Diseño de redes WiFi para edificios de oficinas multi-inquilino
Esta guía proporciona a directores de TI, arquitectos de redes y CTO una hoja de ruta neutral respecto al proveedor para diseñar redes WiFi escalables, seguras y aisladas en edificios de oficinas multi-inquilino. Cubre la segmentación de VLAN bajo IEEE 802.1Q, la asignación dinámica de VLAN mediante 802.1X y RADIUS, la planificación de RF para entornos de alta densidad y consideraciones de cumplimiento normativo bajo GDPR y PCI-DSS. Los operadores de recintos y gestores de edificios encontrarán orientación arquitectónica práctica, casos de estudio reales y errores de configuración que deben evitar antes de la implementación.
Escuchar esta guía
Ver transcripción del podcast
- Resumen Ejecutivo
- Análisis Técnico Detallado
- Los Argumentos en Contra de las Redes Planas
- IEEE 802.1Q y Etiquetado VLAN
- Asignación dinámica de VLAN mediante 802.1X y RADIUS
- WPA3-Enterprise y estándares de cifrado
- Planificación de RF en entornos de alta densidad
- Aislamiento de IoT
- Guía de implementación
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- ROI e impacto comercial

Resumen Ejecutivo
Para los CTO y arquitectos de red que gestionan edificios de oficinas multi-inquilino, el reto está claro: cómo ofrecer una conectividad fiable, segura y aislada a múltiples organizaciones independientes a través de una única red física compartida. En un entorno multi-inquilino, una arquitectura de red plana es un riesgo de seguridad grave. Amplía el alcance de su cumplimiento bajo GDPR y PCI-DSS, expone a los inquilinos a amenazas de seguridad laterales y crea una carga operativa difícil de escalar a medida que crece el número de inquilinos.
Esta guía proporciona un modelo independiente del proveedor para diseñar arquitecturas WiFi multi-inquilino. Al implementar la segmentación VLAN IEEE 802.1Q, la asignación dinámica de VLAN basada en 802.1X y una planificación de RF disciplinada, puede eliminar la proliferación de SSID, reducir la sobrecarga de tiempo de aire hasta en un 20% y aplicar un aislamiento estricto de Capa 2 entre inquilinos. Detallamos los estándares técnicos, las consideraciones de hardware de varios proveedores, incluidos Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, y las políticas de enrutamiento necesarias para proteger la infraestructura. Si se implementa correctamente, esta arquitectura reduce los costes de soporte, simplifica las auditorías de cumplimiento y le permite monetizar la conectividad como un servicio.
Análisis Técnico Detallado
Los Argumentos en Contra de las Redes Planas
Una red plana sitúa a todos los dispositivos - independientemente del inquilino, el tipo de tráfico o el nivel de seguridad - en un único dominio de difusión. Cada dispositivo recibe cada paquete de difusión. Un solo dispositivo de invitado comprometido puede escanear y alcanzar terminales de punto de venta, sistemas de gestión del edificio y estaciones de trabajo corporativas. Esto sitúa a toda su red dentro del alcance de una auditoría PCI-DSS. Este no es un riesgo teórico; es el estado por defecto de muchos edificios multi-inquilino cableados antes de que la densidad inalámbrica se convirtiera en una consideración de diseño.
La solución es la segmentación lógica. No se necesita una infraestructura física independiente para cada inquilino; se necesita una arquitectura VLAN diseñada correctamente, un firewall bien configurado y una plataforma de gestión centralizada.
IEEE 802.1Q y Etiquetado VLAN
Las redes LAN virtuales - estandarizadas como IEEE 802.1Q - permiten particionar una única infraestructura de conmutación física en múltiples redes lógicas aisladas. Cuando un cliente se conecta a un punto de acceso (AP) WiFi, el AP etiqueta las tramas de ese cliente con un identificador de VLAN (VID) de 12 bits. Los conmutadores leen esta etiqueta y garantizan que el tráfico de una VLAN nunca se reenvíe a un puerto de otra VLAN a menos que una regla de enrutamiento de firewall explícita lo permita.
Un edificio de oficinas multi-inquilino estándar requiere al menos cuatro VLAN:
| VLAN | Clase de Tráfico | Política de Enrutamiento |
|---|---|---|
| VLAN 10 | Corporate Tenant A | Solo Internet + recursos específicos del inquilino |
| VLAN 20 | Corporate Tenant B | Solo Internet + recursos específicos del inquilino |
| VLAN 30 | Guest WiFi (Captive Portal) | Solo Internet, sin acceso de ningún tipo a ninguna VLAN de inquilinos |
| VLAN 40 | IoT y BMS | Solo salida a las plataformas de gestión designadas |
Para edificios con más inquilinos, se amplía el modelo. Cada inquilino adicional recibe una VLAN dedicada y una política de firewall correspondiente. La infraestructura física sigue siendo compartida.

Asignación dinámica de VLAN mediante 802.1X y RADIUS
Históricamente, los ingenieros de redes creaban un SSID independiente para cada inquilino. Este enfoque degrada el rendimiento. Cada SSID emite tramas de gestión (beacons) a la velocidad de datos básica obligatoria más baja para garantizar que los dispositivos heredados puedan conectarse. Emitir seis o siete SSIDs en un único punto de acceso puede consumir entre el 20% y el 30% del tiempo de transmisión inalámbrica disponible antes de que se transmita ningún dato de usuario. En un edificio multiinquilino denso, esto es inaceptable.
El estándar moderno es la asignación dinámica de VLAN (Dynamic VLAN Assignment). Se emite un único SSID seguro mediante autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo (el suplicante) intercambia credenciales con un servidor RADIUS a través del punto de acceso (el autenticador). El servidor RADIUS valida las credenciales frente a un proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y devuelve un mensaje Access-Accept al punto de acceso. Ese mensaje contiene tres atributos RADIUS estándar de la IETF:
- Tunnel-Type (atributo 64): establecido en VLAN
- Tunnel-Medium-Type (atributo 65): establecido en 802
- Tunnel-Private-Group-ID (atributo 81): el ID de VLAN específico para la organización de ese usuario
El punto de acceso recibe estos atributos y coloca dinámicamente el tráfico de ese usuario en su VLAN asignada. Un empleado del Inquilino A y un empleado del Inquilino B se conectan al mismo SSID. Su tráfico está totalmente aislado en la Capa 2. Los switches los tratan como si estuvieran conectados a redes físicas completamente separadas.
Para el segmento de invitados, dirija el tráfico a través de una VLAN de invitados dedicada a un Captive Portal. La plataforma Guest WiFi de Purple gestiona el consentimiento conforme a la GDPR, la incorporación segura y las WiFi Analytics en el segmento aislado, con cero acceso enrutado a las redes corporativas. Para obtener una perspectiva más amplia sobre la arquitectura de control de accesos, consulte nuestra guía de sistemas de control de acceso a la red .
WPA3-Enterprise y estándares de cifrado
WPA3-Enterprise es el estándar de cifrado recomendado para implementaciones multi-inquilino. Ofrece un modo de seguridad de 192 bits, elimina las vulnerabilidades del protocolo de enlace de cuatro vías de WPA2 y obliga al uso de tramas de gestión protegidas (PMF) bajo IEEE 802.11w. Para entornos que manejan datos de tarjetas de pago o información corporativa confidencial, WPA3-Enterprise con EAP-TLS - autenticación mutua basada en certificados - elimina por completo el vector de robo de credenciales.
Para segmentos de invitados donde no se pueden implementar certificados, WPA3-SAE (Simultaneous Authentication of Equals) proporciona confidencialidad directa (forward secrecy), garantizando que una clave comprometida no exponga el tráfico histórico.
Planificación de RF en entornos de alta densidad
La interferencia de canal común (CCI) es la causa principal del bajo rendimiento de WiFi en edificios de oficinas multi-inquilino. Cuando los puntos de acceso adyacentes transmiten en el mismo canal de frecuencia, los dispositivos deben esperar a que el tiempo de transmisión esté libre antes de transmitir. En un edificio con múltiples inquilinos y una densidad extrema de dispositivos, la asignación de canales no planificada crea un entorno de RF congestionado que ninguna cantidad de ancho de banda puede solucionar.
Es fundamental realizar un estudio de RF activo en el sitio antes de la implementación. Los mapas de cobertura de los proveedores suelen ser optimistas. Se necesitan mediciones de señal reales tomadas en el espacio físico, teniendo en cuenta los materiales de las paredes, la construcción del suelo y el entorno de RF de los edificios vecinos.

En la mayoría de los marcos regulatorios, la banda de 2.4 GHz ofrece tres canales que no se superponen (1, 6 y 11). La banda de 5 GHz ofrece una capacidad significativamente mayor. WiFi 6E se extiende a la banda de 6 GHz, proporcionando un espectro limpio y prácticamente libre de interferencias de dispositivos heredados. Para nuevas implementaciones multi-inquilino, especificar puntos de acceso compatibles con WiFi 6E de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi proporciona el margen espectral que exigen los entornos de alta densidad.
Aislamiento de IoT
Los edificios de oficinas modernos contienen sistemas de gestión de edificios, controladores de HVAC, iluminación inteligente, control de acceso y CCTV. Estos dispositivos son notoriamente difíciles de parchear y representan una superficie de ataque sustancial. Deben aislarse en una VLAN dedicada con un filtrado de salida estricto, permitiendo la comunicación saliente solo a sus plataformas de gestión designadas. Cero acceso enrutado a cualquier VLAN de inquilino. Cero acceso enrutado a la VLAN de invitados. Esto no es negociable tanto desde la perspectiva de seguridad como del GDPR.
Guía de implementación
Paso 1: Diseñe su arquitectura lógica antes de tocar el hardware. Planifique su recuento de inquilinos y clases de tráfico (corporativo, invitado, IoT, pago, gestión) y asigne las VLAN. Documente su esquema de direccionamiento IP. Defina su política de enrutamiento inter-VLAN: qué puede comunicarse con qué y qué está absolutamente prohibido.
Paso 2: Realice un estudio de cobertura de RF (site survey) activo. Nunca confíe en los mapas de cobertura del fabricante. Necesita mediciones de señal reales tomadas en el espacio físico para definir la ubicación de los AP y la asignación de canales.
Paso 3: Configure su firewall principal con una política de denegación predeterminada (Default-Deny). Bloquee todo el enrutamiento inter-VLAN de forma predeterminada. Añada únicamente excepciones explícitas y específicas de puertos. Cada ruta inter-VLAN debe estar justificada y documentada.
Paso 4: Desactive la VLAN 1 en todos los puertos troncales. Cambie la VLAN nativa en los puertos troncales a un ID de VLAN no utilizado y no enrutable. Esto evita los ataques de salto de VLAN que explotan la VLAN nativa predeterminada.
Paso 5: Verifique la configuración de los puertos troncales. Permita explícitamente cada ID de VLAN requerido en cada enlace troncal en la ruta desde el punto de acceso hasta la capa de distribución. La falta de una etiqueta VLAN provoca caídas de tráfico silenciosas que tardan horas en diagnosticarse.
Paso 6: Despliegue una gestión centralizada en la nube. Las plataformas de Cisco Meraki, HPE Aruba, Juniper Mist y Ruckus proporcionan políticas de ancho de banda por SSID, informes por cliente y de integración con su infraestructura RADIUS. Gestionar un parque de AP distribuido sin un controlador conlleva una carga operativa que resulta insostenible a escala.
Paso 7: Establezca tiempos de concesión de DHCP por segmento. VLAN corporativas: de 8 a 24 horas. VLAN de WiFi para invitados: de 1 a 2 horas. Los tiempos de concesión cortos en el segmento de invitados evitan el agotamiento de direcciones IP en entornos con alta rotación de usuarios.
Paso 8: Aísle el plano de gestión. Su VLAN de gestión debe estar completamente aislada de todas las VLAN de clientes y de invitados. Aplique ACL estrictas al tráfico de gestión. Si un cliente puede acceder a su plano de gestión, tiene una vulnerabilidad de seguridad grave.
Buenas prácticas
La siguiente tabla resume los estándares de configuración clave para un despliegue de WiFi multiinquilino conforme a las normativas.
| Control | Estándar | Justificación |
|---|---|---|
| Segmentación de VLAN | IEEE 802.1Q | Aislamiento de Capa 2 entre clientes |
| Autenticación | IEEE 802.1X con WPA3-Enterprise | Elimina los vectores de robo de credenciales |
| Asignación dinámica de VLAN | RADIUS con atributos de túnel | Reduce el número de SSID, conserva el tiempo de transmisión (airtime) |
| Registro de invitados | Captive Portal con consentimiento GDPR | Cumplimiento normativo y captura de datos |
| Aislamiento de IoT | VLAN dedicada con ACL de salida | Limita la superficie de ataque de dispositivos sin actualizar |
| Planificación de RF | Estudio de cobertura activo | Mitiga la interferencia de canal compartido |
| Roaming | 802.11r Fast BSS Transition | Transición fluida entre AP |
| VLAN nativa | ID de VLAN no enrutable y no utilizado | Evita los ataques de salto de VLAN |
Para los despliegues en el sector de la hostelería , el aislamiento de la VLAN de invitados es fundamental. Para entornos de retail , el aislamiento de los terminales de punto de venta (POS) en una VLAN dedicada reduce directamente el alcance de la auditoría PCI-DSS. Para centros de transporte e instalaciones de sanidad , se aplican los mismos principios de segmentación, prestando especial atención al volumen de conexiones simultáneas y a la diversidad de tipos de dispositivos. Para los establecimientos que estén considerando enlaces de subida WAN de banda ancha por satélite, la guía de Purple Cómo configurar un Captive Portal en Starlink cubre las consideraciones específicas para entornos remotos y marítimos.
Resolución de problemas y mitigación de riesgos
Caídas silenciosas de tráfico. Este es el modo de fallo más común en despliegues multi-inquilino. La causa es la falta de una etiqueta VLAN en un puerto trunk. Un usuario se autentica correctamente a través de 802.1X, el servidor RADIUS lo asigna a la VLAN 40, pero la VLAN 40 no está permitida en el puerto trunk. El tráfico se descarta y el usuario no puede obtener una dirección IP. Documente minuciosamente las configuraciones de trunk y verifíquelas durante la puesta en marcha.
Proliferación de SSID. Cada SSID que se emite consume tiempo de transmisión de tramas de baliza (beacon frames). En entornos densos, de 8 a 10 SSIDs por AP degradan el rendimiento de la red para todos. Mantenga los SSIDs a un máximo de 4 por radio. Utilice la asignación dinámica de VLAN mediante atributos RADIUS en lugar de SSIDs separados para dar servicio a múltiples inquilinos.
Exposición del plano de gestión. Si su VLAN de gestión no está aislada, un inquilino que obtenga acceso puede modificar las configuraciones de los AP, interrumpir el servicio o interceptar el tráfico de gestión. Utilice la gestión fuera de banda (out-of-band) siempre que sea posible y aplique ACLs estrictas a todas las interfaces de gestión.
Dispersión de dispositivos IoT. Los operadores de edificios suelen añadir dispositivos IoT sin notificar al equipo de redes. Implemente una política de control de acceso a la red (NAC) que requiera una autorización explícita antes de que cualquier dispositivo nuevo obtenga una dirección IP en la VLAN de IoT.
Agotamiento de DHCP en la VLAN de invitados. En entornos con una alta rotación de usuarios, los dispositivos retienen las concesiones (leases) de DHCP después de desconectarse. Una subred /24 proporciona 254 direcciones. En un centro de conferencias o espacio de coworking concurrido, estas se agotan rápidamente. Establezca los tiempos de concesión de 1 a 2 horas y dimensione las subredes de la VLAN de invitados para dar cabida al número máximo de dispositivos simultáneos.
ROI e impacto comercial
Una arquitectura WiFi multi-inquilino correctamente segmentada ofrece resultados medibles en tres dimensiones.
Reducción de los costes de cumplimiento. Según los propios datos de despliegue de Purple, el aislamiento de los TPV y los terminales de pago en una VLAN dedicada con controles de firewall estrictos reduce el alcance de la auditoría PCI-DSS en aproximadamente un 70%. Esto disminuye directamente los costes anuales de auditoría y el tiempo que su equipo de TI dedica a la documentación de cumplimiento.
Eficiencia operativa. La gestión en la nube centralizada reduce el OpEx asociado a la gestión de un parque de AP distribuido. El aprovisionamiento sin intervención (zero-touch), la aplicación de políticas globales y los informes por inquilino eliminan la necesidad de realizar cambios de configuración in situ. El tiempo de incorporación de los inquilinos se reduce de días a horas. Generación de ingresos. Una red segura y de alto rendimiento permite a los operadores de edificios monetizar la conectividad como servicio. Los planes de ancho de banda por niveles, los SLA por inquilino y la información basada en analíticas transforman el WiFi de un centro de costes en una fuente de ingresos. Purple opera en más de 80 000 centros físicos en todo el mundo y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024), proporcionando la infraestructura analítica para respaldar este modelo a gran escala.
Para explorar más a fondo cómo la conectividad WiFi apoya los objetivos más amplios de inclusión digital, consulte nuestro artículo sobre el World WiFi Day 2026 . Para obtener una introducción sobre las consideraciones de arquitectura WAN relevantes para despliegues multisitio, consulte nuestra guía sobre la definición de una red informática WAN .
Definiciones clave
IEEE 802.1Q
El estándar de red que define el etiquetado VLAN para tramas Ethernet. Añade una etiqueta de 4 bytes a cada trama que contiene un identificador de VLAN (VID) de 12 bits, lo que permite a los switches mantener múltiples dominios de difusión aislados sobre una infraestructura física compartida.
El protocolo fundamental para la segmentación de redes multi-inquilino. Todos los conmutadores y puntos de acceso empresariales son compatibles con 802.1Q. Sin él, el aislamiento lógico entre inquilinos es imposible.
Asignación dinámica de VLAN
Un método en el que un servidor RADIUS asigna una VLAN específica a un usuario o dispositivo tras una autenticación 802.1X exitosa, utilizando atributos RADIUS de la IETF (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para indicar al punto de acceso en qué VLAN debe colocar al usuario.
El enfoque estándar para dar servicio a múltiples inquilinos desde un único SSID. Elimina la proliferación de SSID y preserva el tiempo de transmisión inalámbrica al tiempo que mantiene un aislamiento completo de Capa 2 entre los inquilinos.
IEEE 802.1X
El estándar IEEE para el control de acceso a la red basado en puertos (PNAC). Define un modelo de autenticación de tres partes: el suplicante (dispositivo cliente), el autenticador (punto de acceso o switch) y el servidor de autenticación (RADIUS). El autenticador bloquea todo el tráfico hasta que el suplicante se haya autenticado.
El marco de autenticación utilizado para aplicar la asignación dinámica de VLAN. Requerido para despliegues de WPA3-Enterprise. Se integra con proveedores de identidad como Microsoft Entra ID, Okta y Google Workspace.
RADIUS
Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA). En los despliegues de WiFi, el servidor RADIUS valida las credenciales de los usuarios y devuelve los atributos de asignación de VLAN al punto de acceso.
La infraestructura de servidores que aplica la asignación dinámica de VLAN. Puede desplegarse en las instalaciones o como un servicio en la nube. Se integra con proveedores de identidad a través de LDAP, SAML o SCIM.
Interferencia de cocanal (CCI)
Interferencia causada cuando dos o más puntos de acceso emiten en el mismo canal de frecuencia dentro del área de alcance de cada uno. Los dispositivos deben esperar a que el canal esté libre antes de transmitir, lo que reduce el rendimiento efectivo para todos los usuarios de ese canal.
La causa principal del bajo rendimiento de WiFi en edificios densos con múltiples inquilinos. Se mitiga mediante estudios de cobertura de RF activos y una asignación cuidadosa de canales en las bandas de 2.4 GHz, 5 GHz y 6 GHz.
VLAN nativa
La VLAN en un puerto troncal 802.1Q que transporta tráfico sin etiquetar. Por defecto, la mayoría de los switches utilizan la VLAN 1 como VLAN nativa, creando un vector de ataque muy conocido para el salto de VLAN.
Un riesgo de seguridad que debe abordarse en todos los despliegues multiinquilino. Cambie la VLAN nativa en todos los puertos troncales a un ID de VLAN no utilizado y no enrutable para evitar ataques de salto de VLAN.
Captive Portal
Una página web con la que un usuario debe interactuar antes de que se le conceda acceso a la red. En los despliegues de WiFi, el usuario se conecta a un SSID abierto o WPA2-Personal, es redirigido a una página de bienvenida para la autenticación o la aceptación de términos, y luego se le concede acceso exclusivo a internet en una VLAN aislada.
El mecanismo de incorporación estándar para segmentos de WiFi de invitados. Permite la recopilación de consentimiento conforme con el GDPR, la verificación de identidad y el análisis de datos. Debe desplegarse en una VLAN con nulo acceso de enrutamiento a las redes corporativas o de inquilinos.
WPA3-Enterprise
El último protocolo de seguridad WiFi para redes empresariales, estandarizado por la WiFi Alliance. Proporciona una fuerza criptográfica de 192 bits (suite CNSA), requiere autenticación 802.1X, exige marcos de gestión protegidos (PMF) bajo IEEE 802.11w y elimina las vulnerabilidades del protocolo de enlace de cuatro vías de WPA2.
El estándar de cifrado recomendado para segmentos WiFi corporativos de múltiples inquilinos. Requerido para entornos que manejan datos de tarjetas de pago o información corporativa sensible. Soportado por todos los principales proveedores de puntos de acceso empresariales.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación 802.1X basado en certificados que requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales X.509, proporcionando autenticación mutua y eliminando el robo de credenciales basadas en contraseñas.
El método de autenticación 802.1X más seguro. Se utiliza en entornos multiinquilino de alta seguridad donde el robo de credenciales es una preocupación principal. Requiere una infraestructura de clave pública (PKI) para emitir y gestionar certificados de cliente.
MAC Authentication Bypass (MAB)
Un método de autenticación de respaldo que utiliza la dirección MAC de un dispositivo como su identidad cuando el dispositivo no es compatible con 802.1X. El servidor RADIUS busca la dirección MAC y asigna el dispositivo a una VLAN predefinida.
Utilizado para dispositivos IoT, impresoras y otros equipos que no pueden realizar la autenticación 802.1X. Dado que las direcciones MAC se pueden suplantar, MAB siempre debe combinarse con reglas de firewall estrictas en la VLAN asignada.
Ejemplos prácticos
Un grupo hotelero de 12 propiedades y 350 habitaciones necesita proteger su red. Actualmente, los smartphones de los huéspedes, los portátiles del personal, los terminales POS y los sistemas de gestión del edificio comparten una única red plana. El equipo de TI dedica 40 horas al mes a la documentación de cumplimiento de PCI-DSS porque toda la red entra en el alcance. El CTO desea reducir la carga de cumplimiento y mejorar la postura de seguridad antes de la próxima auditoría.
Implementar una arquitectura de cuatro VLAN utilizando IEEE 802.1Q en las 12 propiedades a través de una plataforma de gestión en la nube centralizada. Asignar las VLAN de la siguiente manera: VLAN 10 para el personal corporativo (autenticado con 802.1X, enrutado a recursos internos e internet), VLAN 20 para el WiFi de invitados (Captive Portal, solo internet), VLAN 30 para terminales POS (autenticado con 802.1X, enrutado solo a los puntos finales del procesador de pagos) y VLAN 40 para IoT y BMS (derivación de autenticación MAC, salida solo a la plataforma de gestión de BMS). Configurar una política de cortafuegos de denegación por defecto entre todas las VLAN. Integrar la plataforma de WiFi de invitados de Purple en la VLAN 20 para la gestión de consentimiento y analíticas de conformidad con el GDPR. Validar las configuraciones de los puertos troncales en cada conmutador de la ruta durante la puesta en marcha.
Un operador de coworking gestiona un edificio de oficinas de 15 plantas con 40 empresas miembro independientes. Cada empresa necesita su propia red WiFi aislada. La arquitectura actual emite un SSID independiente por empresa, lo que resulta en 40 SSID por planta. El rendimiento del WiFi es deficiente en todo el edificio a pesar de un enlace ascendente de fibra de 10 Gbps. El equipo de red desea resolver los problemas de rendimiento sin reemplazar el hardware.
Consolidar en un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X. Implementar un servidor RADIUS integrado con el proveedor de identidad del edificio (Microsoft Entra ID o Okta). Configurar el servidor RADIUS para devolver los atributos de asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para cada usuario autenticado, ubicándolos en la VLAN dedicada de su empresa. Mantener un SSID de WiFi de invitados independiente con un Captive Portal para el acceso de visitantes. Esto reduce el recuento de SSID de 40 a dos por radio. Realizar un estudio de cobertura de RF activo para validar la asignación de canales y la ubicación de los puntos de acceso tras la consolidación de SSID.
Preguntas de práctica
Q1. Estás implementando WiFi para un nuevo edificio de uso mixto con 20 inquilinos comerciales independientes en la planta baja y 10 inquilinos de oficinas en las plantas 1 a 5. El propietario del edificio quiere que cada inquilino tenga su propia red WiFi segura, además de una red WiFi de invitados compartida para los visitantes. ¿Cuál es el enfoque arquitectónico más eficiente y cuál es el número máximo de SSIDs que deberías emitir por punto de acceso?
Sugerencia: Considera el impacto de emitir 30 SSIDs independientes en el tiempo de transmisión inalámbrica. Piensa en cómo la asignación dinámica de VLAN puede dar servicio a múltiples inquilinos desde un único SSID.
Ver respuesta modelo
Implementa un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X para todos los inquilinos corporativos. Utiliza un servidor RADIUS integrado con el proveedor de identidad del edificio para realizar la asignación dinámica de VLAN, colocando los dispositivos de cada inquilino en su propia VLAN aislada tras la autenticación. Implementa un segundo SSID para el WiFi de invitados con un Captive Portal. Esto da como resultado dos SSIDs por radio, muy por debajo del máximo de cuatro SSIDs. Cada uno de los 30 inquilinos recibe una VLAN dedicada con una política de firewall Default-Deny correspondiente. La VLAN de WiFi de invitados tiene acceso de enrutamiento cero a cualquier VLAN de inquilino.
Q2. Durante una auditoría posterior a la implementación de un edificio de oficinas multi-inquilino, descubres que el tráfico de la VLAN de WiFi de invitados (VLAN 30) puede realizar un ping con éxito a los dispositivos de la VLAN de IoT (VLAN 40). Ambas están en VLANs separadas. ¿Cuál es la causa más probable y cuál es el paso de remediación inmediato?
Sugerencia: Las VLANs separan los dominios de difusión en la Capa 2. ¿Qué gestiona el enrutamiento de tráfico entre diferentes subredes en la Capa 3?
Ver respuesta modelo
El router principal o el firewall carecen de una política de enrutamiento inter-VLAN de tipo Default-Deny. Por defecto, los routers pasan el tráfico entre todas las subredes conectadas. La remediación inmediata consiste en configurar una regla de denegación explícita (Deny) en el firewall que bloquee todo el tráfico desde la VLAN 30 hacia la VLAN 40. Audita el resto de políticas de enrutamiento inter-VLAN al mismo tiempo para confirmar que no existen otras rutas no deseadas. La solución a largo plazo es implementar una política Default-Deny en todas las VLANs, permitiendo únicamente excepciones explícitas y documentadas.
Q3. Un inquilino de un edificio de oficinas multi-inquilino informa de que sus dispositivos pueden autenticarse en la red WiFi con éxito, pero nunca reciben una dirección IP y no pueden acceder a internet. Otros inquilinos en los mismos puntos de acceso funcionan con normalidad. Los registros del servidor RADIUS muestran una autenticación exitosa y una asignación de VLAN 50 para el inquilino afectado. ¿Cuál es la primera configuración que deberías comprobar?
Sugerencia: Piensa en la ruta física que toma el tráfico etiquetado con VLAN desde el punto de acceso hasta el switch principal. ¿Qué debe estar configurado en esa ruta para que pase el tráfico de la VLAN 50?
Ver respuesta modelo
Comprueba la configuración del puerto troncal 802.1Q en el puerto del switch conectado al punto de acceso. Verifica que la VLAN 50 esté explícitamente listada como una VLAN permitida en el tronco. Si la VLAN 50 no está permitida en el tronco, el switch descarta todas las tramas etiquetadas con la VLAN 50 y el cliente nunca recibe una respuesta DHCP. Añade la VLAN 50 a la lista de VLANs permitidas del tronco y verifica que el cliente reciba una dirección IP. Confirma también que exista un ámbito DHCP para la subred de la VLAN 50.
Q4. El administrador de un edificio desea añadir 50 nuevos sensores IoT para supervisar el consumo de energía en un edificio de oficinas multiinquilino. Los sensores no admiten la autenticación 802.1X. ¿Cómo se deben incorporar estos dispositivos de forma segura y qué política de firewall se debe aplicar a su VLAN?
Sugerencia: Considera el método de autenticación disponible para los dispositivos que no pueden realizar la autenticación 802.1X y las implicaciones de seguridad de dicho método.
Ver respuesta modelo
Utilice MAC Authentication Bypass (MAB) para incorporar los sensores IoT. Registre la dirección MAC de cada sensor en el servidor RADIUS y configure el servidor para asignar las direcciones MAC autenticadas a la VLAN de IoT dedicada (por ejemplo, VLAN 40). Debido a que las direcciones MAC se pueden suplantar, aplique reglas de firewall de salida estrictas a la VLAN 40: permita el tráfico de salida únicamente hacia las direcciones IP de la plataforma de gestión de energía designada y bloquee el resto del tráfico de salida y todo el de entrada. Aplique ACL estrictas para evitar que cualquier dispositivo de la VLAN 40 inicie conexiones con cualquier VLAN de inquilinos o con la VLAN de gestión.
Continúe leyendo esta serie
Mean time to innocence: cómo demostrar que no es el WiFi
El Mean time to innocence (MTTI) es la métrica fundamental que define cuánto tiempo dedican los equipos de TI a demostrar que un problema de red no es culpa suya. Esta guía detalla una metodología de observabilidad en cinco pasos para acabar con el juego de las acusaciones en entornos multi-tenant, sustituyendo los reproches por pruebas compartidas para reducir el tiempo medio de resolución (MTTR).
Requisitos legales y de cumplimiento para la infraestructura de WiFi compartido
Esta guía de referencia técnica autorizada describe los requisitos legales, normativos y de arquitectura críticos para implementar y gestionar infraestructuras de WiFi compartido. Proporciona a los responsables de TI, arquitectos de red y operadores de recintos marcos de trabajo prácticos para garantizar una sólida protección de datos, un estricto cumplimiento de la seguridad de los pagos y un aislamiento de inquilinos de alto rendimiento utilizando estándares empresariales.
Gestión de ancho de banda y calidad de servicio (QoS) en espacios de co-working
Una guía de referencia técnica autorizada para responsables de TI, arquitectos de red y directores de operaciones de instalaciones sobre la implementación de marcos sólidos de gestión de ancho de banda y calidad de servicio (QoS) en entornos de co-working. Esta guía detalla la segmentación de red, la priorización del tráfico, las configuraciones independientes del proveedor y las métricas de ROI del mundo real para ofrecer una conectividad de nivel empresarial. Cubre los estándares IEEE 802.11e/WMM, el diseño de VLAN, la limitación de velocidad por usuario y las estrategias de resolución de problemas con resultados comerciales medibles.