Switches HPN – Configurando Sflow

Sflow(RFC 3176) é um protocolo que permite a coleta de estatísticas de tráfego de rede baseado em  amostras (formatadas) enviadas para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem “bruta” para o servidor. O protocolo exibe informações referente aos protocolos de rede. A feature é similar ao Netflow e não é proprietária.

A configuração do Sflow envolve 2 componentes:

  • Sflow Agent:  função atribuída a Switches , Roteadores, Access-Point que coletam as informações dos pacotes transmitidos e encaminham as amostras.
  • Sflow Collector: função atribuída de analizar as informações de cada Sflow Agent criando um modelo estatístico para exibição das informações.

Com base em uma taxa de amostragem definidos, tanto para o Agente ou para completar uma única interface, 1 de N pacotes são capturados e enviados para um Servidor de coleta. Este tipo de amostragem não fornece um resultado 100% de precisão na análise, mas que faz prever um resultado com precisão quantificáveis.

Os dados da amostra é enviado em UDP para o coletor sFlow. A porta padrão é 6343. A falta de confiabilidade no transporte UDP não afeta significativamente a precisão das medidas obtidas a partir de um agente sFlow. Se as amostras de contador são perdidas , a  perda de amostras de fluxo de pacotes é uma ligeira redução na taxa de amostragem efetiva.

A carga contém o datagrama UDP sFlow. Cada datagrama fornece informações sobre a versão sFlow, endereço de seu agente, IP de origem, número sequencial, quantas amostras ele contém e, geralmente, até 10 amostras de fluxo ou contra-amostras.

A técnia de amostragem pode ser utilizada com o seguinte critério

  • Flow sampling: Baseado na amostra de pacotes, usado para obter informações do conteúdo do pacote como protocolos e etc.
  • Counter sampling: Baseado na amostra de tempo,usado para obter estatisticas de interfaces.

Configurando Sflow em Switches com Comware

Para especificar o endereço de origem para envio de pacotes Sflow.
[Switch] sflow agent [ip <ip_address> | ipv6 <ip_address>]


Endereço e grupo do Servidor de coleta (podemos encaminhar para mais de um Servidor)

[Switch] sflow collector <collector_id> ip <ip_address>
[Switch] sflow collector <collector_id> ipv6 <ip_address>


Interface para coleta de informações e amostragem

[Switch] interface <interface_type/interface_number>
[Switch-<interface>] sflow sampling-rate <rate>
[Switch-<interface>] sflow flow collector <collector_id>
[Switch-<interface>] sflow counter interval <interval_time>
[Switch-<interface>] sflow counter collector <collector_id>

Exibição de coleta em um Servidor Sflow

Segue o exemplo da Configuração encamimhada pelo Marcos Schimidt de um Switch 4800G como Agente e um Servidor Solarwinds como Coletor ( a sintaxe pode variar dependendo da familia do Switch):

 

Configuração do switch
 sflow agent ip 172.16.0.254
 sflow collector ip 172.16.1.4
 sflow interval 60

Configuração da Interface
interface GigabitEthernet2/0/7
 sflow enable inbound
 sflow enable outbound
 sflow sampling-rate 100000

Referência

http://pt.wikipedia.org/wiki/SFlow

http://www.sflow.org/

Minha rede está lenta, e agora?

Publicado originalmente em 2 DE SETEMBRO DE 2010

Minha Rede está lenta, e agora? Nos últimos dias recebi algumas mensagens referentes a problemas de lentidão na rede e como solucioná-los.

Existem diversos fatores que podem influenciar a lentidão na rede e é necessário efetuar as seguintes perguntas: O que está lento? A LAN, a WAN, algum serviço especifico?

Após a identificação de alguns itens importantes para resolução do problema, baseado na resposta, verificamos alguns pontos abaixo:

Verificando o Speed e Duplex

Geralmente para problemas na Rede Local, sugiro sempre verificarmos o Speed e Duplex negociados na conexão entre Switches-Switches, Roteadores ou Servidores.

Problemas de Duplex são muito comuns e podem causar problemas em segmentos com portas que negociam em Half-Duplex enquanto o outro lado está em Full-Duplex.

http://www.comutadores.com.br/como-funciona-a-auto-negociacao/

SNMP

O gerenciamento da rede por SNMP é fundamental para detectamos o comportamento dos dispositivos. Cada equipamento Gerenciável possui uma base de dados chamada MIB onde é registrado diversas informações do equipamento como consumo de CPU, memória , estatística de banda das interfaces e etc.

A posição dentro da MIB para coleta de algumas dessas informações é chamado de OID.

A utilização do SNMP é bem difundida e existem diversos programas grátis como o Cacti para coleta de informações e construção de estatísticas da rede.

Para coletarmos informações utilizando o protocolo SNMP nos dispositivos, será necessário cadastrarmos uma Comunidade no equipamento ( funciona como uma senha) e configurar o endereço IP e Comunidade no Servidor para coleta.

O comando nos Switches 3Com é:

snmp-agent community read diego
! Cadastrando a community nome diego com permissão de leitura

Syslog

O Syslog também é um padrão de mercado muito utilizado para verificação de mensagens de Log registrada pelos equipamentos.

A utilização é importante para verificação de problemas baseada em determinado horário. Por exemplo, digamos que determinado problema iniciou-se as 21h há 2 dias atrás e você não estava na empresa para verificar se algo aconteceu no Switch.

O comando display logbuffer poderia ser bastante útil para exibir as informações do período informado desde que a informação não tenha sido sobrescrevida por outros eventos na memória do Switch.

Com a utilização de um Servidor para coleta de Syslog, a informação ficaria salva e nesse caso, poderíamos checar se o Switch “logou” algo estranho no período, como uma mensagem de Up/Down em uma porta de servidor,  comandos efetuado por determinado usuário no Switch ou convergência inesperada do Spanning-Tree.

O comando nos Switches 3Com para utilizar o Syslog é:

info-center loghost 172.31.7.2
! configurando o Switch para encaminhar os Logs para o Servidor de Syslog 

Mirroring ( Espelhamento de Porta)

O Espelhamento de porta é uma técnica útil para descobrirmos tráfegos indesejados na rede . A técnica permite que o Switch faça uma cópia do tráfego de uma interface para outra interface permitindo a analise de tráfego.

Na porta que recebermos a cópia do tráfego poderíamos subir um servidor com Wireshark , TCPDump ou NTOP para analise do que está ocorrendo na rede, como por exemplo, protocolos indesejáveis, máquinas utilizando o recurso da empresa com serviços desnecessários, maquinas zumbis, vírus, serviços ativos por engano, etc.

Há um tópico bacana no blog instruindo sobre a configuração do espelhamento de porta nos Switches 3Com:

http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

IDS

Uma solução mais sofisticada para analise e comportamento de tráfego da rede pode ser obtida através de um IDS ( como o Snort por exemplo) . O IDS é um conceito de software/dispositivo de rede que permite a identificação de tráfego maliciosos ou que viole as políticas de uma rede local com a apresentação de relatórios sobre determinados eventos.

Netflow e Sflow
O Netflow (equipamentos Cisco) e o Sflow(RFC 3176) são protocolos que permitem que as estatísticas de tráfego de rede sejam encaminhadas em amostras (formatadas) para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem bruta para o servidor. O protocolo é exibe informações referente a protocolos de rede.

Segue abaixo a configuração do Sflow nos Switches 4800G:

sflow agent ip 192.168.1.1
! IP do Switch para encaminhar a origem da mensagem Sflow
sflow collector ip 192.168.1.100
! IP do Switch para encaminhar para o destino a mensagem Sflow
sflow interval 30
! Período de intervalo de coleta em segundos
interface GigabitEthernet 1/0/1
sflow enable inbound 
sflow enable outbound 
sflow sampling-rate 100000
! Habilitando a coleta de Sflow na interface Giga1/0/1 no sentido ! de entrada, saída e número de amostras de pacotes

Topologia

A verificação da Topologia é necessária para analisarmos se há pontos de gargalos na rede gerados por erros na topologia, Hubs, equipamentos com baixa capacidade de throughput ou um numero excessivo de hosts em uma VLAN ( as melhores práticas sugerem uma sub-rede por VLAN)

PING e Tracert

Os comandos Tracert são bastante conhecidos e muito úteis para verificação do tempo de resposta.

Para os casos que a conexão entre Matriz e Filial apresentam problemas , sugiro a utilização do MTR ou WinMTR. O Software gera inúmeros traceroutes que ajudam a identificar pontos na nuvem da operadora que causam maior delay.

As dicas informadas são de ferramentas simples e que auxiliam no diagnostico dos problemas de rede.

Se o problema persistir, tente atuar em diversas frentes de forma racional e solicite uma segunda opnião. Se o caso agravar, escalone o caso ou solicite ajuda de um especialista.

Obs: A utilização da foto do Rubinho foi colocada apenas para descontrair o tópico. Possuímos grande admiração por sua  persistência, perseverança e motivação….! 🙂  

Se você possuir alguma outra dica ou sugestão, compartilhe, deixe um comentário!

Sucesso a todos!