38 REVISTA TRAÇOS -CENTRO DE CIÊNCIAS EXATAS E NATURAIS

Aspectos de implantação pararedes locais tolerantes a falhas*

Afonso Jorge Ferreira Cardoso. É graduado em Tecnólogo em Processamento deDados (1987) e Especialista em Informática (1988) pela Universidade Federal do Pará eMestre em Ciência da Computação (1997) pela Universidade Federal do Rio Grande do Sul.Atualmente exerce as funções de Professor Adjunto III no Departamento de Informática daUNAMA e Analista de Sistemas III na EMBRAPA Amazônia Oriental. As áreas de interesseenvolvem Redes de Computadores, Tolerância a Falhas e Sistemas Distribuídos.Curso de Especialização em Redes de Computadores. Departamento de Informática -Universidade da Amazônia (UNAMA). Av. Alcindo Cacela, 287 CEP 66060-000 Belém - PATel: (091) 242-2100 Fax: (051) 225-3909. afonso@cpatu.embrapa.br

Ingrid Jansch-Pêrto. Dr.Ing. em Microeletrônica, INPG, FR, 1985. Profa. do Institutode Informática, UFRGS. Áreas de interesse: tolerância a falhas, sistemas distribuídos,arquitetura de computadores. Curso de Pós-Graduação em Ciência da Computação. Institutode lnformática - Universidade Federal do Rio Grande do Sul. Caixa Postal 15064 CEP 91501-970Porto Alegre - RS. Te!.: (051) 316-6168 Fax: (051) 336-5576. ingrid@inf.ufrgs.br

RESUMO: Este trabalho apresenta alguns requisitos de tolerância a falhas na implementação deredes locais de computadores. Os requisitos foram selecionados, considerando as principais exigênciasdos usuários dos sistemas, com ênfase nas redes de controle industrial e considerando também osuporte disponível no mercado.

Quanto ao hardware, os requisitos abordados são referentes à arquitetura de computadores,cabeamento, concentradores (hubs) e comutadores (switches). No software são tratados os requisitosreferentes aos sistemas operacionais de rede e protocolos.

1.INTRODUÇÃOA instalação de uma rede local de

computadores é justificada, freqüentemente,como uma forma de compartilhar recursosque de outro modo ficariam sub-utilizados,ou deveriam ser desnecessariamentemultiplicados. Porém, as redes locaispossibilitam, também, comunicação entre aspessoas através de correio eletrônico,permitem que planos de trabalho sejamatualizados por múltiplos envolvidos àmedida que mudanças ocorram, ajudam aorganizar as atividades de uma empresa,possibilitam a transferência direta de arquivos

de um equipamento para outro, propiciam ocompartilhamento de dados, facilitam aatividade de gerência e muitas outras ações,que permitem que os serviços sejamagilizados, com o conseqüente aumento daprodutividade.

A implantação de uma rede local requerum planejamento bem elaborado. O projetistadeve levar em consideração diversos

• Trabalho apresentado nas 3eras Jornadas de Informática eInvestigación Operativa, 6° Encuentro dei Laboratório deCiencia de Ia Computación da Facultad de Ingeniería deMontevideo, Uruguay e I Simpósio Regional de Tolerânciaa Falhas em Porto Alegre - RS - Brasil.

39 REVISTA TRAÇOS -CENTRO DE CIÊNCIAS EXATAS E NATURAIS

fatores como: avaliação de custos (projeto eimplementação do sistema, recursoscomputacionais etc), condições impostas pelaempresa na relação custo/benefício,localização dos usuários, localização dosequipamentos, definição das necessidadesdos usuários, tipos de transações, volume dotráfego, topologia adequada, número denodos, software e hardware disponíveis nomercado e disponíveis na empresa,necessidades futuras de expansão etc.

Além dos fatores citados acima, umoutro fator merece atenção: a qualidade,disponibilidade e confiabilidade esperadosquanto ao funcionamento da rede, que podemser traduzidos para a especificação do sistemanos requisitos de tolerância a falhas queseriam necessários na implementação de umarede local. Os requisitos necessários serãodependentes do ambiente e objetivosfuncionais da rede. A segurança defuncionamento da rede como um todo e decada um dos seus nodos estará associada àaplicação na qual ela se insere: prova-velmente uma rede empregada em umambiente acadêmico terá requisitos defuncionamento bastante diversos de outra quecontrole um ambiente industrial. Para que sepossa justificadamente depositar confiançano funcionamento desta segunda rede, nacorreção dos serviços prestados e namanutenção permanentes destes, é precisoagregar a ela técnicas de tolerância a falhas.

Atualmente, características detolerância a falhas são introduzidas de formaindependente nos diversos níveis que formama rede: arquitetura, sistema operacional,protocolos de comunicação, aplicações, etc.A integração dessas características naimplementação de uma rede local toma-seum desafio devido aos custos envolvidos eàs técnicas de execução, pois é uma área depesquisa relativamente nova.

Neste artigo serão apresentados váriosaspectos na implementação de uma rede localtolerante a falhas não-intencionais, incluindoaspectos de hardware, software e demanipulação das informações. Não serãotratados aspectos de segurança de acesso quetêm merecido atenção dos administradores eencontram boas soluções de software no casodas redes locais.

2. REDES LOCAIS TOLERANTES AFALHAS: Aspectos de Hardware

O hardware envolvido em uma redemerece considerações em dois momentosdiferentes: como técnica de prevenção defalhas, é necessário pensar no uso decomponentes confiáveis, num projeto bemfeito e numa implementação enquadrada emparâmetros de qualidade. Os componentesincluem os utilizados como nodos, comoelementos de interligação e interfaces/adaptadores existentes entre estes.Posteriormente, para o funcionamento dosistema, é necessário empregar técnicas detolerância a falhas que aumentam a robustezda rede na ocorrência de falhas.

As redes locais de computadores maiscomuns, ou seja, redes que são encontradasna maioria das instituições, utilizammicrocomputadores pessoais como nodos darede. Os computadores pessoais disponíveiscomercialmente não possuem arquiteturatolerante a falhas em sua origem, exceto poralgumas poucas técnicas de suporte. Portanto,o uso de técnicas de tolerância a falhasrelacionadas à arquitetura dos nodos,em redes locais, não pode se valer decaracerísticas fundamentadas em compor-tamento controlável ou conhecido dos nodos.Exemplos deste tipo de nodos são os que sedesligam automaticamente quando ocorrem

40 REVISTA TRAÇOS -CENTRO DE CIÊNCIAS EXATAS E NATURAIS

falhas internas com as quais eles nãoconseguem lidar (''fail-stop''). Em aplicaçõesque exijam disponibilidade permanente,entretanto, podem ser empregados nodos comarquitetura baseada em grande redundância,por exemplo, redundância tripla, garantindocontinuidade de funcionamento. Deve-seressaltar, no entanto, que estas característicassão obtidas apenas através do uso de técnicase estruturas especiais, não disponíveis emmicrocomputadores pessoais.

As redes ponto-a-ponto dependem datopologia empregada para definir anecessidade de nodos tolerantes a falhas. Emalguns casos em que o controle da rede écentralizado (topologia estrela), é necessárioque apenas o nodo central e eventuais nodoscríticos possuam arquitetura robusta; osnodos não críticos podem ser isolados semafetar o funcionamento da rede. Em outroscasos, quando nodos da rede são interligadosatravés de concentradores ativos (hubs) semnodo centralizador (topologia anel), apenasnodos funcionalmente críticos necessitam derobustez pois n-este caso o próprioconcentrador, que contém o anel, retira onodo defeituoso e refaz o anel interno. Umapossibilidade para a irnplementação destesnodos envolvendo máquinas comerciaisseria o uso de estações de trabalho comcomponentes da arquitetura duplicados, quepudessem ser configurados de modo aapresentar redundância funcional emmódulos isolados.

Para manter alta disponibilidade, asredes cliente-servidor não necessitariamobrigatoriamente possuir nodos clientes comarquitetura tolerante a falhas apesar desta

característica ser desejável. Devido à suaestrutura, caso o cliente falhe, basta isolá-lo,e o restante da rede continuará funcionandonormalmente. O servidor, ao contrário, éessencial para o funcionamento da rede:assim, uma rede local cliente-servidornecessita de um servidor com arquiteturatolerante a falhas ou alguma estratégia defuncionamento como, por exemplo, autilização de servidores de arquivosduplicados.

Os elementos físicos e a forma deexecução do cabeamento também merecematenção. Segundo [DER94], os sofisticadose complexos componentes da rede podem tersua atividade inibida se um pequeno fioestiver em contato com outro atrás da paredeou se um motor qualquer gerar um campoelétrico capaz de produzir ruídos no cabo darede local. Aspectos de tolerância a falhasno cabeamento são resolvidos pelo uso dealternativas pré-estabelecidas de rotas decomunicação, conforme segue.

Em algumas redes locais ponto-a-ponto,os cabos que interligam as estações sãoduplicados, a exemplo das redes FDDI (FiberDistributed Data lnterface), mas apenas umatua de forma ativa; o outro fica como reservapara uso em caso de falha do primeiro.

Para as redes cliente-servidor, aduplicação pode ser efetivada utilizandoservidores que trabalham com doiscontroladores Ethernet conectados na mesmarede local Ethernet, com seus respectivostransceptores (transceivers). Se um doscontroladores ou transceptores falhar, osistema manterá em atividade as sessões darede local. Essa ação é transparente para

41 REVISTA TRAÇOS -CENTRO DE CIÊNCIAS EXATAS E NATURAIS

protocolos de alto nível incluindo TCP/IP eOSI [TAN95]. Este esquema de comu-nicações múltiplas que facilita ações derecuperação é ilustrado pela figura 1, extraídade [TAN95].

Um outro aspecto importante é ainterligação fisica dos nodos de urna rede. Astopologias mais utilizadas anteriormente, anele barramento, passaram a ser vistas como umatopologia estrela devido ao emprego de hubse switches.

Os hubs são elementos do hardware quefuncionam como concentradores de ligaçõese repeti dores, assumindo posição de elementocritico no sistema. Entretanto, com o objetivode corrigir esta dependência crítica, emaplicações de controle industrial, os hubspossuem aspectos de tolerância a falhas como objetivo de maximizar o tempo defuncionamento. Essas característicascompreendem: fonte de alimentaçãoredundante, arquitetura de repetiçãodistribuída, ligações com capacidade derecuperação, módulos com reserva-quente(hot-standby), redundância com móduloscruzados, etc .. [3C095a].

Os comutadores (switches) sãoelementos de hardware que surgiram devidoa demanda por maiores taxas de transmissãoe melhor utilização dos meios fisicos; elespossibilitam a troca de mensagens entrevárias estações simultaneamente e uma dasprincipais características que possuem é aconfiguração de proteção contra falhas deequipamento e cabeamento em ambientescom missões críticas. Possuem outrascaracterísticas como: verificação através deredundância cíclica (CRC), proteçãobloqueadora de mensagens broadcast /multicast, módulos com reserva-quente efonte de alimentação redundante [3C095b].

r;:c=::±==:;, ADAPTADORESETHIoR.'ETDUPLOS

NRI 436

FDDI

NRl4404

é:::lt--.......-" ASSINCRONO

Figura 1: Contiguração redundante na modalidade cliente-servidor.

3. REDES LOCAIS TOLERANTESA FALHAS: Aspectos de Software

O software envolvido em uma rede éextremamente variado e técnicas detolerância a falhas podem ser elaboradas emtodos os níveis, desde o sistema operacionalaté os aplicativos. A seguir exemplos de comoessas técnicas podem ser desenvolvidas.

3.1 Sistemas Operacionais de Redes

Os fabricantes, nos últimos anos, estãoinvestindo fortemente em software para redeslocais com características de tolerância afalhas; principalmente ao nível dos sistemasoperacionais para redes baseadas no uso denodos não tolerantes. O Windows NT é umbom exemplo, com a agregação de novascaracterísticas a cada nova versão, como osistema RAID (Redundant Array ofInexpensive Disks) e a provisão de setoresreservas, conforme explicado a seguir.

O RAID é um método de arrnaze-namento de dados onde estes são distribuídospor vários discos através de uma técnica deentrelaçamento de bits ("bit-interleaving"),que proporciona entrada/saída de altodesempenho desde que a leitura de diferentes

42 REVISTA TRAÇOS -CENTRO DE CIÊNCIAS EXATAS E ATURAIS

partes dos dados possa ser feita em paralelo.Os dados são armazenados de formaredundante em discos diferentes para garantirque, no caso de falha de um disco, os dadospossam ser acessados em outro.

Neste sistema, as estratégias detolerância a falhas são padronizadas. ecategorizadas em seis níveis, variando donível O(zero) ao 5(cinco). Esses níveisoferecem técnicas de armazenamento dedados com variações de desempenho,confiabilidade e custo. Entretanto, tolerânciaa falhas efetiva é fornecida apenas pelosníveis I e 5 [MIC93] [MIC94], quecorrespondem respectivamente aoEspelharnento de Disco e à Aplicação deParidade sobre Listras de Dados (Shippingwith Parity). Nos demais níveis, o sistema éfrágil a falhas que envolvam quantidadessubstanciais de informações no disco.

Entre os serviços de tolerância a falhasque podem ser oferecidos por um sistemaoperacional de rede está a capacidade derecuperação do conteúdo de setores comdefeito no sistema de arquivos, durante aoperação normal do sistema. O sistema dearquivos verifica todos os setores quando umvolume é formatado: os ruins são tratadospelo serviço de setores reservas. Este serviçofunciona da seguinte forma: se setores ruinsforem encontrados durante uma operação deEIS, a unidade tolerante a falhas tentarámover os dados para um setor bom e geraráum mapa com os setores ruins. O sistema dearquivos dispara mensagens de alerta casoocorra insucesso na operação.

Para ambientes que necessitam de altonível de confiabilidade e tem disponíveisapenas microcomputadores ou estações detrabalho sem arquitetura tolerante a falhas, asolução de servidores duplicados é umaalternativa. O ambiente pode ser compostopor dois servidores, um primário e outro

secundário. Apenas o servidor primário deveestar ativo do ponto-de-vista dos usuários. Oservidor secundário trabalha em background,mas mantém a mesma imagem de memória eo mesmo conteúdo do disco do servidorprimário. Se o servidor primário falhar ousofrer uma pausa longa demais, o secundárioassume o controle do sistema e atribuiçõesde servidor primário. Todo este processo deveser feito de forma automática e transparentepara os usuários da rede.

3.2 Protocolos

Entre os protocolos de acesso ao meioem rede local, destaca-se o CSMA/CD(Carrier Sense Multiple Access with CollisionDetection), que faz parte do conjunto depadrões conhecido como IEEE 802. Essespadrões diferem nas camadas fisica e MAC(Medium Access Control), mas sãocompatíveis na camada de enlace de dados[TA 89].

O protocolo CSMA/CD funciona daseguinte forma: quando determinado nododeseja enviar uma mensagem, ele observa seo canal (barramento) não está sendo utilizado.Se estiver livre, ele inicia a transmissão; casocontrário, ele aguarda um tempo pré-definidoe depois volta a observar o canal. Existe apossibilidade de mais de um nodo tentartransmitir simultaneamente, ocorrendo umacolisão. Os nodos envolvidos, ao perceberema colisão, abortam a operação e aguardamdurante períodos aleatórios; ao final dessetempo, voltam a testar o canal para saber seo mesmo está livre e reiniciar a tentativa.Entretanto, este protocolo, não garante queuma mensagem difundida às outras estaçõesseja recebida pelos destinatários. Problemasde bujJer ou de conexões de rede podemresultar em mensagens perdidas. Apesar denão ser freqüente a perda de mensagens emredes locais, em alguns ambientes énecessário garantir o recebimento adequado,

43 REVISTA TIl..\ÇOS -CE

o que exige um protocolo especial de apoio àdifusão confiável.

Um CSMA/CD com difusão confiávelfoi proposto por [JAL94] e determina que,adicionalmente às características defuncionamento já explicadas do CSMA/CD,cada nodo mantenha um contador e todamensagem a ser enviada receba -urn númerode seqüência. Se não ocorrer colisão (adifusão funcionar), o contador éincrementado. No recebimento da mensagem,se o número de seqüência da mensagem émaior ou igual ao valor do contador do nodo,o contador é atualizado para um valor igualao número de seqüência da mensagem queestá chegando incrementado de uma unidade(m.seq + 1). Se o número de seqüência formenor que o valor do contador, este últimopermanece inalterado. A camada detransporte é responsável por assegurar amanutenção do ordenamento parcial entre asmensagens.

4. CONSIDERAÇÕES FI AIS

A implantação de redes locais tolerantesa falhas não é comum, devido a dois fatoresbásicos que ainda criam resistências em partedos usuários: a baixa taxa de erros e os custosenvolvidos. Entretanto, os usuários de redesde suporte a atividades industriais começama perceber que manter a produção dentro daqualidade e tempo esperados, depende daconfiabilidade e da alta disponibilidade dosseus sistemas de computação. Porém, para sealcançar essas características é necessário umprojeto completo de rede que inclua desderequisitos básicos como a estabilização darede elétrica e aterramentos até os requisitosde hardware e software.

Vale ressaltar que esse projeto não deveter a pretensão de tornar todos oscomponentes da rede tolerante a falhas; eledeve considerar os requisitos de tolerância a

CIAS EXATAS E NATURAIS

falhas que o usuário realmente necessita,criando com isso condições de custoscompatíveis e beneficios reais.

Maiores informações sobre aspectosabordados neste artigo, com análise desoftware comercialmente disponível, podemser encontrados em [CAR95].

REFERÊ 'CIAS BIBLIOGRÁFICAS

[CAR95] CARDOSO, A. J. F. Requisitos detolerância a falhas na imple-mentaçào de redes locais decomputadores. T.I. n.481. CPGCC-UFRGS, 1995.

[DER94] DERFLER, Jr. F.J.; Freed, Les. Get aGrip on etwork Cabling. Ziff-Davis Press, Emeryville, Califór-nia, USA. 1993.

[JAL94] JALOTE, P. Fault Tolerance inDistributed Systems. EnglewoodCliffs: Prentice-Hall, 1994, 432p.

[MIC93] Microsoft Corporation. Concepts andPlanning Guide. MicrosoftWindows NT Advanced ServerVersion3.1.1993.

[MIC94] Microsoft Official Curriculum. StudentWorkbook. Supporting MicrosoftWindows NT Server 3.5 Version1.0. 1994.

[STA94] STANG, D.J.; Moon, S. Segredos desegurança em redes. BerkeleyBrasil Editora: Rio de Janeiro.1994.

[TAN89] TA E BAUM, A.S. Computeretworks. Prentice Hall.

Englewood Cliffs: ew Jersey.1989.

[TA 95] TA DEM Computers Incorporated.Integrity FT Systems Family.USA, 1995. (Product description)

[3C095a] 3COM Corporation. Guide to 3ComHubs. USA, 1995.

[3C095b] 3COM Corporation. Guide to 3ComSwitches. USA, 1995.