PORTAL DE CLIENTES
Juan Cruz Caire
el21/08/2025

Telemetría de red: una guía práctica para operadores

Telemetría de red: una guía práctica para operadores
7 min de lectura

La telemetría de red es una de las herramientas más poderosas para entender lo que sucede en nuestra red, pero elegir el protocolo adecuado puede ser sorprendentemente complejo. Los routers modernos admiten una larga lista de opciones (NetFlow, IPFIX, sFlow, PSAMP e incluso espejado de puertos), cada una con sus propias ventajas y desventajas.

En los últimos diez años hemos probado la telemetría en cientos de entornos reales, desde puntos de intercambio de Internet hasta proveedores de alojamiento en la nube. Este artículo presenta un resumen práctico de lo que hemos aprendido, con un objetivo: ayudarle a elegir la telemetría adecuada para sus necesidades.

La telemetría de red es el proceso de exportar metadatos o datos de tráfico sin procesar desde routers y switches a un sistema externo para su análisis. Ayuda a los operadores a comprender los patrones de tráfico, detectar anomalías, supervisar el desempeño y responder a incidentes con mayor rapidez.

La mayoría de los protocolos de telemetría están diseñados para ser eficientes, por lo que muestrean, resumen o filtran los datos antes de enviarlos. Esto los hace escalables, pero también significa que hay que elegir con cuidado qué datos exportar y con qué velocidad.

La calidad y la velocidad de la telemetría afectan directamente a su visibilidad. Si las exportaciones son lentas o los datos superficiales, puede que las amenazas o cuellos de botella no se detecten hasta que sea demasiado tarde. Por eso es tan importante comprender las diferencias entre los distintos métodos de telemetría.

Un concepto básico en el diseño de telemetría es si los datos que se recopilan se basan en flujos o en paquetes.

La telemetría basada en flujos, como NetFlow o IPFIX, resume una conversación entre dos extremos. Generalmente incluye las direcciones IP de origen y destino, los puertos, los protocolos y el recuento de bytes/paquetes. Estos metadatos son fáciles de almacenar y analizar, pero no incluyen la carga útil ni todos los detalles de los paquetes. La telemetría de flujos es ideal para realizar análisis de tráfico y obtener métricas a largo plazo.

La telemetría basada en paquetes, como sFlow o PSAMP, captura encabezados de paquetes reales (y a veces cargas útiles) directamente de la red. Estos se muestrean, no se exportan en su totalidad, pero aun así ofrecen una granularidad mucho mayor y permiten casos de uso en tiempo real, como la detección de ataques DDoS o el seguimiento de anomalías.

Los métodos basados en paquetes ofrecen información más rápidamente porque no dependen de los mecanismos de timeout de los flujos. Pero también generan mayores volúmenes de datos y requieren colectores de mayor capacidad y recursos.

En redes modernas, los mejores resultados suelen obtenerse con un enfoque híbrido, es decir, uso de telemetría basada en flujos para obtener información histórica y telemetría basada en paquetes para una detección y respuesta más rápida ante incidentes.

Ahora que hemos cubierto los fundamentos de la telemetría de red y las principales diferencias entre los enfoques basados en flujos y en paquetes, veremos cómo se comparan en la práctica los protocolos de telemetría más utilizados. Analizaremos sus fortalezas, limitaciones y los casos de uso para los cuales resultan más adecuados.

Panorama de la telemetría de red

Los routers modernos de gran escala (carrier-grade) admiten una variedad de protocolos de telemetría, cada uno con sus propias fortalezas, limitaciones y casos de uso ideales. A primera vista, las opciones pueden parecer complejas, ya que para elegir la más adecuada no alcanza con leer una hoja de especificaciones. También es necesario considerar cómo se comporta el protocolo en condiciones reales, incluidas la latencia de exportación, la granularidad de los datos e incluso las peculiaridades de la implementación de un proveedor específico.

En la siguiente tabla se resumen las características clave de los protocolos más utilizados para que pueda compararlos rápidamente y entender dónde encaja mejor cada uno.

Protocolo            TipoGranularidad de los datosLatencia de exportación¿Soporta IPv6?Casos de uso típicos
NetFlow vsBasado en flujosCampos fijos (solo IPv4)Depende del timeout de los flujos (segundos a minutos)NoAnálisis de tráfico a largo plazo, facturación, planificación de la capacidad
NetFlow v9Basado en flujosPlantillas flexiblesDepende del timeout de los flujosAnálisis de tráfico, hosts que consumen el mayor ancho de banda, correlación de eventos de seguridad
IPFIXBasado en flujosMuy extensible, soporta campos personalizadosDepende del timeout de los flujosClasificación detallada del tráfico, monitoreo específico de cada protocolo
sFlow v5Basado en paquetesMuestreo de encabezados (tasa configurable)Prácticamente en tiempo realDetección de ataques DDoS en tiempo real, monitoreo de la calidad de servicio, resolución de problemas
PSAMPBasado en paquetesMuestreo de paquetes estructuradoPrácticamente en tiempo realAnálisis de seguridad, detección de anomalías, investigación
Espejado de puertos (SPAN)  Basado en paquetesCaptura de paquetes completos o encabezadosEn tiempo realInspección profunda de paquetes, estudios forenses

Con este panorama general en mente, en las siguientes secciones analizaremos en detalle cada protocolo: cómo funciona, en qué situaciones funcionan mejor, y las ventajas y desventajas que se deben considerar antes de implementarlos.

NetFlow v5

NetFlow v5 es uno de los protocolos de telemetría más antiguos pero aún se utiliza, especialmente en redes legadas. Exporta registros de flujos después de que una sesión finaliza o llega a un límite de tiempo prefijado (límite de timeout), normalmente de 30 a 60 segundos.

Este protocolo es extremadamente limitado, ya que no soporta IPv6, usa un conjunto de campos fijo y no ofrece flexibilidad para agregar metadatos adicionales. En la práctica, las demoras en la exportación hacen que no sea útil para casos de uso en tiempo real, como la detección de ataques DDoS.

Solo se recomienda cuando el hardware no soporta ninguna otra alternativa. En general, no es suficiente en el caso de las redes modernas.

NetFlow v9 / IPFIX

NetFlow v9 y su sucesor, IPFIX, incorporan plantillas flexibles que permiten a los routers exportar un conjunto de datos más completo, incluido el soporte para IPv6. Estos protocolos se pueden personalizar para incluir campos como el siguiente salto de BGP, números de sistema autónomo, direcciones MAC y otros.

Sin embargo, esta flexibilidad tiene un costo. Las plantillas suelen variar entre proveedores y requieren un cuidadoso procesamiento y control de versiones. Además, dado que también se basan en flujos y dependen de timeouts activos/inactivos, estos protocolos aún tienen retrasos en la exportación.

A pesar de su complejidad, NetFlow v9/IPFIX cuenta con un amplio soporte y es adecuado para análisis históricos o planificación de la capacidad, especialmente cuando se utiliza con colectores de código abierto o comerciales que soportan plantillas dinámicas.

sFlow v5

sFlow es un protocolo de telemetría basado en paquetes que exporta encabezados sin procesar y contadores de interfaz. A diferencia de NetFlow, sFlow no acumula datos por flujos, sino que muestrea los paquetes a una tasa configurable (por ejemplo, 1 de cada 1000) y los exporta en tiempo real.

Gracias a su baja latencia y a la gran cantidad de datos que proporciona, sFlow se puede utilizar para monitorear la seguridad, la visibilidad en tiempo real y la clasificación del tráfico. No obstante, no todo el hardware implementa sFlow con la misma eficacia. Algunas plataformas solo ofrecen contadores básicos o metadatos limitados y las frecuencias de muestreo pueden ser demasiado bajas para detectar ráfagas de tráfico de corta duración.

Bien implementado, sFlow es liviano y muy eficaz, pero conviene verificar las capacidades de la plataforma de software específica de su router.

Espejado de puertos

El espejado de puertos duplica todo el tráfico de un puerto de router o switch y lo envía a un colector o interfaz de monitoreo. Ofrece una visibilidad completa del flujo de paquetes, incluidas las cargas útiles, y suele utilizarse para debugging o para la captura completa de paquetes.

Pero el espejado de puertos consume muchos recursos. Utiliza ancho de banda adicional, requiere colectores dedicados y no escala bien en entornos de alto tráfico. Por eso no es adecuada como solución de telemetría de propósito general, sino en escenarios específicos de resolución de problemas.

Espejado de puertos muestreados / PSAMP

Una opción moderna y eficiente de telemetría basada en paquetes es el espejado de puertos muestreados, que a menudo utiliza extensiones PSAMP (muestreo de paquetes). Este método combina la velocidad y la baja latencia del muestreo de paquetes con la estructura de metadatos de IPFIX.

Permite definir las frecuencias de muestreo, formatos de exportación y filtros, por lo que se puede controlar con precisión la telemetría generada. Los datos exportados incluyen encabezados de paquetes y, opcionalmente, contadores de interfaz o metadatos BGP.

En nuestra experiencia, siempre que el hardware lo soporte, este es uno de los métodos de telemetría con mejor rendimiento disponible en la actualidad. Proveedores como Juniper y Nokia ofrecen implementaciones robustas de PSAMP, mientras que otros fabricantes se están poniendo al día.

Por qué la velocidad es importante

La telemetría no solo se trata de saber qué ocurre en su red, sino de saberlo con la rapidez suficiente para responder. Esto es especialmente crítico para la detección y mitigación de ataques DDoS, donde cada segundo cuenta.

La telemetría tradicional basada en flujos (como NetFlow v5 o v9) introduce retrasos de 30 segundos o más en la detección. Para cuando se detecta una anomalía, puede que el ataque ya haya afectado los servicios. En cambio, los métodos de telemetría basados en paquetes (como sFlow o PSAMP) pueden detectar patrones de tráfico anómalos en menos de dos segundos.

En FastNetMon, nuestro motor de detección de código abierto soporta los principales protocolos de telemetría. En pruebas reales, hemos observado de forma consistente que PSAMP y las implementaciones de sFlow de alta calidad tienen el mejor desempeño. Estos métodos proporcionan una visibilidad rápida y detallada que permite implementar respuestas automatizadas antes de que se produzcan daños.

Cómo elegir la telemetría adecuada para su red

Cada red es diferente y ningún protocolo de telemetría es perfecto. La elección adecuada depende de diversos factores:

En entornos modernos, recomendamos empezar con telemetría basada en paquetes si la detección con baja latencia es una prioridad. La telemetría basada en flujos mantiene su utilidad, especialmente cuando se utiliza en combinación, aunque claramente la industria está avanzando hacia una telemetría más rápida, completa y flexible.

GianniEditar perfil

Si hace tiempo que no revisa su configuración de telemetría, este es un buen momento para hacerlo.



🚀 ¡Impulsa tu proyecto con el Mejor Hosting de Argentina! 🚀

En Full Tech Solutions, ofrecemos Cloud Hosting de alta velocidad, seguridad de primer nivel y soporte 24/7 para acompañar tu crecimiento digital.✅ Rendimiento superior: Servidores optimizados para que tu web cargue más rápido que nunca. ✅ Seguridad avanzada: Protege tus datos con tecnología de vanguardia. ✅ Soporte experto 24/7: ¡Estamos aquí cuando más nos necesites!Descubre por qué somos la elección N.º 1 en Argentina. ¡Elige Full Tech Solutions y lleva tu proyecto al siguiente nivel!🎉 ¡Construyamos juntos un futuro digital seguro y exitoso! 🔒

Juan Cruz Caire
el21/08/2025
Compartir
ESCRIBIR UN COMENTARIO

¿Qué está pensando?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Próximos

Copyright © 2010-2025 LineasDNS. All Rights Reserved