En el presente documento se aborda el tema del monitoreo de redes, describiendo las técnicas de
monitoreo, los elementos a tomar en cuenta en un esquema de monitoreo así como un resumen de
algunas herramientas para su implementación.
1. Introducción
1. Introducción
La detección oportuna de fallas y el monitoreo de los elementos que conforman una red de
cómputo son actividades de gran relevancia para brindar un buen servicio a los usuarios. De esto
se deriva la importancia de contar con un esquema capaz de notificarnos las fallas en la red y de
mostrarnos su comportamiento mediante el análisis y recolección de tráfico. A continuación se
habla sobre los enfoques activo y pasivo de monitoreo y sus técnicas, también se toca el tema de
cómo crear una estrategia de monitoreo incluyendo la definición de métricas y la selección de las
herramientas.
2. Enfoques de monitoreo.
Existen, al menos, dos puntos de vista para abordar el proceso de monitorear una red: el enfoque
activo y el enfoque pasivo. Aunque son diferentes ambos se complementan.
2.1. Monitoreo Activo.
Este tipo de monitoreo se realiza inyectando paquetes de prueba en la red, o enviando paquetes a
determinadas aplicaciones midiendo sus tiempos de respuesta. Este enfoque tiene la característica
de agregar tráfico en la red. Es utilizado para medir el rendimiento en una red.
2.1.1. Técnicas de monitoreo activo.
• Basado en ICMP.
– Diagnosticar problemas en la red
– Detectar retardo, pérdida de paquetes.
– RTT
– Disponibilidad de host y redes.
• Basado en TCP
– Tasa de transferencia
– Diagnosticar problemas a nivel aplicación
• Basado en UDP
– Pérdida de paquetes en un sentido (one-way)
– RTT (traceroute)
2.2. Monitoreo Pasivo.
Este enfoque se basa en la obtención de datos a partir de recolectar y analizar el tráfico que
circula por la red. Se emplean diversos dispositivos como sniffers, ruteadores, computadoras con
software de análisis de tráfico y en general dispositivos con soporte para snmp, rmon y netflow.
Este enfoque no agrega tráfico en la red como lo hace el activo. Es utilizado para caracterizar el
tráfico en la red y para contabilizar su uso.
2.2.1. Técnicas de monitoreo pasivo
• Solicitudes remotas
Mediante SNMP
Esta técnica es utilizada para obtener estadísticas sobre la utilización de ancho de banda en los
dispositivos de red, para ello se requiere tener acceso a dichos dispositivos. Al mismo tiempo,
este protocolo genera paquetes llamados traps que indican que un evento inusual se ha producido.
Otros métodos de acceso
Se pueden realizar scripts que tengan acceso a dispositivos remotos para obtener información
importante para monitorear. En esta técnica se pueden emplear módulos de perl, ssh con autenticación de llave pública, etc.
• Captura de tráfico
Se puede llevar a cabo de dos formas:
1) Mediante la configuración de un puerto espejo en un
1) Mediante la configuración de un puerto espejo en un
dispositivo de red, el cual hará una copia del tráfico que se recibe en un puerto hacia otro donde
estará conectado el equipo que realizará la captura.
2) Mediante la instalación de un dispositivo
2) Mediante la instalación de un dispositivo
intermedio que capture el tráfico, el cual puede ser una computadora con el software de captura o
un dispositivo extra. Esta técnica es utilizada para contabilizar el tráfico que circula por la red.
• Análisis de Tráfico
Se utiliza para caracterizar el tráfico de la red, es decir, para identificar el tipo de aplicaciones que
son mas utilizadas. Se puede implementar haciendo uso de dispositivos probe que envíen
información mediante RMON o a través de un dispositivo intermedio con una aplicación capaz
de clasificar el tráfico por aplicación, direcciones IP origen y destino, puertos origen y destino,
etc.
• Flujos
También utilizado para identificar el tipo de tráfico utilizado en la red. Un flujo es un conjunto de
paquetes con:
- La misma IP origen y destino
- El mismo puerto TCP origen y destino
- El mismo tipo de aplicación.
Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que sean capaces de
capturar tráfico y transformarlo en flujos. También es usado para tareas de facturación (billing).
3. Estrategia de monitoreo
Antes de implementar un esquema de monitoreo se deben tomar en cuenta los elementos que se
van a monitoreo así como las herramientas que se utilizarán para esta tarea.
3.1. Qué monitorear
Una consideración muy importante es delimitar el espectro sobre el cual se va a trabajar. Existen
muchos aspectos que pueden ser monitoreados, los más comunes son los siguientes:
• Utilización de ancho de banda
• Consumo de CPU
• Consumo de memoria
• Estado Físico de las conexiones
• Tipo de tráfico
• Alarmas
• Servicios (Web, correo, base de datos)
Es importante definir el alcance de los dispositivos que van a ser monitoreado, puede ser muy
amplio y se puede dividir de la siguiente forma.
• Dispositivos de Interconexión (Ruteadores, switches, hubs, firewall)
• Servidores (Web, Mail, DB)
• Red de Administración (Monitoreo, Logs, Configuración)
3.2. Métricas
La definición de métricas permitirá establecer patrones de comportamiento para los dispositivos
que serán monitoreados. También hay diversos tipos de métricas que pueden ser declarados,
dependerán de las necesidades particulares de cada red. Las métricas deben ser congruentes con
los objetos a monitorear que fueron señalados en el punto anterior. Algunos ejemplos son:
• Métricas de tráfico de entrada y salida
• Métricas de utilización de procesador y memoria
• Métrica de estado de las interfaces
• Métrica de conexiones lógicas
A cada métrica se le asigna un valor promedio, el cual identifica su patrón de comportamiento.
3.3. Alarmas
Las alarmas son consideradas como eventos con comportamiento inusual. Las alarmas mas
comunes son las que reportan cuando el estado operacional de un dispositivo o servicio cambia.
Existen otros tipos de alarmas basado en patrones previamente definidos en nuestras métricas,
son valores máximos conocidos como umbrales o threshold. Cuando estos patrones son
superados se produce una alarma, ya que es considerado como un comportamiento fuera del
patrón. Algunos tipos de alarmas son:
• Alarmas de procesamiento
• Alarmas de conectividad
• Alarmas ambientales
• Alarmas de utilización
• Alarmas de disponibilidad (estado operacional)
3.4. Elección de herramientas
Existe un gran número de herramientas para resolver el problema del monitoreo de una red. Las
hay tanto comerciales como basadas en software libre. La elección depende de varios factores,
tanto humanos, económicos como de infraestructura:
a) El perfil de los administradores, sus conocimientos en determinados sistemas operativos;
b) los recursos económicos disponibles
c) el equipo de cómputo disponible.
En esta ocasión se hará énfasis tres herramientas:
Cacti.
Es una completa solución para el monitoreo de redes. Utiliza RRDTool para almacenar la
información de los dispositivos y aprovecha sus funcionalidades de graficación. Proporciona un
esquema rápido de obtención de datos remotos, múltiples métodos de obtención de datos (snmp,
scripts), un manejo avanzado de templates, y características de administración de usuarios.
Además, ofrece un servicio de alarmas mediante el manejo de umbrales. Todo ello en una sola
consola de administración, fácil de configurar.
Net-SNMP.
Conjunto de aplicaciones para obtener información vía snmp de los equipos de interconexión.
Soporta la versión 3 del protocolo la cual ofrece mecanismos de seguridad tanto de
confidencialidad como de autenticación. Provee de manejo de traps para la notificación de
eventos.
Nagios.
Aplicación para el monitoreo de servicios, hosts que pertenecen a una red. Es capaz de
monitorear si un servicio se encuentra activo o no, o si un hosts se encuentra operacional o no.
Muestra el estadio operacional de todos los servicios y hosts en un ambiente Web. Envía
notificaciones mediante mail o pager cuando el estado operacional de un elemento a monitorear
cambia.
4. Ejemplo de monitoreo basado en el protocolo SNMP.
Con esta técnica se monitorea:
• Utilización de ancho de banda en los enlaces del backbone e internacionales.
• Consumo de CPU en switches y ruteadores.
• Alarmas de conexiones físicas
• Alarmas de conexiones lógicas
• Alarmas de procesamiento.
Como ya se había mencionado si se recibe o se detecta un valor mayor al máximo definido se
genera y se envía una alarma a los responsables de la red.
Así se reciben las trap
# Trap de Link-Up
Así se formatean las trap para notificar una alarma:
Ejemplos de gráficas de utilización y el manejo de en www.cacti.net. Ejemplos de monitoreo de servicios y
hosts en www.nagios.org.
5. Topología del sistema de monitoreo
El sistema consiste de un servidor que hace las solicitudes mediante el protocolo SNMP a los
dispositivos de red, el cual a través de un agente de snmp envía la información solicitada. Ver
Figura 4.4. O bien puede ser que el dispositivo envíe mensajes trap al servidor de SNMP
anunciando que un evento inusual ha sucedido. Ver figura 5.1.
Fig.5.1. Solicitudes mediante SNMP
Fig. 5.2. Envío de traps
Autor: Carlos Alberto Vicente Altamirano
No hay comentarios:
Publicar un comentario