Uma Plataforma para Monitorao em Tempo Real do

Trfego de Redes de Comunicao Convergentes Baseado em

Fluxos
Alexandre T. Vieira, Gustavo Tourinho, Jorge Guedes, Ricardo Balbinot, Roberto C Filho
Programa de Ps-Graduao em Engenharia Eltrica Faculdade de Engenharia - PUCRS
Caixa Postal 15.064 91.501-970 Porto Alegre RS Brasil
{ atvieira, gtourinho, jguedes, rbalbinot, rcosta }@gparc.org

Abstract. The communication network management can be divided in two

activity classes: control and monitoring. In this work we present theory and
practical aspects of the monitoring activity related to the network
communication real time traffic measurement based on flows according to the
international standards. In the implementing and testing phases it was used
computer resources from the GPARC&TI (Advanced Research Group on
Communications Network and Information Technology) of PUCRS University
over the Metropolitan Network of Porto Alegre City and a free software
package called NeTraMet. The details of the implementation that has been
realized for the communication network traffic measurement tool, together
with the obtained results, are the main contributions of this work that are
destined for professionals concerned with performance, bottlenecks and QoS
problems on convergent networks, that is, nets where voice, multimedia signals
and data share the same network resources simultaneously..
Resumo. O gerenciamento de redes de comunicao pode ser dividido em
duas categorias de atividades: controle e monitoramento. Neste trabalho so
apresentados aspectos tericos e prticos da atividade de monitoramento
relacionada medio em tempo real do trfego nas redes de comunicao
baseado em fluxos, mas sobretudo em conformidade com padres
internacionais. Na fase de experimentao foram utilizados recursos
computacionais do GPARC&TI (Grupo de Pesquisas Avanadas em Redes de
Computadores) da PUCRS sobre a Rede Metropolitana da Grande Porto
Alegre (Metropoa) e o pacote de software com livre utilizao denominado
NeTraMet. O detalhamento da implementao efetuada para medio do
trfego, culminando com a avaliao dos resultados obtidos, constituem-se as
principais contribuies deste trabalho, destinado principalmente a
profissionais preocupados com os problemas de performance, gargalos e QoS
nas redes de comunicao convergentes, isto , redes onde o trfego compartilhado e simultneo, de voz, multimdia e dados cada vez mais comum.

1. Introduo
A utilizao de redes convergentes como meio de comunicao utilizando-se uma nica
infra-estrutura tanto para a telefonia corporativa quanto para o trfego de dados e de
sinais multimdia uma tendncia mundial irreversvel. Manter a qualidade e a
disponibilidade dos diferentes servios oferecidos comunidade de usurios torna-se,

cada vez mais, uma tarefa de extrema complexidade. Fazer o acompanhamento de todas
as peas, servidores, estaes e dispositivos de conexo no nvel de hardware e
software; identificar pontos de maior trfego; lidar dinamicamente com diferentes
prioridades (atrasos, SLAs) e todas tarefas administrativas geradas por uma populao
de usurios crescente e mutante, pode tornar-se um transtorno.
necessrio uma ferramenta automatizada, na forma de um sistema de
gerenciamento de rede NMS Network Management System. Fazer isto na prtica,
porm, no to simples, administradores de rede necessitam automatizar suas rotinas
de trabalho, permitindo o controle, anlise e monitoramento dos equipamentos e
recursos da rede, de uma forma mais amigvel possvel, aumentando a produtividade e
qualidade. O problema ainda maior quando a rede suporta trfegos com caractersticas
e comportamento to distintos como voz e dados [14].
Dentre as rotinas, encontram-se processos destinados a medir o trfego em
tempo real da rede. A medio do trfego em uma rede de comunicao um processo
que envolve a captura, anlise e armazenamento do fluxo bidirecional de pacotes, que
podem ser identificados com base nos atributos de endereos das camadas 2, 3 e 4 em
redes TCP/IP [4] ou com base nos atributos end-to-end das AALs nas redes com
arquitetura ATM. A implantao de mecanismos para medir o trfego, de forma a
quantificar e qualificar os tipos de fluxos que ocorrem em um determinado segmento de
rede, poder, de acordo com [2] contribuir para entender o comportamento da rede;
planejar a implantao e expanso da rede; quantificar o desempenho da rede; verificar a
qualidade e segurana dos servios da rede; atribuir a utilizao dos recursos e servios
da rede aos usurios e a Monitorao de SLAs (service level agreements).
Visando atender a estas necessidades, diversos esforos so realizados em torno
de uma melhor caracterizao do trfego nas redes IP e no ncleo dos backbones da
Internet. A implementao de infra-estruturas de medies tem sido alvo de pesquisa de
diversos grupos que vm desenvolvendo e propondo solues. Um esforo de
padronizao para medio de trfego foi definido pelo IETF - Internet Engineering
Task Force, onde foi criado uma sub-rea denominada RTFM - Realtime Traffic Flow
Measurement Working Group [3] responsvel por definir uma arquitetura para medio
de fluxos de trfego em uma rede.
Este artigo expe aspectos tericos e prticos desta arquitetura em conformidade
com padres internacionais. O projeto dirigido classificao de fluxos de interesse e
quantificao de desempenho, integrando um conjunto de tecnologias para possibilitar
uma anlise mais detalhada dos resultados em pontos especficos de uma rede.
As demais partes que compem este trabalho esto organizadas em trs sees
que apresentam, pela ordem, os padres especificados por membros da comunidade
Internet para a medio do trfego na Seo II, seguida pelos aspectos relacionados
implementao de mecanismos para medio do trfego na Seo III e finaliza com uma
concluso na Seo IV.

2. Padres da Comunidade Internet para Medio do Trfego em Redes IP

O termo fluxo pode ser usado de trs diferentes formas no contexto da rede Internet.
Primeiramente, usado para descrever o trfego de dados em protocolos de reserva de

recursos, como o RSVP Reservation Protocol. A segunda forma de uso, como uma
unidade para roteamento de pacotes e finalmente, fluxo usado como uma nova
categoria para processar a medio e analise do trfego de dados em gerenciamento de
rede [2]. O foco deste artigo o processo de medio e anlise dos fluxos de dados em
uma rede convergente em IP.
O fluxo de trfego uma seqncia de pacotes em comum, trocados entre dois
hosts, o de origem e o de destino sendo este fluxo bidirecional, o que permite a medio
nos dois sentidos. Os pacotes e bytes podem ser contados da origem para destino e viceversa. Desta forma, analisando os fluxos de um segmento, facilita a quantificao e
qualificao do trfego sem a necessidade de analisar cada interface de rede
individualmente do segmento.
A ferramenta NeTraMeT & NeMaC a primeira implementao que permite a
utilizao do conceito de fluxos na medio do trfego de rede, em conformidade com as
7 RFCs - Request for Comments elaboradas pelo RTFM destinadas a processos de
medida de uso, ou contabilizao, do trfego da rede. Os mdulos do pacote NeTraMeT
& NeMaC seguem as caractersticas descritas na arquitetura de medio de fluxo de
trfego da RFC2722 de 1999, tendo quatro componentes bsicos [1,2], Medidor,
Coletor, Gerente e Aplicao de Anlise.
Os Medidores (Agentes) - Realizam a medio do trfego em um segmento de
rede, para os fluxos bidirecionais, identificados com base nos atributos de endereo de
host. Coletores (Leitor de medidor) - So responsveis pela recuperao dos dados
junto aos Medidores. Os dados coletados so armazenados em Arquivos de Fluxos
formato texto (ASCII), que so utilizados como entrada de dados para Aplicaes de
Anlise. Gerentes - Efetuam o controle dos Medidores, determinando o tipo de trfego
para medio, e dos coletores, identificando quais Medidores devero ser utilizados para
recuperao dos dados. Aplicaes de Anlise - Processam os dados gerados pelos
Coletores provendo informaes e relatrios a serem usados pelos administradores da
rede. Este componente no faz parte da distribuio padro do NeTraMet & NeMaC,
sendo um dos focos deste artigo. O NeTraMeT (Network Traffic Meter) o Agente
Medidor (A-M) que efetua a medio dos fluxos do trfego de dados em uma rede de
computadores, e o NeMaC (NeTraMeT Manager Collector) um programa que
combina o Gerente e o Coletor (G-C).
Um gerente/coletor pode recuperar fluxo de dados de vrios agentes medidores,
e cada agente medidor pode ter seus dados recuperados por vrios gerentes/coletores. O
fluxo de trfego de interesse definido pelo usurio, na forma de regras.
O relacionamento entre os elementos do processo de medio do trfego de rede
apresentado na Figura 1.
Dentro do agente medidor o fluxo registrado como uma estrutura de dados
contendo os atributos do seu endereo origem e destino, seu somatrio de pacotes e
bytes, a hora que foi observado pela primeira e ltima vez e outras informaes de
controle.
O agente medidor pode simplesmente criar fluxos para qualquer combinao
possvel de atributos do endereo origem e destino que ele observa, mas isto poder
rapidamente consumir toda a memria. Ao invs disto, o agente medidor usa regras

criadas pelo administrador, determinadas para decidir qual fluxo de interesse, desta
forma outros pacotes sero ignorados [11].
GERENTE

ARQUIVOS
DE
REGRAS

MIB

Gerente

ARQUIVOS
DE LOGS

Coletor

ARQUIVOS
DE FLUXO

AGENTE

Medidor

APLICAES
DE
ANLISE

Fig. 1. Relacionamento entre os elementos do processo de medio do trfego

de rede baseado em fluxo.

Cada regra testa um atributo de um fluxo, usando uma mscara para especificar
quais so os bits de interesse, assim uma rvore de regras pode ser construda para
classificar os pacotes em fluxos, cada pacote pode ento ser adicionado no seu fluxo
apropriado [12].
Estes atributos capturados pelo agente medidor so valores atribudos para o
endereamento da comunicao entre camadas de mesmo nvel em uma arquitetura de
rede (TCP/IP, por exemplo). Os atributos podem ser de trs tipos:
Atributos de Camada de Enlace
Atributos de Camada de Rede
Atributos de Camada de Transporte
A tabela 1, abaixo, apresenta exemplos de tipos de valores para os trs nveis de
atributos disponveis no ambiente de rede utilizado.
Tab. 1. Tipos de valores para os atributos de fluxos contabilizados

Nvel

Tipos de Valores

Enlace

Endereo Ethernet.
Endereo IP e nmero de rede Novell.

Rede
Transporte

Cdigo dos protocolos da camada de

transporte e nmero de portas (origem
e destino) para os protocolos e outros
servios da camada de aplicaes.

3. Implementao da Arquitetura de Gerncia Baseada em Fluxos

Com base no estudo realizado nas especificaes descritas pelas RFC 2720 e 2722 para
padronizao da medio do trfego baseado em fluxo e da plataforma de gerncia
NeTraMet & NeMaC, definiu-se as seguintes caractersticas e funcionalidades para
serem implementadas:

(a) Implementar uma interface via Web para interao com o usurio. Esta
interface permitir a interao com o Gerente do NeTraMet permitindo definir
parmetros diversos, como diferentes regras para medio do trfego, tempos de coletas
de trfego e escolha dos segmentos de rede a serem analisados; (b) Aprimorar o formato
de sada dos resultados das medies de fluxo de dados do NeTraMet, migrando as
informaes obtidas para uma base de dados SQL. (c) Implementar uma Aplicao de
Anlise para o NeTraMet, permitindo a gerao de relatrios com histricos do
comportamento da rede em diferentes perodos atravs de grficos e tabelas numricas.
A medio do trfego da rede baseados nos seus fluxos em comum, possibilitar
plataforma de gerencia qualificar o trfego em diferentes segmentos, baseado nos
servios de rede oferecido, possibilitando identificar quais servios so mais utilizados e
quais representam um maior volume de trfego na rede; identificar determinados servios
e especificamente determinados hosts que geram maior sobrecarga de trfego nos
segmentos de rede; detectar de forma automatizada e inteligente tentativas de invaso em
tempo real, semelhante a um sistema de IDS, Intrusion Detection System, auxiliando na
segurana da rede, analisando padres de trfego, pacotes invlidos ou inesperados e
investigando a origem de ataques.
Na execuo deste trabalho foram envolvidas tecnologias todas dentro da tica
de software livre. O sistema operacional base para os Agentes Medidores, Gerentes
Coletores e Aplicao de Anlise o GNU/Linux Debian. Para armazenar informaes
de fluxos de trfego coletados foi usado gerenciador de banco de dados objeto-relacional
PostgreSQL. Para desenvolvimento da interface via Web e interao com a base de
dados, foram usadas as linguagens PHP e C++, esta ltima utilizada nos cdigos fontes
da ferramenta NeTraMeT & NeMaC.
HUB

METROPOA
ATM
LAN Switch
Gerente

MAN Switch
ATM
Agente
Medidor
de Trfego

Agentes
Medidores
de Trfego

Fig. 2. Diagrama e Topologia para a Medio de Trfego na rede Metropoa

O ambiente de rede selecionado para a gerao, implementao e teste do projeto

foi a rede metropolitana da grande Porto Alegre (Metropoa) e o laboratrio do GPARC
Grupo de Pesquisas Avanadas em Redes de Comunicao da PUCRS. A rede
metropolitana utiliza as tecnologias ATM, Fast Ethernet e Wi-Fi. Este segmento de rede
utilizado para desenvolvimento de pesquisas, possuindo um sistema de comunicao
com tecnologias heterogneas e diferentes servios e aplicaes de rede. Seguindo essas
caractersticas, tornou-se interessante e cabvel a definio desse ambiente para o
objetivo a ser alcanado pelo presente projeto. Segue na Figura 2, um diagrama
demonstrando a topologia da rede do GPARC e a localizao do medidor de trfego da
rede baseado nos fluxos.
Um HUB utilizado no backbone principal para propagar todos os fluxos de
trfegos ao agente medidor.

A mquina selecionada para executar a funo de agente medidor de trfego de

rede do segmento definido anteriormente, utiliza o sistema operacional Linux e o
software NeTraMet para medio do trfego. Os softwares Gerentes/Coletores rodam
em uma estao remota na rede local do GPARC controlando as regras e coletando as
informaes do Agente Medidor.
Efetua a
medio do
fluxo de rede

Base
SQL

Agente

MIB

Gerencia e
coleta os
dados

Gerente

Fluxo
de
Dados

Cria
base dados
SQL

Filtro

Aplicao
prepara
resultados

Anlise

Documento
HTML

Regras

Fig. 3. Processos ativados

A Figura 3, acima, apresenta os processos envolvidos na plataforma de medio

do trfego da rede baseado em fluxos: Agente Medidor, Gerente/Coletor e a aplicao
de anlise desenvolvido, utilizando banco de dados relacional.
Para que os dados fossem exportados para HTML em uma forma de tabelas
contendo informaes estatsticas, foi necessrio construir uma ferramenta que
exportasse os dados para uma base de dados SQL e filtrasse os dados relevantes para a
anlise (Filtro, na Figura 3), alm de realizar modificaes no cdigo original do gerente
coletor de dados (NeMaC). Foi efetuada uma modificao na funo fflush() responsvel
por colocar os resultados da medio de fluxos na sada de vdeo. Mudando para fflush
(stdout), o flush esvazia o pipe-buffer para a sada padro do gerente, podendo ser
capturada por outro programa.
A ferramenta de filtragem (Filtro) captura os dados da sada padro do gerente
(previamente modificado) e exporta os dados para uma base de dados SQL (Postgres).
Desenvolvedores de software e organismos de padronizao esto
constantemente desenvolvendo esforos para uma convergncia das plataformas de
gerenciamento proprietrias e das arquiteturas de gerenciamento padronizadas para o
gerenciamento baseado em Web [15][16], fato que motivou a construo da interface da
ferramenta de anlise (Anlise, na figura 3), a qual permite que os resultados sejam
acessados remotamente, utilizando-se qualquer browser Web.
A base de dados interpretada por scripts PHP, conforme a escolha do usurio
via interface web e apresentados em tabelas no formato HTML. A Figura 4 apresenta os
resultados obtidos com a classificao do trfego baseado nos servios utilizados, onde o
percentual de utilizao consta na primeira coluna e a identificao dos servios de rede
nas colunas de porta origem e destino. As demais informaes identificam os protocolos
das camadas de transporte e de rede, bem como os pacotes e bytes recebidos e/ou
enviados pelos hosts do referido segmento de rede.

Fig. 4. Trfego contabilizado por servios

Para obteno de resultados necessria a construo de regras (Regras, Figura

3) para medio de fluxos. Uma regra armazenada em um arquivo-texto padro ASCII,
contendo as informaes necessrias para o agente medidor contabilizar o trfego. O
agente medidor j tem uma regra padro, representada pelo nmero 1. Isso permite ao
agente medidor ser ativado logo que seja executado, enquanto outra regra enviada pelo
gerente. O uso de uma regra especfica importante para otimizar a captura do agente
medidor em um tipo de trfego em especfico. Na implementao realizada foram
utilizadas as seguintes regras.
Regra de classificao do trfego: Registra pacotes IP pelo nmero da porta de
transporte. O efeito global desta regra classificar o trfego IP em um grupo pequeno de
tipos de trfegos em comum, pelo teste de seus nmeros de portas j conhecidos. Visto
que na rede metropolitana so previstos protocolos e portas de comunicao TCP/IP
alternativos, no previstos na implementao do NeTraMet & NeMaC, como por
exemplo, aplicaes peer-to-peer como Kazaa e WinMX, aplicaes multimdia de voz e
vdeo e etc, foi necessrio realizar algumas modificaes no mdulo nm_display.c,
visando a identificao dos protocolos e das portas TCP/IP alternativas. A RFC 1700
apresenta todos os nmeros de protocolos e de portas padres utilizados na comunidade
Internet e certificados pelo IETF.
Regra de medio do volume de trfego: Esta regra mede o volume de trfego IP
entre dois segmentos de rede, fornecendo informaes sumrias sobre o fluxo de trfego
entre as duas sub-redes, ou seja, a rede LAN do GPARC e a rede externa do Metropoa,
como tambm o trfego de outros segmentos de rede presentes na Internet. Esta regra
limita a captura apenas para pacotes IPs serem contabilizados.

4) Concluso
A adoo de redes convergentes como meio de comunicao, acrescida da complexidade
das tecnologias utilizadas e da diversidade dos servios oferecidos, torna indispensvel o
gerenciamento automatizado, sobretudo medidas que quantifiquem o desempenho de
uma rede e identifiquem os gargalos da mesma, o qual o objeto e a razo principal do
desenvolvimento apresentado neste trabalho.
Pesquisas realizadas por grupos de trabalho do IETF contribuem para
especificao de padres internacionais que, muitas vezes so implementados e
disponibilizados para livre utilizao na forma de pacotes de software. Desta forma, a
utilizao do pacote de software NeTraMet & NeMaC viabilizou a converso da sua
interface e resultados gerados para formato Web, para poder integr-lo na Plataforma do
FreeNMS, o que permite o uso desta ferramenta, j operacional [17], tambm para este

fim e conseqentemente um gerenciamento de rede de forma cada vez mais amigvel,

automatizado e detalhado, permitindo deste modo quantificar, qualificar, identificar e
planejar os recursos da rede com um mtodo mais preciso, sem contar que a prpria
adaptao permitiu, como retorno, a adio de novas funcionalidades ao pacote inicial de
software do IETF. Finalmente deve ser destacado que o mdulo desenvolvido para
medio em tempo real do trfego de redes de comunicao convergentes baseado em
fluxos pode tambm operar como uma ferramenta independente e autnoma.
Referncias Bibliogrficas
[1] M. Subramanian. Network Management: Principles and Practice A. Wesley, 2000.
[2] J. Case, R. Mundy, D. Partian, B. Stewart. Introduction to Version 3 of the Internet
Standard Network Management Framework, RFC 2570, maio 1999.
[3] W. Stallings. SNMP, SNMP2 and CMIP, The Practical Guide to Network
Management Standards, Addison-Wesley Publishing Company, Inc. 1993.
[4] N. Brownlee, A. Blount. Accounting Attributes and Record Formats. RFC2924,
Setembro, 2000.
[5] S. Handelman, S. Stibler, N. Brownlee, G. Ruth. RTFM: New Attributes for Traffic
Flow Measurement. RFC2724, Outubro, 1999.
[6] N. Brownlee. SRL: A Language for Describing Traffic Flows and Specifying Actions
for Flow Groups. RFC2723, Outubro, 1999.
[7] N. Brownlee, C. Mills, G. Ruth. Traffic Flow Measurement: Architecture. RFC2722,
Outubro, 1999.
[8] N. Brownlee. RTFM: Applicability Statement . RFC2721, Outubro, 1999.
[9] N. Brownlee. Traffic Flow Measurement: Meter MIB. RFC2720, Outubro, 1999.
[10]N. Brownlee, E. Guttman. Expectations for Computer Security Incident Response.
RFC2350, Junho, 1998.
[11]N. Brownlee. Traffic Flow Measurement: Experiences with NeTraMet . RFC2123,
Maro, 1997.
[12]N. Brownlee. Accounting Requirements for IPng . RFC1672, Agosto, 1994.
[13]Carvalho, T. C. M. B. Gerenciamento de Redes: Uma abordagem de Sistemas
Abertos. BRISA, Makron Books do Brasil, 1993.
[14]Dejesus, Edmund X. Como Domar Grandes Redes. BYTE Brasil, So Paulo, v.5, n.
10, p. 72-73, out./ 1996.
[15]Salamone, Salvatore. Os Browsers vo monitorar a rede. LAN Times Brasil, So
Paulo, v. 2, n. 7, p. 58-59, out./1996.
[16]Snell, Monica. Administrao baseada em web. LAN Times Brasil, So Paulo, v. 2,
n. 7, p. 60-61, out./1996.
[17]FreeNMS, Network Management System. http://www.freenms.org
[18]Diego M. da Rosa, Evandro Pereira, Lisandro Granville, Maria Janilce Almeida,
Liane Tarouco. Uma Soluo Baseada em Web Services para o Gerenciamento de
Coletores NetFlow Distribudos. Em: SBRC - Simpsio Brasileiro de Redes de
Computadores, 22 , Gramado - RS, Centro de Eventos da UFRGS. 10-14 maio,
2004. Anais. Gramado, SBC, 2004.
[19]W. Stallings. SNMP, SNMPv2, SNMPv3 and RMON 1 and 2: Pratical Network
Management. Addison-Wesley, 1999.