Reducir el número de SSID en una red se ha convertido discretamente en un deporte competitivo. Pase una tarde en cualquier foro de redes y encontrará opiniones firmes, reglas generales de los proveedores y, de vez en cuando, acaloradas discusiones sobre cuántos son demasiados. Algunos dicen que hay que limitarse a tres o cuatro por radio. Otros dicen que los puntos de acceso modernos soportan muchos más sin despeinarse. Las recomendaciones varían de verdad, porque la respuesta honesta depende de su despliegue.
Esta es nuestra opinión. El tiempo de aire que consumen las balizas (beacons) es real, pero solo se convierte en un problema cuando se tienen muchos puntos de acceso superpuestos en el mismo canal. Si sus AP están bien espaciados, con poca superposición de canales compartidos, puede ejecutar varios SSID y estar perfectamente seguro. Antes de desmantelar nada, introduzca sus propios números en nuestra calculadora de sobrecarga de balizas y SSID y vea en qué situación se encuentra realmente.
Dicho esto, también somos partidarios del orden. Incluso cuando el impacto en el rendimiento es insignificante, una lista de SSID que ha crecido red a red es más difícil de documentar, más difícil de proteger y más difícil de entregar al siguiente ingeniero. Así que, si desea consolidar, este es el diseño al que siempre volvemos: tres SSID, cada uno de ellos asignado a una forma de autenticación, y todo lo demás gestionado mediante VLAN.
Dónde es real la tasa de tiempo de aire y dónde no lo es
Cada SSID en cada radio envía tramas de baliza (beacon frames) muchas veces por segundo, a la tasa básica obligatoria más baja, tanto si hay un solo cliente asociado como si no. Ese coste es por canal. Un punto de acceso que anuncie un puñado de SSID, en su propio canal, rara vez supone un problema. El problema empieza cuando varios puntos de acceso se encuentran en el mismo canal y se escuchan entre sí: sus balizas compiten ahora por el mismo tiempo de aire, y la sobrecarga se acumula en cada SSID de cada uno de ellos.
Por lo tanto, la variable real es la superposición de canales compartidos, no el número bruto de SSID. Un despliegue denso con muchas celdas superpuestas en 2.4 GHz, la tasa básica mantenida en 1 Mbps y ocho SSID puede degradar realmente el rendimiento. Un puñado de AP bien espaciados que ejecuten los mismos ocho SSID puede funcionar perfectamente. Esto es algo medible y no una cuestión de opinión: la calculadora de sobrecarga toma sus SSID por radio, el intervalo de baliza y la tasa básica, y devuelve el porcentaje de tiempo de aire del canal que consumen sus balizas. Menos del 2% es saludable, del 2% al 6% merece una revisión, y por encima del 6% es donde empieza a afectar. Compruebe los suyos antes de decidir que hay un problema que resolver.
El argumento a favor del orden
Suponga que la calculadora le indica que se encuentra dentro del rango saludable. ¿Sigue habiendo motivos para consolidar? Creemos que sí, y no tiene nada que ver con el tiempo de transmisión (airtime). Un SSID es un límite de autenticación, no un límite de segmentación. Cuando crea un nuevo SSID para cada nueva necesidad (uno para las cajas registradoras, uno para las impresoras, uno para la señalización digital, uno para los contratistas), acaba con una lista interminable en la que nadie sabe con certeza qué red hace qué, qué claves siguen activas o dónde debe conectarse un nuevo dispositivo. Redúzcalo a tres, cada uno vinculado a una forma clara de demostrar la identidad, y la red empezará a documentarse por sí sola. Separe las cajas registradoras de las cámaras y los residentes mediante VLAN y políticas de firewall, y configure un SSID independiente solo cuando un grupo de dispositivos necesite realmente un método de autenticación diferente. Solo existen tres de estos métodos.
SSID 1: red de invitados abierta con un Captive Portal
La red de visitas es abierta, por lo que cualquier dispositivo puede asociarse sin una clave previamente compartida, y un Captive Portal gestiona el inicio de sesión. Página de inicio personalizada con su marca, consentimiento (opt-in) consciente, inicio de sesión mediante redes sociales, correo electrónico o SMS, y acceso a internet a través de una VLAN aislada que no tiene visibilidad sobre su red interna (back office).
Esta es la única red que debe funcionar para un teléfono que el establecimiento nunca antes ha detectado, por lo que el único requisito es un navegador. Aquí también reside el valor comercial: datos de primera mano (first-party data) capturados en el punto de conexión, con consentimiento conforme a la GDPR, que se envían directamente a su CRM. Purple gestiona esto como WiFi de invitados en más de 80.000 establecimientos, y se mantiene como un único SSID sin importar cuántos inquilinos o zonas haya detrás.
SSID 2: WPA2/3-Enterprise para el personal e invitados seguros
El segundo SSID está cifrado y se basa en la identidad. Utiliza WPA2/3-Enterprise con 802.1X , respaldado por RADIUS, y presta servicio a dos grupos de usuarios en la misma transmisión: su personal y sus invitados de confianza.
Aquí está la parte que permite que un solo SSID realice dos funciones. Cuando un dispositivo se autentica, RADIUS no solo responde con un sí o un no, sino que devuelve la VLAN a la que pertenece esa identidad. El personal inicia sesión una sola vez con sus credenciales existentes de Microsoft Entra ID, Okta o Google Workspace, utilizando EAP-TLS para portátiles gestionados y PEAP para dispositivos antiguos (legacy), y accede a la VLAN del personal. Un contratista o un invitado de larga estancia se autentica con sus propias credenciales asignadas y accede a una VLAN independiente y restringida. Mismo SSID, mismo cifrado, dos redes completamente aisladas, que se determinan por identidad en el momento de la conexión.
Esa es la diferencia entre una contraseña compartida en una pizarra y un control de acceso adecuado. Cuando alguien se va, lo desactivas en el proveedor de identidad y su acceso a la WiFi se detiene el mismo día, sin necesidad de rotar una clave para todo el edificio ni de dejar dispositivos de confianza que no deberían estarlo. Purple ofrece esto como Staff WiFi con cloud RADIUS , y los equipos de TI suelen ver cómo los tickets de soporte de WiFi disminuyen alrededor de un 80% una vez que desaparecen las contraseñas. Cuenta con la certificación ISO 27001 y funciona con los puntos de acceso que ya posee.
SSID 3: xPSK para cajas registradoras, pantallas, impresoras e IoT
El tercer SSID es para todo aquello que no puede ejecutar un Captive Portal y no es compatible con 802.1X: terminales de tarjeta, señalización digital, impresoras de etiquetas y recibos, sensores de edificios, televisores inteligentes y el largo historial de IoT ad-hoc. Estos dispositivos no tienen navegador ni suplicante, pero pueden almacenar una clave precompartida, por lo que la respuesta es una clave por dispositivo en lugar de una contraseña compartida para todo el lote.
Cada fabricante importante tiene su propio nombre para esto. Cisco Meraki lo llama iPSK , HPE Aruba lo llama MPSK, Ruckus lo llama DPSK, y Juniper Mist y Ubiquiti UniFi lo exponen como claves precompartidas múltiples o por dispositivo. El término general es xPSK. El mecanismo es el mismo en cada caso: un SSID, muchas claves únicas, cada clave vinculada a un dispositivo o propietario y asignada a una VLAN específica.
De este modo, los terminales de pago obtienen una clave que los sitúa en la VLAN segmentada por PCI, la señalización obtiene una clave que la ubica en una VLAN de contenido sin acceso lateral, y un nuevo sensor de IoT obtiene su propia clave que se puede revocar de forma independiente sin tocar nada más. Si una clave se filtra, se rota únicamente esa clave. Nunca se cae toda la red. En entornos residenciales y de múltiples inquilinos, este es el mismo modelo de clave precompartida de identidad que coloca el dispositivo de cada residente en su propia burbuja aislada; los detalles se encuentran en nuestra guía de WiFi multi-tenant .
Cómo tres SSIDs lo cubren todo
Asocie cualquier dispositivo de un establecimiento a una de estas tres preguntas y sabrá dónde ubicarlo:
- ¿Puede abrir una página web y es un visitante no confiable? SSID de invitado abierto con Captive Portal.
- ¿Pertenece a una persona con una identidad que usted gestiona? SSID WPA2/3-Enterprise, VLAN por identidad.
- ¿Es un dispositivo sin pantalla que solo puede contener una clave? SSID xPSK, VLAN por clave.
Todo lo demás es segmentación, y la segmentación es tarea de la VLAN. La voz, las cámaras de seguridad, los pagos, la señalización, la gestión de edificios y el aislamiento por inquilino viven como VLANs detrás de estos tres SSIDs, dirigidos por atributos RADIUS o por la clave que presenta el dispositivo. Mantendrá cada fragmento de separación que tenía con diez SSIDs, con una lista lo suficientemente corta como para que el próximo ingeniero la entienda de un vistazo.
¿Reducir los SSIDs realmente mejora el rendimiento?
A veces, y principalmente cuando el solapamiento de canales es alto. Si tiene muchos puntos de acceso compartiendo canales, pasar de ocho o diez SSIDs a tres reduce proporcionalmente las tramas de baliza en cada radio solapada, y aumentar la tasa básica para que las balizas se transmitan más rápido multiplica el ahorro. Si sus APs apenas se solapan, la ganancia es marginal y el orden es la mejor razón para hacerlo. En cualquier caso, introduzca sus datos de antes y después en la calculadora de sobrecarga para decidir en base a evidencias y no a ojo.
¿Qué pasa si los invitados, el IoT y el personal necesitan una seguridad diferente?
Efectivamente necesitan una seguridad diferente, y por eso precisamente existen tres SSIDs en lugar de uno. Cada SSID es un método de autenticación distinto (abierto con portal, 802.1X y clave por dispositivo), que es lo único que justifica una difusión independiente. Los diferentes niveles de confianza dentro de un mismo método se gestionan mediante VLAN y políticas de firewall, no añadiendo más SSIDs. Se consigue un aislamiento más estricto que con el enfoque disperso, ya que cada límite se aplica por identidad o por clave, en lugar de confiar en que nadie haya adivinado la contraseña del personal.
En resumen
El hecho de que el número de SSIDs le esté costando tiempo de aire depende principalmente de cuánto se solapen sus puntos de acceso, así que consulte la calculadora antes de ponerse en lo peor. Sin embargo, es fácil crear SSIDs en exceso y una red ordenada es más fácil de gestionar; así que, cuando consolide, vincule cada SSID a un método de autenticación y traslade cualquier otra distinción a la VLAN. Tres es todo lo que necesita un espacio: un SSID abierto para invitados con un portal, WPA2/3-Enterprise para las personas y xPSK para las cosas. Funciona en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi y los demás, porque si sus puntos de acceso admiten RADIUS, Purple funciona con ellos.
¿Quiere que le ayudemos a reducir una lista de SSIDs sobredimensionada sin perder segmentación? Hable con un experto y asociaremos sus dispositivos a las tres redes que los cubren.
