MONITORIZACIÓN DE DISPOSITIVOS DE RED
pag. 2 INTRODUCCIÓN En este documento se especifica cómo y que puede Pandora FMS monitorizar sobre los dispositivos de Red que nos podemos encontrar en el mercado (Routers, Switches, Modems, Puntos de Acceso, ) Con Pandora FMS puede medir el ancho de banda de su red, bien mediante consulta a su router/ switch a través de SNMP o procesando las estadísticas de Netflow enviadas por sus routers. Obtener la correcta información del ancho de banda y el consumo de los equipos de red es fundamental para obtener una mejor gestión de sus redes: * Evitar cuellos de botella en el funcionamiento del ancho de banda y servidor. * Localizar qué aplicaciones o qué servidores están consumiendo su ancho de banda. * Proporcionar una mejor calidad de servicios a sus usuarios siendo proactivo. * Reducir costes con la adquisición del ancho de banda y el hardware que mejor se ajuste a su carga real. * Obtener respuesta a estas preguntas: Dónde se utiliza su ancho de banda, quién lo utiliza y cómo está siendo utilizado? Los Routers, switches, modems, AP s y otros equipos de red utilizan un lenguaje común: SNMP. Con Pandora FMS puede configurar un dispositivo sólo mediante algunos clicks, y empezar a monitorizar el ancho de banda, el estado de la interfaz, la media de carga, espacio de almacenamiento, uso de memoria y muchas otras cosas. También obtendrá decenas de informes diferentes para obtener información útil. A parte de toda la información que podemos capturar a través del protocolo SNMP, a través de los protocolos ICMP (estados y latencias) TCP (información sobre sus puertos). 1. SNMP Cuando hablamos de monitorización SNMP, lo más importante al principio es separar los conceptos de testeo (polling) y los traps. El testeo SNMP implica ordenar que Pandora FMS ejecute un comando snmpget contra un dispositivo SNMP, como por ejemplo un router o un switch (o incluso un ordenador con un agente snmp instalado). Esta es una operación síncrona (cada X segundos). Por el contrario, recibir un trap SNMP es una operación asíncrona (que podría o no suceder en un millón de años), comúnmente utilizada para recibir alertas provenientes del dispositivo, como por ejemplo, cuando un switch tumba un puerto o cuando su dispositivo se calienta demasiado. Pandora FMS trabaja con SNMP manejando OID individuales. Para Pandora FMS cada OID es un módulo de red. Es decir, si queremos monitorizar un switch Cisco Catalyst de 24 puertos y conocer el estado operativo de cada puerto así como el tráfico de entrada y salida, tenemos que definir un total de 72 módulos (24 x 3). La cantidad de chequeos a realizar por segundo, así como el nivel de tráfico de red que van a usar estos chequeos dependerá de la latencia que haya en la red. Para trabajar con dispositivos SNMP es necesario: 1. Conocer qué es y cómo trabaja el protocolo SNMP (descrito en profundidad en el RFC3411 publicado por el IETF). 2. Conocer la IP y la comunidad SNMP del dispositivo remoto.
pag. 3 3. Activar la gestión SNMP del dispositivo para que desde el servidor de red se puedan hacer consultas SNMP. Este servidor de red debe ser el asignado por el agente donde vayamos a definir los módulos de red. También hay que tener en cuenta que si queremos que otros servidores de red hagan consultas en caso de caída del servidor asignado, estos harán las consultas con otra dirección IP. 4. Conocer el OID concreto del dispositivo remoto que queramos consultar. 5. Saber cómo gestionar los datos que devuelve el dispositivo. Los dispositivos SNMP devuelven datos en diferentes formatos: numéricos, contadores incrementales, cadenas o booleanos. 6. Existen varios wizard y sistemas automáticos que permiten hacer un descubrimiento de dispositivos y monitorizar automáticamente sus interfaces, sin tener que dar de alta o descubrir las OID s individuales de cada una de ellas. Lo mismo se aplica a otros elementos monitorizables por SNMP dentro de un dispositivo de red (cpu, memoria, almacenamiento, etc). Pandora FMS puede trabajar con cualquier dispositivo que soporte SNMP aunque actualmente Pandora FMS trabaja con SNMP v1, v2, v2c y v3. 1.1 Polling SNMP Para poder monitorizar cualquier elemento a través de SNMP debemos saber, al menos, su IP y su comunidad SNMP. También sería muy interesante saber la OID que se pretende monitorizar, aunque se pueden obtener a través de un SNMP Walk, siempre que se sepa a qué pertenece cada OID. Las OID pueden aparecer traducidas o no, para poder traducirlas debemos tener instalada la MIB del dispositivo que deseemos monitorizar. Estas MIBs se pueden cargar directamente sobre la misma Consola a través del MIB Uploader. Sacar los módulos uno a uno a través de las OID es un trabajo arduo y para ello Pandora FMS integra 2 SNMP Explorer que nos ayudan a extraer de forma rápida toda la información de los dispositivos a monitorizar. 1.1.1 SNMP Interface Wizard Con el SNMP Interface Wizard podemos obtener, entre otras muchas cosas, elementos tales como: * Nombre interfaz * Tráfico de entrada y salida * Errores * Estado * Dirección IP y MAC 1.1.2. SNMP Wizard Nos permitirá extraer la siguiente información del dispositivo, siempre y cuando pueda obtener del mismo esas OIDs específicas: * Dispositivos (bytes de lectura y escritura). * Procesos (estado). * Espacio libre en disco /memoria. * Sensores de Temperatura. * Otros datos (CPU, RAM). 1.2. Tareas de reconocimiento /exploración SNMP Existe un tipo de exploración SNMP que nos permite detectar toda la red, incluidas la topología (a nivel de enlace), jerarquía (a nivel de red) y sistema operativo, que de forma automática explora
pag. 4 el sistema y monitoriza varias métricas de todas las interfaces disponibles (Estado Operativo, Trafico de entrada y salida, MAC). A través de plantillas/políticas se pueden añadir más módulos personalizados para empezar a monitorizar sus dispositivos automáticamente. Una Red completa Clase B (A full Class B Network) puede ser detectada y monitorizada en menos de una hora. ta, basada en OID (el código que identifica un trap, algo similar a 3.4.1.1.4.5.24.2), en un agente IP o en custom data (datos que pueden estar en el trap). Se puede también ordenar a Pandora FMS que copie la información en un módulo de texto especial en el agente. Si el agente está definido esta operación se llama transferencia de Traps SNMP. La configuración del envío de traps se debe llevar a cabo en cada uno de los dispositivos de Red que se vayan a monitorizar. En Pandora FMS solo deberemos autorizar las comunidades de las que va a recibir los traps y la red. 2. MONITORIZACIÓN ICMP Y TCP Pandora FMS muestra mapas de red, y permite su modificación por el administrador, agregando nodos manualmente, o de forma automática (mediante un área de nuevos sistemas detectados). La topología es detectada mediante SNMP, conectando las interfaces de cada dispositivo en función de la información de las tablas ARP de cada dispositivo, y además detectando los gateways entre redes a nivel. 1.3 Traps SNMP Utilizar los Traps SNMP es algo totalmente diferente. Se pueden recibir traps de cualquier dispositivo, sin necesidad de configurar nada (excepto la consola SNMP). Cuando se recibe un trap, este aparecerá en la consola SNMP. Se puede definir una aler- A parte de toda la monitorización SNMP de la que podemos extraer monitorización avanzada, podemos realizar chequeos más básicos a través del servidor de red o el servidor icmp Enterprise (realiza chequeos a través de nmap ayudando que se produzca una tasa mucho mayor de chequeos/s que con el servidor open), como puede ser un ping al dispositivo, calcular la latencia (RTT) que hay entre el servidor de Pandora FMS y el dispositivo, o chequear el estado de los puertos si están abiertos o cerrados. Las comprobaciones TCP por defecto simplemente miran si el puerto de destino está abierto o no. Opcionalmente se le puede enviar una cadena de texto, y esperar a recibir algo que será tratado directamente por Pandora FMS como un dato. La cantidad de chequeos a realizar por segundo, así como el nivel de tráfico de red que van a usar estos chequeos dependerá de la latencia que haya en la red.
pag. 5 3. MONITORIZACIÓN TRANSACCIONAL WEB Pandora FMS permite monitorizar transacciones WEB complejas mediante un robot programable. Esto incluye inicios de sesión, verificacion de respuesta, medición de tiempos de latencia y de completitud de la transacción completa (n pasos). Incluye un grabador de sesiones (extensión de Firefox) y la posibilidad de realizar pruebas de forma distribuida (en diferentes servidores), incluyendo tiempos de timeout y reintentos personalizados, así como la posibilidad de usar el robot para capturar datos numéricos y/o de tipo cadena. Pandora FMS dispone además de un componente avanzado para realizar una transacción web mediante un navegador Zombie (IE, Mozilla,Firefox, Chrome). Este sistema permite ejecutar flash, javascript, applets java y sortear cualquier dificultad a la hora de implementar una monitorización transaccional sobre una web. 4. PLUGINS REMOTOS Pandora FMS permite monitorizar transacciones WEB complejas mediante un robot programable. En este apartado se especifican algunos plugins que ya existen para extraer información remota a través del plugin server a diferentes dispositivos de red. Existen cientos de plugins disponibles en la librería de modulos pública de Pandora FMS, además se pueden reutilizar módulos de Nagios. El administrador puede programarse fácilmente sus propios scripts. * cisco_check_command.pl.- Es un script genérico para analizar una salida del comando en un dispositivo Cisco a través de Telnet. Podría usarse para comprobar la versión, para comprobar el estado de la fuente de alimentación, etc. * check_asa_status.pl.- Este complemento permite ver la memoria libre disponible, usada, total y conocer el uso de CPU en los últimos 5 segundos, 5 minutos y el último minuto. * Iptraf collector.- Este colector permite monitorizar el tráfico de red utilizando la aplicación IPTraf y Pandora FMS. * Cisco Configuration Remote Inventory Plugin.- Este plugin de inventario remoto utiliza el modo de bloque para permitir a detectar cambios en la configuración y mostrar el cambio. * Tiempo de respuesta DNS. Devuelve el tiempo de respuesta de un servidor específico para resolver un nombre especifíco. * IPMI. Monitorización específica de hardware de servidores y comunicaciones, generalmente para obtener parámetros de estado y/o ambientales (temperatura, tráfico, fuentes de alimentación, etc). * PacketLoss. Pérdida de paquetes (basado en pruebas ICMP). * Cisco IP SLA. Plugin que utiliza el nuevo standard de cisco para medir el rendimiento de la red en tiempo real. Algunos de las métricas que mide, por tag, son MOS, ICPIF, Paquetes fuera de secuencia, Paquetes Tardíos, Jitter Medio, Pérdida de paquetes SD/DS, RTT, RTT DNS y Tcp RTT. * Cisco QoS. Plugin que analiza las medias de pérdida, envio y recepcion de filtros QoS específicos. 5. NETFLOW Pandora FMS es capaz de monitorizar el tráfico IP haciendo uso del protocolo NetFlow. Permite mostrar patrones y datos generales del tráfico que resultan de gran utilidad.
pag. 6 NetFlow es un protocolo de red, desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente se está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD. LAN LAN LAN NETFLOW EXPORTER NETFLOW COLLECTOR TERMINAL TERMINAL o visionarlo directamente a través del visor de Netflow, lo que permite análisis en caliente y a nivel histórico. Existen varias diferencias entre la versión de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales, el Netflow básico envía al menos la siguiente información: * Dirección IP de origen. * Dirección IP de destino. * Puerto UDP o TCP de origen. * Puerto UDP o TCP de destino. * Protocolo IP. * Interfaz (SNMP ifindex). * Tipo de servicio IP. ANALYZER INTERNET STORAGE Los dispositivos con Netflow habilitado, cuando activan la característica de Netflow, generan registros de netflow que consisten en pequeños trozos de información que envian a un dispositivo central o servidor de Netflow (o colector Netflow), que es quien recibe información de los dispositivos (o sondas Netflow) y la almacena y procesa. Esa información se transmite mediante el protocolo netflow, basado en UDP o SCTP. Cada registro de netflow es un paquete pequeño que contiene una capacidad minima de información, pero en ningún caso contiene los datos crudos o en bruto del tráfico, es decir, no envia el payload del tráfico que circula por el colector sino sólo datos estadísticos. 6. INVENTARIO DE DISPOSITIVOS DE RED Dentro de la versión Enterprise, Pandora FMS incluye un servidor dedicado a mostrar información de Inventario (Inventory server). Para extraerla, ejecuta scripts personalizados que contactan con el dispositivo en cuestión y extrae la información necesaria. Existen de serie scripts para obtener inventario de dispositivos Cisco, obteniendo la CPU, la versión de IOS, Interfaces y otra información de hardware (versión, s / n). El propio administrador de la herramienta puede desarrollar sus propios scripts de inventario remoto. En Pandora FMS podemos obtener estos datos mediante informes, datos directos en el agente
pag. 7 UP TO 150K MONITORS PER SERVER PRINTERS ROUTERS SWITCHES SERVER NETWORK XML (TENTACLE) SATELLITE SERVER XML SERVERS WINDOWS SERVERS SERVERS AGENTS (TENTACLE) 7. ARQUITECTURA FLEXIBLE 7.1 Monitorización distribuída Existen diferentes componentes (Satellite Server, Broker Agents, servidores distribuidos, export server, tentacle proxy) que permiten diversas estrategias a la hora de abordar un problema a la hora de monitorizar un entorno de red complejo, con conectividad limitada, topologías complejas, conexiones intermitentes, delegación de la monitorización a equipos independientes, etc. META CONSOLE 7.2 Escalabilidad Con elementos como el Satellite Server que permite monitorizar decenas de miles de sistemas con tiempos de latencia bajos (1-5 minutos), y la metaconsola, que permite una escalabilidad lineal al utilizar un sistema federado de servidores, con una visión única gracias a la metaconsola, Pandora FMS puede monitorizar decenas de miles de dispositivos. Los casos concretos de Telefónica de España (8000 dispositivos), y Rakuten (9000 dispositivos), nos permiten hablar con nombres y apellidos de casos técnicos reales de la implantación de nuestro sistema en el mundo real. 8. REPORTING 8.1 Informes SLA Pandora FMS Server Pandora FMS Server Pandora FMS Server Pandora FMS Server Pandora FMS dispone de varios informes de SLA, que contemplan porcentajes de cumplimiento de servicio para cada métrica monitorizada, excluyendo estos datos de las paradas planificadas del siste-
pag. 8 ma (incluidas las paradas planificadas a posteriori, si el administrador del sistema lo permite). Los informes SLA incorporan distintas gráficas para agilizar y facilitar su análisis. Gráfica personalizada Vista de Informes SLA 8.2 Gráficos y Dashboards Pandora FMS puede mostrar gráficas simples, combinadas (con mas de un dato en la misma gráfica), y agruparlas todas en un dashboard o en varios y que estos roten de forma automática en la pantalla, ideales para ser usados en pantallas de centros de control. Gráfica combinada Gráfica personalizada Dashboard Reporting info@artica.es www.pandorafms.com Ártica Soluciones Tecnológicas c/ Gran Vía 62 8º Izda. 28013, Madrid, España (+34) 91 559 72 22