Migración de RADIUS local (NPS) a RADIUS-as-a-Service
Esta guía autorizada detalla la arquitectura técnica, la metodología de implementación y el impacto empresarial de la migración de un Microsoft Network Policy Server (NPS) local a un modelo RADIUS-as-a-Service nativo de la nube. Proporciona a los líderes de TI y arquitectos de redes marcos prácticos para reducir la sobrecarga operativa, eliminar los puntos únicos de fallo y asegurar la autenticación empresarial en sedes distribuidas.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico profundo: Arquitectura y estándares
- Las limitaciones de NPS local
- Arquitectura de Cloud RADIUS
- Guía de implementación: La metodología de 5 fases
- Fase 1: Auditoría e inventario
- Fase 2: Despliegue piloto
- Fase 3: Funcionamiento en paralelo (mitigación de riesgos)
- Fase 4: Cambio definitivo
- Fase 5: Desmantelamiento
- Buenas prácticas y cumplimiento
- Resolución de problemas y mitigación de riesgos
- ROI e impacto empresarial

Resumen ejecutivo
Durante casi dos décadas, el Network Policy Server (NPS) de Microsoft ha sido la implementación RADIUS por defecto para las redes empresariales. Sin embargo, a medida que los operadores de recintos se expanden en ubicaciones distribuidas - desde cadenas de retail hasta grupos hoteleros globales - la carga operativa de gestionar una infraestructura de autenticación local se ha convertido en un obstáculo importante.
Migrar a RADIUS-as-a-Service transforma la autenticación de un componente de hardware gestionado a un servicio en la nube consumible. Este cambio de arquitectura elimina los puntos únicos de fallo inherentes a los despliegues de NPS independientes, elimina los ciclos de renovación de hardware y proporciona la escalabilidad elástica necesaria para entornos de alta densidad como estadios y centros de conferencias. Para los administradores de TI y arquitectos de redes, esta guía proporciona una metodología estructurada e independiente de proveedores para migrar la autenticación 802.1X a la nube sin afectar al tráfico de producción, garantizando el cumplimiento de PCI-DSS y GDPR, y reduciendo el OpEx de la infraestructura de autenticación hasta en un 80%.
Análisis técnico profundo: Arquitectura y estándares
Para comprender esta migración, primero debemos examinar el cambio arquitectónico en la forma en que se ofrece el control de acceso basado en puertos IEEE 802.1X.
Las limitaciones de NPS local
En un despliegue tradicional, el punto de acceso actúa como el Servidor de Acceso a la Red (NAS), reenviando las solicitudes de autenticación a un servidor NPS local. El servidor NPS evalúa las políticas de solicitud de conexión, valida las credenciales frente al almacén de identidades (normalmente Active Directory mediante LDAP) y devuelve un mensaje de Access-Accept o Access-Reject.
Este modelo presenta tres limitaciones críticas para las redes modernas:
- Dependencia y mantenimiento del hardware: NPS requiere máquinas físicas o virtuales dedicadas, lo que exige parches continuos, planificación de capacidad y gestión del ciclo de vida.
- Complejidad de alta disponibilidad: Lograr la redundancia requiere desplegar NPS en parejas de conmutación por error, lo que duplica los costes de licencia sin proporcionar una redundancia geográfica real.
- Cuellos de botella en el rendimiento: Durante los picos de concurrencia (como la entrada a un estadio o las horas punta de comercio en retail), una sola instancia de NPS puede convertirse en un cuello de botella, provocando tiempos de espera de autenticación y una experiencia de usuario degradada.
Arquitectura de Cloud RADIUS
RADIUS-as-a-Service abstrae la capa de autenticación. El proveedor de la nube gestiona clústeres distribuidos y geográficamente redundantes de servidores RADIUS. El NAS apunta a estos endpoints en la nube y las solicitudes se equilibran automáticamente.

Seguridad en el transporte: el papel de RadSec Cuando RADIUS se traslada a la nube, el tráfico de autenticación atraviesa el internet público. Mientras que el RADIUS heredado depende de secretos compartidos y hashing MD5, las implementaciones modernas deben aplicar RadSec (RADIUS sobre TLS, RFC 6614). RadSec encapsula toda la conversación RADIUS en un túnel TLS (normalmente puerto TCP 2083), proporcionando cifrado de capa de transporte equivalente a HTTPS junto con autenticación mutua entre el NAS y el punto final de RADIUS en la nube.
Integración de identidad Cloud RADIUS no requiere que migre su directorio de usuarios. Los servicios suelen admitir conexiones LDAPS de vuelta a un Active Directory local, o integración API nativa con Azure Active Directory (Entra ID) a través de SAML o SCIM. Esto garantiza que sus procesos existentes de gestión del ciclo de vida de los usuarios permanezcan inalterados.
Para los centros que aprovechan una plataforma de Guest WiFi , cloud RADIUS se integra directamente, proporcionando un plano de control unificado tanto para la autenticación 802.1X corporativa como para el acceso a la red de invitados, que se complementa con un sistema avanzado de WiFi Analytics .
Guía de implementación: La metodología de 5 fases
Ejecutar la migración sin interrupciones del servicio requiere un enfoque estructurado y por fases.

Fase 1: Auditoría e inventario
Antes de realizar cualquier cambio, documente el estado actual:
- Clientes RADIUS: Identifique cada NAS (puntos de acceso inalámbrico, switches, concentradores VPN).
- Políticas: Documente las políticas de red y de solicitud de conexión de NPS existentes, incluidos los atributos específicos del proveedor (VSA) utilizados para la asignación de VLAN.
- Métodos EAP: Identifique qué métodos de Protocolo de Autenticación Extensible están en uso (por ejemplo, EAP-TLS, PEAP-MSCHAPv2).
Fase 2: Despliegue piloto
Proporcione la instancia de cloud RADIUS y configure un SSID que no sea de producción o un único sitio de prueba. Valide la integración del directorio de identidad (por ejemplo, la sincronización de Entra ID) y confirme que los métodos EAP funcionan correctamente de extremo a extremo.
Fase 3: Funcionamiento en paralelo (mitigación de riesgos)
Configure los dispositivos NAS de producción para utilizar simultáneamente los servidores cloud RADIUS (principal) y los servidores NPS heredados (respaldo). Mantenga esta configuración durante un mínimo de dos semanas. Supervise las tasas de éxito de la autenticación, las métricas de latencia y los flujos de datos de contabilidad para identificar cualquier discrepancia en las políticas antes del cambio definitivo.
Fase 4: Cambio definitivo
Durante una ventana de mantenimiento programada, retire la configuración de respaldo de NPS heredada de los dispositivos NAS. Transicione por completo a la infraestructura de nube. Asegúrese de que su procedimiento de reversión esté documentado y probado.
Fase 5: Desmantelamiento
Tras 30 días de funcionamiento estable, desmantele de forma segura los servidores NPS heredados y recupere los recursos informáticos.
Buenas prácticas y cumplimiento
Siga los siguientes estándares al diseñar su arquitectura cloud RADIUS:
- Exigir RadSec: si su hardware NAS es compatible con RadSec (TCP 2083), nunca envíe tráfico RADIUS a través de la internet pública utilizando UDP estándar 1812/1813.
- Cadena de confianza de certificados: asegúrese de que los dispositivos cliente confíen en la Entidad de Certificación (CA) que emite los certificados del servidor RADIUS en la nube. Distribuya la CA raíz a los dispositivos gestionados a través de MDM o políticas de grupo antes de la migración.
- Cumplimiento normativo: elija un proveedor de RADIUS en la nube que mantenga la certificación SOC 2 Tipo II y la certificación ISO 27001. Esto simplifica significativamente sus evaluaciones anuales de PCI-DSS, especialmente para entornos de comercio minorista y hostelería .
Para conocer principios de diseño de red más amplios, consulte nuestras guías: Configuración de WiFi para empresas: guía de 2026 y Comprensión de RSSI y la potencia de la señal para una planificación óptima de canales .
Resolución de problemas y mitigación de riesgos
| Modo de fallo | Causa raíz | Estrategia de mitigación |
|---|---|---|
| Tiempos de espera de autenticación agotados | El cortafuegos bloquea el tráfico saliente UDP 1812/1813 o TCP 2083. | Verifique que las reglas del cortafuegos perimetral permitan el tráfico saliente hacia los rangos de IP específicos del proveedor de RADIUS en la nube. |
| Errores de confianza en el certificado | Falta la CA raíz en el almacén de confianza del dispositivo cliente. | Despliegue la CA raíz a través de MDM/GPO antes de la Fase 3 (ejecución en paralelo). |
| Fallos en la asignación de VLAN | Los atributos específicos del proveedor (VSA) no están mapeados correctamente en la política de la nube. | Durante la Fase 1, replique los formatos exactos de las cadenas VSA de NPS en el motor de políticas de RADIUS en la nube. |
| Impacto de interrupciones de WAN | La pérdida de conectividad a internet impide el acceso a RADIUS en la nube. | Despliegue enlaces WAN redundantes o implemente un proxy RADIUS local que almacene en caché las credenciales para dispositivos conocidos. |
ROI e impacto empresarial
La migración a RADIUS-as-a-Service ofrece resultados empresariales cuantificables:
- Reducción de costes: elimina la adquisición de hardware, las licencias de Windows Server y las horas de ingeniería dedicadas a parches y mantenimiento. Las reducciones típicas de OpEx son del 60-80%.
- SLA de fiabilidad: los proveedores en la nube ofrecen SLA de disponibilidad del 99,99% con respaldo financiero, en comparación con la disponibilidad del 97-98% típica de un despliegue de NPS en un único sitio.
- Agilidad: ponga en marcha nuevos sitios de forma instantánea sin necesidad de aprovisionar hardware de autenticación local, lo que acorta los plazos de despliegue para nodos de transporte y organizaciones de sanidad .
Escuche a nuestro equipo de consultores sénior analizar las implicaciones estratégicas en esta sesión informativa de 10 minutos:
Definiciones clave
RADIUS (Remote Authentication Dial-In User Service)
Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.
El protocolo principal utilizado por las redes WiFi empresariales para validar las credenciales de los usuarios antes de conceder acceso a la red.
NPS (Network Policy Server)
La implementación de Microsoft de un servidor y proxy RADIUS, integrada como un rol en Windows Server.
La infraestructura local heredada de la que las organizaciones están migrando activamente para reducir los costes de mantenimiento.
NAS (Network Access Server)
El dispositivo que actúa como pasarela a la red y transmite las solicitudes de autenticación al servidor RADIUS.
En un contexto inalámbrico, el NAS suele ser el punto de acceso WiFi o el controlador de LAN inalámbrica.
RadSec (RADIUS over TLS)
Un protocolo definido en RFC 6614 que transporta paquetes RADIUS a través de una conexión TCP cifrada con TLS.
Esencial para los despliegues de RADIUS en la nube para garantizar que los datos de las credenciales se cifren al transitar por la internet pública.
EAP (Extensible Authentication Protocol)
Un marco de autenticación utilizado frecuentemente en redes inalámbricas y conexiones de punto a punto.
Determina cómo el cliente y el servidor intercambian credenciales de forma segura (por ejemplo, certificados a través de EAP-TLS, o contraseñas a través de PEAP).
VSA (Vendor-Specific Attribute)
Atributos personalizados definidos por los fabricantes de hardware dentro del protocolo RADIUS para admitir funciones patentadas.
Crucial durante la migración; los VSAs se utilizan a menudo para asignar dinámicamente usuarios autenticados a VLAN de red específicas.
LDAPS (Lightweight Directory Access Protocol over SSL)
Un protocolo seguro para consultar y modificar servicios de directorio como Active Directory.
Utilizado por servicios RADIUS en la nube para consultar de forma segura almacenes de identidad locales sin necesidad de migrar el directorio de usuarios a la nube.
802.1X
Un estándar IEEE para el control de acceso a redes basado en puertos (PNAC).
El estándar subyacente que utiliza RADIUS para garantizar que solo los dispositivos autenticados puedan transmitir tráfico a la LAN o WLAN empresarial.
Ejemplos prácticos
Un grupo hotelero con 200 propiedades gestiona actualmente servidores NPS locales en cada establecimiento para la autenticación 802.1X del personal. Están migrando a Entra ID (Azure AD) y desean desmantelar los servidores locales. ¿Cómo deberían abordar la migración?
- Implementar un servicio RADIUS en la nube que se integre de forma nativa con Entra ID a través de SAML/SCIM.
- Configurar las políticas de RADIUS en la nube para asignar grupos de Entra ID (por ejemplo, "Recepción", "Dirección") a VSAs de VLAN específicas.
- En una propiedad piloto, configurar los puntos de acceso para utilizar RadSec para conectarse al endpoint de RADIUS en la nube.
- Distribuir la CA raíz del servidor RADIUS en la nube a todos los dispositivos del personal mediante Microsoft Intune.
- Ejecutar la autenticación en paralelo en la ubicación piloto y, a continuación, realizar un despliegue escalonado en las 199 propiedades restantes.
Un estadio con capacidad para 50.000 personas experimenta fallos de autenticación en su SSID corporativo durante eventos importantes porque su servidor NPS local no puede gestionar el rendimiento de miles de dispositivos que realizan roaming simultáneamente.
- Auditar las políticas de NPS y los métodos EAP existentes.
- Aprovisionar un servicio RADIUS en la nube capaz de realizar escalado automático para gestionar un elevado volumen de autenticaciones por segundo (APS).
- Establecer una conexión LDAPS desde el servicio RADIUS en la nube al Active Directory local del estadio.
- Actualizar los controladores de LAN inalámbrica de alta densidad del estadio para que apunten a los endpoints de RADIUS en la nube como servidores de autenticación principales.
Preguntas de práctica
Q1. Su organización se está migrando a Cloud RADIUS. El equipo de seguridad exige que ningún tráfico de autenticación se envíe a través de internet en texto claro o utilizando algoritmos de hashing obsoletos como MD5. ¿Qué protocolo debe configurar en sus controladores de LAN inalámbrica?
Sugerencia: Busque el protocolo que envuelve RADIUS en un túnel TLS.
Ver respuesta modelo
Debe configurar RadSec (RADIUS sobre TLS). RadSec establece un túnel TLS sobre el puerto TCP 2083 entre el NAS y el servidor RADIUS en la nube, lo que proporciona cifrado en la capa de transporte y autenticación mutua, cumpliendo así con los requisitos del equipo de seguridad.
Q2. Durante la Fase 3 (Ejecución en Paralelo) de su migración, observa que los usuarios se están autenticando correctamente en el servidor RADIUS en la nube, pero no se les está ubicando en los segmentos de red correctos. ¿Cuál es el fallo de configuración más probable?
Sugerencia: ¿Cómo le indica un servidor RADIUS a un punto de acceso qué segmento de red debe utilizar?
Ver respuesta modelo
Los Atributos Específicos del Proveedor (VSA) para la asignación dinámica de VLAN no se han configurado correctamente en las políticas de RADIUS en la nube. Debe asegurarse de que las cadenas VSA exactas utilizadas en el servidor NPS heredado se repliquen en el entorno de la nube para que el NAS sepa qué VLAN asignar al usuario.
Q3. Un dispositivo cliente falla repetidamente en la autenticación EAP-TLS contra el nuevo servicio RADIUS en la nube, pero funciona correctamente contra el servidor NPS heredado. Los registros del dispositivo muestran un error de "servidor no fiable". ¿Cómo se resuelve esto?
Sugerencia: EAP-TLS requiere que el cliente confíe en la identidad del servidor.
Ver respuesta modelo
El dispositivo cliente no dispone de la Autoridad de Certificación (CA) Raíz que emitió el certificado del servidor RADIUS en la nube en su almacén de raíces de confianza. Debe desplegar la CA Raíz en el dispositivo cliente mediante una solución de gestión de dispositivos móviles (MDM) o una Directiva de Grupo.
Continúe leyendo esta serie
Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas
Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.
Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)
Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.
Cómo implementar la autenticación 802.1X con Cloud RADIUS
Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de despliegue y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo los costes operativos de la infraestructura local.