Ferramentas tradicionais de gerência de redes IP usam o protocolo SNMP para medir diversos parâmetros de desempenho, como contadores de erros em interfaces e volume de tráfego (essencial no gerenciamento dessas redes). Porém, apenas gerenciar a infraestrutura do ponto de vista de desempenho não é suficiente, pois à medida que o volume de tráfego cresce, exponencialmente, os gestores da rede devem conhecer esse tráfego em detalhes, que são essenciais para o entendimento do comportamento de aplicações, usuários, departamentos de empresas e outros indivíduos e estruturas que dependem dessas redes.

Houve uma tentativa de fornecer um maior detalhamento sobre o tráfego de redes IP com o uso do protocolo SNMP por meio da criação da MIB RMON – remote monitoring. Porém, ela foi frustada, pois não oferecia informações suficientes sobre o tráfego IP e exigia uma enorme sofisticação das aplicações de gerência para que fossem capazes de coletar os dados disponibilizados na MIB RMON.

Logo, viu-se que o protocolo SNMP não seria capaz de prover o detalhamento necessário e que abordagens diferentes deveriam ser adotadas. Os protocolos de exportação de fluxos se mostraram uma maneira mais escalável para informações essenciais sobre o tráfego da rede.

Histórico

A primeira tecnologia de exportação de fluxos surgiu em 1996, quando a Cisco desenvolveu e patenteou o NetFlow, uma tecnologia utilizada para otimizar o encaminhamento de pacotes em roteadores com listas de acesso muito extensas, como as “ACLs”.

Quando o NetFlow é habilitado no roteador uma tabela é criada com o objetivo de manter um cache de decisões de roteamento. Após realizar todos os cálculos necessários para rotear um pacote, o roteador armazena na tabela o resultado associado a uma assinatura do pacote que acabou de ser roteado. Pacotes que chegavam ao roteador posteriormente com a mesma assinatura eram encaminhados por meio dessa tabela, sem a necessidade de o roteador proceder a todos os cálculos necessários repetidas vezes.

Mais tarde, surgiram maneiras mais eficientes de encaminhamento de pacotes, porém as informações contidas na tabela criada pelo NetFlow eram extremamente valiosas para gerência de redes IP. Dessa forma, o NetFlow se tornou essencialmente uma tecnologia utilizada para esse fim.

O NetFlow é uma tecnologia suportada em praticamente toda a linha de equipamentos Cisco. Diversos fabricantes seguiram essa trilha e implementaram tecnologias similares ou até idênticas. Hoje os principais fabricantes, como Juniper, Enterasys e Huawei, implementam a exportação de fluxo.

Matriz de tráfego origem proxy-web
Matriz de tráfego origem proxy-web

Conceito

Um registro de fluxo representa uma sequência de pacotes com a mesma assinatura em uma rede IP. Essa assinatura contém as seguintes informações:

  • IP origem;
  • IP destino;
  • porta TCP/UDP origem;
  • porta TCP/UDP destino;
  • interface de entrada no elemento de rede;
  • interface de saída no elemento de rede;
  • protocolo nível 4 modelo OSI (TCP, UDP, ICMP, etc.);
  • classe de serviço representada pelo byte ToS – type of servicedo cabeçalho IP.

Isso significa que os pacotes IP com essas informações em comum são agrupados em um registro de fluxo, que oferece contadores de pacotes, bytes e registros das horas do início (primeiro pacote) e do fim do fluxo (último pacote ou timeout), autonomous system de origem e destino, etc.

Essas informações podem ser providas pelos protocolos de exportação de fluxos implementados por diversos fabricantes além da Cisco, Juniper, Enterasys e Huawei.

Principais aplicações

Essas informações servem de base para resolução de diversos problemas comuns em redes IP, como impactos das aplicações na rede, identificação dos maiores ofensores (departamentos, localidades e usuários), identificação de tráfego não autorizado, rateio de custo por departamentos, etc.

Prática mais comum de análise de tráfego

Em muitas empresas, a análise do tráfego ainda é feita com analisadores de protocolos ou probes de tráfego espalhadas na rede. Cada uma dessas abordagens traz grandes dificuldades.

A utilização de probes não é escalável. Isso porque para ter uma visão completa do tráfego na rede, com tecnologias full-mesh, como MPLS, é necessário uma probe para cada localidade, tornando a solução extremamente cara.

O analisador de protocolos não é uma análise on-line, ou seja, até que se lance mão desse recurso, o problema já não está mais acontecendo.

Matriz de tráfego origem ICA - Citrix
Matriz de tráfego origem ICA – Citrix

Diferenciais da tecnologia

As tecnologias de fluxo permitem uma análise on-line contínua, pois uma vez habilitadas em roteadores, reportam o tempo todo sobre o tráfego que circula nos mesmos.

Elas são altamente escaláveis, já que os roteadores ou até switches de camada 3 se convertem em probes de tráfego e viabilizam a análise de todo o ambiente LAN e WAN, sem a necessidade de adicionar novos ativos à estrutura da rede.

O único limitante da tecnologia é que ela não fornece uma visão do conteúdo dos pacotes, o que, em geral, permite a identificação apenas de problemas intrínsecos das aplicações, como a implementação errônea do protocolo de comunicação cliente-servidor. Esses problemas devem ser identificados com analisadores de protocolos e fazem parte do escopo dos gestores das aplicações e não dos gestores da rede.

Tirando o melhor proveito

Ocorre que apenas receber os fluxos de elementos de rede capazes de exporta-lo não acrescenta muito na tarefa de conhecer o tráfego de uma infraestrutura IP, devido ao grande número de registros gerados. Portanto, é muito difícil ter o máximo da tecnologia sem ferramentas capazes de organizar as informações da maneira mais proveitosa.

Grande parte das ferramentas mais antigas para análise de fluxos disponíveis no mercado não faz uso de toda a potencialidade dos fluxos recebidos. As análises mais comuns são as de aplicações em tráfego de interfaces e a visão detalhada dos fluxos, com filtros recursivos.

Hoje, encontramos algumas ferramentas que são capazes de realizar uma análise mais flexível e fornecer informações que reflitam as necessidades do cliente, além de armazenar essas informações históricas por longos períodos, permitindo a análise de tendência ou a realização de projeções para o planejamento de capacidade.

Essas ferramentas suportam a criação de objetos de análise baseados nas informações contidas nos registros de fluxo e podem cruzar esses parâmetros, ou seja, analisar o tráfego de um objeto classificado por outro objeto. Elas permitem, por exemplo, analisar o tráfego de uma aplicação (como SAP) classificada por origem ou destino. Assim, o administrador da rede sabe o impacto que cada região, site ou departamento da empresa causam na rede devido, especificamente, ao SAP. Com isso, é possível dimensionar a parcela de custo da rede associada ao SAP por região ou grupo de uso.

Outro grande recurso oferecido nas boas ferramentas é a possibilidade de seleção e agrupamento de tráfegos similares para uma análise conjunta. Imagine que a área de marketing da empresa esta espalhada em três sites e que nesses sites convivem outras áreas compartilhando a rede. As ferramentas tradicionais não identificam apenas a utilização da área de marketing, já que elas são baseadas em SNMP e analisam o tráfego do link como um todo. Uma boa ferramenta de análise de fluxo é capaz de separar o tráfego especificamente para uma área (baseando-se no IP dos hosts que estão a serviço desse setor) e então classificar o tráfego por aplicação ou outro critério qualquer, independente do link físico que foi utilizado. Isso vai oferecer um raio-X da utilização e da importância que a rede tem para uma determinada área da empresa.

A ferramenta pode ainda apontar usos indevidos ou não imaginados para a rede, mostrando uma clara identificação do mau uso.

Matriz de tráfego origem VoIP
Matriz de tráfego origem VoIP

Análises como as apresentadas a seguir são simples e rapidamente obtidas nessas ferramentas sem a necessidade alterações físicas na rede:

  • Uso de tráfego Internet por departamento e filial, viabilizando o rateio de custo.
  • Tráfego de servidores de aplicações por localidades ou departamentos, permitindo com que a área de TI entenda o padrão de uso das aplicações críticas na empresa e acabando com as discussões típicas entre os gestores de aplicações e de rede. Com números claros as equipes podem focar na solução do problema, seja para a otimização da aplicação ou a ampliação da rede.
  • Qualificação e detalhamento do tráfego VoIP, mostrando o impacto dessa aplicação na rede e os maiores usuários.

Essas análises serão base para diversas tarefas, que vão desde identificar as aplicações críticas para a empresa e suas necessidades de crescimento, subsidiando as decisões de investimento para a ampliação da rede até descobrir padrões de tráfego relacionados a vírus ou mau uso, identificando as máquinas envolvidas para as devidas providências.

Conclusão

Com uma poderosa ferramenta de caracterização de tráfego o gestor da rede pode dar nome e número a cada um dos usuários. Essa ferramenta é uma grande aliada na hora de justificar o custo ou a necessidade de investimento na estrutura de rede, dando transparência à direção da empresa e uma perfeita compreensão da importância da rede para cada segmento de seu negócio. Assim, a rede deixa de ser uma caixa preta consumidora de recursos.