ESCUELA ACADÉMICO PROFESIONAL DE

INGENIERÍA DE SISTEMAS

REDES Y COMUNICACIONES I
TERCERA UNIDAD
Administración de redes
SESIÓN Nº14

I. CONTENIDO CONCEPTUAL
Monitorización de dispositivos
intermediarios
14.1 Monitorización de dispositivos
intermediarios. Syslog.
14.2 Guía de práctica de laboratorio:
Configuración de Syslog.

2
 Introducción
Monitorizar nuestros sistemas de información es algo que
considero fundamental si hay que hacerse cargo de un parque de
servidores, ya que con este tipo de aplicaciones podremos
abstraernos de tener que estar constantemente verificando que
los sistemas marchan o que no se han caído y, simplemente,
actuar cuando el sistema detecte alguna alarma que indique que
algo ha dejado de funcionar. La monitorización de los sistemas,
además de dotarnos de mayor eficiencia en la gestión de nuestro
tiempo, nos permite introducir parámetros de la medida de
calidad de nuestro servicio, ya sean para control interno o como
objetivos de nuestro área de trabajo, siendo la más común el
porcentaje de disponibilidad, es decir, el porcentaje de tiempo
que un servicio está disponible. También podemos monitorizar
otros aspectos, como por ejemplo, la carga de un sistema, el
espacio libre en el disco duro o, incluso, la temperatura de
nuestro centro de datos.

3
 Monitoreo
Consiste en observar y recolectar la información referente al
comportamiento de la red en aspectos como los siguientes:

▪ Utilización de enlaces: Se refiere a las cantidades

ancho de banda utilizada por cada uno de los enlaces
de área local (Ethernet, Fastethernet, Gigabit
Ethernet, etc.), ya sea por elemento o de la red en su
conjunto.
▪ Caracterización de tráfico. Es el trabajo de
detectar los diferentes tipos de tráfico que circulan
por la red, con el fin de obtener datos sobre los
servicios de red, como http, ftp, que son más
utilizados. Además, esto también permite establecer
un patrón en cuanto al uso de la red.

4
 Monitoreo
Consiste en observar y recolectar la información referente al
comportamiento de la red en aspectos como los siguientes:

▪ Porcentaje de transmisión y recepción de

información. Encontrar los elementos de la red que
más solicitudes hacen y atienden, como servidores,
estaciones de trabajo, dispositivos de interconexión,
puertos y servicios.
▪ Utilización de procesamiento. Es importante conocer
la cantidad de procesador que un servidor está
consumiendo para atender una aplicación. Esta
propuesta considera importante un sistema de
recolección de datos en un lugar estratégico dentro de
la red, el cual puede ser desde una solución comercial
como Spectrum o la solución propia de la
infraestructura de red, hasta una solución integrada
con productos de software libre.

5
Monitoreo
▪ Análisis. Una vez recolectada la información mediante
la actividad de monitoreo, es necesario interpretarla
para determinar el comportamiento de la red y tomar
decisiones adecuadas que ayuden a mejorar su
desempeño. En el proceso de análisis se pueden
detectar comportamientos relacionados a lo siguiente.
▪ Utilización elevada. Si se detecta que la utilización
de un enlace es muy alta, se puede tomar la Decisión
de incrementar su ancho de banda o de agregar otro
enlace para balancear las cargas de tráfico. También,
el incremento en la utilización, puede ser el resultado
de la saturación por tráfico generado maliciosamente,
en este caso se debe contar con un plan de respuesta
a incidentes de seguridad.

6
Monitoreo
▪ Tráfico inusual. El haber encontrado, mediante el
monitoreo, el patrón de aplicaciones que circulan por
la red, ayudará a poder detectar tráfico inusual o
fuera del patrón, aportando elementos importantes
en la resolución de problemas que afecten el
rendimiento de la red.
▪ Elementos principales de la red. Un aspecto
importante de conocer cuáles son los elementos que
más reciben y transmiten, es el hecho de poder
identificar los elementos a los cuales establecer un
monitoreo más constante, debido a que seguramente
son de importancia. Además, si se detecta un
elemento que generalmente no se encuentra dentro
del patrón de los equipos con más actividad, puede
ayudar a la detección de posibles ataques a la
seguridad de dicho equipo.

7
Monitoreo
▪ Calidad de servicio. Otro aspecto, es la Calidad de
servicio o QoS, es decir, garantizar, mediante ciertos
mecanismos, las condiciones necesarias, como ancho de
banda, retardo, a aplicaciones que requieren de un
trato especial, como lo son la voz sobre IP (VoIP), el
video sobre IP mediante H.323, etc.
▪ Control de tráfico. El tráfico puede ser reenviado o
ruteado por otro lado, cuando se detecte saturación
por un enlace, o al detectar que se encuentra fuera de
servicio, esto se puede hacer de manera automática si
es que se cuenta con enlaces redundantes.

Si las acciones tomadas no son suficientes, éstas se

deben reforzar para que lo sean, es decir, se debe estar
revisando y actualizando constantemente.

8
Metodologías y Técnicas de Monitoreo
Para desarrollar este punto se propone seguir la metodología que
se plantea, en el cual se plantea que para prestar un mejor
servicio a los usuarios se debe realizar un monitoreo oportuno
de fallas, bajo el cual radica la importancia de tener acceso a
informes periódicos, para lo cual se contó principalmente con los
enfoques activo y pasivo; sus técnicas, así como la estrategia de
monitoreo, incluyendo la definición de métricas y la selección de
las herramientas.

▪ Monitoreo activo:
Es un monitoreo que se basa en el envío de paquetes de
prueba en la red, permitiéndonos evaluar en diferentes
puntos, determinadas aplicaciones, y midiendo sus tiempos
de respuesta tanto de llegada o como de salida. . Este
enfoque tiene la característica de agregar tráfico en la red
y es empleado para medir el rendimiento de la misma.

9
Metodologías y Técnicas de Monitoreo
▪ Técnicas de monitoreo activo.

Basado en ICMP
• Diagnosticar problemas en la red.
• Detectar retardo, perdida de paquetes.
• RTT
• Disponibilidad de host y redes.

Basado en TCP
• Tasa de transferencia
• Diagnosticar problemas a nivel de aplicación

Basado en UDP
• Pérdida de paquetes en un sentido (one – way)
• RTT (tracerroute)

10
Metodologías y Técnicas de Monitoreo
▪ Monitoreo pasivo:
Este enfoque se basa en la obtención de datos a partir de recolectar
y analizar el tráfico que circula por la red. Se emplean diversos
dispositivos como sniffers ruteadores, computadoras con software
de análisis de tráfico y en general dispositivos con soporte para
SNMP, RMON y Netflow Este enfoque no agrega tráfico a la red
como lo hace el activo y es utilizado para caracterizar el tráfico en
la red y para contabilizar su uso.

▪ Técnicas de monitoreo pasivo

Solicitudes remotas

Mediante SNMP:

Esta técnica es utilizada para obtener estadísticas sobre la

utilización de ancho de banda en los dispositivos de red, para
ello se requiere tener acceso a dichos dispositivos. Al mismo
tiempo, este protocolo genera paquetes llamados traps que
indican que un evento inusual se ha producido.

11
Metodologías y Técnicas de Monitoreo
Otros métodos de acceso:
Se pueden realizar scripts que tengan acceso a dispositivos remotos
para obtener información importante a monitorear.

• Captura de tráfico:
Se puede llevar a cabo de dos formas:
1) Mediante la configuración de un puerto espejo en un dispositivo
de red, el cual hará una copia del tráfico que se recibe en un
puerto hacia otro donde estará conectado el equipo que realizará la
captura.
2) Mediante la instalación de un dispositivo intermedio que capture
el tráfico, el cual puede ser una computadora con el software de
captura o un dispositivo extra. Esta técnica es utilizada para
contabilizar el tráfico que circula por la red.

• Análisis del tráfico:

Se utiliza para caracterizar el tráfico de red, es decir, para
identificar el tipo de aplicaciones que son más utilizadas. Se puede
implementar haciendo uso de dispositivos probe que envíen
información mediante RMON o a través de un dispositivo intermedio
con una aplicación capaz de clasificar el tráfico por aplicación,
direcciones IP origen y destino, puertos origen y destino, etc.
12
Metodologías y Técnicas de Monitoreo
• Flujos:
También utilizado para identificar el tipo de tráfico utilizado en la red.
Un flujo es un conjunto de paquetes con:
▪ La misma dirección
▪ El mismo puerto TCP origen y destino
▪ El mismo tipo de aplicación.

Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos

que sean capaces de capturar tráfico y transformarlo en flujos.
También es usado para tareas de facturación.

13
Introducción a la implementación de Syslog en IOS
Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificación a
través de una red IP para que sean almacenados en otro dispositivo o servidor
colector.
Por defecto, los dispositivos IOS envían los mensajes del sistema y los que resultan
de la ejecución de comandos debug al proceso de logging. Este proceso controla la
distribución de mensajes a varios destinos: un buffer de memoria, dispositivos
terminales, consola de CLI o un servidor.
Inicialmente, por defecto los mensajes se envían solamente a la consola después de
que el proceso que da origen a cada mensaje concluye.
Es posible configurar el destino de los mensajes y filtrarlos de acuerdo al nivel de
severidad. La inclusión de fecha y hora es opcional y debe ser incluida explícitamente
si se desea contar con esa referencia.
El nivel de severidad de la notificación utiliza una escala de 0 a 7, donde 0
corresponde a los eventos de mayor criticidad, y 7 a los menos críticos:
0 - Emergencia. Indica que el sistema está inutilizable.
1 - Alerta. Requiere atención inmediata.
2 - Crítico.
3 - Error.
4 - Warning.
5 - Notificación.
6 - Informacional.
7 - Debugging.

Los niveles 4 a 0 denotan situaciones que afectan la operación del dispositivo.

14
 Configuración de Syslog
La configuración básica del servicio de syslog es semejante en
dispositivos Cisco IOS y IOS XR.

Router#configure terminal
Router(config)#service timestamp log
Incluye en el mensaje la fecha y hora en la que se ha generado el
mensaje
Router(config)#logging console disable
Desactiva el servicio en la consola.
Router(config)#logging console
Activa el servicio de syslog en la consola, cuando ha sido desactivado
manualmente.
Router(config)#logging console debugging
Especifica el nivel de severidad de los mensajes que han de enviarse a
la consola.
Router(config)#logging buffered informational
Habilita el almacenamiento de mensajes (hasta nivel 6) en un buffer de
memoria.
Router(config)#no logging buffered
Elimina el buffer de memoria para almacenar mensajes de syslog.

15
 Configuración de Syslog
Router(config)#logging monitor debugging
Especifica el nivel de severidad de los mensajes de syslog que se han
de enviar a las terminales virtuales.
Router(config)#logging 172.16.1.3
Define la dirección IP de un servidor de syslog para almacenar
mensajes de Syslog.
Router(config)#logging trap alerts
Define el nivel de severidad de los mensajes que se enviarán a los
servidores de syslog a los de nivel 0 a 1

Para monitorear el servicio de syslog:

Router#show logging
Router#clear logging

16