLAN estavam sujeitas a mesma intensidade de
broadcast.A ilustração abaixo foi obtida por meio dos dados capturados em equipamento
pertencente a VLAN 2.
Figura 29 – Broadcast medido na VLAN 2 assimétrica
63
O valor de 66.8% de broadcast pode induzir a uma interpretação errada do comportamento da
VLAN assimétrica. Para evitar o erro é necessário verificar a quantidades de pacotes de
broadcast capturados (584) em relação ao número deste tipo de pacote existente, no mesmo
momento, na VLAN 1 (aproximadamente 472.000). Esta relação mostra que a VLAN 2 não
está recebendo broadcast da VLAN 1. A origem destes 584 pacotes é explicada abaixo.
Figura 30 – Identificação de Broadcast na VLAN 2 assimétrica
Podemos verificar pela figura 30 que todo o broadcast percebido na VLAN 2 é gerado
exclusivamente pelas próprias máquinas desta VLAN.
Com a soma dos pacotes gerados pelas duas máquinas (398 + 185) obtem-se o valor 583, uma
a menos que os 584 percebidos pela ferramenta NTOP (figura 29), isto pode ter ocorrido pois
por se tratarem de ferramentas diferentes suas coletas foram interrompidas com uma pequena
diferença de tempo.
Finalmente, observando a ilustração abaixo, temos a proporção de pacotes de broadcast em
relação aos pacotes que trafegaram na VLAN 3 durante as 24 horas da coleta.
64
Figura 31 – Broadcast medido na VLAN 3 assimétrica
A quantidade de aproximadamente 472.000 pacotes de broadcast é praticamente a mesma que
ocorreu , no mesmo período na VLAN 1, como mostra a figura 28.
A coletânea de dados para esta métrica foi a mais elaborada, exigindo maiores recursos e
conhecimento. O que dificultou a obtenção dos dados foi o fato das coletas serem de 24 horas
e sua validação, muitas vezes, só ser possível após o decorrer deste tempo, ou seja, muito
tempo foi perdido com coletas não validadas ou por estarem poluídas ou a forma utilizada
apresentar algum vício.
65
5 CONSIDERAÇÕES FINAIS
A tecnologia de VLAN proporciona um aumento de desempenho em redes LAN. Entretanto
apesar de estar sendo muito utilizada e se tratar de um conceito criado a bastante tempo, por
volta de 1985, poucos são os estudos que respaldam cientificamente esta técnica perante a
comunidade científica.
Este estudo, portanto, teve como objetivo principal a verificação do comportamento deste
fluxo, quando a rede analisada é segmentada utilizando-se a tecnologia de VLAN, além de
desenvolver estratégias para coleta e análise do fluxo do tráfego em uma rede local baseada
em TCP/IP.
A análise dos dados realizada comprova a eficiência da tecnologia VLAN, principalmente na
sua capacidade de criar domínios de broadcast isolados uns dos outros, dentro da mesma
LAN. Pode-se perceber, na prática, que equipamentos pertencentes a uma VLAN não estão
sujeitos a nenhum tipo de tráfego proveniente de outra VLAN diferente, ou seja, um dos
principais objetivos da tecnologia, que está relacionado a broadcast, foi alcançado.
Ao contrário da inalteração observada nos valores de perda de pacotes as métricas latência e
throughput, na VLAN por porta, tiverem seus valores modificados, porém não por conta da
implementação da VLAN propriamente dita, e sim pela existência de um elemento adicional ,
neste caso o roteador utilizado nos experimentos.
Se tal elemento, um computador com duas placas de rede, fosse substituído por um
equipamento com hardware específico, a alteração nos valores das métricas seria diminuída,
desta forma o throughput e a latência não seriam muito prejudicados, porém ainda haveria um
alteração menor.
Isto foi comprovado nos testes realizados com a VLAN assimétrica, onde as métricas acima
mencionadas, mantiveram valores praticamente idênticos aos observados entre equipamentos
da mesma rede virtual. Desta forma pode-se concluir que o desempenho da rede não é
prejudicado, porém não é diretamente melhorado. A tecnologia apenas fornece uma
possibilidade de ganho destas duas métricas por meio da diminuição do broadcast, a melhora
da performance irá depender diretamente de como é a implementação da VLAN.
A verificação dos resultados relacionados as métricas escolhidas no início deste trabalho:
throughput, latência, perda de pacotes e broadcast, são bastante fáceis de serem analisados,
66
visto tratar-se de uma simples comparação entre números. Já quando os aspectos em questão
são: segurança, facilidade de gerenciamento e escalabilidade , também citados na bibliografia
pesquisada como vantagens de uso da VLAN, sua análise não é tão simples, pois são valores
de difícil mensuração e que irão depender da forma como a tecnologia é implementada.
A escolha de qual tipo de VLAN utilizar e como implementá-la é uma decisão que irá
depender de vários aspectos relacionados não apenas a rede local em si, mas a organização
como um todo.
É necessário obter informações a cerca da estrutura organizacional da empresa, como é a
divisão de setores, como funciona a hierarquia até mesmo se são constantes as mudanças de
lay-out dos locais de trabalho.
Com relação a rede local propriamente dita, se faz necessário uma análise detalhada da forma
como os serviços de rede são disponibilizados, como por exemplo se os equipamentos
servidores são dedicados, onde estão fisicamente localizados e se estão agrupados ou
espalhados dentro das instalações da empresa, se cada serviço é disponibilizado por um único
equipamento ou é dividido entre outros.
Deve-se também obter informações do comportamento dos equipamentos clientes, se é
comum acessarem os recursos de outros clientes e quem são estes outros clientes. São
equipamentos do mesmo setor da empresa? Estão localizados em outro andar ou instalação ?
É comum existirem equipamentos de terceiros conectados à rede ?
O último aspecto na determinação do uso da VLAN é com relação ao objetivo da
implementação. A resposta a este questionamento pode estar mais fortemente relacionada a
segurança, a desempenho ou a organização da rede ou mesmo a todos estes simultaneamente.
Em razão destes fatos elencados acima se pode perceber que a implementação da tecnologia
VLAN deve ser precedida de uma análise que transcende aspectos puramente técnicos
diretamente relacionados a tecnologia, sob a pena de desperdiçar todas as possibilidades que
esta eficiente ferramenta pode propiciar.
Além do interesse pela tecnologia VLAN propriamente dita, a motivação pela realização deste
trabalho, que foi o grande interesse em aprender a analisar o fluxo de dados em uma rede
local, não foi suprido, pelo contrário.
O conhecimento adquirido ao longo deste estudo aumentou ainda mais o interesse por esta
área da Ciência da Computação e demonstrou que pra se realizar uma análise detalhada deste
67
fluxo de dados é necessário o completo domínio das ferramentas utilizadas e estar atualizado
com relação as tecnologias envolvidas, porém o mais importante é ter conhecimento de
muitos dos conceitos teóricos da área de redes, desde os mais básicos até os mais
especializados, pois sem este conhecimento é impossível suprir as outras duas necessidades
inicialmente citadas.
A necessidade de atuar nestes três fronts (ferramentas, tecnologias e conceitos) faz da análise
de redes uma área de difícil atuação, que exige do profissional, além de estudo, dedicação e
persistência, ao mesmo tempo que o transforma em um especialista extremamente requisitado.
Para dar continuidade a este trabalho sugere-se realizar novos testes utilizando-se VLAN
segmentada por Mac Address e Protocolo, que podem apresentar resultados interessantes.
Para tal é necessário um switch layer 3 que permita tal segmentação.
Outra sugestão seria testar-se a possibilidade uma implementação utilizando-se,
simultaneamente, as duas formas utilizadas neste trabalho, ou seja VLAN assimétricas
comunicando-se entre si por meio de um roteador, o que corresponderia ao misto de VLAN
por porta e assimétrica.
68
6 REFERÊNCIA BIBLIOGRÁFICA
BARROS, A.J.S., Fundamentos de Metodologia. 2.ed. São Paulo: Editora Makron Books São Paulo, 2000.122p.
BICUDO, Marco D. Dutra., IEEE 802.1p - Qos na camada MAC. Disponível em <http://www.gta.ufrj.br/grad/02_2/802.1p/>. Acessado em :15 de outubro de 2004.
CISCO SYSTEMS, INC. Creating and Maintaining VLANs. 2003. Disponível em: <http://www.cisco.com/univercd/cc/td/doc/product/lan/c2900xl/29_35xu/scg/kivlan.htm>. Acesso em: 15 de outubro de 2004.
Combs, G. Ethereal –Interactively browse network traffic. Disponível em : <http://www. ethereal.com/docs/man-pages/ethereal.1.html>.Acesso em: 30 julho de 2004.
CYCLADES Brasil. Guia Internet de Conectividade.6.ed. São Paulo: Editora Senac São Paulo, 2000. 160p.
DANTAS, M. Tecnologias de Redes de Comunicação e Computadores. Rio de Janeiro: Axcel Books do Brasil, 2002. 250p.
DERI, L. SUIN S. Effective traffic measurement using ntop. IEEE Communications Magazine, vol. 38, n.5, 2000. Disponível em : <http://dl.comsoc.org/cocoon/comsoc/servlets/ GetPublication?id=157491>. Acesso em 19 de outubro de 2004.
_______. Ntop: beyond Ping and Traceroute. 1999. Disponível em : <http://luca.ntop.org/>. Acesso em: 20 outubro de 2004.
FALBRIARD, C. Protocolos e aplicações para redes de computadores. São Paulo: Érica, 2002. 228p.
FURTADO L. Switching: Domínios de Broadcast. Disponível em : http://www.ciscotrainingbr.com/modules.php?name=News&file=article&sid=47. Acesso em 19 de outubro de 2004.
69
__________. Introdução ao Virtual LAN – VLAN. Disponível em : http://www. ciscotrainingbr.com/modules.php?name=News&file=article&sid=61&mode=&order=0&thold=0. Acesso em 19 de outubro de 2004.
GORTMAKER P. Como fazer ethernet linux. 1999. Disponível em: http://br.tldp.org/ projetos/howto/arquivos/html/ethernet/ethernet.pt_BR-582.html#bpf. Acesso em : 28 de outubro de 2004.
KAMIENSKI C. A., Qualidade de Serviço na Internet . 2000. Disponível em : <http://www.cin.ufpe.br/~cak/publications/apostila-minicurso-sbrc2000.pdf>. Acessado em : 15 de outubro de 2004.
MORAES, I. Monterio, VLANs - Redes Locais Virtuais. 2002. Disponível em <http://www. gta.ufrj.br/grad/02_2/vlans/index1.html>. Acessado em:03 de abril de 2004.
NICOLLETTI, Pedro Sergio. Interconexão de Redes de Computadores. Curso de Rede Corporativa dos Correios, Centro de Ciências e Tecnologia. Universidade Federal da Paraíba. Paraíba, 2000. Disponível em: <http://www.dsc.ufpb.br/~peter/cursos/correios-irc/material.htm>. Acesso em:1 de abril de 2004.
PETERSON, Larry L; DAVIE, S.D. Redes de computadores:uma abordagem de sistemas. 3.ed. Rio de Janeiro:Campus, 2004. 588p.
RAMOS, A. M. Redes Locais. Florianópolis, SC, 1999. Apostila.
SLOAN, Joseph D. Network Troubleshooting Tools. O'Reilly's CD bookshelf ,2001. E-Book.
TANENBAUM, Andrew S. Redes de Computadores. Tradutor : Publicare Serviços de Informática. 2.ed. Rio de Janeiro : Campus,1994. 785p.
TANENBAUM, Andrew S. Redes de Computadores. Tradutor : Vandenberg D. Souza. 4.ed.Rio de Janeiro : Elsevier, 2003.
THOMAS H. G. et al. VLAN - Virtual Local Area Network. 2003 –Disponível em <http://infsr.unijui.tche.br/~greice/Trabalhos/VLAN/vlan.htm>. Acessado em :15 de outubro de 2004.
TOPKE, Claus R. Uma metodologia para caracterização de tráfego e medidas de desempenho em backbones IP. 2001.134 f. Tese (Mestrado em Engenharia de Sistemas e Computação) – Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2001.
70
VILELA, G. Análise de fluxo de tráfego de rede. 2003. Disponível em : http://www. underlinux.com.br/modules.php?name=News&file=article&sid=1794.Acesso em : 05 de novembro de 2004.
VARADARAJAN, S. Virtual Local Area Networks .Disponível em : http://www.cis.ohio-state.edu/~jain/cis788-97/virtual_lans/index.htm. Acessado em 15 de outubro de 2004.
VASCONCELOS, L.C. Fundamentos de redes.Goiânia : Editora Terra, 2003. 196p.