Reducir el número de SSIDs en una red se ha convertido silenciosamente en un deporte competitivo. Pase una tarde en cualquier foro de redes y encontrará opiniones firmes, reglas generales de los proveedores y, de vez en cuando, acaloradas discusiones sobre cuántos son demasiados. Algunos dicen que hay que limitarse a tres o cuatro por radio. Otros dicen que los puntos de acceso modernos manejan bastantes más sin despeinarse. La orientación varía verdaderamente, porque la respuesta honesta depende de su despliegue.
Esta es nuestra perspectiva. El tiempo de aire que consumen los beacons es real, pero solo se convierte en un problema cuando se tienen muchos puntos de acceso superpuestos en el mismo canal. Si sus APs están bien espaciados, con poca superposición de canales compartidos (co-channel overlap), puede ejecutar varios SSIDs y mantenerse perfectamente seguro. Antes de desmantelar algo, introduzca sus propios números en nuestra calculadora de sobrecarga de beacons y SSID para ver en dónde se encuentra realmente.
Dicho esto, también somos partidarios del orden. Incluso cuando el impacto en el rendimiento es insignificante, una lista de SSID que ha crecido red por red es más difícil de documentar, más difícil de proteger y más difícil de entregar al siguiente ingeniero. Así que si desea consolidar, este es el diseño al que siempre volvemos: tres SSIDs, cada uno asignado a un método de autenticación, y todo lo demás gestionado mediante VLANs.
Dónde es real el impuesto del tiempo de aire y dónde no lo es
Cada SSID en cada radio envía tramas de beacon muchas veces por segundo, a la tasa básica obligatoria más baja, independientemente de si hay un solo cliente asociado. Ese costo es por canal. Un punto de acceso que anuncia un puñado de SSIDs en su propio canal rara vez es un problema. El problema empieza cuando varios puntos de acceso se encuentran en el mismo canal y se escuchan entre sí: sus beacons ahora compiten por el mismo tiempo de aire y la sobrecarga se acumula en cada SSID de cada uno de ellos.
Por lo tanto, la variable real es la superposición de canales compartidos (co-channel overlap), no el número bruto de SSIDs. Un despliegue denso con muchas celdas superpuestas en 2.4 GHz, con la tasa básica configurada en 1 Mbps y ocho SSIDs, puede degradar verdaderamente el rendimiento. Un puñado de APs bien separados que ejecutan los mismos ocho SSIDs puede funcionar perfectamente. Esto es algo medible en lugar de ser una cuestión de opinión: la calculadora de sobrecarga toma sus SSIDs por radio, el intervalo de beacon y la tasa básica, y devuelve el porcentaje de tiempo de aire del canal que consumen sus beacons. Menos del 2% es saludable, del 2% al 6% vale la pena analizarlo y por encima del 6% es donde empieza a afectar. Revise sus datos antes de decidir que hay un problema por resolver.
El argumento a favor del orden
Suponga que la calculadora le indica que se encuentra dentro del rango saludable. ¿Sigue habiendo una razón para consolidar? Creemos que sí, y no tiene nada que ver con el tiempo de aire. Un SSID es un límite de autenticación, no un límite de segmentación. Cuando crea un nuevo SSID para cada nuevo requisito (uno para las cajas registradoras, uno para las impresoras, uno para la señalización, uno para los contratistas), termina con una lista interminable en la que nadie está seguro de qué red hace qué, qué claves siguen en uso o a dónde debe conectarse un nuevo dispositivo. Redúzcalo a tres, cada uno vinculado a una forma clara de demostrar la identidad, y la red comenzará a documentarse por sí sola. Separe las cajas registradoras de las cámaras y de los residentes con VLAN y políticas de firewall, y solo ejecute un SSID independiente cuando un grupo de dispositivos realmente necesite un método de autenticación diferente. Solo existen tres de ellos.
SSID 1: red abierta de invitados con un Captive Portal
La red de visitas es abierta, por lo que cualquier dispositivo puede asociarse sin una clave precompartida, y un Captive Portal gestiona el inicio de sesión. Una página de bienvenida de marca (splash page), consentimiento (opt-in) consciente, inicio de sesión por redes sociales, correo electrónico o SMS, y luego salida a internet en una VLAN aislada que no puede ver su back office.
Esta es la única red que tiene que funcionar para un teléfono que el establecimiento nunca ha visto antes, por lo que el único requisito es un navegador. También es donde reside el valor comercial: datos de primera mano (first-party data) con consentimiento previo, de conformidad con el GDPR, capturados en el punto de conexión y enviados directamente a su CRM. Purple ofrece esto como Guest WiFi en más de 80,000 establecimientos, y se mantiene como un solo SSID sin importar cuántos inquilinos o zonas haya detrás.
SSID 2: WPA2/3-Enterprise para personal e invitados seguros
El segundo SSID está cifrado y se basa en la identidad. Ejecuta WPA2/3-Enterprise con 802.1X , respaldado por RADIUS, y atiende a dos grupos en la misma difusión: su personal y sus invitados de confianza.
Aquí está la parte que permite que un solo SSID realice dos funciones. Cuando un dispositivo se autentica, RADIUS no solo responde sí o no; devuelve la VLAN a la que pertenece esa identidad. El personal inicia sesión una vez con sus credenciales existentes de Microsoft Entra ID, Okta o Google Workspace, utilizando EAP-TLS para laptops administradas y PEAP para dispositivos heredados, y acceden a la VLAN del personal. Un contratista o un invitado de larga estancia se autentica con sus propias credenciales asignadas y accede a una VLAN independiente y restringida. Mismo SSID, mismo cifrado, dos redes completamente aisladas, definido por identidad en el momento de la conexión.
Esa es la diferencia entre una contraseña compartida en un pizarrón y un control de acceso adecuado. Cuando alguien se va, lo desactivas en el proveedor de identidad y su acceso a WiFi se detiene el mismo día; no hay que cambiar una clave para todo el edificio, ni quedan dispositivos de confianza que no deberían estarlo. Purple ofrece esto como Staff WiFi con cloud RADIUS , y los equipos de TI suelen ver una reducción de alrededor del 80% en los tickets de soporte de WiFi una vez que las contraseñas desaparecen. Cuenta con la certificación ISO 27001 y funciona con los puntos de acceso que ya tienes.
SSID 3: xPSK para cajas, pantallas, impresoras e IoT
El tercer SSID es para todo lo que no puede ejecutar un Captive Portal y no puede usar 802.1X: terminales de tarjetas, señalización digital, impresoras de etiquetas y recibos, sensores de edificios, smart TVs y el resto de los dispositivos IoT ad-hoc. Estos dispositivos no tienen navegador ni suplicante, pero pueden almacenar una clave precompartida, por lo que la solución es una clave por dispositivo en lugar de una sola contraseña compartida para todo el grupo.
Cada proveedor importante tiene su propio nombre para esto. Cisco Meraki lo llama iPSK , HPE Aruba lo llama MPSK, Ruckus lo llama DPSK, y Juniper Mist y Ubiquiti UniFi lo exponen como claves por dispositivo o múltiples claves precompartidas. El término general es xPSK. El mecanismo es el mismo en cada caso: un SSID, muchas claves únicas, cada clave vinculada a un dispositivo o propietario y asignada a una VLAN específica.
Así, las terminales de pago reciben una clave que las coloca en la VLAN segmentada por PCI, la señalización recibe una clave que la ubica en una VLAN de contenido sin acceso lateral, y un nuevo sensor IoT recibe su propia clave que puedes revocar de forma independiente sin tocar nada más. Si una clave se filtra, cambias esa clave específica. Nunca apagas toda la red. En sitios residenciales y multi-inquilino, este es el mismo modelo de clave de identidad precompartida que coloca a cada dispositivo de los residentes en su propia burbuja aislada; los detalles están en nuestra guía de WiFi multi-inquilino .
Cómo tres SSIDs cubren todo
Asocia cualquier dispositivo en un establecimiento a una de estas tres preguntas y tendrás su lugar:
- ¿Puede abrir una página web y es un visitante no confiable? SSID de invitado abierto con Captive Portal.
- ¿Pertenece a una persona con una identidad que gestionas? SSID WPA2/3-Enterprise, VLAN por identidad.
- ¿Es un dispositivo sin pantalla que solo puede almacenar una clave? SSID xPSK, VLAN por clave.
Todo lo demás es segmentación, y la segmentación es tarea de la VLAN. Voz, CCTV, pagos, señalización, gestión de edificios y aislamiento por inquilino viven como VLANs detrás de estos tres SSIDs, dirigidos por atributos RADIUS o por la clave que presenta el dispositivo. Mantienes cada parte de la separación que tenías con diez SSIDs, con una lista lo suficientemente corta como para que el próximo ingeniero pueda entenderla de un vistazo.
¿Reducir los SSIDs realmente mejora el rendimiento?
A veces, y principalmente cuando la superposición de canales compartidos es alta. Si tiene muchos puntos de acceso que comparten canales, reducir de ocho o diez SSIDs a tres disminuye las tramas de baliza (beacons) proporcionalmente en cada radio superpuesta, y aumentar la tasa básica para que las balizas se transmitan más rápido multiplica el ahorro. Si sus AP apenas se superponen, la ganancia es marginal y el orden es la mejor razón para hacerlo. De cualquier manera, pase sus números de antes y después por la calculadora de sobrecarga para que decida basándose en evidencia en lugar de una regla general.
¿Qué pasa si los invitados, el IoT y el personal necesitan una seguridad diferente?
Sí necesitan una seguridad diferente, y es exactamente por eso que existen tres SSIDs en lugar de uno. Cada SSID es un método de autenticación distinto (abierto con portal, 802.1X y clave por dispositivo), que es lo único que justifica una transmisión separada. Los diferentes niveles de confianza dentro de un método se manejan mediante VLAN y políticas de firewall, no agregando más SSIDs. Obtendrá un aislamiento más estricto que con el enfoque desordenado, porque cada límite se aplica mediante identidad o mediante clave en lugar de esperar que nadie adivine la contraseña del personal.
La versión corta
El hecho de que su cantidad de SSIDs le esté costando tiempo de aire depende principalmente de cuánto se superpongan sus puntos de acceso, así que consulte la calculadora antes de asumir lo peor. Pero los SSIDs son fáciles de crear en exceso y una red ordenada es más fácil de administrar, por lo que cuando consolide, vincule cada SSID a un método de autenticación y delegue cualquier otra distinción a la VLAN. Tres es todo lo que un establecimiento necesita: invitado abierto con portal, WPA2/3-Enterprise para personas y xPSK para cosas. Funciona en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi y los demás, porque si sus puntos de acceso admiten RADIUS, Purple funciona con ellos.
¿Quiere ayuda para reducir una lista de SSIDs saturada sin perder la segmentación? Hable con un experto y asignaremos sus dispositivos a las tres redes que los cubren.
