Muitas vezes, ao investigar um problema, peço às pessoas que me enviem um rastreamento de rede. Um rastreamento de rede frequentemente aponta para a causa raiz do problema. No mínimo, ele reduz o escopo do problema a algo que se torna gerenciável. Por exemplo, quando uma impressora em rede começou a imprimir caracteres aleatórios, passamos vários dias analisando os TTPs; quando finalmente obtivemos um rastreamento de rede, descobrimos que estávamos enviando um texto perfeitamente válido; o problema estava na impressora. Em outro caso, um problema de desempenho do OSL entre módulos separados por milhares de quilômetros parecia ser uma questão de rede, mas um rastreamento mostrou claramente que o problema estava no módulo do servidor. Eu ainda estaria trabalhando nos dois problemas se não fosse pelo rastreamento de rede.
Como se obtém um rastreamento de rede? Existem três possibilidades.
monitor de pacotes
O comando `packet_monitor` do VOS, com algumas limitações, permite monitorar tudo o que o módulo envia e recebe da rede. Consulte http://community.stratus.com/blog/openvos/getting-most-out-packetmonitor e http://stratadoc.stratus.com/vos/17.0.1/r419-09/wwhelp/wwhimpl/js/html/wwhelp.htm?context=r419-09&file=ch9r419-09i.html para obter mais informações.
O comando `packet_monitor` apresenta várias limitações. Não é possível ter 100% de certeza de que um quadro relatado como enviado tenha sido realmente enviado. Por exemplo, erros no adaptador podem impedir que o quadro seja enviado. Além disso, quadros recebidos com erros, como um erro de CRC, não serão enviados para o upstream para que o packet_monitor possa vê-los. Como o packet_monitor não coloca o adaptador no modo promíscuo, apenas os quadros endereçados ao adaptador ou ao endereço de broadcast serão passados para o upstream. Um link pode estar 90% ocupado enquanto o packet_monitor relata apenas 1 quadro por segundo, pois esse é o único quadro endereçado ao adaptador ou ao endereço de broadcast.
Em geral, os monitores baseados no host, como o packet_monitor, só são úteis como complemento a outras formas de rastreamento ou quando não há nenhuma outra forma de rastreamento de rede disponível.
Espelhamento de porta, também conhecido como SPAN (Switch Port for ANalysis)
Uma porta de espelhamento ou porta span é uma porta em um switch que replica todo o tráfego detectado em uma ou mais portas (ou mesmo em uma VLAN) do switch. A porta de espelhamento deve estar conectada a um dispositivo de monitoramento de rede. Esse dispositivo pode ser um aparelho específico para essa finalidade ou um PC rodando Linux ou Microsoft Windows com um monitor baseado em host, como o Wireshark (http://www.wireshark.org/) ou o tcpdump. As portas espelho são fáceis de configurar, exigindo apenas a digitação de alguns comandos no switch.
Infelizmente, há várias desvantagens importantes no uso de uma porta espelho. Primeiro, a porta deve estar configurada corretamente. Portas configuradas incorretamente podem levar à perda ou duplicação de quadros no rastreamento de rede. Segundo, os switches não replicam quadros que apresentem qualquer tipo de erro; portanto, esses quadros não serão rastreados. Terceiro, um switch ocupado pode descartar quadros em vez de replicá-los para a porta espelho. Em quarto lugar, uma porta espelho que esteja aceitando quadros de uma VLAN inteira, de várias portas de switch ou mesmo de apenas uma porta full duplex pode ficar sobrecarregada e, assim, descartar alguns quadros. Em quinto lugar, erros introduzidos entre o switch e o host não podem ser vistos pelo aplicativo de monitoramento de rede conectado a uma porta de switch completamente diferente. Da mesma forma, erros introduzidos entre a porta espelho e o aplicativo de rede darão ao aplicativo de rede uma visão distorcida do que o host realmente recebe do switch.
Taps de rede
Os taps são dispositivos passivos que se conectam entre o switch e o host; eles literalmente se conectam à rede. Assim como uma porta de espelhamento, eles devem estar conectados a um dispositivo de rede, mas apresentam menos desvantagens do que uma porta de espelhamento.
Primeiro, normalmente não há necessidade de configuração; basta conectá-lo e ele funciona. Segundo, os taps mais avançados dependem da alimentação apenas para replicar quadros para a porta de monitoramento e possuem fontes de alimentação duplas para garantir a confiabilidade da atividade de replicação. Se houver uma falha de energia, esses taps continuarão a encaminhar quadros entre as portas de rede; apenas a replicação é interrompida. Em terceiro lugar, um tap tem apenas uma função, que é replicar e encaminhar quadros para o aplicativo de monitoramento de rede. É muito menos provável que um tap seja sobrecarregado por um alto volume de tráfego. Além disso, os taps agregadores possuem espaço de buffer para que possam encaminhar altos volumes de tráfego em um link full-duplex sem perder quadros. É claro que uma taxa alta sustentada ainda pode sobrecarregar o buffer. Os taps agregadores também permitem combinar várias entradas. Por exemplo, um dispositivo de duas portas permite monitorar tanto o adaptador ativo quanto o de espera de um par de adaptadores duplex. Isso garante o monitoramento contínuo mesmo que ocorra uma failover do adaptador. Por fim, ao conectar o tap no adaptador do host, você tem a melhor garantia possível de que o dispositivo de monitoramento de rede verá todos os quadros saindo do adaptador do host e todos os quadros chegando do switch ao adaptador do host.
Uma desvantagem comum a muitos taps com porta espelho é que eles descartam quadros danificados. Como muitos dispositivos de monitoramento de rede, especialmente aqueles que são apenas PCs equipados com hardware Ethernet padrão, também descartam quadros danificados, os fabricantes de taps não consideram isso uma falha crítica.
Para mais comentários sobre taps versus portas de switch, consulte http://www.lovemytool.com/blog/2007/08/span-ports-or-t.html ou http://taosecurity.blogspot.com/2009/01/why-network-taps.htm ou digite “network taps and span ports” no seu mecanismo de busca preferido.
Desafios do monitoramento
O primeiro desafio é decidir quando monitorar e por quanto tempo. Idealmente, os links críticos da rede em um sistema de produção devem ser monitorados continuamente. Identificar um problema logo na primeira ocorrência e ter um rastreamento de rede em mãos é muito mais rápido do que deparar-se com um problema, configurar o monitoramento e tentar reproduzi-lo ou esperar que ele aconteça novamente. Os arquivos de rastreamento podem ser grandes; uma carga de 50% em um link de gigabit produz aproximadamente 62,5 megabytes por segundo ou 3,75 gigabytes por minuto. Os arquivos de rastreamento não precisam ser mantidos por mais tempo do que o seu pior tempo de resposta. Se você puder responder a um problema relatado em uma hora, então só precisa manter uma hora de dados de rastreamento. Quanto mais dados de rastreamento você salvar, mais margem de manobra terá para responder ou para reconhecer que houve um problema que precisa ser investigado. Discos de grande capacidade são relativamente baratos, pelo menos em comparação com o custo de uma interrupção, portanto, considere adquirir uma ou mais unidades de disco de um terabyte para armazenar os dados de rastreamento.
Manter esse nível de monitoramento pode ser difícil quando se utiliza uma porta de span. Em uma rede complexa, os administradores de rede são solicitados em várias frentes, e pode ser difícil manter uma porta de span e um monitoramento contínuo para o caso de algo dar errado.
Por outro lado, um tap de rede instalado próximo ao host é dedicado exclusivamente a esse host. Você pode adquirir um dispositivo sofisticado de monitoramento de rede ou começar usando um PC básico com um disco rígido de 1 terabyte, rodando Linux ou Windows, e executando o programa tshark (a interface sem GUI do Wireshark). Essa configuração fornecerá 266 minutos de dados de rastreamento (considerando uma taxa de dados de 500 Mbps) e é perfeitamente adequada para a maioria dos propósitos. Você pode comprar um disco de 1 terabyte por menos de US$ 100 se pesquisar bem.
O bom funcionamento da rede subjacente é essencial para que uma aplicação esteja sempre disponível. Esforce-se para capturar regularmente um registro preciso da atividade da rede. Quando surgirem problemas, você poderá resolvê-los rapidamente, sem precisar esperar que eles se repitam. Além disso, você também poderá analisar os dados desse registro e descobrir aspectos da sua rede que antes estavam ocultos.pacotes