Servicio de WiFi gestionado: una guía completa para empresas

Bienvenido al Technical Briefing de Purple. Voy a dedicar los próximos diez minutos a ofrecerle una perspectiva clara y práctica de los servicios de WiFi gestionado: qué son, cómo funcionan y por qué las decisiones de arquitectura que tome hoy determinarán si su red se convierte en un activo operativo o en un dolor de cabeza constante. [medium pause] Empecemos con el contexto. El término "servicio de WiFi gestionado" se utiliza a menudo de forma muy laxa. En su nivel más básico, significa externalizar el diseño, el despliegue, la monitorización y la gestión continua de su red inalámbrica a un tercero. Pero esa definición pasa por alto el cambio más importante que se ha producido en los últimos cinco años. El cambio real es arquitectónico. El WiFi gestionado ha pasado de ser un contrato de hardware y soporte a un modelo de superposición en la nube, donde la inteligencia, la autenticación, la analítica y la capa de conformidad residen en el software, ejecutándose sobre los puntos de acceso que ya posea. [short pause] Para los promotores inmobiliarios, los operadores de BTR y los propietarios que gestionan unidades multifamiliares, ese cambio es de enorme importancia. Ya no se está comprando una red. Se está comprando un servicio que se ejecuta en su red. Y esa distinción lo cambia todo en cuanto a cómo se adquiere, cómo se tarifica a los residentes y cómo se extrae valor de él a lo largo del tiempo. [medium pause] Bien. Entremos en la arquitectura técnica, porque aquí es donde la mayoría de las conversaciones de adquisición fallan. [short pause] Un servicio de WiFi gestionado consta de cuatro capas distintas. En primer lugar, la capa de acceso: los puntos de acceso físicos instalados en pasillos, zonas comunes y unidades individuales. En segundo lugar, la infraestructura de conmutación y cableado: los switches PoE y el cableado estructurado que alimentan y conectan esos AP. En tercer lugar, el controlador o plataforma de gestión en la nube: el software que configura, monitoriza y actualiza cada AP desde un único panel de control. Y en cuarto lugar, la capa de servicios: autenticación, acceso para invitados, incorporación de residentes, analítica y conformidad. Aquí es donde reside realmente el valor. [short pause] La clave fundamental es que las capas uno y dos están prácticamente estandarizadas. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium; todos fabrican puntos de acceso excelentes. La decisión sobre el hardware importa, pero no es donde se gana o se pierde. Se gana o se pierde en las capas tres y cuatro. [medium pause] Ahora bien, para un despliegue de BTR o MDU, la capa de servicios tiene un requisito específico que el WiFi empresarial estándar no resuelve: el aislamiento por residente. Este es el desafío fundamental. Dispone de una red física compartida que da servicio a cientos de hogares independientes. Cada residente espera que sus dispositivos se comporten exactamente igual que en la red de su casa - que su teléfono encuentre su Chromecast, que su altavoz inteligente se vincule con sus bombillas, que su consola de juegos obtenga un tipo de NAT abierta para el juego multijugador en línea. Pero los dispositivos del residente A deben ser completamente invisibles para el residente B. [short pause] La tecnología que resuelve esto es iPSK - Identity Pre-Shared Key. A veces llamada PPSK por Aruba, o Personal Private Network por Cisco Meraki. El concepto es el mismo independientemente de la terminología del fabricante. A cada residente se le asigna una credencial de WiFi única durante el proceso de alta. Todos sus dispositivos utilizan esa credencial. La red la utiliza para identificar a qué residente pertenece un dispositivo y lo ubica en un segmento privado por residente, lo que llamamos una burbuja de WiFi. Los dispositivos con la misma credencial se descubren entre sí. Los dispositivos con credenciales diferentes son invisibles entre sí. Cuando un residente se muda, se revoca su credencial. Ningún otro residente se ve afectado. [medium pause] Esa es la base de todo. Pero hay una dimensión de cumplimiento que es igualmente importante, especialmente en el Reino Unido y la UE. Bajo la GDPR, se tiene la obligación de garantizar que un residente no pueda acceder a los datos o dispositivos de otro residente. iPSK es el mecanismo técnico que satisface esa obligación a nivel de capa de red. Si se combina con el cifrado WPA3 - que es el estándar actual que reemplaza a WPA2 - se obtiene una arquitectura defendible desde el punto de vista de la protección de datos. [short pause] Para la parte de autenticación, IEEE 802.1X con un servidor RADIUS en el backend es el estándar para redes de personal. Proporciona autenticación basada en certificados o credenciales antes de admitir un dispositivo, y se integra con Microsoft Entra ID, Okta o Google Workspace para la aplicación de políticas. Para las redes de residentes que utilizan iPSK, el servidor RADIUS gestiona la búsqueda por credencial y la asignación de VLAN de forma automática. [medium pause] Hablemos de la segmentación de red, ya que es el otro pilar arquitectónico que se debe configurar correctamente. En una promoción de BTR, se ejecutan como mínimo tres poblaciones de red distintas: residentes, personal y visitantes en zonas comunes. Cada una necesita su propia VLAN - una Virtual Local Area Network, definida en el estándar IEEE 802.1Q - con su propia política de firewall. Los residentes en la VLAN 30, el personal en la VLAN 20, la red WiFi de invitados en el vestíbulo y el gimnasio en la VLAN 10, y el IoT y los sistemas de gestión del edificio en la VLAN 40. [short pause] La política de firewall entre esas VLAN es tan importante como la propia arquitectura de VLAN. Denegación por defecto, permiso explícito. La VLAN de invitados solo debe tener acceso de salida a internet y nada más. Sin ruta hacia la red de residentes, sin ruta hacia la red de personal, sin ruta hacia los sistemas de gestión del edificio. Esto no es opcional si se toma en serio la seguridad y el cumplimiento. Bien. Implementación. Permítame detallar las cinco fases de un despliegue de WiFi gestionado, porque aquí es donde los proyectos suelen estancarse o fracasar. [short pause] La fase uno es el estudio de cobertura RF. Antes de especificar un solo punto de acceso, necesita un diseño predictivo de radiofrecuencia. Herramientas como Ekahau modelan la propagación de la señal a través de los materiales específicos de su edificio (hormigón, vidrio, placa de yeso) y le indican exactamente dónde montar los AP y a qué niveles de potencia para lograr sus objetivos de cobertura. Omitir esto y optar por una estimación aproximada de AP por metro cuadrado es la causa más común de un rendimiento deficiente tras el despliegue. [short pause] La fase dos es la clasificación del tráfico y el diseño de VLAN. Documente cada tipo de dispositivo y población de usuarios en su entorno. Residentes, personal, visitantes, dispositivos IoT, CCTV, sistemas de gestión de edificios. Cada uno recibe una VLAN, una subred y una política de firewall antes de tocar un controlador. [short pause] La fase tres es la configuración del controlador y el mapeo de SSID. Mantenga bajo el número de SSID - no más de cuatro por banda de radio. Tres es lo ideal: residente, personal, invitado. Cada SSID adicional que emite consume tiempo de transmisión para las tramas de baliza (beacon frames), incluso cuando no hay clientes conectados. En un edificio denso con cientos de AP, la proliferación de SSID degrada significativamente el rendimiento. [short pause] La fase cuatro es la integración de la capa de servicios. Aquí es donde una plataforma como Multi-Tenant WiFi de Purple se conecta a su controlador a través de RADIUS y API, gestiona el alta de residentes, administra las credenciales iPSK por residente y ofrece la capa de análisis y cumplimiento. Purple funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet - por lo que no está cautivo de un proveedor de hardware específico. [short pause] La fase cinco es la validación y monitorización. Realice un recorrido de validación de RF post-despliegue. Pruebe su segmentación de VLAN desde un dispositivo de invitado - confirme que no puede acceder a las subredes de residentes o del personal. Configure sus paneles de monitorización y defina sus umbrales de SLA. La plataforma de Purple le ofrece un SLA de tiempo de actividad del 99.999 % y visibilidad del estado de la red en tiempo real en todo su patrimonio. [medium pause] Ahora permítame señalar los tres errores más comunes que suelo ver. [short pause] Primero: subestimar el estudio de cobertura. He visto despliegues en los que el promotor ahorró dinero al omitir el diseño predictivo de RF y acabó con zonas sin cobertura precisamente en las viviendas que intentaba diferenciar por la calidad de su WiFi. El coste del estudio es una fracción del coste de subsanación. [short pause] Segundo: tratar el WiFi para residentes como algo secundario. En el sector BTR, la calidad del WiFi es uno de los cinco factores de servicio más importantes en las búsquedas de reservas. Los operadores que lideran en calidad de WiFi superan sistemáticamente las medias del sector en las puntuaciones de satisfacción de los residentes. La red es un activo comercial, no solo infraestructura. [short pause] Tercero: empaquetar el WiFi con un contrato de banda ancha de terceros. El modelo de superposición de software - donde usted es propietario del hardware y ejecuta un servicio gestionado encima - ofrece de forma constante una mejor rentabilidad que un contrato empaquetado de ISP. El recargo de alquiler de entre veinte y cuarenta libras por unidad al mes que genera el WiFi como servicio debería ir a parar al operador, no a un ISP externo. [medium pause] Preguntas rápidas. Tres de las que oigo con más frecuencia. [short pause] "¿Tengo que sustituir mis puntos de acceso actuales?" En la mayoría de los casos, no. Si ya tiene instalado Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi, la superposición en la nube de Purple se ejecuta sobre su hardware existente mediante una integración estándar de RADIUS y VLAN. Está añadiendo una capa de servicios, no sustituyendo la infraestructura física. [short pause] "¿Cómo se conecta un residente el día de la mudanza?" Con iPSK, el residente recibe su credencial de WiFi única como parte del proceso de mudanza - a través de la aplicación de Purple o de un correo electrónico de bienvenida. Conecta su primer dispositivo y cada uno de los dispositivos que añada posteriormente utilizará la misma credencial. Sin esperas a un técnico de banda ancha. Sin contratos de ISP independientes. Conexión desde el primer día. [short pause] "¿Qué pasa con los dispositivos domésticos inteligentes y el IoT?" Esta es la pregunta que pilla desprevenidos a muchos operadores. El WiFi para invitados estándar aísla cada dispositivo de todos los demás - lo que significa que Chromecast no funcionará, los altavoces inteligentes no se emparejarán y recibirá una avalancha de solicitudes de asistencia. iPSK lo soluciona manteniendo todos los dispositivos de un residente en el mismo segmento de red lógico, al tiempo que los aísla de los demás residentes. Entre quince y veinticinco dispositivos por hogar es la cifra real de una vivienda BTR moderna. Su arquitectura de red debe gestionar esa densidad desde el primer día. [medium pause] Para terminar. Un servicio de WiFi gestionado para BTR y MDU no es solo una opción de conectividad. Es una plataforma de experiencia para el residente, un mecanismo de cumplimiento y un activo comercial. Las decisiones de arquitectura - iPSK para el aislamiento por residente, WPA3 para el cifrado, segmentación de VLAN para la seguridad, superposición en la nube para la gestión - están consolidadas y son neutras respecto al proveedor. El hardware se ha convertido en un producto de consumo básico. El valor reside en la capa de servicios. [short pause] Purple lleva operando WiFi gestionado en 80.000 espacios desde 2012. Contamos con la certificación ISO 27001, cumplimos con GDPR y CCPA, y tenemos la certificación B Corp. Nuestra plataforma Multi-Tenant WiFi gestiona todo el ciclo de vida del residente - incorporación, gestión de credenciales, compatibilidad con IoT, análisis y cumplimiento - como una superposición en la nube sobre el hardware que ya posee o que está especificando hoy mismo. [short pause] Si se encuentra en la fase de diseño de una promoción de BTR, o está revisando una red existente que no rinde, el siguiente paso adecuado es hablar con uno de nuestros arquitectos de red. Revisaremos sus planos de planta, sus hipótesis de densidad de dispositivos y su modelo comercial, y le daremos una imagen clara de cómo debería ser la arquitectura y cuánto costará. [short pause] Encontrarás la guía escrita completa, los diagramas de arquitectura y la calculadora de ROI en purple dot ai. Gracias por escucharnos.