4 coisas que a sua equipe de operação de redes deve saber sobre suas redes de acesso | NETSCOUT
| Notas de Aplicativo |

4 coisas que a sua equipe de operação de redes
deve saber sobre suas redes de acesso

Na última década, as empresas têm se tornado cada mais dependentes de funcionários e clientes conectados para envolvê-los quando planejam e realizam seus negócios. Além disto, a popularidade da internet das coisas (Internet of Things, IoT) baseada em nuvem que realiza a comunicação máquina a máquina (M2M) estabeleceu uma relação de amor e ódio com a equipe de operação de TI, pois muitos desses dispositivos podem operar na rede sem o conhecimento dela, apresentando devastadores riscos potenciais de segurança e operacionais. Nem precisamos dizer que a rede comutada que finalmente conecta todas as coisas evoluiu e está se tornando mais complexa tanto de um ponto de vista de configuração quanto de segurança. Este white paper debate o estado da rede comutada e os principais atributos aos quais a equipe de operação de TI deve ter visibilidade. Este artigo debate as melhores práticas que ajudarão a tornar a equipe mais eficiente para manter controle da rede comutada, melhorar a colaboração da equipe de TI e manter as pessoas e coisas conectadas funcionando.

As redes comutadas de hoje

O papel da rede comutada mudou ao longo dos anos desde que foi concebida pela primeira vez no começo dos anos 90. Com a implantação de mais usuários de dispositivos móveis e mais produtos "traga o seu próprio dispositivo" (bring-your-own-device, BYOD), a rede comutada assumiu um papel mais importante em manter conectados os mais diversos tipos de dispositivos finais enquanto mantém a segurança da rede corporativa. Vejamos as quatro principais funções das redes comutadas de hoje, para que a equipe de operação de redes possa manter o controle e as melhores práticas sugeridas:

Principais funções Principais atributos para gerenciar
Conectividade Oferecer Power over Ethernet, Duplex, Velocidade para o dispositivo e o mecanismo de controle de ligação para viabilizar isto.
Autenticação e endereçamento Dispositivo e mecanismo de autenticação de usuário, e o serviço de fornecimento de endereço e acesso.
Roteamento O comutador e a topologia VLAN, e os serviços de roteamento de pacotes, tais como DNS, Gateway, NAT, que entregam os pacotes de IP do cliente para o seu destino.
Eficiência Característica de largura de banda do caminho de rede, perda de pacotes, retardo e jitter que afeta a eficiência da transmissão e, portanto, a experiência do usuário.

Como uma rede comutada trabalha em conjunto para conectar e dar acesso a dispositivos conectados

Conectividade

Conectividade de energia
Power over Ethernet se tornou um modo popular para energizar dispositivos finais, pois reduz o custo de implantação e manutenção. Muitos dispositivos de rede, tais como pontos de acesso, telefones VoIP e, mais recentemente, IoTs, são todos virtualmente energizados por PoE exclusivamente. PoE tem potência avaliada por padrões IEEE802,3, e os dispositivos são classificados com base em sua tensão e voltagem. Há dois tipos de dispositivos PoE:

  1. Equipamento de fonte de energia (Power Supply Equipment, PSE) que fornece energia no cabo ethernet. Em nova implementação, o PSE é geralmente o comutador e é comumente chamado de endspan. Um injetor de PoE, chamado midspan, pode ser posto entre um comutador não PoE e o dispositivo energizado por PoE como uma retromontagem. Com base no padrão PoE que o PSE suporta, ele se encaixa em um TIPO de PoE, 0 – 4 (ver tabela 1). PSEs podem operar em dois modos: o Modo A PSE fornece energia usando os pares 12, 36 nos 4 cabos pares UTP e o Modo B PSE usa os pares reservas 45 e 78. É importante observar que o PSE define de qual modo a energia é oferecida. O padrão não requer que o PSE suporte tanto o Modo A quanto o Modo B.
  2. Dispositivo energizado (Powered Device, PD) é um dispositivo energizado por um Equipamento de suprimento de energia e, assim, consome energia. PD compatível com 802.3at e 802.3at deve ser capaz de suportar TANTO os modos A QUANTO B. Com base na voltagem do PD, ele se encaixa na Classe de PoE, 0 – 4 (ver tabela 2).

 

Tipo de POE Nome comum Padrão relacionado Pares usados Potência máx. para a porta PSE Potência máx. para PD
1 PoE 802.3af 2 15,4 W 12,95 W
2 PoE+, PoE Plus 802.3at 2 30 W 25,5 W
3 PoE de 4 pares, PoE++, UPoE# 802.3bt* 4 60 W 51 W
4 Potência maior de PoE 802.3bt* 4 100W

Tabela 1: Tipos de PSE de PoE
n.º: UPoE é uma referência de classificação exclusiva da Cisco em sua Solução "Digital Ceiling".
*: 802.3bt é um padrão proposto pela IEEE que está programado para ser ratificado no começo de 2018.

Classe de PD de PoE Tipo/padrão Tensão DC em PSE Tensão DC em PD Potência mín. a partir da porta PSE Potência usada por PD
0 1 / 802.3af 44-57 V 37-57 V 15,4 W 0,44 – 12,95 W
2 1 / 802.3af 44-57 V 37-57 V 4,5 W 0,44 – 3,84 W
3 1 / 802.3af 44-57 V 37-57 V 7,5 W 3,84 – 6,49 W
4 1 / 802.3af 44-57 V 37-57 V 15,4 W 6,49 – 12,95 W
4 1 / 802.3at 50-57 V 42,5 – 57 V 30 W 12,95 – 25,5 W

Tabela 2: Classes de PD de PoE

O padrão 802,3 define o LLDP a ser o protocolo usado pelo PD para se comunicar com o PSE e a classe à qual ele pertence, para que o PSE possa fornecer a tensão/corrente correta. Mas há dispositivos PoE no mercado que usam protocolos exclusivos, tais como o Cisco Discovery Protocol (CD), antes de o padrão ser ratificado. Nem todos os dispositivos PoE são completamente compatíveis com o padrão, portanto, precisamos verificar.

O que poderia dar errado:
O desafio para a equipe de operação de redes é que, quanto mais e mais PD de diferentes classes são implementados na rede, o orçamento de potência do PSE, bem como a interoperabilidade entre o PD e o PSE, precisam ser gerenciados e compreendidos. Além disso, nem todas as implementações de PoE são compatíveis com padrões, nem com sistema existente de cabeamento capaz de suportar PoE.

Sintoma Causas possíveis
Não consegue energizar 1. Falha do cabo:
  • a. aberto/curto-circuito
  • b. Cabo de 2 par usado com PSE MODO B.
2. PSE e PD incompatíveis; diferente Tipo ou Modo
3. Porta PSE não habilitada para entregar PoE
4. PSE e/ou PD não são totalmente compatíveis (por ex., o PD não tem 25 ohms nos pares energizados nem suportam tanto o Modo A quanto B).
5. PSE não tem provisão de potência o bastante para suportar energizar todos os PDs conectados a ele.
Cai intermitentemente 1. Falha do cabo:
  • a. comprido demais (>100 m)
  • b. muita resistência
2. PSE não tem provisão de potência o bastante para suportar todos os PDs conectados rodando com consumo total de potência (por ex., quando as câmeras de segurança motorizadas estão vasculhando).

Melhores práticas:

  1. Treine a sua equipe para compreender como funciona o PoE.
  2. Leia atentamente a especificação do equipamento e implemente apenas os dispositivos em conformidade com o padrão. Evite PSE compatível com midspan não padrão, tais como cabos-Y de Ethernet (que já não devem ser usados) ou os chamados "Separadores passivos PoE de 8 portas", que simplesmente impulsionam o abastecimento de 48 VCC para todos os pares "ociosos".
  3. Documente a voltagem de PSE e PDs.
  4. Ao trocar e adicionar PDs, verifique para assegurar que o PSE pode suportar todos os PDs conectados a ele.
  5. Ofereça ferramentas e procedimentos padronizados para a equipe para validar a integridade de PD, PSE e cabo durante a implementação e a resolução de problemas (por ex., verifique se a tensão e a voltagem no lado do PS estão disponíveis e cumprem o requisito).

 

Conectividade da ligação

A outra consideração quando se tratam de dispositivos conectados é o processo de ligação entre o dispositivo e a rede. A primeira coisa a levar em consideração é que o cabo entre o dispositivo final e o comutador deve ser capaz de suportar a ligação. A maioria dos sistemas estruturados de cabeamento requer que todos os quatro pares sejam conectados e certificados com comprimento < 100 m durante a implementação. Isso será suficiente para suportar todas as redes até 1 Gbps, como mostrado na tabela abaixo. A tabela 2 abaixo mostra o padrão mínimo de cabo que é exigido para suportar diferentes tipos de implementações. Durante a atualização, é importante recertificar o sistema de cabeamento para evitar que o desgaste normal ou alterações não documentadas causem problemas.

Padrão Nível de certificação Par usado
10BASE-T Cat3 12 e 36
100BASE-T Cat5 12 e 36
1000BASE-T Cat5 12, 36, 45, 78

O processo de ligação é negociado entre o dispositivo final e o comutador para estabelecer velocidade, duplex e pares de cabo para permitir que a comunicação de dados ocorra. Isso tem se tornado um problema menor, pois a autonegociação tem sido a configuração padrão em portas de comutador e cartão de interface de rede (Network Interface Card, NIC), deixando a interoperabilidade geralmente mantida e bem compreendida. A seguinte tabela mostra a situação de erro e acerto, quando o NIC ou o comutador é configurado manualmente para usar uma velocidade específica e/ou duplex. A regra geral é: se um lado for forçado, o outro lado precisa ser forçado igualmente. Quando um lado está autonegociando, o outro lado também deve estar. Mesmo no caso em que a ligação é estabelecida quando um lado está configurado como automático e o outro não, é altamente possível que o lado automático tentará periodicamente renegociar, causando perda temporária da ligação. À medida que o preço do comutador de 10G cai, mais comutadores com portas de 1/10G começam a ser implementados. Na maioria dos casos, uma porta de 1/10G do comutador não suporta meio duplex ou autonegociação. Portanto, tanto a porta do comutador quanto o NIC precisam ser compatíveis para que a conexão ocorra.


Resultado do link do comutador de Ethernet de 10/100/1000Mbps e do NIC com base nas configurações do link

O que poderia dar errado:

Sintoma Causa
Não consegue estabelecer ligação (sem luz de ligação) Falha no cabo
  - aberto, curto-circuito no par de transmissão
SFP de fibra incorreto usado: modo único vs. multimodo
Disparidade na configuração de ligação entre comutador e NIC
Velocidade de ligação/duplex menor que a ideal e reconexão intermitente O NIC ou o comutador foi configurado como autonegociar enquanto o outro foi configurado como taxa fixa para link de 10/100/1000Mbps
Falha no cabo
  - pares divididos

Melhores práticas:

  1. Sempre use autonegociação para NIC e portas de comutador em portas de 10/100/1000Mbps. Se for uma porta de comutador de 1/10G, codifique manualmente a velocidade necessária.
  2. Documente as configurações de porta de comutador e o caminho estruturado de cabeamento usado e, mais importante, faça com que as informações fiquem facilmente acessíveis a todos os membros da equipe.
  3. Ofereça um modo fácil para verificar a configuração atual do link da porta do comutador, seja usando diretamente LLDP ou pelo sistema de gerenciamento. O melhor modo é ter uma ferramenta passiva que possa ser conectada inline entre o NIC e o comutador para observar a capacidade da ligação ofertada e a ligação/duplex que o par estabeleceu.

 


A porta do comutador pode ser testada para PoE em relação a tipo/classe de PoE e exibir o TruePower™ para a classe de PD.

O teste de ligação exibe a capacidade da ligação da porta do comutador.

Análise inline mostrando a velocidade/duplex anunciada e usada entre o comutador e o dispositivo.

Autenticação

Antes que um dispositivo possa começar a se comunicar com outros dispositivos na rede, ele terá de passar por um processo de autenticação com três propósitos: segurança, endereço e fornecimento de acesso. A autenticação permite que um dispositivo autorizado acesse a rede, mas também previne que um dispositivo não autorizado se conecte à rede.

No passado, apenas dispositivos Wi-Fi exigiam autenticação, enquanto que os conectados por cabo eram basicamente plug and play. Com a proliferação de dispositivos IoT, a autenticação de dispositivo se tornou mais importante do que nunca. Há muitos mecanismos de autenticação, mas a maioria comumente usada é baseada em 802.1x e Radius, juntamente com o serviço DHCP. Durante o processo de autenticação, como a baseada em 802.1x, há um mínimo de três partes:
  1. Requerente: o elemento que deseja ser capaz de acessar a rede, como a câmera de segurança.
  2. Autenticador: o elemento através do qual o requerente pode acessar a rede, como o comutador ou o ponto de acesso Wi-Fi.
  3. Servidor de autenticação: contém a informação que é usada para decidir se um requerente pode ou não pode acessar os recursos da rede. É normalmente um servidor rodando protocolo Radius. O mecanismo de autenticação pode ser baseado no endereço MAC do dispositivo, na conta de usuário como uma senha da SSID do convidado para BYOD, ou na certificação privada programada em um smart card de uma câmera de segurança. O exemplo abaixo mostra como uma câmera de segurança fixa em um local é autenticada. Nesse caso, o protocolo EAP é usado para segurança adicional, comumente visto durante a autenticação de dispositivo final Wi-Fi.

 

No exemplo acima, o autenticador serve como proxy para comunicar a solicitação de autenticação para o servidor de autenticação. Depois que o dispositivo é autenticado, ele pode enviar uma solicitação DHCP para o servidor DHCP local para obter um endereço de IP, mas não antes disto. É importante observar que a autenticação e o banco de endereços IP alocado precisam estar sincronizados. Peguemos a autenticação de usuário Wi-Fi como exemplo:

Depois que o dispositivo BYOD convidado for autenticado na rede pela SSID de convidado, o AP é configurado para enviar o tráfego para VLAN 1, enquanto que usuários corporativos conectados à SSID da empresa serão enviados para VLAN 101. Essas VLANs precisam ser configuradas no comutador para as redes WLAN e cada VLAN precisa estar conectada ao servidor DHCP local pelo mecanismo de transmissão 2 por camada para que o endereço IP possa ser fornecido para o dispositivo. Em alguns casos, uma ponte de protocolo DHCP, como o controlador de Wi-Fi, pode ser usada para encaminhar uma solicitação DHCP de clientes em diferentes VLANs para um único servidor DHCP. Normalmente, o endereço IP de cada VLAN é mutuamente excludente, como abaixo, de modo que clientes que pertençam a diferentes grupos possam acessar seus conjuntos diferentes de ativos de rede:

Grupo de usuários SSID - VLAN Banco de endereços IP Ativos acessíveis
Convidados Convidados 1 10.10.10.1-10.10.11.255 Largura de banda de internet limitada, impressora de convidados
Usuários corporativos Empresa 101 20.10.10.1-20.10.19.255 Internet, VPN corporativa, servidores corporativos, impressoras...
Câmeras de segurança 201 20.10.20.1-20.10.21.255 Servidores e armazenamento de vídeo
Administrador de rede NetAdmin 301 20.10.30.1-20.10.30.127 Controlador de Wi-Fi, portas de gerenciamento de comutador/roteador

Além de atribuir um endereço IP para o dispositivo, o DHCP pode oferecer informações importantes para o dispositivo final que for essencial para sua operação. Por exemplo, um telefone VoIP recebe o endereço IP do servidor de configuração que contém o endereço do gerente de chamada e n.º de porta SIP para ser usada pelo código de opção DHCP 66 (servidor TFTP) ou 150 (Servidor de configuração VoIP).
A tabela abaixo mostra as opções DHCP comumente usadas e seu n.º de código:

Código de opção DNS Descrição
1 Máscara de sub-rede (deve ser enviada após a opção de roteador, opção 3, se ambos estiverem incluídos)
3 Roteador
6 Os servidores DNS devem ser listados em ordem de preferência
15 O nome de domínio DNS deve ser listado em ordem de preferência
44 Servidor WINS (servidor de nome NetBIOS)
45 Servidor de distribuição de datagrama NetBIOS (NetBIOS datagram distribution server, NBDD)
46 Tipo de nó WINS/NetBIOS
47 ID do âmbito NetBIOS
51 Tempo de locação
66 Nome de servidor TFTP (RFC2132) ou no campo de nome (RFC2131)
150 Endereço(s) IP de servidor(es) de configuração VoIP [tem precedência em relação à opção 66 (RFC5859)]

O que poderia dar errado:

Sintoma Causas possíveis
Não consegue obter endereço IP Problema de autenticação
  - Configuração incorreta de dispositivo final (protocolo de autenticação, certificado incorreto)
  - Nenhuma configuração de dispositivo final no servidor de autenticação
Nenhum endereço IP disponível
  - Banco de endereços IP insuficiente
Problema de rede
  - Servidor DHCP não acessível a partir do VLAN
Endereço IP incorreto Problema de rede
  - VLAN incorreto atribuído
Servidor DHCP incorreto ou não autorizado oferece endereço IP quando vários servidores DHCP estão presentes

Melhores práticas:

  1. Documente a configuração VLAN nos comutadores, portas de uplink de comutador a comutador, VLAN para grupo de usuário/correlação de endereço, DHCP fornecido para cada VLAN/domínio de transmissão.
  2. Torne a documentação acessível aos membros da equipe responsáveis por configurar e solucionar problemas das redes comutadas.
  3. Tenha um fluxo de trabalho e procedimentos de teste padronizados que permitem que qualquer membro da equipe verifique a configuração do comutador do local do cliente até a VLAN e o endereço apropriados.
  4. Tenha ferramentas que possam oferecer visibilidade para todas as respostas de DHCP a partir da rede para detectar servidores DHCP não autorizados, o endereço IP e as opções fornecidas para o cliente pela credencial do usuário.

 


O OneTouch AT suporta 802.1x com EAP para simular o do cliente.

Determine se várias respostas DHCP são recebidas e quais eram os parâmetros oferecidos.

Obtenha visibilidade para VLANs configuradas em portas de comutador e outros status, como a utilização e o n.º de dispositivos conectados.

Roteamento

Uma vez que o dispositivo final obtenha um endereço IP e informações-chave de configuração, ele pode então se comunicar com outros dispositivos na rede. Rotear é o mecanismo fundamental que a rede usa para conectar vários dispositivos baseados em IP através de redes privadas e de propriedade pública. Há vários serviços principais e fundamentais na rede para viabilizar esta função que a equipe de operação de rede deve conhecer ou se tornar ciente:

Elementos de roteamento Descrição
- VLAN LAN Virtual é um mecanismo de camada 2 que permite que os comutadores agrupem dispositivos finais e portas de comutador em um domínio de transmissão.
Roteador Um roteador é um dispositivo que une redes e roteia tráfego entre elas. Um roteador terá pelo menos dois cartões de interface de rede (network interface cards, NICs), um conectado fisicamente a uma rede e o outro fisicamente conectado a outra rede. Alguns roteadores podem ser configurados para apenas permitir tráfego em certas portas bem conhecidas. Aplicativos que são executados em protocolo com portas especiais exigirão alteração de configuração para abrir tais portas.
DNS Um servidor de nome de domínio, também chamado servidor DNS ou servidor de nome, gerencia uma base de dados enorme que mapeia nomes de domínios para endereços IP. Quando você insere um URL em seu navegador web, o servidor DNS padrão usa seus recursos para resolver o nome para o endereço IP do servidor web apropriado.
NAT A Tradução de endereço de rede (Network Address Translation) permite que um único dispositivo, como um roteador, atue como agente entre a internet (ou "rede pública") e uma rede local (ou "privada"). Isso quer dizer que apenas um ou alguns poucos endereços IP reconhecidos são necessários para representar um grupo inteiro de dispositivos com endereços IP não reconhecidos.

O modo como esses serviços trabalham juntos pode ser resumido como os seguintes exemplos:
Clientes se comunicando com um servidor na intranet

  1. O cliente sabe o nome do servidor
  2. O cliente envia a solicitação para o DNS IP padrão (parâmetro a partir de DHCP)
      a. Se o DNS padrão não estiver na mesma sub-rede de IP, envie a solicitação para o roteador padrão em sua VLAN.
      b. O roteador encaminha a solicitação para a porta do roteador conectada à sub-rede DNS IP, e a VLAN ID provavelmente se alterará.
  3. O servidor DNS responderá com o endereço IP do servidor da intranet pelo roteador, se necessário.
  4. Envie a solicitação de conexão para o endereço IP do servidor da intranet novamente pelo roteador, se necessário.
  5. O roteador encaminha a solicitação para a porta do roteador conectada à sub-rede da intranet e a VLAN ID se alterará.
O cliente se conecta à internet.
  1. Os primeiros quatro passos são os mesmos da comunicação ao servidor de intranet, excetuando que o nome do servidor pode ser um website por um navegador web
  2. O roteador encaminha o pacote de IP para a porta do roteador conectada ao link de internet
  3. Se for usada NAT, a NAT alterará o endereço de origem do cliente A para um endereço público reconhecível antes de encaminhar para o link de internet.

 

O que poderia dar errado:

Sintoma Causas possíveis
Todos os usuários da mesma VLAN não podem ser conectar ao servidor da intranet Falha de endereço IP incorreto ou do DNS padrão
Roteador não alcançável ou falhou
Caminho do tronco da VLAN rompido ou com excesso de assinatura
Todos os usuários da mesma VLAN não podem ser conectar à internet Porta do roteador ou link para a internet inoperante
Roteador não alcançável ou falhou
DNS não alcançável ou falhou
NAT falhou
Alguns aplicativos não conseguem ser executados O roteador talvez tenha bloqueado a porta de protocolo requerida pelo aplicativo
Chamada VoIP não funciona Gerente de chamada não alcançável?
Informação de configuração do servidor DHCP VoIP não disponível ou configurada incorretamente?

Melhores práticas:

  1. Durante a instalação, tenha ferramentas e procedimentos padronizados para que os técnicos possam testar a acessibilidade e o caminho até o roteador local e os servidores essenciais, intranet e internet, a partir de uma ponta VLAN usando cada credencial.
  2. Documente o roteador padrão correto, o endereço DNS IP que deve ser fornecido para o cliente com base na credencial do usuário/dispositivo para consulta durante a resolução de problemas. Faça com que a informação seja acessível para a equipe.
  3. Para a resolução de problemas, tenha as ferramentas que possam exibir a rota de rastreamento e o caminho de comutador usados, e observe o processo de aprovação/reprovação de DNS ao acessar ativo além da sub-rede local/domínio de transmissão.

 


Conduza a conexão TCP para verificar a resolução de DNS, a conectividade até o servidor e o tempo de resposta de ambos.

Verifique se o gateway/roteador padrão é alcançável.

Determine os caminhos do comutador entre a porta do comutador e o dispositivo-alvo.

Eficiência

Com a conectividade, a autenticação e o roteador verificados, a última coisa, porém não menos importante, é assegurar que a rede possa ajudar a produzir o tráfego do aplicativo com eficiência. Há vários fatores-chave que podem afetar a experiência do usuário do aplicativo por causa da rede:

  1. A largura de banda disponível pode afetar a classe de fornecimento de serviço, especialmente em links WAN, bem como a quantidade de carga da rede.
  2. O caminho de rede usado pode afetar a latência transversal, bem como a largura de banda disponível.
  3. Dispositivos inteligentes, como um balanceador de carga e aceleradores de WAN, que podem fazer a reengenharia da transação do aplicativo.
Como o projeto da rede em grande medida dita esses fatores, a responsabilidade da equipe de operação de redes é validar o projeto, de modo que a rede seja capaz de suportar o aplicativo antes de ser implementado e que não tenha carga e também após a rede ter sido implementada para uso. Os parâmetros de teste mais comumente testados são: taxa de informação (information rate, IR) ou largura de banda, jitter, retardo e perda de pacotes. As três abordagens de teste de rede mais comumente usadas são iPerf, IETF RFC2544 e ITU Y.1564. A tabela abaixo mostra a comparação entre os três testes:

 

  RFC2544 iPerf Y.1564
Tipo de frame Apenas UDP TCP, UDP UDP
Principais testes de rede Taxa de informação, retardo e perda de dados. Jitter é opcional TCP: Taxa de informação
UDP: Taxa de informação
retardo, jitter e perda de dados
Taxa de informação, retardo, jitter e perda de dados, CBS e EMS
Principais parâmetros sintonizáveis IPv4, DSCP, TOS e VLAN;
Tamanhos dos sete frames (byte):
64, 128, 256, 512, 1024,
1280, 1518; Mesmo n.º de porta
enviar e receber
IPv4 ou IPv6,
DSCP, TOS e VLAN;
TCP: Bytes totais enviados,
MTU/MSS, tamanho da janela TCP
e do arquivo para enviar; UDP:
frame definido pelo usuário; tamanho
Enviar e receber n.º de porta dif.
IPv4 ou IPv6,
Rótulo da camada 3: MPLS,
802.1p, 802.1ad,
DSCP e COS;
Perfil do stream: MTU,
CIR, EIR, EMIX;
Enviar e receber n.º de porta dif.
N.º de conexões simultâneas Um Múltiplas Múltiplas
plataformas de HW Equipamento profissional de teste Computador com Windows/Linux/Unix instalado Equipamento profissional de teste
Vantagens Configuração simples para a largura de banda máxima Teste de TCP e UDP;
Teste de vários fluxos;
grátis sob licença BSD
Teste de TCP e UDP;
Teste de vários fluxos;
tempo de teste breve
Desvantagem Apenas UDP
Requer HW dedicado
Taxa de transmissão serva para a interface com o usuário com linha de comando do driver NIC Configuração complexa não típica em instalação LAN; requer HW dedicado

Destas três abordagens de teste, o RFC2544 é o primeiro a ser usado e ainda é o mais comumente usado. Ele tem sido suficiente para validar desempenho de rede de ponta a ponta. O iPerf tem ganhado popularidade na comunidade de engenheiros de rede por sua habilidade de realizar testes de largura de banda com fluxos de TCP e por seu baixo custo de implementação. O Y.1564 tem sido usado principalmente para teste de ligação de rede Metro, quando um SLA é necessário. Ele não tem sido amplamente adotado em instalação.

O que pode fazer com que o aplicativo fique lento?
Quando um usuário reclama que o desempenho da rede é lento, há algumas perguntas a serem feitas para determinar se a rede é o problema:
  a. Qual aplicativo é afetado? voz/dados em tempo real ou tráfego de dados
  b. Se não for um aplicativo corporativo, faça perguntas para determinar se os fluxos do aplicativo estão contidos dentro da rede corporativa.
  c. Quantos clientes são afetados? Como é a relação entre esses clientes?

Sintoma Qual pode ser o problema
Todos os usuários de apenas um aplicativo da intranet perceberam um desempenho lento O aplicativo ou o servidor tem um problema;
A rede que leva ao(s) servidor(es) do aplicativo está ruim
Todos os usuários de um aplicativo da internet perceberam um desempenho lento Problema com o aplicativo da internet;
Fluxo do aplicativo da internet bloqueado
A experiência de um usuário com um aplicativo foi ruim Dispositivo do cliente ou configuração da conta;
Problema de conectividade do cliente à rede, especialmente se estiver conectado pelo Wi-Fi
Alguns usuários na mesma VLAN perceberam um desempenho ruim Problema de caminho de rede da VLAN ao aplicativo
Problema de provisionamento de grupo da VLAN

Melhores práticas:
Durante a implementação:

  1. Realize um teste de desempenho de rede para ligação de ponta a ponta entre caminhos essenciais até a largura de banda máxima do link mais fraco e em relação ao requisito SLA do link mais fraco. Se não houver o parâmetro SLA disponível, a seguinte diretriz pode ser usada: retardo de ponta a ponta unidirecional < 150 mseg, jitter < 100 mseg e perda de pacote < 1%.
  2. Documenta o resultado do teste da ligação para referência futura.
Durante a solução do problema:
  1. Se for um aplicativo TCP, tente realizar um teste de conexão TCP com o servidor. Se o teste for concluído com 100% de pequeno retardo, é muito provável que o próprio servidor seja o problema, não o retardo da rede. O próximo passo é provar que a perda de pacotes no caminho da rede entre o cliente e o servidor é boa para eliminar totalmente a rede como causa. Normalmente, queremos que seja < 1% na taxa que a taxa de informação máxima exigiu para o aplicativo. Se o servidor estiver fora da rede corporativa, você apenas precisará verificar até o ponto antes de o fluxo deixar a rede.
  2. Se o aplicativo for de voz/vídeo em tempo real, alguns telefones VoIP podem dar a estatística de jitter/perda de pacotes da chamada. Caso contrário, você pode realizar um teste RFC2544 ou iPerf em relação ao ponto final desejado. Voz e vídeo comuns requerem retardo de ponta a ponta unidirecional de < 150mseg, jitter < 40 mseg e perda de pacotes < 1%, na taxa de fluxo UDP próxima da taxa do fluxo de voz/mídia.
  3. Documente todos os resultados do teste. Se não for a rede, tente capturar a transação do aplicativo em ambas as extremidades do aplicativo: perto do cliente e do servidor. A melhor abordagem é capturar o tráfego usando TAP embutido ou através de SPAN/porta de espelho.

 



Exercite a conectividade para o servidor do aplicativo e verifique a resolução de DNS e o tempo de resposta roteada para ambos.

Assegure o desempenho do link cabeado com o roteador por meio dos testes de desempenho do OneTouch AT. Meça a taxa de transferência para cima e para baixo até 1 Gbps, bem como perda, jitter e retardo.

Capture pacotes embutidos entre o comutador e o dispositivo e aplique o filtro para armazenar a informação relevante para SD-RAM.

Juntando tudo isso

Para que a equipe de rede seja eficiente em dar suporte às redes comutadas de hoje, a equipe precisa estar atualizada sobre as tecnologias que fazem com isso seja possível. É também essencial que membros da equipe compartilhem informações com eficiência, não apenas sobre conhecimento, como a configuração feita para a rede, mas também informações no local durante a resolução de problemas ou a implementação. Apesar do melhor esforço, nem todos os membros da equipe têm o mesmo nível de habilidade. Há muitos freewares e ferramentas disponíveis no mercado, mas nem todos os membros da equipe têm o conhecimento para utilizar as ferramentas, bem como para interpretar e compartilhar os resultados do teste. Freeware também é conhecido pela falta de documentação e relatório de teste que possa ser facilmente compartilhado. A capacidade de saber e compartilhar informação em tempo real sobre a rede não apenas melhora a colaboração entre as equipes durante a resolução do problema, ela também serve de modo importante como evidência quando terceiros, como prestadores de serviço, precisam ser chamados para solucionar um problema causado por eles.


As ferramentas portáteis de teste de rede da NETSCOUT não apenas dão às equipes de operação de redes os meios para ganhar visibilidade, a família de ferramentas oferece dois atributos importantes que ajudam a equipe a ser mais eficaz.

1. Teste automatizado para suportar procedimento programável de teste padronizado.
As ferramentas oferecem um autoteste que fornecerá visibilidade para todos os quatro aspectos da rede comutada apertando um botão com limites de aprovação/reprovação e relatórios automatizados programáveis pelo usuário. Três opções estão disponíveis, oferecendo diferentes níveis de detalhe e profundidade de teste:

Recursos do AutoTest             LinkSprinter
            LinkRunner
            OneTouch AT
Conectividade – PoE Tipo 1 Tipo 1 e 2 com
TruePower
Tipo 1 e 2 com
TruePower
Conectividade - Ligação 10/100/1000Mbps
Cobre
10/100/1000Mbps
Cobre ou fibra
10/100/1000Mbps
Cobre ou Fibra e
até 802.11ac
Conectividade – ID do comutador Relatórios LLDP/CDP
Nome do comutador/n.º da porta
Relatórios LLDP/CDP
Nome do comutador/n.º da porta
Relatórios LLDP/CDP
Nome do comutador/n.º da porta
Autenticação 802.1x/EAP 802.1x/EAP
Endereço DHCP e estático DHCP e estático DHCP e estático
ID da VLAN
Roteamento Gateway,
Ping 1 dispositivo IP com
resolução de DNS
Gateway,
Ping 10 dispositivos IP com
resolução de DNS
Gateway,
Ping, conexão TCP,
E-MAIL, FTP, IGMP,
Teste WEB para n.º
de dispositivos definíveis por usuário
Eficiência Tempo de resposta para teste de Ping Tempo de resposta para teste de Ping Tempo de resposta para
teste de roteamento
RFC2544 até 1 Gbps
Ferramentas notáveis • Visualizar resultado do teste
pela Wi-Fi a partir de
Aplicativo móvel
• Energizado por PoE ou bateria AA
• Distância para falha
• Gerador de tom para
traçador de cabos
• Mapa de fiação para teste
de cabo
• Distância para falha
• Captura de pacotes
• PoE embutido e análise de VoIP
• Descoberta de dispositivos e
relatório de inventário
• Controle remoto
• Distância para falha

Tabela: Principal comparação de recursos entre Teste portátil de rede para redes comutadas

2. Fluxo de trabalho colaborativo com portal em nuvem para armazenamento e compartilhamento de resultado de teste.

Para viabilizar visibilidade e colaboração pela equipe de operação de rede, todas as ferramentas portáteis de teste da NETSCOUT compartilham um banco de dados de gestão de resultado e relatório baseado na nuvem chamado Link-Live. É um serviço grátis baseado na nuvem que suporta upload automatizado de resultados de teste a partir de todas as ferramentas portáteis. Durante a implementação da rede, um relatório de progresso pode ser gerado facilmente, mostrando as portas do comutador testadas a cada dia, sua velocidade de ligação e distribuição duplex, e resultados de teste de PoE. Durante a solução de problemas, resultados de testes anteriores de uma porta de comutador podem ser comparados em relação a resultados de testes atuais para uma rápida identificação de alteração.

 

Fig.: Painel de resultado do Link-Live mostrando o resumo dos resultados do teste

Fig.: Resultados expandidos do teste mostrando informações detalhadas

Fig.: Relatório de resumo do Link-Live mostrando progresso a partir da perspectiva dos resultados do teste durante um período de tempo

Conclusão

As redes comutadas evoluíram a partir de dispositivos se conectando simplesmente à rede até fornecer energia, autenticando um dispositivo e usuário, e roteando o seu tráfego com eficácia e automaticamente. A equipe de operação de rede precisa manter o seu conhecimento da tecnologia adotada, bem como sobre como ganhar visibilidade para construir e fazer alterações em sua rede comutada, especialmente em torno do limite, onde dispositivos e usuários estão se movendo constantemente e novos dispositivos M2M são adicionados. Ter uma melhor prática que permita a padronização do procedimento de teste, compartilhamento de informação, de design e configuração até status no local em tempo real, melhorará a eficiência geral da equipe. As ferramentas portáteis de teste de rede da NETSCOUT oferecem os melhores recursos de teste de sua categoria e procedimentos automatizados de teste que permitem que a equipe de operação de redes seja eficiente e assuma controle dos 4 principais aspectos das redes comutadas.

 
 
Powered By OneLink