Neste Apêndice é descrita a metodologia de medição do tráfego IP adotada para o cálculo do tempo de processamento em servidores AAA implementando protocolo RADIUS [11] e são mostrados os resultados obtidos das análises realizadas.
Para a realização das medidas foram levantados os horários de maior movimento na rede objeto, com base em dados estatísticos disponibilizados pelo operador da rede. Para os dados de atraso do protocolo RADIUS foram feitas medidas do tráfego IP na interface de rede em um dos servidores de AAA em produção da rede da operadora de telefonia Brasil Telecom. Este servidor é responsável pela autenticação de todos os usuários do serviço de banda larga da operadora e implementa as funções de: RADIUS-proxy para outros servidores AAA no caso de autenticação de usuários com conta em domínios não geridos pela operadora; autenticação para usuários com conta em domínios geridos pela operadora; autorização, e; contabilização das conexões e desconexões realizadas. A autenticação de usuários com domínios da própria operadora é efetuada após a consulta a uma base de assinantes LDAP externa ao servidor. No horário de maior movimento o servidor AAA medido foi responsável por uma média de 460.000 requisições RADIUS por hora, conforme os dados capturados.
As mensagens AAA foram capturadas com a utilização do comando tcpdump diretamente no servidor de AAA, na interface de rede específica para as requisições AAA RADIUS. O servidor de AAA em observação é o produto NAVIS RADIUS do fabricante Alcatel- Lucent, utiliza sistema operacional Unix Solaris 9 em hardware do fabricante SUN Microsystems e possui interfaces de rede distintas para acesso remoto, gerência e acesso de requisições de AAA via protocolo RADIUS.
Os dados capturados foram filtrados de forma a separar os diferentes conjuntos de mensagens de requisições e respostas que o servidor é responsável, a saber:
a) Requisições RADIUS recebidas de, e respondidas para os acessos de usuários finais; b) Requisições RADIUS enviadas para, e recebidas de outros servidores AAA;
As requisições RADIUS recebidas dos acessos de usuários finais foram também filtradas para separar o grupo de requisições que gerou consultas à base LDAP do conjunto de requisições que gerou requisições RADIUS a servidores AAA externos.
Os conjuntos de mensagens do protocolo RADIUS de requisições (Access-Request) e respostas (Access-Accept e Access-Reject) filtradas foram então casadas com base no endereço IP de origem e destino, no valor do byte do campo RADIUS de identificação de pacote (identifier) e no valor do atributo RADIUS user-name. A descrição dos campos e atributos do protocolo RADIUS pode ser encontrada em [11]. O conjunto de mensagens LDAP de requisição (searchRequest) e respostas (searchResEntry e searchResDone) foram casadas com base no valor dos três bytes do campo LDAP messageId e no valor do objeto LDAP uid, a descrição dos campos e objetos do protocolo LDAP podem ser encontrados em [35].
Com base nos conjuntos casados de requisição e reposta foram extraídos os valores de tempo de resposta e calculados os valores estatísticos da taxa de chegada e da taxa de processamento para o servidor AAA funcionando como proxy e como autenticador. A figura D.1 ilustra os dados que foram extraídos das capturas do protocolo RADIUS realizadas.
Figura D.1 – Relações de Requisição / Resposta RADIUS no servidor AAA medido Como não foi possível realizar a correlação entre as Requisições A e as Requisições E, ilustradas na figura D.1, mas somente entre os pares Requisição A / Resposta A e Requisição E / Resposta E, teve de ser calculado os seguintes tempos de respostas:
quisiçãoA spostaA A t t t Re Re Eq. D.1 quisiçãoE spostaE E t t t Re Re Eq. D.2 Rede de Acesso (usuário final) Servidores AAA provedores externos Requisição A Resposta A Requisição E Resposta E Servidor AAA RADIUS
Para os tempos calculados pelas equações D.1 e D.2 foram utilizados somente as requisições bem sucedidas, ou seja, as requisições de autenticação que retornaram resposta positiva (mensagem RADIUS Access-Accept). As requisições de autenticação rejeitadas (mensagem RADIUS Access-Reject) não foram contabilizadas devido ao servidor estar programado para inserir um atraso fixo de alguns segundos em caso de recusa da autenticação.
A diferença entre os tempos ∆tA e ∆tE é igual à soma do tempo de processamento do
servidor AAA do sentido rede de acesso para os servidores AAA externos mais o tempo de processamento do servidor AAA do sentido dos servidores AAA externos para a rede de acesso. Considerando que os pacotes RADIUS considerados são pequenos, geralmente menores que 250 bytes, as interfaces de rede do servidor AAA são de alta velocidade (Gigabit Ethernet) e que o servidor está realizando a função de proxy descrita em [11], podemos considerar que os tempos de processamento são idênticos para os dois sentidos de tráfego. Sendo assim, o tempo de processamento do servidor AAA pode ser calculado como: 2 ) ( ) ( A E AAA t E t E t Eq. D.3
Onde E(∆tA) e E(∆tE) são os valores das médias estatísticas das distribuições dos tempos
∆tA e ∆tE, calculadas com base nas amostras capturadas.
As taxas de chegada de pacotes (λ) em cada sentido foram calculadas pela contagem dos pacotes em cada amostra e em cada sentido de tráfego dividido pelo tempo da amostra. O valor final foi dado pela média das taxas de chegada em cada amostra.
Com base nos valores de tempo de processamento e de taxa de chegada é possível calcular a taxa de processamento do servidor AAA, considerando uma fila M/M/1 a taxa de processamento é dada por:
AAA AAA t t 1 Eq. D.4
Para cada sentido de tráfego no servidor AAA foi calculado o valor referente de taxa de processamento. A figura D.2 ilustra as relações das taxas de chegadas (λ) e taxas de processamento (μ) obtidas após as analises descritas e as trocas de tráfego ilustradas na figura D.1.
Figura D.2 – Taxas de chegadas e taxas de processamento obtidas no servidor AAA medido
As amostras de dados foram capturadas em oito medições realizadas em dias distintos, no horário de maior movimento de tráfego de autenticação (entre 18:00 e 19:00 horas). Cada medição possui no mínimo 50.000 pacotes de dados capturados na interface de rede específica para o tráfego de autenticação. Os dados capturados de cada amostra foram filtrados para separar os tráfegos de protocolos LDAP e RADIUS e exportados em formato texto, com o auxílio da aplicação Wireshark, disponível em http://www.wireshark.org. Os arquivos texto exportados foram filtrados com a utilização de aplicação específico desenvolvido em linguagem Java e importados em planilhas do aplicativo Microsoft Excel para cálculos dos parâmetros de interesse. As análises estatísticas realizadas na sequência de dados capturados foram baseadas nos métodos estatísticos descritos no capítulo 23 do
Quality Control Handbook [37].
Com base na primeira amostra obtida, foi calculado do desvio padrão da amostra, e estimado o tamanho da amostra (n) necessário para obter a estimativa da média da população com 95% de nível de confiança. O erro máximo permitido foi arbitrado em 0,02s, o nível de significância (α) em 5% e o desvio padrão da população foi estimado [37]. O tamanho da amostra mínimo para o tráfego originado dos usuários finais foi estimado em 9000 pacotes e para o tráfego direcionado para os servidores AAA externo em 400 pacotes. A quantidade de dados coletados agregados acumulados foram superiores aos valores de n estimados.
λA Servidor AAA RADIUS μA μE λE Rede de Acesso (usuário final) Servidores AAA provedores externos
A tabela D.1 sumariza os valores estatísticos calculados com base nos dados coletados. Tabela D.1 – Resultado estatístico dos dados coletados
Parâmetros Tráfego da Rede Acesso
∆tA
Tráfego Servidores AAA externos
∆tE
Média (E) [segundos] 0,265012 0,209465 Desvio Padrão (s) [segundos] 0,5412569 0,375744 Valor Mínimo [segundos] 0,004163 0,001320 Valor Máximo [segundos] 3,643283 3,076615
Tamanho amostra (n) 10.304 9.479
Taxa de chegada (λ) [pacotes/s] 124,27 43,89
Para o cálculo do tempo de processamento médio do servidor AAA (tAAA) a diferença entre
as distribuições estatísticas de ∆tA e ∆tE teve que ser calculada. Para este cálculo foi
utilizado o método de estimativa do intervalo de confiança para a diferença entre duas distribuições, conforme descrito em [37], para obter o valor estatístico do limite superior de tAAA, para nível de significância (α) de 5%. Desta forma, a equação D.3 foi alterada para:
2 ) ( ) ( 2 2 2 / E E A A E A AAA n s n s t t E t E t Eq. D.5
Onde, t α/2 é a distribuição de Student para α/2 e o menor valor entre (nA-1) e (nE-1) como
grau de liberdade, sA e sE são os desvios padrões das amostras e nA e nE são o tamanho das
amostras.
Os valores médios finais calculados com base nos dados das amostras e nas equações descritas neste apêndice estão listados na tabela D.2.
Tabela D.2 – Valores médios finais para atraso, λ e μ
Os valores de λ e μ foram utilizados como dados de entrada para a modelagem analítica desenvolvida neste trabalho e estão refletidos nos parâmetros listados na tabela 6.2.