Gestión del ancho de banda para WiFi de empleados: modelado, QoS y reducción de tráfico

Gestión del ancho de banda para WiFi de empleados: modelado, QoS y reducción de tráfico. Una sesión informativa técnica de Purple. Bienvenido. Si está escuchando esto, probablemente se esté enfrentando a una de las quejas más comunes en el departamento de TI de las empresas: los empleados dicen que el WiFi va lento. Tal vez sea el equipo de operaciones internas de un hotel que tiene dificultades para procesar los registros. Tal vez sea una cadena de tiendas donde los terminales TPV están experimentando tiempos de espera agotados. O tal vez sea un centro de conferencias donde el equipo audiovisual no consigue una conexión estable durante un evento en directo. Sea cual sea el contexto, la causa principal casi siempre es la misma: tiene más tráfico del que su red está diseñada para soportar, y el tráfico equivocado está teniendo prioridad. En esta sesión informativa, vamos a cubrir tres aspectos: cómo funcionan realmente el modelado de tráfico y la QoS en un entorno de WiFi de empleados, cómo es un despliegue práctico en diferentes tipos de establecimientos y cómo el despliegue de Purple Shield para el bloqueo de anuncios puede reducir la carga general de su red en una cantidad significativa, sin alterar la velocidad de su línea ni gastar en actualizaciones de infraestructura. Comencemos. Sección uno: Comprender el problema. La mayoría de los establecimientos empresariales utilizan una conexión a Internet compartida. El WiFi de empleados, el WiFi de invitados, los sistemas de administración, el circuito cerrado de televisión (CCTV), los sistemas de gestión del edificio... todos comparten el mismo canal de subida. Cuando ese canal se congestiona, todo se degrada. Pero no todo el tráfico es igual. Que una llamada VoIP se corte a mitad de frase es catastrófico. Que una actualización de software tarde dos minutos más es irrelevante. El problema es que, sin una gestión activa, su red no nota la diferencia. El modelado de tráfico es el mecanismo que utiliza para indicarle a la red qué tráfico es el que importa. La Calidad de Servicio, o QoS, es el marco que define las reglas. Juntos, le permiten garantizar el ancho de banda para las aplicaciones críticas y limitar todo lo demás. El estándar IEEE 802.11e introdujo la QoS en las redes inalámbricas a través de un mecanismo llamado WMM (Wireless Multimedia). WMM define cuatro categorías de acceso: voz, vídeo, best effort y segundo plano. Todos los puntos de acceso modernos de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi son compatibles con WMM. La pregunta es si lo está utilizando correctamente. En el lado cableado, la QoS se implementa mediante marcas DSCP (Punto de Código de Servicios Diferenciados) en la cabecera IP. DSCP EF, que significa Expedited Forwarding, se utiliza para el tráfico de voz. DSCP AF41 se utiliza para videoconferencias. DSCP CS1 es la clase de segundo plano: actualizaciones de software, transferencias masivas, cualquier cosa que pueda esperar. Cuando asocia el tráfico de sus aplicaciones con las marcas DSCP correctas y configura sus switches y puntos de acceso para que las respeten, obtiene un rendimiento predecible para las aplicaciones que importan. Sección dos: Arquitectura y segmentación. Antes de configurar la QoS, debe segmentar su red correctamente. El WiFi de empleados debe estar en su propia VLAN (Red de Área Local Virtual), completamente aislada del WiFi de invitados y de los dispositivos IoT. Esto no es solo un requisito de seguridad según PCI DSS y GDPR; es un requisito previo para una QoS eficaz, ya que puede aplicar diferentes políticas a diferentes VLAN. Una arquitectura típica de un establecimiento empresarial tiene este aspecto. Tiene un switch principal conectado a su puerta de enlace a Internet. A partir de ese switch, tiene varias VLAN: una para los dispositivos de los empleados, otra para el acceso de invitados, otra para los sistemas TPV y de pago, y otra para la gestión del edificio. Cada VLAN tiene su propia política de QoS. La VLAN de empleados recibe la mayor asignación de ancho de banda garantizado. La VLAN de invitados recibe un límite de velocidad por usuario (normalmente de dos a cinco megabits por segundo de bajada) para que ningún visitante individual pueda saturar la conexión. En la propia VLAN de empleados, se aplica una QoS basada en aplicaciones. Las transacciones de TPV y el tráfico de autenticación RADIUS reciben DSCP EF (la prioridad más alta). Su sistema ERP y las herramientas de videoconferencia reciben DSCP AF41. La navegación web general recibe best effort. Las actualizaciones de software y las descargas de parches del sistema operativo reciben DSCP CS1: se ejecutan en segundo plano y no compiten con el tráfico operativo. Para la autenticación, los dispositivos de los empleados deben autenticarse mediante 802.1X con EAP-TLS (basado en certificados) o PEAP con MSCHAPv2 contra su servidor RADIUS. Si utiliza Microsoft Entra ID, Okta o Google Workspace, Purple se integra directamente con los tres a través de SAML y SCIM, de modo que su proveedor de identidad se convierte en la fuente de información definitiva para el acceso a la red. Cuando un empleado se marcha, usted revoca su acceso en Entra ID y el acceso a la red desaparece automáticamente. Sección tres: El drenaje oculto de ancho de banda y cómo lo soluciona Shield. Aquí hay algo en lo que la mayoría de los equipos de TI no piensan. Una parte significativa del tráfico en su WiFi de empleados no tiene nada que ver con su negocio. Cada página web que visita un empleado carga docenas de redes de anuncios de terceros, píxeles de seguimiento, scripts de análisis y endpoints de telemetría. Las investigaciones de Ghostery y análisis similares de bloqueo de anuncios muestran de manera constante que las solicitudes de anuncios y rastreadores representan entre el 25% y el 40% del total de solicitudes HTTP en una sesión de navegación típica. Ese tráfico consume ancho de banda real. Consume capacidad de consultas DNS. Añade latencia a cada carga de página. Y presenta riesgos de seguridad: la publicidad maliciosa (malvertising), las descargas no autorizadas y la filtración de datos a través de píxeles de seguimiento son vectores de ataque reales. Purple Shield aborda esto a nivel de red. En lugar de depender de extensiones de navegador que los empleados pueden o no tener instaladas, Shield funciona como un filtro a nivel de DNS. Cada consulta DNS de la VLAN de empleados pasa por la lista de bloqueo de Shield antes de resolverse. Los dominios de redes de anuncios, los endpoints de rastreadores conocidos y los dominios maliciosos se bloquean antes de que se descargue un solo byte de contenido. El dispositivo nunca realiza la conexión. El ancho de banda nunca se consume. En la práctica, los establecimientos que despliegan Shield en su WiFi de empleados informan de una reducción en el volumen total de consultas DNS de alrededor del 30%. Ese es un ancho de banda que antes se desperdiciaba en anuncios y rastreadores, y que ahora está disponible para su sistema ERP, sus videollamadas y sus terminales TPV. Obtiene el equivalente a una actualización del 30% del ancho de banda sin pagar por una línea más rápida. Shield también reduce su exposición a la seguridad. Al bloquear dominios maliciosos conocidos en la capa DNS, elimina una categoría de amenaza que el antivirus de endpoint a menudo pasa por alto, especialmente para dispositivos IoT y terminales compartidos que no ejecutan software de seguridad tradicional. Sección cuatro: Implementación en el mundo real. Permítame guiarle a través de dos escenarios. Primero: un hotel de 200 habitaciones. El equipo de operaciones internas ejecuta un software de gestión de la propiedad, un sistema telefónico VoIP y una plataforma de videovigilancia en la misma red. El WiFi de invitados está en una VLAN separada con un límite de cinco megabits por usuario, pero la VLAN de empleados no tiene política de QoS. Durante los periodos de máxima afluencia de registros, el sistema de gestión de la propiedad se ralentiza al máximo porque los empleados están transmitiendo música y el sistema de vigilancia está subiendo imágenes. La solución: aplique DSCP EF al tráfico del sistema de gestión de la propiedad y al sistema VoIP. Aplique DSCP AF41 al tráfico de subida de la vigilancia (es importante pero no sensible a la latencia). Aplique DSCP CS1 a todo lo demás. Despliegue Shield en la VLAN de empleados para eliminar el tráfico de anuncios y rastreadores. Resultado: los tiempos de respuesta del sistema de gestión de la propiedad disminuyen en más de un 40% durante los periodos de máxima afluencia. La calidad de las llamadas VoIP mejora notablemente en la escala Mean Opinion Score utilizada para calificar la calidad de la voz. Segundo: una cadena de tiendas con 50 establecimientos. Cada tienda tiene una única conexión de banda de 100 megabits compartida entre el WiFi de empleados, el WiFi de invitados y los terminales TPV. Durante los periodos de mayor actividad comercial, la navegación de los empleados en dispositivos personales satura la conexión y las transacciones de los TPV empiezan a agotar el tiempo de espera. La cadena está considerando actualizar a líneas de 200 megabits con un coste de unas 18.000 libras al año en todo el grupo. La solución: segmente los terminales TPV en una VLAN dedicada con ancho de banda garantizado. Aplique límites de velocidad por usuario en la VLAN de WiFi de empleados: 10 megabits por usuario de bajada, dos megabits de subida. Despliegue Shield para eliminar el tráfico de anuncios. La combinación reduce la utilización máxima en un 35%, los tiempos de espera agotados de los TPV caen a cero y la actualización de la línea se pospone indefinidamente. El ahorro anual solo en costes de línea es de 18.000 libras. El coste de configuración de Shield y QoS es una fracción de eso. Sección cinco: Errores de implementación. Algunas cosas a tener en cuenta. Remarcado de DSCP. Muchos ISP y algunos switches empresariales eliminan o remarcan los valores DSCP en el límite de la red. Compruebe que sus marcas de QoS sobreviven a todo el trayecto desde el dispositivo hasta la aplicación. Utilice una captura de paquetes en la puerta de enlace para verificarlo. WMM y dispositivos heredados. Algunos dispositivos más antiguos, especialmente los terminales compartidos y los sensores IoT, no son compatibles con WMM correctamente. Pueden ignorar las marcas de QoS o generar tráfico con valores DSCP incorrectos. Audite su inventario de dispositivos antes de desplegar políticas de QoS. Limitación de velocidad y tráfico de ráfagas. Un límite estricto de velocidad de 10 megabits por usuario suena razonable, pero si 20 empleados inician simultáneamente actualizaciones de software, alcanzará el límite agregado. Utilice el modelado por cubo de tokens (token bucket) con un margen de ráfaga en lugar de un limitador estricto. Esto permite ráfagas cortas mientras limita el uso sostenido de gran ancho de banda. Shield y DNS-over-HTTPS. Si los dispositivos de los empleados utilizan DNS-over-HTTPS para eludir su resolutor DNS, el filtrado de Shield no se aplicará. Debe bloquear DNS-over-HTTPS en el cortafuegos o configurar sus dispositivos mediante MDM para que utilicen su resolutor DNS interno. Este es un paso de configuración único, no una carga de gestión continua. Sección seis: Preguntas rápidas. ¿Necesito QoS si tengo suficiente ancho de banda? Sí. El ancho de banda no es lo mismo que el rendimiento. Una conexión de 1 gigabit sin QoS seguirá ofreciendo una calidad VoIP deficiente si un solo dispositivo está ejecutando una transferencia masiva de archivos. La QoS garantiza que el tráfico sensible a la latencia obtenga la prioridad de cola que necesita, independientemente del rendimiento total. ¿Puedo desplegar Shield sin cambiar mi hardware existente? Sí. Shield funciona como una superposición de DNS. Apunte su servidor DHCP a los resolutores DNS de Purple y Shield se aplicará de inmediato. Funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, sin necesidad de cambios de hardware. ¿Cómo mido el impacto? Realice un seguimiento de tres métricas antes y después del despliegue: el porcentaje de utilización máxima en su enlace de subida, el volumen de consultas DNS por hora y los tiempos de respuesta de las aplicaciones para sus sistemas críticos. El panel de control de Purple muestra los tres en tiempo real. Sección siete: Resumen y próximos pasos. En resumen. Gestionar el ancho de banda para el WiFi de empleados no consiste en comprar más ancho de banda. Se trata de asegurarse de que el ancho de banda que tiene vaya a los lugares correctos. El modelado de tráfico y la QoS le dan el control. Purple Shield le proporciona la reducción. Juntos, ofrecen mejoras medibles en el rendimiento de las aplicaciones sin gasto en infraestructura. Sus próximos pasos: audite su estructura actual de VLAN y confirme que el WiFi de empleados esté aislado del tráfico de invitados y de IoT. Asocie sus aplicaciones críticas con las clases DSCP. Despliegue Shield en su VLAN de empleados y mida la reducción de consultas DNS. Revise sus límites de velocidad por usuario trimestralmente a medida que cambie el número de dispositivos. Si desea profundizar en algo de esto, la guía escrita completa está disponible en purple.ai. Cubre la arquitectura técnica en detalle, incluye ejemplos de configuración para las principales plataformas de hardware y detalla el cálculo del ROI para el despliegue de Shield. Gracias por escuchar. Esta ha sido una sesión informativa técnica de Purple.