Controle de Tráfego no Linux - aplicação a uma empresa de médio porte

Transcrição

1 ISSN T.I.S., São Carlos, v. 1, n.2, p , set-dez Tecnologias, Infraestrutura e Software Controle de Tráfego no Linux - aplicação a uma empresa de médio porte Abstract. Internal networks in small and medium enterprises are often not implemented in accordance with the proper standards and requirements. This may lead to reduced performance in the access to and other transactions and even connection problems when interacting with an ERP or a file server. In order to help system administrators to gather the necessary knowledge about the real network conditions to deal with this problem properly, this work is divided into two parts. The first one investigates the network infrastructure to check whether it is robust enough by conducting a load test and detecting its vulnerabilities. The second part demonstrates the use of tools for traffic shaping and analyses their impact on the network traffic under heavy load. All tools are open source projects. keywords: traffic control, network traffic, tools for traffic control Resumo: As redes internas em pequenas e médias empresas muitas vezes não são devidamente implantadas de acordo com os padrões e normas especificadas. Isso causa lentidão ao acessar s ou realizar transações em geral, problemas de conexão com o servidor de arquivos e também lentidão no sistema ERP da empresa. Visando dar subsídio para que os administradores de rede consigam gerenciar adequadamente esse problema, este trabalho foi dividido em duas partes: na primeira investiga-se a infraestrutura de rede para saber se ela é sustentável realizando um estudo de carga, e a segunda demonstrando a aplicação de ferramentas para controle de tráfego e seu impacto sobre o tráfego de rede. Todas as ferramentas são projetos open source. Palavras chave: controle de tráfego, tráfego da rede, ferramenta de controle de tráfego I. INTRODUÇÃO Com o crescimento espontâneo de pequenas e médias empresas, nos deparamos com o aumento desenfreado de computadores e ativos na rede e muitas vezes a implantação de novas tecnologias como telefonia sobre IP. Na utilização de determinadas ferramentas de monitoramento de tráfego na rede, é possível observar que determinados serviços e aplicativos utilizados por alguns usuários são priorizados (downloads, ouvir músicas e assistir vídeos pela Internet). Surgirá o momento em que estará nítida a necessidade de uma melhoria nas conexões e serviços de rede. Muitos tipos de problemas, como por exemplo não conseguir enviar s, lentidão ao acessar ou realizar transações bancárias, problemas de conexões com o servidor de arquivos e também lentidão no sistema ERP da empresa, são motivos de preocupação para qualquer administrador de rede. Usualmente a solução lógica para problemas de congestionamento de rede, sem fazer uma análise aprofundada da situação, é a compra de mais largura de banda. Porém o que parece ser uma solução lógica, não é mais do que uma fonte de despesas desnecessárias, porque o problema é aliviado temporariamente, para se tornar, novamente, mais cedo ou mais tarde, talvez um problema pior. Leonardo Balliache (2003) comenta que o aumento da largura de banda é sempre um poço sem fundo. Quanto mais você tem, mais você gasta. Então, a questão deve ser analisada com cuidado para evitar perder dinheiro, tempo, esforço e ter surpresas desagradáveis. Surgiu então a necessidade de realizar procedimentos para solucionar possíveis problemas de infraestrutura, como por exemplo a falta de controle de erros, atrasos na transmissão por congestionamento das filas dos equipamentos e a falta de priorização de serviços. Este trabalho foi dividido em duas partes: a primeira sendo investigar a infraestrutura de rede para saber se ela é sustentável realizando um estudo de carga, e a segunda fazendo um estudo geral e a prática com as ferramentas Departamento de Computação - Universidade Federal de São Carlos (UFSCar) Caixa Postal São Carlos SP Brasil Autor para correspondência: jiomcm@yahoo.com.br, jander@dc.ufscar.br

2 Controle de Tráfego no Linux aplicação a uma empresa de médio porte desenvolvidas como software livre Linux para o controle de tráfego na rede. O objetivo deste trabalho é obter um controle de tráfego satisfatório com a utilização de ferramentas existentes no sistema operacional Linux. II. INFRAESTRUTURA DE REDE As redes de computadores atuais caracterizam-se tanto pela especificidade e variedade das alternativas tecnológicas disponíveis quanto pelos sistemas de comunicação e requisitos necessários em termos de confiabilidade e capacidade dos meios de transmissão (PINHEIRO, 2005). Os objetivos básicos da funcionalidade de uma rede de computadores são prover a comunicação confiável entre sistemas de informação, melhorar o fluxo e o acesso às informações, agilizando assim a tomada de decisões administrativas e facilitando a comunicação entre seus usuários. A infraestrutura representa o conjunto de materiais necessários ao encaminhamento e passagem dos cabos, em todos os pontos do local, assim como os componentes necessários à instalação dos ativos do sistema que compõem uma rede. Fazem parte dessa classificação materiais como eletrocalhas, eletrodutos, caixas de passagem, etc. Segundo Pinheiro (2005), uma rede estruturada elimina a dispersão dos cabos destinados ao transporte dos sinais de dados na área de instalação, não permitindo a mistura com os demais cabos, como por exemplo cabos de eletricidade e de controle, identificando os cabos e facilitando a manutenção. Garante-se, desta forma, flexibilidade e facilidade de manutenção. Em primeiro lugar é preciso verificar a estrutura da rede. É absolutamente necessário ter certeza de que a infraestrutura de rede é viável ou sustentável. Como saber se a infraestrutura de rede é sustentável? Primeiro é preciso verificar se a carga é administrável com a infraestrutura real ou com algumas pequenas alterações. Se a carga é administrável, talvez seja necessário melhorar a topologia, verificando se é possível equilibrar melhor a carga, ou com a aplicação da política de roteamento, ou talvez substituir alguns equipamentos antigos. Se a conclusão é de que a rede está sobrecarregada, antes de qualquer coisa, é necessário estudar por que a rede está sobrecarregada e o que a está sobrecarregando. Não tem sentido aumentar a largura de banda sem antes saber que tipo de carga a rede está suportando. Após os estudos de carga, é necessário analisar os resultados com muito cuidado. Tendo o estudo de carga e um diagnóstico preliminar, é possível otimizar a utilização de recursos da infraestrutura da rede, evitando a compra de mais largura de banda. Com resultado da análise de carga junto com a classificação de tráfego por prioridades, é possível estabelecer os recursos necessários a serem utilizados para cada tipo de tráfego. Utilizando a priorização e a supressão do tráfego indesejável podem dar garantias de melhora de desempenho do tráfego na rede. (BALLIACHE, 2003) III. ANALISADORES DE PACOTES Os analisadores de pacotes ouvem o tráfego, registram ou imprimem pacotes que atendam a certos critérios especificados pelo usuário. O tcpdump 1 e o wireshark 2 pertencem a essa classe de ferramentas. Analisadores de pacotes são úteis na descoberta de problemas de tráfego (NEMETH et al, 2007). Os analisadores de pacotes precisam estar aptos a interceptar tráfego e ver a maior quantidade possível de tráfego de rede bruto. Eles entendem vários tipos de pacotes utilizados por serviços de rede padrão e normalmente são capazes de colocar esses pacotes em um formato legível para o administrador. Essa capacidade torna mais fácil rastrear o fluxo de uma conversação entre dois aplicativos. Alguns analisadores imprimem o conteúdo ASCII de um pacote além do cabeçalho do pacote, o que pode ser útil para investigar protocolos de camadas mais altas. Um analisador tem de ler dados brutos de um dispositivo de rede, embora apenas executado com privilégios administrativos, diminui a chance de usuários comuns ouvirem o tráfego da rede, algumas instalações optam por eliminar programas analisadores da maioria dos hosts comuns para reduzir a chance de abuso. (NEMETH et al, 2007) O tcpdump pode produzir uma quantidade exagerada de informações para o sistema operacional. Para evitar esse problema nas redes, o tcpdump permite especificar filtros. Com a flag-w, redirecionando a saída do tcpdump para um arquivo com a extensão.pcap 3, possibilitando ao Administrador de rede analisar esses resultados quando bem entender. O arquivo gerado não pode ser lido por editores de texto e sim utilizando o próprio tcpdump com a flag-r ou se preferir analisar esses resultados em modo gráfico, como por exemplo o wireshark (SOUZA, 2010). Um outro analisador de protocolos da rede é o tshark 4, captura e lê os pacotes de dados da rede. Seu resultado de captura é o mesmo formato utilizado pelo tcpdump e varias outras ferramentas. O tcpdump e o tshark utilizam a biblioteca libpcap 3 para a captura do tráfego através das interfaces de rede e mostrará uma linha de cada pacote recebido como resultado na tela. TShark está apto a detectar, ler e escrever os mesmos arquivos de captura que são suportados pelo wireshark. O analisador visual wireshark talvez seja indicado se o programa utilizado for baseado em interface gráfica para análise de pacotes. Ele é um analisador de pacotes com interface gráfica com o usuário que tem mais funcionalidades do que a maioria dos produtos comerciais para análise de pacotes. Também possui dois recursos muito práticos. O primeiro é que ele pode ler e gravar um grande número de outros formatos de arquivos de rastreamento de pacotes, como o tcpdump, Sniffer Pro, NetXray, Secure IDS iplog da Cisco, entre outros. O segundo é que se pode pedir para o wireshark T.I.S. 2012; 1 (2):

3 "remontar" os dados de todos os pacotes, útil quando se quer examinar rapidamente os dados transferidos durante uma conversação TCP completa, como uma conexão transportando uma mensagem de através da rede (NEMETH, 2007). Podemos contar também com os comandos iftop 5 e o iptraf 6, utilizados para descobrir, em tempo real, estatísticas sobre a banda e visualização do tráfego da Rede. O iftop mostra o uso da rede, ilustrando o que cada IP está utilizando de banda naquele determinado momento. O iptraf é um comando para monitorar os pacotes e as portas mais utilizadas na rede. IV. CONTROLE DE TRÁFEGO (QOS) O controle de tráfego corresponde ao conjunto de sistemas de filas e mecanismos através dos quais os pacotes são recebidos e transmitidos em um roteador. Os pacotes ficam em uma fila e são recolhidos e transmitidos tão rapidamente quanto o dispositivo consegue aceitá-los (FIFO: First in First Out). Esse conjunto de ferramentas permite ter o controle granular sobre essas filas e os mecanismos de enfileiramento de um dispositivo de rede (BROWN, 2006). Para a reserva de banda de uma determinada aplicação ou utilizador, e para permitir a distribuição equitativa da largura de banda sem reservas e certificar-se de que um determinado tipo de tráfego possa ser descartado, utiliza-se o controle de tráfego. O uso adequado do controle de tráfego permite uma maior utilização dos recursos da rede previsível e uma disputa menos volátil por esses recursos. A seguir serão descritas de forma breve algumas estruturas importantes no controle de tráfego: fila, fluxo, balde de fichas, frame, modelagem, agendamento, classificação e policiamento. A fila é o local com um número finito de itens que ficam esperando uma ação ou um serviço e nas redes ela é o local onde os pacotes são transmitidos conforme sua ordem de chegada. A fila não garante controle de tráfego. A ordem de transmissão é irrelevante para a camada superior. O fluxo pode ser definido como uma conexão distinta entre dois hosts. Qualquer conjunto único de pacotes entre dois hosts pode ser considerado como um fluxo. Balde de fichas é uma ferramenta do Linux que faz o controle de banda do link de saída. Este método, amplamente utilizado no controle de tráfego, ao invés de usar temporizadores para controlar a taxa de desenfileiramento de pacotes ou bytes desenfileirados, gera fichas num ritmo desejado apenas para pacotes ou bytes, desenfileirados apenas se uma ficha está disponível. Se uma fila não precisa de fichas de imediato, os sinais podem ser coletados até que sejam necessários. As fichas são recolhidas até que um certo número seja atingido. Então a fila terá fichas disponíveis para um grande número de pacotes ou bytes que precisam ser desenfileirados. Ou seja, um balde cheio de fichas pode estar disponível a qualquer momento. Frame ou Quadro é a palavra geralmente usada para descrever a camada 2 da unidade de dados a ser transmitida para o próximo destinatário. O quadro é a unidade em que o controle de tráfego é realizado. Modelagem de pacotes é o mecanismo pelo qual os pacotes são atrasados antes da transmissão de uma fila de saída para atender a uma taxa de saída desejada. Os modeladores são uma tentativa de limitar o tráfego, fazendo com que este não seja superior à taxa configurada. O agendamento de pacotes acontece quando os pacotes são organizados e reorganizados nas diferentes filas de saída. Os mecanismos de controle de tráfego podem ser considerados como um programador, porque os pacotes são organizados para a produção. Outros algoritmos tentam compensar as diferentes condições da rede. Classificar pacotes é separar os pacotes por um tratamento diferente, possivelmente em filas de saída diferentes. Ainda pode incluir a marcação do pacote. O mecanismo pelo qual o tráfego pode ser limitado é o policiamento. Esse procedimento tem por objetivo garantir que uma classe não possa consumir mais do que sua largura de banda alocada. O tráfego será aceito para uma determinada taxa e em seguida irá executar uma ação sobre o tráfego superior a essa taxa (BROWN, 2006). Tabela 1. Analogia entre controle de tráfego e componentes do Linux (BROWN, 2006) Elementos do controle de tráfego Modelagem Agendamento Classificação Policiamento Descarte Marcação Componentes do Linux A Classe (class) oferece capacidade de modelagem. A disciplina de fila (qdisc) é um escalonador. Escalonadores podem ser simples como o FIFO ou complexos, contendo as classes e qdiscs outros, como o HTB. O objetivo de filtrar (filter) é executar a classificação através da agência de classificação de um objeto. Estritamente falando, os classificadores do Linux não podem existir fora de um filtro. Um policiamento existe na implementação de controle de tráfego Linux apenas como parte de um filtro. Para descartar o tráfego exige um filtro com um policiamento que usa o descarte (drop) como sua ação. A qdisc dsmark é utilizado para a marcação (handle). O qdisc é um escalonador, e é também chamado de disciplina de fila. Ele irá rearranjar os pacotes que entram na fila do agendador de acordo com o planejador de regras. Os qdiscs classful podem conter classes e fornecem um identificador para se anexar filtros e podem ser usados com classes e sem classes filhas. Os qdiscs classless não podem conter classes e não se pode anexar filtros, pois não contêm classes filhas de qualquer forma. Os qdisc root e ingress são locais para que as estruturas de T.I.S. 2012; 1 (2):

4 Controle de Tráfego no Linux aplicação a uma empresa de médio porte controle de tráfego possam ser anexadas para a entrada e a saída e não disciplinas de filas. As classes existem apenas dentro de um qdisc classful e são extremamente flexíveis e podem conter várias classes e qualquer uma dessas classes pode ter um número arbitrário de filtro ligado a ela, o que permite a seleção de uma classe filha ou o uso de um filtro de reclassificação ou descartar o tráfego entrando em uma determinada classe. O classificador é o que permite ao usuário escolher pacotes com base em atributos do pacote e são ferramentas que podem ser usadas como parte de um filtro para identificar as características de um pacote ou um pacote metadados. O policiamento é utilizado apenas em Controle de Tráfego Linux como parte de um filtro. Ele solicita uma ação acima e abaixo da taxa de recurso especificada. O Policiamento e a modelagem são elementos fundamentais do controle de tráfego para limitar o uso da banda. Cada qdisc classeless e qdisc classful requer um identificador único dentro da estrutura de controle de tráfego. Esse identificador é conhecido como handle e é formado por dois membros, um número maior e um número menor. Esse número pode ser atribuído pelo usuário. O handle especial fff:0 é reservada para o qdisc ingresso. V. TRABALHOS RELACIONADOS Nathan de Sousa (2005) apresenta diversos problemas de infraestrutura de rede relacionados ao desenvolvimento e à utilização de redes (inclusive a internet). Apresenta também um estudo de QoS e implantação de controle de banda em redes de computadores, fazendo inclusive uma análise crítica do Diffserv e confrontando-o com o Intserv. As dificuldades encontradas durante a realização do trabalho parecem deixar claro que são necessárias ações em diferentes âmbitos para tentar solucionar o problema de controle de banda em redes. Durante a execução do trabalho o autor encontrou vários problemas, como por exemplo ser impraticável a configuração de um tipo específico de roteador, por não possuir suporte a QoS ou qualquer controle de banda, e a não configuração de estações Windows 2000 e XP, que, entre outros problemas, não apresentava documentação suficiente para sanar dúvidas sobre sua configuração. Após uma descrição dos ambientes de testes e explanação sobre como estes testes foram feitos utilizando a ferramenta Linux Hierarchical Token Bucket (HTB) num ambiente e uma interligação de uma intranet com controle de banda à internet, o autor, em suma, detectou uma pequena perda de velocidade de download e posterior estabilização de velocidade com o passar do tempo, em função do uso da ferramenta HTB. As soluções propostas pelo autor são em suma: a utilização de um bom equipamento (computador e placas de rede); configurar o computador como bridge, para não alterar topologia da rede; utilização de Linux como SO (preferencialmente versões que dão suporte ao HTB); a bridge seria um gateway entre o firewall e a rede interna; e aplicação de controle de banda com HTB. O autor conclui que não há uma solução definitiva para a internet atual e que o QoS já é uma exigência do mercado, pois com ele é possível amenizar os problemas melhorando o desempenho de redes corporativas adotando níveis de QoS. O Linux foi utilizado por ser uma alternativa viável e de grande flexibilidade. Aldir dos Santos (2010) foca seu trabalho na implementação de soluções de controle de banda em redes TCP/IP, com enfoque a ambientes de pequeno porte, utilizando elementos de controle de tráfego do sistema operacional Linux. A primeira parte deste trabalho apresenta elementos conceituais e noções gerais sobre QoS, como por exemplo confiabilidade, atraso, jitter, largura de banda, arquitetura de QoS, classes de serviços e domínios. Depois o autor passa a tratar sobre controle de banda e sua relação com QoS, abordando aspectos como aumento de banda e sua relação com o controle de banda. O tema seguinte é controle de tráfego, tratando sobre o funcionamento básico de elementos utilizados para tentar melhorar a eficiência no controle de fluxo de pacotes em uma rede, com uma descrição básica dos elementos que fazem parte dessa estrutura (roteadores, portas de entrada e saída, circuitos de comutação), e do funcionamento da priorização de tráfego (classificação e marcação, filas, escalonamento) e como limitar o uso dos recursos em uma rede. Posteriormente é estudado o controle de tráfego no Linux, envolvendo praticamente todos os aspectos já vistos anteriormente, mas agora aplicados especificamente ao Linux. Em seguida é apresentado o estudo de um caso de implementação de controle de banda utilizando os elementos de controle de tráfego no Linux, para solucionar um problema de compartilhamento da capacidade de transmissão da conexão de dados de um escritório de médio porte. Após uma descrição do ambiente em que ocorreu esse estudo, sua evolução em termos de equipamento e mudança nas necessidades de trabalho, o autor faz uma explanação do seguinte problema: falta de instrumentos para controlar a distribuição da escassa largura de banda, da tal maneira que apenas a capacidade não demandada pelos sistemas definidos como essenciais possa ser dividida entre os demais acessos registrados na rede. A solução proposta seria utilizar elementos de controle de tráfego presentes no Linux, construindo uma arquitetura baseada em priorização, capaz de garantir a reserva de largura de banda exigida pelos sistemas considerados essenciais. Ao final do estudo os resultados demonstraram que os problemas de perda de conexão não foram mais observados, assim como não houve sobrecarga da rede. Além disso, foi observado uma relativa desenvoltura na abertura das páginas da web, algo que não havia sido previsto. O autor conclui que os resultados obtidos foram satisfatórios em solucionar problemas de controle de banda em redes TCP/IP de pequeno porte, utilizando ferramentas de controle de tráfego do sistema operacional Linux. André Couto (2007) descreve o princípio da Internet, seu propósito inicial e suas alterações com o passar do tempo, mencionando especialmente o papel dos protocolos em sua arquitetura. O tópico seguinte é a Qualidade de Serviço (QoS), seu conceito e a necessidade de sua utilização na atualidade. Dentro desta parte são descritos itens como controle de 124 T.I.S. 2012; 1 (2):

5 congestionamento, aumento de banda, descarte de pacotes e jitter. Em seguida são apresentadas as arquiteturas de qualidade de serviço, tratando sobre melhor esforço, serviços integrados, serviços diferenciados e seus mecanismos. Depois são descritos os mecanismos de limitação de banda, seu propósito e as ferramentas e as ações utilizadas para esse fim (algoritmos, policing & shaping). Então é apresentado o sistema operacional FreeBSD, a ferramenta escolhida para o controle de uso de banda neste trabalho, com um breve histórico de seu surgimento e seu funcionamento e em seguida sobre como configurar os mecanismos de QoS através do seu kernel. Logo depois o autor avalia e descreve os ambientes em que foram feitos os testes enfatizando que a solução esperada seria garantir a qualidade dos serviços na rede local do cliente com a premissa não causar impacto algum de mudança na estrutura lógica de rede. Seria preciso garantir a disponibilidade dos sistemas corporativos, mesmo que para isso o acesso à internet fosse prejudicado. Após analisar os resultados o autor verificou a viabilidade da implantação do sistema de controle de qualidade de serviço utilizando-se a ferramenta packet filter conjuntamente com o ALTQ no FreeBSD. Os trabalhos acima citados visam o controle de banda através de ações de melhoria de QoS, empregando diferentes ferramentas. Essa diversidade mostra que quaisquer caminhos a serem seguidos apresentam vantagens e desvantagens, sendo de grande importância para a realização deste trabalho, uma vez que foi possível ter uma noção do que poderia acontecer na realização dos testes que seriam feitos posteriormente. Todos atingiram seus objetivos com maior ou menor grau de sucesso e esforço, o que demonstra a viabilidade e a importância deste trabalho, uma vez que pode-se concluir com isso que o controle de tráfego é uma importante preocupação e fonte de pesquisas em termos de rede de computadores. VI. AMBIENTE DE TESTES Os testes foram realizados em uma empresa de médio porte da cidade de São Carlos/SP. Por motivos de ética não serão fornecidos o nome e a localização dessa empresa. Nesse ambiente foi utilizado um servidor com o sistema operacional Linux com a distribuição CentOS, gerenciando uma sub-rede com cerca de 100 máquinas desktops com o sistema operacional Windows XP e Windows 7. A Figura 1 ilustra resumidamente a topologia de rede da empresa. Figura 1. Topologia estrela É importante citar que previamente foi estudada a topologia da rede visando que se evitasse o gargalo do fluxo na rede, aproveitando os equipamentos mais potentes nas bordas. Na verificação da infraestrutura da rede foi constatado que os telefones VoIPs estavam conectados de maneira incorreta, pois os telefones e os computadores estavam interligados por um único cabo patch cord, o que por si só já não está de acordo com as normas e padrões de cabeamento estabelecidos, atuando como uma bridge. Estas situações são apresentadas na Figura 2. Figura 2. Correção da estrutura Outro problema detectado foi o tamanho do cabo que interconectava o telefone ao computador. A dimensão reduzida do cabo ocasionava ecos gerando mais broadcast na rede. Além disso, os ativos estavam configurados como DHCP, o que causava ainda mais broadcast na rede. A solução encontrada para o problema foi a utilização de um cabo para cada ativo, ou seja, um cabo foi ligado ao telefone e o outro cabo foi ligado ao computador, o que já é o padrão das normas de cabeamento estruturado. VII. PLANEJAMENTO DE EXPERIMENTOS Para o problema de controle de tráfego a saída encontrada foi priorizar determinados serviços em detrimento de outros, ou seja, sequenciar determinados serviços para que sejam priorizados de acordo com as configurações estabelecidas. Por exemplo o acesso ao site de um banco tem maior prioridade ao aplicativo de baixar músicas pela Internet. Os valores definidos para a limitação das portas visando alcançar uma melhor alocação de banda para os diferentes serviços estão descritos na Tabela 2. Tabela 2. Taxas de transmissão referente a porta Protocolos Portas Velocidade (kbit/s) Rate (kbit/s) DNS / ACK / SYN / FIN 53 / 445 / 389 / 5432 SMTP / POP3 25 / 110 / 143 / 993 / 995 HTTP / HTTPS 80 / 443 / 8080 Outros Restante Prioridade Os valores da Tabela 2 foram definidos de acordo com os serviços e portas mais utilizados para o melhor aproveitamento da banda para os aplicativos mais necessários para o cotidiano da empresa. Definindo dessa forma uma reserva de banda para os serviços mais emergentes, evitando que um serviço menos necessário se sobreponha a outro serviço mais necessário à empresa. T.I.S. 2012; 1 (2):

6 Controle de Tráfego no Linux aplicação a uma empresa de médio porte Para se chegar as configurações definidas da Tabela 2 foi usado o script do Algoritmo 1. Algoritmo 1 - Script (Regras de Controle de tráfego) #!/bin/bash tc qdisc del dev eth1 root tc qdisc add dev eth1 root handle 1:0 htb default 50 tc class add dev eth1 parent 1:0 classid 1:1 htb rate 6000kbit # Classes # DNS / ACK / SYN / FIN tc class add dev eth1 parent 1:1 classid 1:10 htb rate 1000kbit ceil 2000kbit prio 0 # tc class add dev eth1 parent 1:1 classid 1:30 htb rate 2000kbit ceil 4000kbit prio 2 # HTTP / HTTPS tc class add dev eth1 parent 1:1 classid 1:40 htb rate 2000kbit ceil 5000kbit prio 3 # Outros tc class add dev eth1 parent 1:1 classid 1:50 htb rate 1000kbit ceil 3000kbit prio 4 # Filas tc qdisc add dev eth1 parent 1:10 handle 110: sfq perturb 10 tc qdisc add dev eth1 parent 1:30 handle 130: sfq perturb 10 tc qdisc add dev eth1 parent 1:40 handle 140: sfq perturb 10 tc qdisc add dev eth1 parent 1:50 handle 150: sfq perturb 10 # Filtros tc filter add dev eth1 parent 1:0 protocol ip prio 4 handle 4 fw classid 1:10 tc filter add dev eth1 parent 1:0 protocol ip prio 6 handle 6 fw classid 1:30 tc filter add dev eth1 parent 1:0 protocol ip prio 7 handle 7 fw classid 1:40 tc filter add dev eth1 parent 1:0 protocol ip prio 8 handle 8 fw classid 1:50 # Regras iptables iptables -t mangle -A FORWARD -p tcp -m multiport --sport 53,445,389,5432 -j MARK --set-mark 0x4 iptables -t mangle -A FORWARD -p tcp -m multiport --sport 53,445,389,5432 -j RETURN iptables -t mangle -A FORWARD -p tcp -m multiport --sport 25,110,143,993,995 -j MARK --set-mark 0x6 iptables -t mangle -A FORWARD -p tcp -m multiport --sport 25,110,143,993,995 -j RETURN iptables -t mangle -A FORWARD -p tcp -m multiport --sport 80,443,8080 -j MARK --set-mark 0x7 iptables -t mangle -A FORWARD -p tcp -m multiport --sport 80,443,8080 -j RETURN VIII. RESULTADOS Após a implantação das regras conseguimos estabelecer as classes. A Figura 4 ilustra a utilização do comando watch tc s class ls dev eth1 que lista as definições e resultados estabelecidos pelas regras de controle de tráfego, em tempo real, como por exemplo, prioridade da classe, taxa estabelecida, taxa de limite para o uso da banda, pacotes encaminhados ou enviados para determinada classe e quantidade de pacotes descartados. Os resultados alcançados foram satisfatórios para o ambiente, pois foram reservadas as quantidades de banda préestabelecidas no script. Isso pode ser constatado de acordo com a sequência das portas mais utilizadas e mais necessárias conforme ilustra a Figura 5. Por exemplo, na Figura 5 pode-se notar que a porta 80 se encontra no topo por ter a quantidade de pacotes superior às outras portas. Com a execução das regras de controle de tráfego utilizado pelo comando tc, foi constatado que ao realizar um download de 120Mb, a taxa de download não ultrapassava a taxa que foi pré-estabelecida nas regras. Quando realizado sem a execução das regras de controle de tráfego, esse valor aumentava drasticamente, de aproximadamente 3 a 5Mbps, ocupando a maior parte da largura de banda da empresa. Esses valores foram obtidos através do comando iftop. O comando iftop i eth1 foi executado para monitorar a largura de banda utilizada em dois casos: num momento sem a execução das regras de controle de tráfego (Figura 6) e noutro momento com a execução das regras (Figura 7). Foi utilizada uma máquina com o IP como teste para a execução desse download para verificar a diferença no aumento de banda consumida por esse serviço. Na figura 6 podemos conferir que o IP está 126 T.I.S. 2012; 1 (2):

7 utilizando um total de 5,40Mb da largura da banda. Outro resultado apresentado na figura 7 podemos conferir que o IP não ultrapassou o limite estabelecido na regra. Figura 4. Leitura das classes Figura 5. Sequência das portas mais utilizadas T.I.S. 2012; 1 (2):

8 Controle de Tráfego no Linux aplicação a uma empresa de médio porte Figura 6. Resultado do comando iftop sem as regras de QoS Figura 7. Resultado do comando iftop com as regras de QoS IX. CONCLUSÕES E TRABALHOS FUTUROS Após a realização dos testes, analisando os resultados obtidos concluímos que o controle de tráfego no Linux se mostrou satisfatório sem a necessidade de aumento de banda. Constatou-se que os serviços de e páginas de Internet tiveram um desempenho normal mesmo com a utilização simultânea de serviços de menor necessidade ou importância para a empresa. Para trabalhos futuros serão necessários estudos de QoS em IPv6, uma vez que a migração do atual IPv4 para o IPv6 é iminente e trará diversas vantagens no campo do QoS. REFERÊNCIAS BALLIACHE, Leonardo. Buying additional bandwidth is always the solution, Disponível em: < Acesso em: 02 de ago. de BALLIACHE, Leonardo. QoS Services, Disponível em: < Acesso em: 02 de ago. de BROWN, Martin. A. Traffic Control, HOWTO, Disponível em: < 128 T.I.S. 2012; 2 (1):

9 HOWTO/index.html>. Acesso em: 12 de set. de QoS baseado em Diffserv usando FreeBSD. Trabalho parcial para obtenção do grau de Bacharel Ciência da Computação (Graduação). Universidade Federal da Bahia, Salvador, FILHO, João Eriberto Mota Filho. Controle de Tráfego com TC, HTB e iptables. Disponível em: fego_com_tcc_htb_e_iptables. Acesso em: 01 de out. de KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma abordagem btop-down. 3 ed., São Paulo: Pearson, Addison Wesley, NEMETH, Evi; SNYDER, Garth; HEIN, Trent R. Manual Completo do Linux: Guia doadministrador. 2ed. São Paulo: Pearson Prentice Hall, PINHEIRO, José Maurício dos Santos. Sistemas Estruturados em Redes de Computadores, Disponível em: COUTO, André Rios. Controle do uso de banda garantindo < mas_estruturados_em_ redes_de_computadores_01.php>. Acessado em 02 ago SANTOS, Aldir Lopes. dos. Controle de Bandas em Redes TCP/IP utilizando Linux. Trabalho para obtenção de título de Especialista em Administração em Redes Linux) (Pós- Graduação) Ciências da Computação. Lavras/MG, SOUSA, Nathan Franklin Saraiva de. Implantação de Controle de Banda para Otimização do Uso de Rede de Computadores através de QoS. Trabalho de Conclusão de Curso (Bacharelado) Universidade Federal do Piauí, Teresina/PI, SOUZA, Leandro Nascimento de. Comando tcpdump, Disponível em: < Acessado em 30 nov T.I.S. 2012; 1 (2):