Saltar al contenido principal
Español

Designing WiFi Networks for Multi-Tenant Office Buildings

Esta guía ofrece a los directores de TI, arquitectos de red y CTO un plan independiente del proveedor para diseñar redes WiFi escalables, seguras y aisladas en edificios de oficinas multiinquilino. Abarca la segmentación de VLAN bajo IEEE 802.1Q, la asignación dinámica de VLAN mediante 802.1X y RADIUS, la planificación de RF para entornos de alta densidad y las consideraciones de cumplimiento bajo GDPR y PCI DSS. Los operadores de recintos y gestores de edificios encontrarán directrices de arquitectura prácticas, casos de estudio reales y errores de configuración que deben evitar antes del despliegue.

📖 9 min de lectura📝 2,022 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
PURPLE TECHNICAL BRIEFING Designing WiFi Networks for Multi-Tenant Office Buildings Full Transcript [SECTION 1: INTRODUCTION AND CONTEXT - 1 MINUTE] Welcome to the Purple Technical Briefing. I'm a Senior Solutions Architect at Purple, and today we're getting into one of the most technically demanding deployment scenarios in enterprise networking: designing WiFi networks for multi-tenant office buildings. Whether you're responsible for a grade-A commercial tower with fifteen independent tenants, a mixed-use development combining retail and office space, or a flexible coworking campus, the challenge is fundamentally the same. You need to deliver reliable, secure, isolated connectivity to multiple independent organisations over a single shared physical network. And you need to do it in a way that satisfies compliance requirements, keeps your support desk quiet, and doesn't require a full-time engineer to maintain. Let's get into the technical architecture. [SECTION 2: TECHNICAL DEEP-DIVE - 5 MINUTES] The foundation of any multi-tenant WiFi design is network segmentation. The primary mechanism for achieving that is VLAN tagging, standardised under IEEE 802.1Q. The concept is straightforward: you assign each tenant, or each traffic class, to a distinct virtual LAN. Traffic on VLAN 10 cannot reach traffic on VLAN 20 unless you explicitly permit it through a firewall policy. That logical isolation is your first line of defence. Now, here's where architects often make their first mistake. They conflate VLAN segmentation with security. VLANs provide isolation, not security. You still need firewall policies between VLANs. You still need access control lists. And you still need to think carefully about what inter-VLAN routing you permit. A misconfigured trunk port can collapse your entire segmentation model in seconds. In a multi-tenant office building, you typically have a shared physical infrastructure: cabling, switch fabric, and access points serving multiple tenants. The access points broadcast multiple SSIDs, each mapped to a different VLAN. Tenant A connects to their SSID, their traffic is tagged with VLAN 10 at the access point, traverses the shared switch fabric on a trunk port, and arrives at the distribution layer where it's routed into Tenant A's isolated subnet. Tenant B's traffic follows the same physical path but is completely isolated at Layer 2. Now, historically, network engineers segmented environments by creating a unique SSID for every tenant. But SSID proliferation is a performance killer. Every SSID you broadcast must transmit management frames, called beacons, at the lowest basic mandatory data rate. If you're broadcasting six or seven SSIDs on an access point, you can easily consume twenty to thirty percent of your available wireless airtime just on management overhead. That's before a single byte of actual user data is transmitted. The modern enterprise standard is Dynamic VLAN Assignment. Instead of multiple SSIDs, you broadcast one secure SSID using IEEE 802.1X authentication. When a user connects, their device exchanges credentials with a RADIUS server. The RADIUS server authenticates the user and sends an Access-Accept message back to the access point. Critically, this message includes specific IETF standard attributes: the Tunnel-Type, the Tunnel-Medium-Type, and the Tunnel-Private-Group-ID, which contains the specific VLAN ID for that user's organisation. The access point receives these attributes and dynamically drops that user's traffic directly into their dedicated VLAN. A corporate executive and an IoT device can connect to the exact same SSID, but their traffic is completely isolated at Layer 2. For authentication, WPA3-Enterprise is now the recommended encryption standard. It provides 192-bit security mode and eliminates the vulnerabilities associated with WPA2's four-way handshake. Identity providers like Microsoft Entra ID, Okta, or Google Workspace integrate with your RADIUS infrastructure to manage credentials centrally. Now let's talk about RF planning, because this is where multi-tenant office deployments get genuinely complex. When you have multiple tenants in adjacent spaces, you have a high-density RF environment. Co-channel interference is your enemy. You need a proper RF planning exercise before deployment: an active site survey that maps signal propagation, identifies interference sources, and informs your channel allocation strategy. The 2.4 GHz band gives you three non-overlapping channels in most regulatory domains: channels 1, 6, and 11. The 5 GHz band gives you significantly more capacity. WiFi 6E extends this into the 6 GHz band, giving you clean spectrum largely free from legacy device interference. For new multi-tenant deployments, specifying WiFi 6E capable access points from vendors like Cisco Meraki, HPE Aruba, Ruckus, or Juniper Mist is the right call. The additional spectrum headroom pays dividends in dense environments. IoT is the other dimension you cannot ignore. In a modern multi-tenant building, you have building management systems, HVAC controllers, smart lighting, access control, and CCTV. These must be on their own isolated VLAN, completely separated from both tenant traffic and guest traffic. IoT devices are notoriously difficult to patch and represent a significant attack surface. Segment them, monitor them, and apply strict egress filtering. [SECTION 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES] Let me share the three most common pitfalls I see in multi-tenant deployments. The first is insufficient trunk port configuration. Architects design a beautiful VLAN scheme and then forget to explicitly permit the relevant VLANs on every trunk link in the path. Traffic silently drops, tenants complain, and the support team spends days tracing the issue. Document your trunk configurations meticulously and validate them during commissioning. The second pitfall is SSID proliferation. Keep your SSID count to no more than four per radio. Use Dynamic VLAN Assignment via RADIUS attributes rather than separate SSIDs to serve multiple tenants. The third pitfall is neglecting the management plane. Your management VLAN, the one your access points, switches, and controllers communicate on, must be completely isolated from all tenant and guest VLANs. If a tenant can reach your management plane, you have a critical security vulnerability. I'd also add a fourth: neglecting DHCP lease time management on guest VLANs. In high-turnover environments, devices hold leases after disconnecting. Set guest VLAN lease times to one to two hours to prevent IP address exhaustion. [SECTION 4: RAPID-FIRE Q AND A - 1 MINUTE] Let me run through a few questions that come up consistently in these deployments. Do you need separate physical access points per tenant? No. That's the whole point of VLAN-based multi-tenancy. Multiple tenants share the same access point, with traffic isolation enforced at the network layer. How do you handle legacy IoT devices that don't support 802.1X? Use MAC Authentication Bypass combined with WPA3-SAE. The RADIUS server identifies the device by its MAC address and assigns it to an isolated IoT VLAN. Apply strict firewall rules to this segment. Does Dynamic VLAN Assignment affect roaming? Not if you configure it correctly. Enable 802.11r for Fast BSS Transition and Opportunistic Key Caching. Authentication state is cached across your access points, and users roam seamlessly without re-authentication delays. [SECTION 5: SUMMARY AND NEXT STEPS - 1 MINUTE] To bring this together: a well-designed multi-tenant WiFi architecture for an office building is built on four pillars. First, rigorous VLAN segmentation with enforced firewall policies between segments. Second, centralised controller-based management that gives you operational visibility and policy control at scale. Third, a proper RF planning exercise that accounts for the physical environment and the density of the deployment. And fourth, a security model that addresses authentication, encryption, IoT isolation, and compliance requirements from day one. The organisations that get this right see measurable outcomes: reduced support overhead, faster tenant onboarding, demonstrable compliance posture for audits, and the ability to monetise connectivity as a service rather than treating it as a cost centre. If you're planning a multi-tenant deployment and want to explore how Purple's platform can provide the analytics, Guest WiFi management, and tenant-level reporting layer on top of your network infrastructure, visit purple dot ai. The resources linked in the guide are a good starting point. Thanks for listening. Until next time.

header_image.png

Resumen ejecutivo

Para los CTO y arquitectos de red que gestionan edificios de oficinas multiinquilino, el reto está claro: ofrecer una conectividad fiable, segura y aislada a múltiples organizaciones independientes a través de una única red física compartida. Una arquitectura de red plana en un entorno multiinquilino es un riesgo crítico. Amplía el alcance del cumplimiento bajo GDPR y PCI DSS, expone a los inquilinos a amenazas de seguridad laterales y crea una carga operativa que escala con dificultad a medida que aumenta el número de inquilinos.

Esta guía proporciona un plan independiente del proveedor para diseñar una arquitectura WiFi multiinquilino. Al implementar la segmentación de VLAN IEEE 802.1Q, la asignación dinámica de VLAN a través de 802.1X y una planificación de RF rigurosa, puede eliminar la proliferación de SSID, reducir la sobrecarga de tiempo de transmisión (airtime) hasta en 20 puntos porcentuales y garantizar un aislamiento estricto de Capa 2 entre inquilinos. Detallamos los estándares técnicos, las consideraciones de hardware de diversos proveedores (incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist) y las políticas de enrutamiento necesarias para proteger su infraestructura. Si se realiza correctamente, esta arquitectura reduce los costes indirectos de soporte, simplifica las auditorías de cumplimiento y le permite monetizar la conectividad como servicio.

Análisis técnico detallado

Argumentos en contra de las redes planas

Una red plana sitúa a todos los dispositivos, independientemente del inquilino, el tipo de tráfico o la clasificación de seguridad, en un único dominio de difusión (broadcast). Cada dispositivo recibe todos los paquetes de difusión. Un dispositivo de invitado comprometido puede escanear y acceder a terminales de punto de venta (POS), sistemas de gestión de edificios y estaciones de trabajo corporativas. Toda su red entra dentro del alcance de PCI DSS. Este no es un riesgo teórico. Es el estado por defecto de muchos edificios multiinquilino que se cablearon antes de que la densidad inalámbrica se convirtiera en una limitación de diseño.

La solución es la segmentación lógica. No necesita una infraestructura física independiente para cada inquilino. Necesita una arquitectura VLAN correctamente diseñada, un firewall configurado adecuadamente y una plataforma de gestión centralizada.

IEEE 802.1Q y etiquetado de VLAN

Las redes de área local virtuales (VLAN), estandarizadas bajo IEEE 802.1Q, le permiten dividir una única infraestructura física de switches en múltiples redes lógicas aisladas. Cuando un cliente conecta a un punto de acceso WiFi, el AP etiqueta las tramas de datos de ese cliente con un identificador de VLAN (VID) de 12 bits. Los switches leen esta etiqueta y garantizan que el tráfico de una VLAN nunca se reenvíe a los puertos de otra VLAN, a menos que un firewall lo enrute explícitamente.

Un edificio de oficinas multiinquilino estándar requiere como mínimo cuatro VLAN:

VLAN Clase de tráfico Política de enrutamiento
VLAN 10 Inquilino corporativo A Solo Internet + recursos específicos del inquilino
VLAN 20 Inquilino corporativo B Solo Internet + recursos específicos del inquilino
VLAN 30 WiFi de invitados (Captive Portal) Solo Internet, sin acceso a ninguna VLAN de inquilinos
VLAN 40 IoT y BMS Solo salida a las plataformas de gestión designadas

Para edificios con más inquilinos, se amplía este modelo. Cada inquilino adicional recibe una VLAN dedicada y una política de firewall correspondiente. La infraestructura física sigue siendo compartida.

vlan_architecture_diagram.png

Asignación dinámica de VLAN mediante 802.1X y RADIUS

Históricamente, los ingenieros de redes creaban un SSID independiente para cada inquilino. Este enfoque degrada el rendimiento. Cada SSID transmite tramas de gestión (beacons) a la velocidad de datos obligatoria básica más baja para garantizar que los dispositivos antiguos puedan conectarse. Transmitir seis o siete SSID en un único punto de acceso puede consumir entre el 20 % y el 30 % del tiempo de transmisión (airtime) inalámbrico disponible antes de que se transmita cualquier dato de usuario. En un edificio multiinquilino denso, esto es inaceptable.

El estándar moderno es la asignación dinámica de VLAN. Se transmite un único SSID seguro mediante autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo (el suplicante) intercambia credenciales con un servidor RADIUS a través del punto de acceso (el autenticador). El servidor RADIUS valida las credenciales frente a un proveedor de identidad (como Microsoft Entra ID, Okta o Google Workspace) y envía un mensaje Access-Accept de vuelta al punto de acceso. Este mensaje incluye tres atributos RADIUS estándar del IETF:

  • Tunnel-Type (atributo 64): establecido en VLAN
  • Tunnel-Medium-Type (atributo 65): establecido en 802
  • Tunnel-Private-Group-ID (atributo 81): el ID de VLAN específico para la organización de ese usuario

El punto de acceso recibe estos atributos y coloca dinámicamente el tráfico del usuario en su VLAN dedicada. Un empleado del Inquilino A y un empleado del Inquilino B se conectan al mismo SSID. Su tráfico está completamente aislado en la Capa 2. El switch los gestiona como si estuvieran conectados a redes físicas totalmente independientes.

Para los segmentos de invitados, enrute el tráfico a través de una VLAN de invitados dedicada a un Captive Portal. La plataforma Guest WiFi de Purple gestiona el consentimiento de conformidad con el GDPR, el acceso seguro y las WiFi Analytics en un segmento aislado sin acceso de enrutamiento a las redes corporativas. Para obtener una visión más amplia de la arquitectura de control de acceso, consulte nuestra guía sobre sistemas de control de acceso a la red .

WPA3-Enterprise y estándares de cifrado

WPA3-Enterprise es el estándar de cifrado recomendado para despliegues multiinquilino. Proporciona un modo de seguridad de 192 bits, elimina las vulnerabilidades del protocolo de enlace de cuatro vías (four-way handshake) de WPA2 y exige el uso de tramas de gestión protegidas (PMF) bajo IEEE 802.11w. Para entornos que manejan datos de tarjetas de pago o información corporativa confidencial, WPA3-Enterprise con EAP-TLS (autenticación mutua basada en certificados) elimina por completo los vectores de robo de credenciales.

Para los segmentos de invitados donde la implementación de certificados no resulta práctica, WPA3-SAE (Simultaneous Authentication of Equals) proporciona confidencialidad directa (forward secrecy), lo que garantiza que una clave de sesión comprometida no exponga el tráfico histórico.

Planificación de RF en entornos de alta densidad

La interferencia cocanal (CCI) es la causa principal del bajo rendimiento de la WiFi en edificios de oficinas multiinquilino. Cuando los puntos de acceso adyacentes transmiten en el mismo canal de frecuencia, los dispositivos deben esperar a que el tiempo de transmisión (airtime) esté libre antes de transmitir. En un edificio con múltiples inquilinos y una alta densidad de dispositivos, la asignación de canales no planificada crea un entorno de RF congestionado que ninguna cantidad de ancho de banda puede solucionar.

Es obligatorio realizar un estudio de cobertura (site survey) de RF activo in situ antes de la implementación. Los mapas de cobertura de los proveedores son optimistas. Se necesitan mediciones reales de la señal en el espacio físico, teniendo en cuenta los materiales de las paredes, la estructura de los suelos y el entorno de RF de los edificios colindantes.

rf_planning_heatmap.png

La banda de 2,4 GHz proporciona tres canales que no se solapan (1, 6 y 11) en la mayoría de los dominios reguladores. La banda de 5 GHz ofrece una capacidad significativamente mayor. WiFi 6E se extiende a la banda de 6 GHz, lo que proporciona un espectro limpio y prácticamente libre de interferencias de dispositivos heredados. Para nuevas implementaciones multiinquilino, especificar puntos de acceso compatibles con WiFi 6E de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi proporciona el margen de espectro necesario para entornos densos.

Aislamiento de IoT

Los edificios de oficinas modernos albergan sistemas de gestión de edificios, controladores de climatización (HVAC), iluminación inteligente, control de accesos y CCTV. Estos dispositivos son notoriamente difíciles de parchear y representan una superficie de ataque significativa. Deben aislarse en una VLAN dedicada con un filtrado de salida estricto, permitiendo la comunicación saliente únicamente hacia sus plataformas de gestión designadas. Acceso de enrutamiento nulo a cualquier VLAN de inquilinos. Acceso de enrutamiento nulo a la VLAN de invitados. Esto no es negociable tanto desde la perspectiva de la seguridad como de la GDPR.

Guía de implementación

Paso 1: Diseñe su arquitectura lógica antes de tocar el hardware. Planifique el número de inquilinos, las clases de tráfico (corporativo, invitados, IoT, pagos, gestión) y asigne las VLAN. Documente su esquema de direccionamiento IP. Defina su política de enrutamiento inter-VLAN: qué puede comunicarse con qué y qué está absolutamente prohibido.

Paso 2: Encargue un estudio de cobertura (site survey) de RF activo. No confíe en los mapas de cobertura de los proveedores. Necesita mediciones reales de la señal en el espacio físico para determinar la ubicación de los puntos de acceso y la asignación de canales.

Paso 3: Configure su cortafuegos principal con una política de denegación por defecto (Default-Deny). Bloquee todo el enrutamiento inter-VLAN de forma predeterminada. Añada únicamente excepciones explícitas y específicas para cada puerto. Cada ruta inter-VLAN debe estar justificada y documentada.

Paso 4: Desactive la VLAN 1 en todos los puertos troncales. Cambie la VLAN nativa en los puertos troncales a un ID de VLAN no utilizado y no enrutable. Esto evita los ataques de salto de VLAN (VLAN hopping) que explotan la VLAN nativa predeterminada.

Paso 5: Valide las configuraciones de los puertos troncales. Permita explícitamente todos los ID de VLAN requeridos en cada enlace troncal en la ruta desde el punto de acceso hasta la capa de distribución. La falta de etiquetas VLAN provoca caídas silenciosas de tráfico que requieren mucho tiempo para diagnosticar.

Paso 6: Implemente una gestión centralizada en la nube. Las plataformas de Cisco Meraki, HPE Aruba, Juniper Mist y Ruckus ofrecen políticas de ancho de banda por SSID, informes por inquilino e integración con su infraestructura RADIUS. La sobrecarga operativa de gestionar un parque de puntos de acceso distribuidos sin un controlador es insostenible a gran escala.

Paso 7: Establezca los tiempos de concesión (lease times) de DHCP por segmento. VLAN corporativas: de 8 a 24 horas. VLAN de WiFi de invitados: de 1 a 2 horas. Los tiempos de concesión cortos en los segmentos de invitados evitan el agotamiento de las direcciones IP en entornos con una alta rotación.

Paso 8: Aísle el plano de gestión. Su VLAN de gestión debe estar completamente aislada de todas las VLAN de inquilinos e invitados. Aplique ACL estrictas al tráfico de gestión. Si un inquilino puede acceder a su plano de gestión, tiene una vulnerabilidad de seguridad crítica.

Buenas prácticas

La siguiente tabla resume los estándares de configuración clave para una implementación de WiFi multiinquilino conforme a las normativas.

Control Estándar Justificación
Segmentación de VLAN IEEE 802.1Q Aislamiento de capa 2 entre inquilinos
Autenticación IEEE 802.1X con WPA3-Enterprise Elimina los vectores de robo de credenciales
Asignación dinámica de VLAN RADIUS con atributos Tunnel Reduce el número de SSID, preserva el tiempo de transmisión (airtime)
Incorporación de invitados Captive Portal con consentimiento de GDPR Cumplimiento normativo y recopilación de datos
Aislamiento de IoT VLAN dedicada con ACL de salida Limita la superficie de ataque de los dispositivos no parcheados
Planificación de RF Estudio de cobertura (site survey) activo Mitiga la interferencia cocanal
Roaming 802.11r Fast BSS Transition Traspaso sin interrupciones entre puntos de acceso
VLAN nativa ID de VLAN no enrutable y no utilizado Evita los ataques de salto de VLAN (VLAN hopping)

Para implementaciones en el sector de hostelería , el aislamiento de la VLAN de invitados es fundamental. Para entornos de comercio minorista , el aislamiento de los terminales de punto de venta (TPV) en una VLAN dedicada reduce directamente el alcance de la auditoría PCI DSS. Para centros de transporte e instalaciones de sanidad , se aplican los mismos principios de segmentación, prestando especial atención al volumen de conexiones simultáneas y a la diversidad de tipos de dispositivos.

Para los establecimientos que estén considerando enlaces ascendentes WAN basados en satélite, la guía de Purple sobre cómo configurar un captive portal en Starlink cubre las consideraciones específicas para entornos remotos y marítimos.

Resolución de problemas y mitigación de riesgos

Caídas silenciosas de tráfico. El modo de fallo más común en implementaciones multiinquilino. Se debe a la falta de etiquetas VLAN en los puertos troncales. Un usuario se autentica correctamente a través de 802.1X, el servidor RADIUS los asigna a la VLAN 40, pero la VLAN 40 no está permitida en el puerto troncal. El tráfico se descarta. El usuario no recibe ninguna dirección IP. Documente meticulosamente las configuraciones de los troncales y valídelas durante la puesta en servicio.

Proliferación de SSID. Cada SSID que emite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un entorno denso, emitir ocho o diez SSID por AP degrada el rendimiento para todos. Mantenga el número de SSID en no más de cuatro por radio. Utilice la asignación dinámica de VLAN mediante atributos RADIUS en lugar de SSID independientes para dar servicio a múltiples inquilinos.

Exposición del plano de gestión. Si su VLAN de gestión no está aislada, un inquilino que obtenga acceso a ella puede modificar las configuraciones de los AP, interrumpir el servicio o interceptar el tráfico de gestión. Utilice la gestión fuera de banda (out-of-band) siempre que sea posible. Aplique ACL estrictas a todas las interfaces de gestión.

Proliferación de dispositivos IoT. Los operadores de edificios suelen añadir dispositivos IoT sin informar al equipo de red. Implemente políticas de control de acceso a la red (NAC) que requieran una autorización explícita antes de que cualquier dispositivo nuevo reciba una dirección IP en la VLAN de IoT.

Agotamiento de DHCP en VLAN de invitados. En entornos de alta rotación, los dispositivos mantienen las concesiones (leases) de DHCP después de desconectarse. Una subred /24 proporciona 254 direcciones. En un centro de conferencias o espacio de coworking concurrido, esto se agota rápidamente. Establezca tiempos de concesión de 1 a 2 horas y dimensione la subred de la VLAN de invitados para dar cabida a los picos de dispositivos simultáneos.

ROI e impacto empresarial

Una arquitectura WiFi multiinquilino correctamente segmentada ofrece resultados medibles en tres dimensiones.

Reducción de costes de cumplimiento. El aislamiento de los terminales de punto de venta (POS) y de pago en una VLAN dedicada con controles de firewall estrictos reduce el alcance de la auditoría PCI DSS en aproximadamente un 70%, según los propios datos de despliegue de Purple. Esto reduce directamente los costes anuales de auditoría y el tiempo del equipo de TI necesario para la documentación de cumplimiento.

Eficiencia operativa. La gestión centralizada en la nube reduce el OpEx asociado a la gestión de un parque de AP distribuido. El aprovisionamiento sin intervención (zero-touch), la aplicación de políticas globales y los informes por inquilino eliminan la necesidad de realizar cambios de configuración in situ. La incorporación de nuevos inquilinos se reduce de días a horas.

Generación de ingresos. Una red segura y de alto rendimiento permite a los operadores de edificios monetizar la conectividad como servicio. Los paquetes de ancho de banda por niveles, los SLA por inquilino y la información basada en analíticas transforman el WiFi de un centro de costes a una línea de ingresos. Purple opera en más de 80.000 centros activos y ha procesado 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024), proporcionando la infraestructura analítica para respaldar este modelo a escala.

Para obtener más información sobre cómo la conectividad WiFi respalda objetivos más amplios de inclusión digital, consulte nuestro artículo sobre el World WiFi Day 2026 . Para una introducción a las consideraciones de arquitectura WAN relevantes para despliegues multisitio, consulte nuestra guía de definición de ordenador WAN .

Definiciones clave

IEEE 802.1Q

The networking standard that defines VLAN tagging for Ethernet frames. It adds a 4-byte tag to each frame containing a 12-bit VLAN Identifier (VID), allowing switches to maintain multiple isolated broadcast domains over shared physical infrastructure.

The foundational protocol for multi-tenant network segmentation. Every enterprise switch and access point supports 802.1Q. Without it, logical isolation between tenants is impossible.

Dynamic VLAN Assignment

A method where a RADIUS server assigns a specific VLAN to a user or device upon successful 802.1X authentication, using IETF RADIUS attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) to instruct the access point which VLAN to place the user into.

The standard approach for serving multiple tenants from a single SSID. Eliminates SSID proliferation and preserves wireless airtime while maintaining full Layer 2 isolation between tenants.

IEEE 802.1X

The IEEE standard for port-based Network Access Control (PNAC). It defines a three-party authentication model: the supplicant (client device), the authenticator (access point or switch), and the authentication server (RADIUS). The authenticator blocks all traffic until the supplicant is authenticated.

The authentication framework used to enforce Dynamic VLAN Assignment. Required for WPA3-Enterprise deployments. Integrates with identity providers including Microsoft Entra ID, Okta, and Google Workspace.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) management. In WiFi deployments, the RADIUS server validates user credentials and returns VLAN assignment attributes to the access point.

The server infrastructure that enforces Dynamic VLAN Assignment. Can be deployed on-premises or as a cloud service. Integrates with identity providers via LDAP, SAML, or SCIM.

Co-channel interference (CCI)

Interference caused when two or more access points broadcast on the same frequency channel within range of each other. Devices must wait for clear airtime before transmitting, reducing effective throughput for all users on that channel.

The primary cause of poor WiFi performance in dense multi-tenant buildings. Mitigated through active RF site surveys and careful channel allocation across the 2.4 GHz, 5 GHz, and 6 GHz bands.

Native VLAN

The VLAN on an 802.1Q trunk port that carries untagged traffic. By default, most switches use VLAN 1 as the native VLAN, creating a well-known attack vector for VLAN hopping.

A security risk that must be addressed in every multi-tenant deployment. Change the native VLAN on all trunk ports to an unused, non-routable VLAN ID to prevent VLAN hopping attacks.

Captive portal

A web page that a user must interact with before being granted network access. In WiFi deployments, the user connects to an open or WPA2-Personal SSID, is redirected to a splash page for authentication or terms acceptance, and is then granted internet-only access on an isolated VLAN.

The standard onboarding mechanism for Guest WiFi segments. Enables GDPR-compliant consent collection, identity verification, and analytics. Must be deployed on a VLAN with zero routing access to corporate or tenant networks.

WPA3-Enterprise

The latest WiFi security protocol for enterprise networks, standardised by the Wi-Fi Alliance. Provides 192-bit cryptographic strength (CNSA suite), requires 802.1X authentication, mandates Protected Management Frames (PMF) under IEEE 802.11w, and eliminates the vulnerabilities in WPA2's four-way handshake.

The recommended encryption standard for multi-tenant corporate WiFi segments. Required for environments handling payment card data or sensitive corporate information. Supported by all major enterprise AP vendors.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. A certificate-based 802.1X authentication method that requires both the client and the RADIUS server to present X.509 digital certificates, providing mutual authentication and eliminating password-based credential theft.

The most secure 802.1X authentication method. Used in high-security multi-tenant environments where credential theft is a primary concern. Requires a Public Key Infrastructure (PKI) to issue and manage client certificates.

MAC Authentication Bypass (MAB)

A fallback authentication method that uses a device's MAC address as its identity when the device does not support 802.1X. The RADIUS server looks up the MAC address and assigns the device to a predefined VLAN.

Used for IoT devices, printers, and other equipment that cannot perform 802.1X authentication. Because MAC addresses can be spoofed, MAB must always be combined with strict firewall rules on the assigned VLAN.

Ejemplos prácticos

A 350-room hotel group with 12 properties needs to secure its network. Currently, guest smartphones, staff laptops, POS terminals, and building management systems all share a single flat network. The IT team spends 40 hours monthly on PCI DSS compliance documentation because the entire network is in scope. The CTO wants to reduce compliance overhead and improve security posture before the next audit.

Deploy a four-VLAN architecture using IEEE 802.1Q across all 12 properties via a centralised cloud management platform. Assign VLANs as follows: VLAN 10 for Staff Corporate (802.1X authenticated, routed to internal resources and internet), VLAN 20 for Guest WiFi (captive portal, internet only), VLAN 30 for POS Terminals (802.1X authenticated, routed only to payment processor endpoints), and VLAN 40 for IoT and BMS (MAC Authentication Bypass, egress to BMS management platform only). Configure a Default-Deny firewall policy between all VLANs. Integrate Purple's Guest WiFi platform on VLAN 20 for GDPR-compliant consent management and analytics. Validate trunk port configurations on every switch in the path during commissioning.

Comentario del examinador: This approach reduces PCI DSS audit scope by approximately 70% by isolating the POS segment. The strict firewall policy prevents lateral movement from a compromised guest device to payment infrastructure. The IT team recovers the 40 hours monthly previously spent on compliance documentation. The centralised cloud management platform enables consistent policy enforcement across all 12 properties without on-site visits.

A coworking operator manages a 15-floor office building with 40 independent member companies. Each company needs its own isolated WiFi network. The current architecture broadcasts a separate SSID per company, resulting in 40 SSIDs per floor. WiFi performance is poor across the building despite a 10 Gbps fibre uplink. The network team wants to resolve performance issues without replacing hardware.

Consolidate to a single secure SSID using WPA3-Enterprise and IEEE 802.1X authentication. Deploy a RADIUS server integrated with the building's identity provider (Microsoft Entra ID or Okta). Configure the RADIUS server to return Dynamic VLAN Assignment attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) for each authenticated user, placing them into their company's dedicated VLAN. Retain a separate Guest WiFi SSID with a captive portal for visitor access. This reduces the SSID count from 40 to two per radio. Conduct an active RF site survey to validate channel allocation and AP placement following the SSID consolidation.

Comentario del examinador: Reducing the SSID count from 40 to two per radio eliminates the beacon management overhead that was consuming 20% to 30% of available airtime. Average client throughput increases significantly. The Dynamic VLAN Assignment approach maintains full Layer 2 isolation between all 40 member companies without any change to the physical infrastructure. The RF site survey ensures channel allocation is optimised following the configuration change.

Preguntas de práctica

Q1. You are deploying WiFi for a new mixed-use building with 20 independent retail tenants on the ground floor and 10 office tenants on floors 1 to 5. The building owner wants each tenant to have their own secure WiFi network, plus a shared Guest WiFi network for visitors. What is the most efficient architectural approach, and what is the maximum number of SSIDs you should broadcast per access point?

Sugerencia: Consider the impact of broadcasting 30 separate SSIDs on wireless airtime. Think about how Dynamic VLAN Assignment can serve multiple tenants from a single SSID.

Ver respuesta modelo

Deploy a single secure SSID using WPA3-Enterprise and IEEE 802.1X authentication for all corporate tenants. Use a RADIUS server integrated with the building's identity provider to perform Dynamic VLAN Assignment, placing each tenant's devices into their own isolated VLAN upon authentication. Deploy a second SSID for Guest WiFi with a captive portal. This results in two SSIDs per radio, well within the four-SSID maximum. Each of the 30 tenants receives a dedicated VLAN with a corresponding Default-Deny firewall policy. The Guest WiFi VLAN has zero routing access to any tenant VLAN.

Q2. During a post-deployment audit of a multi-tenant office building, you discover that traffic from the Guest WiFi VLAN (VLAN 30) can successfully ping devices on the IoT VLAN (VLAN 40). Both are on separate VLANs. What is the most likely cause, and what is the immediate remediation step?

Sugerencia: VLANs separate broadcast domains at Layer 2. What handles traffic routing between different subnets at Layer 3?

Ver respuesta modelo

The core router or firewall is missing a Default-Deny inter-VLAN routing policy. By default, routers pass traffic between all connected subnets. The immediate remediation is to configure an explicit Deny rule on the firewall blocking all traffic from VLAN 30 to VLAN 40. Audit all other inter-VLAN routing policies at the same time to confirm no other unintended paths exist. The long-term fix is to implement a Default-Deny policy across all VLANs with only explicit, documented exceptions permitted.

Q3. A tenant in a multi-tenant office building reports that their devices can authenticate to the WiFi network successfully, but they never receive an IP address and cannot access the internet. Other tenants on the same access points are working normally. The RADIUS server logs show successful authentication and a VLAN 50 assignment for the affected tenant. What is the first configuration you should check?

Sugerencia: Think about the physical path that VLAN-tagged traffic takes from the access point to the core switch. What must be configured on that path for VLAN 50 traffic to pass?

Ver respuesta modelo

Check the 802.1Q trunk port configuration on the switch port connected to the access point. Verify that VLAN 50 is explicitly listed as an allowed VLAN on the trunk. If VLAN 50 is not permitted on the trunk, the switch drops all VLAN 50 tagged frames, and the client never receives a DHCP response. Add VLAN 50 to the trunk's allowed VLAN list and verify the client receives an IP address. Also confirm that a DHCP scope exists for the VLAN 50 subnet.

Q4. A building operator wants to add 50 new IoT sensors to monitor energy consumption across a multi-tenant office building. The sensors do not support 802.1X authentication. How should you onboard these devices securely, and what firewall policy should apply to their VLAN?

Sugerencia: Consider the authentication method available for devices that cannot perform 802.1X, and the security implications of that method.

Ver respuesta modelo

Use MAC Authentication Bypass (MAB) to onboard the IoT sensors. Register each sensor's MAC address in the RADIUS server and configure the server to assign authenticated MAC addresses to the dedicated IoT VLAN (e.g., VLAN 40). Because MAC addresses can be spoofed, apply strict egress firewall rules to VLAN 40: permit outbound traffic only to the designated energy management platform IP addresses, and block all other outbound and all inbound traffic. Apply strict ACLs to prevent any device on VLAN 40 from initiating connections to any tenant VLAN or the management VLAN.

Continúe leyendo esta serie

Mean time to innocence: how to prove it's not the WiFi

El tiempo medio hasta la inocencia (MTTI) es la métrica crítica que define cuánto tiempo pasan los equipos de TI demostrando que un problema de red no es culpa suya. Esta guía detalla una metodología de observabilidad de cinco pasos para eliminar el juego de las culpas en entornos multi-tenant, sustituyendo las acusaciones mutuas por pruebas compartidas para reducir el tiempo medio de resolución (MTTR).

Leer la guía →

Gestión de ancho de banda y calidad de servicio (QoS) en espacios de co-working

Una guía de referencia técnica autorizada para responsables de TI, arquitectos de red y directores de operaciones de instalaciones sobre la implementación de marcos sólidos de gestión de ancho de banda y calidad de servicio (QoS) en entornos de co-working. Esta guía detalla la segmentación de red, la priorización del tráfico, las configuraciones independientes del proveedor y las métricas de ROI del mundo real para ofrecer una conectividad de nivel empresarial. Cubre los estándares IEEE 802.11e/WMM, el diseño de VLAN, la limitación de velocidad por usuario y las estrategias de resolución de problemas con resultados comerciales medibles.

Leer la guía →

Buenas prácticas de segmentación de VLAN para entornos multiinquilino

Esta guía ofrece a los responsables de TI, arquitectos de red, directores de tecnología (CTO) y directores de operaciones de recintos un plan de acción de referencia y neutral respecto al proveedor para implementar la segmentación de VLAN en entornos WiFi multiinquilino. Abarca el estándar IEEE 802.1Q, la asignación dinámica de VLAN mediante 802.1X y RADIUS, y directrices de despliegue paso a paso para los sectores de hostelería, retail, estadios y sector público. Una segmentación de VLAN adecuada es el control fundamental para el cumplimiento de PCI DSS y GDPR, la prevención del movimiento lateral y la oferta de conectividad inalámbrica de alto rendimiento a través de una infraestructura física compartida.

Leer la guía →