En esta publicación:
¿Qué es telemetría en redes de datos?
Telemetría de red se define como las técnicas de recolección y consumo de datos de redes, los administradores de red dependen de estas técnicas para conocer la salud de las redes, tradicionalmente, la telemetría de red se ha realizado con métodos push o pull.
Métodos Pull: incluye el muestreo de dispositivos para obtener información estadística sobre el estado de varios componentes.
Métodos Push: es cuando los aparatos envían información como registros o eventos cuando algo acurre en la red. Esto es una reacción en respuesta a un evento.
¿Qué se reporta?
Los eventos son acciones en la red, por ejemplo, un cambio en la configuración, las alarmas representan una falla en la red, significa que algo se ha roto o interrumpido o funcionando de manera incorrecta, por ejemplo, alarmas de límites de ancho de banda. Las estadísticas son información útil sobre el consumo de recursos de red, puede ser uso de interfaces que son muestreadas periódicamente.
¿Qué hace falta?
El modelo push aun es relevante en redes modernas que usan el mismo mecanismo, aunque con el paso de los años estas técnicas han mejorado para abordar deficiencias específicas, por ejemplo, IPFix sobre Syslog, etc. Cómo sea, el modelo pull se implementado históricamente basándose en SNMP:
- SNMP es un protocolo tradicional con mas de 30 años de existir, no es robusto para monitorear redes de alto desempeño modernas.
- El muestreo frecuente de SNMP demanda recursos y como consecuencia se debe sacrificar desempeño por calidad de datos o viceversa, lo cual no es aceptable en redes modernas.
- SNMP provee una lista comprensible de información a través de un árbol OID, sin embargo, analizar este árbol es computacionalmente ineficiente, por ello la recolección de datos con SNMP es cara.
- Los sistemas de telemetría actual proporcionan una gran cantidad de datos, pero sin análisis o visión de esta.
Telemetría de red actual
Versa Analytics proporciona información de telemetría de red, estos datos son agregados y analizados para proveer visibilidad a los patrones y comportamiento de la red, esta información se agrupa y muestra en tableros (red, firewall, amenazas, registro de alarmas, etc.) que facilitan identificar los datos para una visión completa de lo que sucede en la red, así como información histórica que facilita identificar tendencias.
Implementación
Analytics se implementa generalmente cómo un componente del Headend de Versa en un centro de datos, en un hardware dedicado, en un servidor virtual o en la nube, tiene altos requerimientos de capacidad de almacenamiento, procesamiento y memoria y DEBE ser implementado en un servidor de categoría de centro de datos. Hay dos modelos de implementación: Independiente (Standalone) y en grupo (Clúster).
De manera independiente todas las características del Analytics (Buscador, Colector y Analytics) se ejecutan en el mismo hardware, este es una implementación autónoma normalmente implementada con fines de prueba de concepto y ambientes de laboratorio.
En grupo o clúster Analytics se ejecuta en cuatro servidores, dos nodos Analytics y dos nodos Buscadores. Esta es la configuración mínima para la implementación en clúster, esta es la implementación típica en una red en producción que proporciona los requerimientos de redundancia necesarios.
Versa recomienda instalar el Analytics en un hardware dedicado, debido a que el hiperprocesamiento debe ser deshabilitado a nivel del host por lo que la sobresuscripción de CPU y otros beneficios de la virtualización no crean un ambiente ventajoso para en este caso, ya que la sobre carga del procesamiento del Hipervisor se convierte en una carga.
Conector
Analytics es definido en el Versa Director cómo un conector, se pueden definir múltiples host de Analytics cómo conectores y se puede definir a que conector enviar los registros, por ejemplo, se puede enviar registros SD-WAN al conector 1 mientras que los registros de Firewall se envíen al conector 2. Cuando Analytics se configura en un clúster cada host será mostrado en un menú en el Director, todos los nodos en un clúster tienen acceso a los mismos datos y eventualmente mostrarán las mismas vistas.
¿Qué es Versa Analytics?
Versa Analytics es una herramienta de inspección y visualización de información de red orientada a Big Data que colecta información histórica, ejecuta correlación de datos para asegurar que los registros y datos generados por la red SD-WAN sean analizados y presentados en una vista amigable al usuario, compuesta por tableros con gráficas y tablas para presentar información acerca del estado de la red.
Analytics se ejecuta en un clúster independiente de los otros componentes del HeadEnd y aunque se presenta cómo parte de una interfaz integrada en el Versa Director, en realidad es un sistema independiente con su propia GUI la cual se pude acceder directamente o ser compartida con los clientes que no tienen acceso al Versa Director. Está diseñado y desarrollado desde el inicio para soportar capacidades multiusuario y RBAC(Control de Acceso Basado en Roles). El componente de Big-Data del Analytics lo hace altamente escalable, permitiéndole crecer a medida que la red lo hace, esta propiedad en inherente a la arquitectura Analytics para su desempeño y disponibilidad.
Gracias a la cantidad de datos colectada y disponible sobre un periodo de tiempo, Analytics es capaz de desempeñar análisis de tendencias y realizar predicciones del futuro estado y requerimientos de la red, por ejemplo, basado en la utilización de ancho de banda de una interfaz en particular en los últimos tres meses, Analytics es capaz de realizar una asignación justa y acertada de cual será la utilización probable para esa interfaz en el futuro por ejemplo en un mes, esta es una herramienta poderosa de planeación de la demanda y diseño de red.
Analytics soporta la integración con colectores de datos y SIEMs de terceros, así como exportar los registros a almacenamientos de archivos de largo plazo, a través de interfaces RestAPI para características programables mejoradas.
Analytics colecta de manera práctica de información de red y seguridad, incluyendo, usuarios, aplicaciones, ubicaciones, etc. Es clave saber que Analytics proporciona una experiencia cercana a tiempo real pero no completamente, normalmente dependiendo de la resolución de los datos colectados puede que se presentan las actualizaciones pueden tomar de 5 a 10 minutos de retraso, sin embargo, esto se logra con un formato de búsqueda sobre un rango de tiempo. Analytics tiene la capacidad de enlazar varios registros juntos como parte de un único evento, por ejemplo, si una regla de Firewall también utilizó autorización por LDAP, filtrado por URL y antivirus, entonces Analytics provee una vista que muestra los registros independientes en una sola vista donde se les relaciona como parte de un evento.
Interfaz de usuario
La interfaz de usuario (UI) de Versa Analytics puede ser alcanzada desde la pestaña Analytics en la interfaz de usuario (UI) en el Versa Director. Analytics también tiene su propia UI que puede alcanzarse directamente a través de HTTPS en el puerto 8443.
Tableros y registros
Los tableros muestran estadísticas e información relacionada al desempeño, por ejemplo, utilización de ancho de banda por aplicación, usuario, interfaz, etc. Aquí se pueden encontrar varias vistas que proveen una visión extensa de diversos parámetros de la red, estos son calculados sobre cualquier rango de fechas o intervalos de tiempo.
Los tableros consisten en una variedad de tablas y gráficos que hacen de los datos crudos información intuitiva que mejora la experiencia de usuario, son ideales también cómo herramientas de gestión o para informes corporativos, también proporcionan vistas de registro de usuarios y su actividad en la red, similarmente, las aplicaciones también pueden ser rastreadas por ejemplo para saber cuanto acho de banda o cantidad de sesiones consume cada aplicación.
Otro ejemplo de tableros son las características SD-WAN como las métricas de SLA, violaciones SLA, utilización de rutas, etc. Estos son vistas detalladas en las que se puede profundizar con mucho detalle y ampliar para tener un panorama general del desempeño de la organización.
A diferencia de los tableros que proporcionan estadísticas y pueden ser modificados de acuerdo con el intervalo de tiempo que se consulte, los registros muestran eventos y alarmas individuales, esta vista será familiar para usuarios de sistemas de monitoreo tradicionales que muestran registros.
La sección de registros en el Analytics es en tiempo real, dichos registros o eventos se muestran tan pronto cómo se presenta en la red. Los registros de alarmas representan la capacidad de monitorear fallas, donde un rango de alarmas sobre la salud de la red se puede consultar en tiempo real, estas alarmas también se pueden correlacionar y “limpiar” una vez el evento inverso de la falla se presente. Este gestor de fallas también tiene algunas graficas resumen para una vista rápida y fácil de entender del estado de la red. Otros registros que se pueden encontrar son: DHCP, autenticación, firewall y monitoreo de tráfico, para mencionar algunos.
Una de las principales características de los registros es que son en base a reglas, por lo tanto, solo se colectan cuando se configuran reglas con capacidades de registro y cuando haya coincidencias en dichas reglas.
Versa Analytics proporciona capacidades de búsqueda y filtrado de registros muy potentes, los registros pueden ser filtrados utilizando combinaciones complejas de parámetros, además los registros son almacenados y se pueden consultar de manera histórica.
Limitaciones del Analytics
Para empezar, no proporciona monitoreo en tiempo real, de hecho, esta característica es una función del Versa Director, la información mostrada en los tableros es cercana a tiempo real, por lo que NO es una herramienta para extraer estadísticas en tiempo real y NO es una herramienta para consultar la red, NO es posible ejecutar comandos de muestreo (show) para mostrar información de los aparatos de la red, estas son funcionalidades del Versa Director además de las herramientas de diagnóstico de red como ping, trazas, tcpdumps, etc. Que NO son soportadas por el Analytics.
Además, NO es un mapa del tiempo/clima de la red, NO proporciona una animación del estado inmediato de la red, NO se puede repetir un evento de la red, sin embargo, se puede consultar los registros de dicho evento. NO proporciona un mapa gráfico de la red con utilización de enlaces y la topología.
Mientras que se puede correlacionar ciertos registros, lo que facilita identificar ciertos eventos, NO es una aplicación SIEM, por lo que NO se puede utilizar para recibir registros desde dispositivos de terceros o cajas negras (CPE de terceros con sistemas operativos diferentes a Versa OS) y tampoco correlacionar dichos registros.
Finalmente, Analytics NO se pueden crear alertas en tiempo real basadas en condiciones, por ejemplo, generar una notificación si una alarma particular se registra o si la utilización de CPU o de un enlace excede cierto límite, esto es función del Director.
Referencias
- Este contenido ha sido realizado sin fines de lucro, y con el objetivo de promover y facilitar el acceso al conocimiento sobre nuevas tecnologías.
- Todo el contenido de este artículo está basado en material y contenido gratuito de la Academia de Versa.
- No soy autor de las imágenes presentadas en este artículo, han sido tomadas del material y contenido gratuito de la Academia de Versa.
- Click aquí para visitar la Academia de Versa.
Gracias por leer éste artículo, espero que te haya servido, recuerda que puedes dejar tus comentarios, evaluación y compartirlo.
