Administración

de red Monitoreo de red

Autora: Mariela Rocha
· Introducción al monitoreo de red
· Herramientas de monitoreo
· Contadores de tráfico
MODULO 1.
· Monitores de servicios y equipamiento
· Analizadores de tráfico
MODULO 2.
· Ejemplos de herramientas de monitoreo
MODULO 3. · MRTG
MODULO 4. · CACTI
· Observium
MODULO 5.
· NTOP
MODULO 6. · NAGIOS
MODULO 7. · Wireshark
· Conclusiones del módulo
MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Administración
de red
Autora: Mariela Rocha
7.
Introducción al monitoreo de red

MODULO 1.
El monitoreo de la red y de los servicios que hay imple-
MODULO 2. mentados sobre ella cobra más relevancia cuanto más
críticos resultan estos servicios o enlaces de la red, por
MODULO 3. lo que dependerá fuertemente del tipo de red de la que
se trate. Por ejemplo: quizás no tenga, para algunas per-
MODULO 4.
sonas, el mismo sentido monitorear la red hogareña que
MODULO 5. tener un total conocimiento de lo que sucede en la red
para la cual trabajan, y aun más si además esa red presta
MODULO 6. servicios a terceros.

MODULO 7. La criticidad del monitoreo dependerá del grado de control

Monitoreo de red que se quiera tener sobre los servicios. No obstante, mas
allá de esta medida que podría resultar subjetiva, lo cierto
MODULO 8.
es que realizar un buen monitoreo no solo permite tener
MODULO 9. controlada la situación, sino que, objetivamente, permite:

MODULO 10.

MODULO 11.

MODULO 12.
Administración · detectar y prevenir problemas;
de red · diagnosticar causas de fallas;
Autora: Mariela Rocha
· determinar las acciones que solucionarán el problema;

· conformar planes de contingencia.

MODULO 1.

MODULO 2. Por supuesto que para que estas ventajas existan, el mo-
nitoreo de la red deberá realizarse en forma responsable,
MODULO 3. tratando de cubrir todas las variables posibles. En el con-
texto de este curso, implica que si se quiere monitorear co-
MODULO 4.
rrectamente la red, no solo se deberá monitorear para IPv4,
MODULO 5. sino que además se deberá incluir lo propio para IPv6, y no
siempre las medidas a tomar contemplan ambas versiones
MODULO 6. del protocolo, por lo que hay que tener esto muy en cuenta.

MODULO 7. El objetivo de este módulo es abordar el monitoreo en una

Monitoreo de red
red, intentando cubrir todas las variables posibles que im-
plican hacerlo de forma eficaz, mediante la utilización de
MODULO 8.
las denominadas herramientas open source, y mostrar los
MODULO 9. aspectos relevantes de las más comúnmente utilizadas.

MODULO 10. El módulo busca además reunir información basada en di-

versas fuentes, pero que en general se encuentra dispersa,
MODULO 11.
lo cual dificulta la tarea a la hora de elegir las herramien-
MODULO 12. tas que más conviene utilizar. Reunirlas en un mismo lugar
ahorrará tiempo y facilitará la tarea de selección.

Administración Herramientas de monitoreo
de red Contadores de tráfico
Autora: Mariela Rocha
Se llama de esta forma a las herramientas de monitoreo
que permiten visualizar la carga de tráfico que atraviesa
un determinado dispositivo. Estas herramientas solo con-
MODULO 1.
tabilizan el tráfico en unidades de bits o bytes por segun-
MODULO 2. dos, pero no determinan el origen o destino del flujo que
atraviesa la interfaz, ni mucho menos detectan el tipo de
MODULO 3. tráfico, sino que se trata solo de una medida interpretada
en el tiempo.
MODULO 4.

MODULO 5. Hay diferentes formas de medir la carga de tráfico que atra-

viesa un dispositivo. Se describirán algunos de los protoco-
MODULO 6. los o herramientas que se utilizan para estas mediciones:

MODULO 7. · SNMP:
Monitoreo de red
Su nombre proviene de las siglas en inglés de Simple Ne-
MODULO 8.
twork Management Protocol. Podría considerarse que
MODULO 9. utilizar SNMP es una forma simple de llevar a cabo un es-
tudio de la situación de la red. Se utiliza para monitorear el
MODULO 10. tráfico que atraviesa determinado dispositivo, así como la
utilización del CPU o el consumo de memoria RAM, entre
MODULO 11.
otros parámetros.
MODULO 12.
Administración El protocolo SNMP opera en la capa de aplicación y utiliza
un servicio no orientado a la conexión (puerto 161 de UDP
de red - 161/UDP).
Autora: Mariela Rocha
Las versiones de SNMP más utilizadas la 1 (SNMPv1) y la 2
(SNMPv2), que no son compatibles entre sí. Además, tam-
bién existe la SNMPv3, que añade principalmente cues-
MODULO 1.
tiones de seguridad, pero no se encuentra tan difundida
MODULO 2. como las versiones anteriores.

MODULO 3. Algunas herramientas que utilizan SNMP para obtener da-

tos son, por ejemplo, MRTG, Observium y CACTI, que serán
MODULO 4.
comentadas más adelante.
MODULO 5.
· NetFlow:
MODULO 6.
La cantidad de tráfico que atraviesa una interfaz o que
MODULO 7. ingresa y egresa de un dispositivo es una fuente de in-
Monitoreo de red
formación que ayuda a detectar anomalías. Sin embargo,
esta información podría ser insuficiente a la hora de ahon-
MODULO 8.
dar en la búsqueda de un diagnóstico.
MODULO 9.
NetFlow es un protocolo que fue originalmente desarrolla-
MODULO 10. do por Cisco para obtener información sobre tráfico IP. Sin
embargo, más allá de su origen, Netflow se ha convertido
MODULO 11.
en un estándar para el monitoreo del tráfico en la red.
MODULO 12. NetFlow permite obtener más información además de la
Administración carga de tráfico en la interfaz, como por ejemplo direccio-
nes origen y destino o los protocolos de capas superiores
de red que atraviesan la interfaz. De esta forma se puede diferen-
Autora: Mariela Rocha ciar el tráfico por servicios, por ejemplo, para saber qué tipo
de aplicaciones están utilizando los recursos de red. Otro
ejemplo es la diferenciación por rangos de direcciones o
sistemas autónomos, herramienta que resulta muy útil para
MODULO 1.
determinar con qué organizaciones se tiene más intercam-
MODULO 2. bio de tráfico y que permite planificar la ingeniería de la red.

MODULO 3. Es importante tener en cuenta que, para la recolección de

datos que aporten información acerca del tráfico IPv6, las
MODULO 4.
herramientas que se utilicen deberán soportar NetFlow 9,
MODULO 5. pues las versiones anteriores no permiten la exportación
de flujos de IPv6.
MODULO 6.
· sFLow e IPFIX:
MODULO 7.
Monitoreo de red
Como se mencionó en el apartado anterior, NetFlow fue
creado por la empresa Cisco. sFlow e IPFIX son los están-
MODULO 8.
dares del IETF derivados de NetFlow 9.
MODULO 9.
Básicamente, IPFIX está orientado a recolectar informa-
MODULO 10. ción según el flujo de datos, de modo que es un protocolo
flexible y muy extensible, tal como se puede comprobar
MODULO 11.
al ver la cantidad de RFC que lo han ido siguiendo (RFC:
MODULO 12. 3917, 3955, 5101, 5103, entre otros).
Administración En cuanto a sFlow, es muy similar, pero se diferencia por-
que se orienta más que nada a la recolección de datos
de red mediante el muestreo de paquetes, con lo cual recons-
Autora: Mariela Rocha truye la información en forma estadística. A diferencia de
los anteriores, no está orientado a flujos. El estándar en el
cual se basa es el RFC 3176.
MODULO 1.
Monitores de servicios y equipamiento:
MODULO 2.
Más allá del tráfico que atraviesa las interfaces de los dis-
MODULO 3. positivos, es útil conocer otras variables que podrían alte-
rar el funcionamiento de la red. Entre otras:
MODULO 4.

MODULO 5. · estado de los servicios y aplicaciones;

MODULO 6. · actividad de los hosts;

MODULO 7. · temperatura del equipamiento.

Monitoreo de red
En general, este tipo de herramientas utilizan plugins para
MODULO 8.
obtener información sobre cada uno de los parámetros
MODULO 9. que se dan como ejemplos. Entonces, un detalle impor-
tante a tener en cuenta es que son los plugins, y no las
MODULO 10. herramientas en sí mismas, la clave para que los paráme-
tros monitoreados puedan aportar la información requeri-
MODULO 11.
da, como por ejemplo la información de conectividad y el
MODULO 12. estado de las aplicaciones, tanto en IPv6 como en IPv4.
Administración Otro punto a tener en cuenta en este tipo de herramientas
tiene que ver con el protocolo ICMP (por sus siglas en in-
de red glés de Internet Control Messages Protocol), el cual opera
Autora: Mariela Rocha en la capa 3 del modelo OSI.

Generalmente, cuando se quiere determinar si un servi-

dor remoto está funcionando, lo primero que se intenta
MODULO 1.
constatar es que a nivel de la capa de red el servidor esté
MODULO 2. activo. Se trata de una prueba básica que descarta rápi-
damente muchos interrogantes.
MODULO 3.
Para ello suele utilizarse el comando «ping», el cual se
MODULO 4.
ejecuta en la línea de comandos especificando la direc-
MODULO 5. ción IP o el nombre del servidor que se quiere verificar, tal
como indica el siguiente ejemplo:
MODULO 6.
#ping www.example.com.uy
MODULO 7.
Monitoreo de red
Al ejecutar este comando, se irá enviando en forma perió-
dica (en general, una vez por segundo) un paquete ICMP al
MODULO 8.
servidor que contiene la página web www.example.com.ht.
MODULO 9. Si el servidor remoto que se está consultando está activo y
conectado a la red, entonces responderá con otro paquete
MODULO 10. ICMP, y el comando ping mostrará en pantalla los tiempos
en milisegundos que se tardó en alcanzar el punto remoto,
MODULO 11.
con cada paquete ICMP enviado.
MODULO 12.
Administración Si, por el contrario, el servidor remoto no responde, es señal
de que no está conectado a la red o no está activo a nivel
de red de la capa 3.
Autora: Mariela Rocha
Un ejemplo de herramienta que utiliza plugins y el co-
mando ping es NAGIOS; de ello se darán algunos detalles
más adelante.
MODULO 1.

MODULO 2. Analizadores de tráfico

MODULO 3. Se clasifica de esta forma a las herramientas que permiten

ver el tipo de tráfico que atraviesa la red y los dispositivos.
MODULO 4.
Con el objetivo de hacer más eficiente la administración
MODULO 5. de la red, conocer las particularidades del flujo de datos
facilitará la tarea de prevenir y diagnosticar problemas.
MODULO 6.
Este tipo de herramientas podría ser el más complejo a la
MODULO 7. hora de recolectar datos, por ser el que se constituye en
Monitoreo de red
la mayor fuente de información que reconoce el tipo de
tráfico y no solo su cantidad, origen o destino. Sin embar-
MODULO 8.
go, uno de los principales motivos de no hallar respuesta
MODULO 9. cuando se investiga un problema en la red, aun si se uti-
lizan analizadores de tráfico, es no ahondar de la misma
MODULO 10. manera en IPv4 que en IPv6.
MODULO 11.
Los analizadores de tráfico de uso común que se pueden
MODULO 12. considerar son Wireshark, NTOP, entre otros.
Administración Ejemplos de herramientas de monitoreo
de red · MRTG
Autora: Mariela Rocha
Su nombre proviene de sus siglas en inglés de Multi Rou-
ter Traffic Grapher. Se trata de una herramienta escrita en
los lenguajes C y Perl. Es una utilidad que se encuentra
MODULO 1.
entre las que se clasifican como contadores de tráfico,
MODULO 2. pues su función es mostrar el comportamiento y la can-
tidad de tráfico que atraviesa un dispositivo a lo largo del
MODULO 3. tiempo, mediante el protocolo SNMP para la recolección
de datos.
MODULO 4.

MODULO 5. Una vez obtenidos los datos, confecciona informes que se

pueden visualizar a través de un navegador.
MODULO 6.
MRTG también puede mostrar otro tipo de datos, como la
MODULO 7. carga de CPU a lo largo del tiempo. Sin embargo, el uso
Monitoreo de red
más común, y para el cual fue desarrollado MRTG, es para
conocer la carga en las interfaces, principalmente en
MODULO 8.
equipos routers, y puede diferenciar entre la entrada y la
MODULO 9. salida del tráfico.

MODULO 10. El siguiente gráfico muestra una captura de un monitoreo

a través de MRTG:
MODULO 11.

MODULO 12.
Administración
de red
Autora: Mariela Rocha

MODULO 1.

MODULO 2.
Fuente : https://es.wikipedia.org/wiki/MRTG
MODULO 3.

MODULO 4. Como puede observarse, el tráfico entrante a la interfaz es el

que se señala en color verde, y la línea azul indica la cantidad
MODULO 5. de tráfico saliente. Además, permite ver los puntos máximos
y mínimos de tráfico alcanzados, promedios, etcétera.
MODULO 6.
El tráfico a visualizar puede ser IPv4 o IPv6, ya que desde
MODULO 7.
Monitoreo de red
hace varios años MRTG tiene soporte para IPv6, más pre-
cisamente desde su versión 2.10.0. Sin embargo, es ne-
MODULO 8. cesario configurar algunas variables para que considere
también ese tráfico.
MODULO 9.
Un aspecto importante es que como MRTG es un contador
MODULO 10. de tráfico, al hacer las gráficas no discrimina entre paque-
tes de datos IPv6 y paquetes de datos IPv4: ambas ver-
MODULO 11.
siones serán parte de la carga de tráfico sobre la interfaz.
MODULO 12.
Administración · Observium
de red Se trata de una herramienta basada en PHP/MySQL que
Autora: Mariela Rocha permite descubrir automáticamente dispositivos de la red,
ya que identifica a una gran gama de estos, y requiere un
mantenimiento bastante simple que se administra me-
diante una aplicación web.
MODULO 1.

MODULO 2. Observium es capaz de detectar parámetros como CPU,

memoria, temperatura, capacidades de almacenamiento,
MODULO 3. tráfico, detalle de errores, detalle de accesos de usuarios y
muchos datos más.
MODULO 4.

MODULO 5. En cuanto a los parámetros de la red, Observium es capaz

de hacer gráficas en tiempo real, discriminar entre tráfi-
MODULO 6. co IPv4 e IPv6, TCP y UDP, llevar adelante estadísticas de
protocolos de ruteo como BGP y OSPF, entre otras.
MODULO 7.
Monitoreo de red
La siguiente figura es un ejemplo de las pantallas que se
obtienen con Observium:
MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Administración
de red
Autora: Mariela Rocha

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.
Monitoreo de red

MODULO 8.

MODULO 9.

MODULO 10.
Fuente: http://observium.org/screenshots/
MODULO 11.

MODULO 12.
Administración · CACTI
de red Es uno de los contadores de tráfico más conocidos en la
Autora: Mariela Rocha actualidad.

Es muy similar a MRTG, en cuanto a que logra coleccio-

nar (a través de una base de datos MySQL) un conjunto
MODULO 1.
de datos para construir gráficos que muestran la carga de
MODULO 2. tráfico, tanto entrante como saliente, de una interfaz, tal
como se muestra en la siguiente figura:
MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.
Monitoreo de red

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Fuente : https://www.cacti.net
Administración En cuanto a IPv6, a diferencia de MRTG, no será necesario
configurar ninguna variable en especial para que conside-
de red re este tráfico, pero sí habrá que tener en cuenta utilizar la
Autora: Mariela Rocha versión 0.8.6 o posterior.

· NTOP:
MODULO 1.
También se encuentra dentro del conjunto de los analiza-
MODULO 2. dores de tráfico. Se trata de una herramienta que muestra
la utilización de la red monitoreada, diferencia entre di-
MODULO 3. recciones fuente, destino, protocolos utilizados, servicios,
etc., y muestra los datos en forma instantánea o en tiem-
MODULO 4.
po real, por lo que no actúa como un colector.
MODULO 5.
NTOP adquiere la información haciendo sniffing o median-
MODULO 6. te NetFlow, el cual, como dijimos, debe considerarse des-
de su versión 9 para monitorear y analizar el tráfico IPv6
MODULO 7. además del IPv4.
Monitoreo de red
En la siguiente figura se muestra un ejemplo de reporte
MODULO 8.
obtenido por NTOP:
MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Administración
de red
Autora: Mariela Rocha

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.
Monitoreo de red

MODULO 8.
Fuente : https://www.ntop.org/wp-content/uploads/2011/09/Screen-Shot-2011-09-10-at-1.55.23-PM.png

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Administración · NAGIOS
de red esta herramienta es una de las que clasifican dentro de
Autora: Mariela Rocha los llamados monitores de servicios y equipamiento. Es
muy utilizada en la administración de redes para monito-
rear la actividad de los hosts, las aplicaciones, los servi-
cios y hasta la temperatura de los equipos, todo a través
MODULO 1.
de un conjunto de plugins.
MODULO 2.
La configuración de los recursos a monitorear se hace a
MODULO 3. través de un grupo de comandos que serán distintos se-
gún se quiera monitorear recursos IPv4 o IPv6. Asimismo,
MODULO 4.
Nagios permite diferenciar los servicios según las diferen-
MODULO 5. tes versiones del protocolo IP.

MODULO 6. Nagios tiene una interfaz como se ve en la siguiente figura:

MODULO 7.
Monitoreo de red

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Administración
de red
Autora: Mariela Rocha

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.
Monitoreo de red

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11. Fuente: https://www.nagios.org/about/screenshots/

MODULO 12.
Administración Agrupa los hosts y los servicios en forma separada, pero
pueden verse todos juntos en la misma interfaz. Diferencia
de red con colores el estado de cada uno de estos, de manera de
Autora: Mariela Rocha alertar visualmente en primera instancia. Luego, utiliza un
sistema de alarmas sonoras y vía correo electrónico que se
pueden configurar según las necesidades del administrador.
MODULO 1.
Es un software muy útil para tener un panorama comple-
MODULO 2. to de la red en una sola mirada. Por ello, en general en los
NOC se lo dispone en un monitor o display a la vista de
MODULO 3. todos, en forma continua.
MODULO 4.
Existen otras herramientas que son similares a Nagios,
MODULO 5. entre ellas: Icinga, Zabbix, Observium y Grafana. En la bi-
bliografía de referencia podrán encontrarse los enlaces a
MODULO 6. cada una de estas.

MODULO 7. · Wireshark
Monitoreo de red
También pertenece al conjunto de los analizadores de trá-
MODULO 8.
fico. Esta herramienta opera capturando el tráfico de las
MODULO 9. interfaces y analizando los paquetes. Diferencia por pro-
tocolos a través de sniffing, tal como lo hace NTOP.
MODULO 10.
Si bien Wireshark soporta IPv6, al momento de instalarlo
MODULO 11.
conviene leer exhaustivamente la documentación, pues
MODULO 12. hay detalles de librerías y de configuración a tener en cuenta
para no incurrir en errores y monitorear la red solo en IPv4.
Administración La siguiente figura muestra un ejemplo de Wireshark al
capturar tráfico:
de red
Autora: Mariela Rocha

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.
Monitoreo de red

MODULO 8.

MODULO 9.

MODULO 10.
Fuente: https://www.wireshark.org/docs/wsug_html/
MODULO 11.

MODULO 12.
Administración TShark: Esta herramienta es un analizador de tráfico
como Wireshark, pero trabaja en modo texto, en lugar de
de red hacerlo a través de una interfaz gráfica.
Autora: Mariela Rocha
Conclusiones del módulo

En este módulo se ha querido mostrar la criticidad que re-

MODULO 1.
presenta el monitoreo en una red, sus ventajas y la impor-
MODULO 2. tancia de que se realice responsablemente, considerando
todas las variables en juego e incluyendo no solo IPv4 sino
MODULO 3. también IPv6.
MODULO 4.
La elección de las herramientas que se utilizarán debe
MODULO 5. ser cuidadosa, ya que existe una gran variedad de ellas,
desde las que solo contabilizan el tráfico en una interfaz,
MODULO 6. hasta las que son capaces de mostrar el contenido de los
paquetes y sus encabezados, y discernir entre protocolos,
MODULO 7. versiones, servicios, etcétera.
Monitoreo de red
Lo importante no es la complejidad de las herramientas,
MODULO 8.
sino que el resultado de lo que arrojen sea lo que se está
MODULO 9. buscando, para que este pueda ser correctamente inter-
pretado por los administradores de redes.
MODULO 10.

MODULO 11.

MODULO 12.