Saltar al contenido principal
Español (México)

Cómo funciona la asignación dinámica de VLAN en edificios multiinquilino

Esta guía de referencia técnica detalla la arquitectura y la implementación de la asignación dinámica de VLAN mediante 802.1X y RADIUS en entornos multiinquilino. Proporciona orientación práctica para gerentes de TI y arquitectos de redes para reducir la sobrecarga de SSID, aplicar el aislamiento de Capa 2 y garantizar una conectividad segura y escalable en edificios compartidos.

📖 6 min de lectura📝 1,475 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
[Intro Music - Professional, upbeat corporate tech theme] Host: Bienvenido al informe técnico de Purple. Soy su anfitrión, y hoy abordaremos una decisión de arquitectura crítica para cualquier entorno multiinquilino: la asignación dinámica de VLAN. Si gestiona la infraestructura de red de un edificio comercial de uso mixto, un complejo de retail o un gran establecimiento hotelero, esto es para usted. Vamos a analizar cómo dejar de transmitir docenas de SSIDs y, en su lugar, utilizar 802.1X y RADIUS para segmentar dinámicamente el tráfico en una única red inalámbrica limpia. [Transition sound] Host: Comencemos con el contexto. Históricamente, si tenía un edificio con tres inquilinos (por ejemplo, una cafetería en la planta baja, un bufete de abogados en el segundo piso y una startup tecnológica en el tercero), tenía que optar por redes físicas independientes, lo que es una pesadilla absoluta para el cableado y las interferencias, o transmitir un SSID único para cada inquilino. Pero transmitir múltiples SSIDs degrada el rendimiento. Cada SSID envía tramas de baliza a la velocidad básica más baja. Si tiene diez inquilinos y diez SSIDs, está consumiendo una parte enorme de su tiempo de aire simplemente gritando: "¡Estoy aquí!" antes de que se transmita un solo byte de datos reales. Aquí es donde la asignación dinámica de VLAN cambia las reglas del juego. En lugar de diez SSIDs, transmite un único SSID seguro de nivel empresarial. Llamémoslo "Building_Secure". Cuando un usuario se conecta, la red no solo le pide una clave precompartida. Le pide su identidad individual. Este es el análisis técnico de cómo funciona este flujo. Paso uno: El suplicante. Ese es el dispositivo del usuario, como una laptop o un smartphone. Se asocia con el punto de acceso, pero aún no está en la red. El puerto está efectivamente bloqueado para todo el tráfico, excepto para EAPOL (Extensible Authentication Protocol over LAN). Paso dos: El autenticador. Este es su punto de acceso o controlador inalámbrico. Toma el tráfico EAPOL del dispositivo y lo encapsula en un paquete RADIUS Access-Request. Luego lo reenvía al servidor de autenticación. Paso tres: El servidor de autenticación. Este es su servidor RADIUS, tal vez integrado con Active Directory, Google Workspace o la gestión de identidades de Purple. El servidor RADIUS comprueba las credenciales. Si coinciden, no se limita a decir "Sí, déjalos entrar". Devuelve un mensaje RADIUS Access-Accept que incluye atributos específicos independientes del proveedor. Específicamente, envía: Tunnel-Type igual a VLAN (que es el valor 13) Tunnel-Medium-Type igual a IEEE-802 (valor 6) Y, fundamentalmente, Tunnel-Private-Group-ID. Este es el número de VLAN real. Para el bufete de abogados, podría devolver la VLAN 20. Para la startup tecnológica, la VLAN 30. Paso cuatro: El punto de acceso recibe este mensaje Access-Accept, lee el ID de VLAN y coloca dinámicamente el tráfico del usuario directamente en esa VLAN específica. ¿El resultado? El empleado del bufete de abogados y el de la startup tecnológica están conectados al mismo punto de acceso, en el mismo SSID, pero su tráfico está completamente aislado en la Capa 2. El switch los gestiona como si estuvieran conectados a redes físicas totalmente diferentes. [Transition sound] Host: Ahora, hablemos de las recomendaciones de implementación y de los errores que debe evitar. Primero, la gestión de certificados. 802.1X depende en gran medida de los certificados. Si utiliza EAP-TLS, que es el estándar de oro de la seguridad, cada dispositivo necesita un certificado de cliente. Esto es muy seguro pero operativamente pesado. Para entornos BYOD, PEAP-MSCHAPv2 es más común, ya que depende de un certificado del lado del servidor y de las credenciales del usuario. Pero tenga cuidado: si ese certificado de servidor caduca, todo el edificio se queda sin conexión. Configure un monitoreo agresivo en sus certificados RADIUS. Segundo, la configuración del switch. Sus switches de borde deben tener todas las VLANs potenciales de los inquilinos etiquetadas en los puertos de enlace ascendente (uplink) que van a los puntos de acceso. Si RADIUS le indica al AP que coloque a un usuario en la VLAN 40, pero la VLAN 40 no está etiquetada en el puerto del switch conectado al AP, el tráfico caerá en un agujero negro. El usuario se autenticará correctamente pero no obtendrá una dirección IP a través de DHCP. Este es el ticket de soporte número uno que vemos. Tercero, los mecanismos de respaldo (fallback). ¿Qué ocurre si el servidor RADIUS no está disponible? Necesita una política definida de "falla abierta" (fail-open) o "falla cerrada" (fail-closed). En una oficina multiinquilino, normalmente se opta por la falla cerrada por motivos de seguridad. Pero para una red de invitados, podría optar por la falla abierta a una VLAN muy restringida solo para Internet. [Transition sound] Host: Hagamos una sesión de preguntas y respuestas rápidas basada en las dudas habituales de los arquitectos de redes. Pregunta 1: ¿Podemos mezclar la omisión de autenticación MAC (MAB) con 802.1X? Respuesta: Sí. Para dispositivos IoT como Smart TVs o impresoras que no admiten suplicantes 802.1X, puede configurar el servidor RADIUS para que se autentique en función de la dirección MAC y asigne la VLAN en consecuencia. Sin embargo, las direcciones MAC se pueden suplantar, así que coloque estos dispositivos en VLANs estrictamente aisladas. Pregunta 2: ¿Funciona esto con el roaming? Respuesta: Absolutamente. Cuando un usuario se desplaza de un AP en el primer piso a un AP en el segundo piso, la autenticación se puede almacenar en caché utilizando protocolos como 802.11r (Fast BSS Transition) o OKC (Opportunistic Key Caching), manteniéndolo sin problemas en su VLAN asignada sin el retraso de una reautenticación completa. Pregunta 3: ¿Cómo encaja Purple en esto? Respuesta: Purple puede actuar como el proveedor de identidad y el motor de políticas, agilizando la integración de RADIUS y proporcionando la capa de analítica sobre la conectividad pura, garantizando que tenga visibilidad de cómo se utiliza el espacio multiinquilino. [Transition sound] Host: En resumen: la asignación dinámica de VLAN le permite consolidar su entorno de RF en un único SSID, lo que reduce drásticamente la interferencia de canal compartido y la sobrecarga de gestión. Utiliza 802.1X y RADIUS para autenticar a los usuarios y colocarlos de forma segura en su segmento dedicado de Capa 2. ¿Sus próximos pasos? Audite su número actual de SSIDs. Si está transmitiendo más de tres o cuatro SSIDs en un mismo espacio aéreo, es hora de diseñar una solución de VLAN dinámica. Asegúrese de que sus switches estén correctamente configurados en modo troncal y configure su servidor RADIUS para que devuelva esos atributos críticos de Tunnel-Private-Group-ID. Gracias por acompañarnos en este informe técnico. Siga construyendo redes seguras y escalables. [Outro Music fades out]

header_image.png

Resumen Ejecutivo

Para los directores de TI y arquitectos de red que supervisan edificios multi-inquilino —como oficinas comerciales, complejos minoristas o amplios espacios de hospitalidad— gestionar la segmentación de la red es un desafío crítico. Históricamente, aislar el tráfico de los inquilinos significaba desplegar una infraestructura física independiente o transmitir un SSID único para cada inquilino. Ambos enfoques son fundamentalmente deficientes. La separación física tiene un costo prohibitivo y es poco flexible, mientras que la transmisión de múltiples SSIDs degrada gravemente el rendimiento de RF debido al exceso de sobrecarga de tramas de gestión.

La asignación dinámica de VLAN resuelve esto al consolidar el entorno inalámbrico en un único SSID seguro. Aprovechando la autenticación IEEE 802.1X y RADIUS, la red asigna dinámicamente a los usuarios a su Red de Área Local Virtual (VLAN) dedicada en función de su identidad, no de la red que elijan. Esta guía proporciona un análisis técnico profundo y completo sobre cómo diseñar, implementar y solucionar problemas de la asignación dinámica de VLAN, garantizando un aislamiento seguro de Capa 2, el cumplimiento de estándares como PCI DSS y GDPR, y un sólido ROI para los operadores de los recintos.

Análisis Técnico Profundo

El problema con múltiples SSIDs

En un edificio compartido, es común ver docenas de SSIDs transmitidos (por ejemplo, "TenantA_Corp", "TenantB_Secure", "Building_Guest"). Cada SSID transmitido por un Punto de Acceso (AP) debe transmitir tramas de baliza (beacon frames) a la tasa de datos obligatoria más baja (normalmente 1 Mbps o 6 Mbps). A medida que aumenta el número de SSIDs, la proporción de tiempo de aire consumida por la sobrecarga de gestión crece exponencialmente, dejando menos tiempo de aire para la transmisión de datos real. Esto da como resultado una alta latencia, un bajo rendimiento y una mala experiencia de usuario, independientemente de la velocidad de la conexión a internet subyacente.

La arquitectura 802.1X y RADIUS

La asignación dinámica de VLAN traslada la lógica de segmentación de la capa de RF a la capa de autenticación. Se basa en el estándar IEEE 802.1X para el control de acceso a la red basado en puertos, integrado con un servidor RADIUS (Remote Authentication Dial-In User Service).

La arquitectura consta de tres componentes principales:

  1. Suplicante (Supplicant): El dispositivo cliente (laptop, smartphone) que solicita acceso a la red.
  2. Autenticador (Authenticator): El dispositivo de acceso a la red, normalmente el Punto de Acceso WiFi o el controlador inalámbrico, que bloquea el tráfico hasta que la autenticación sea exitosa.
  3. Servidor de Autenticación: El servidor RADIUS que valida las credenciales contra un almacén de identidades (por ejemplo, Active Directory, LDAP) y dicta las políticas de red.

vlan_architecture_overview.png

El flujo de autenticación

Cuando un suplicante intenta conectarse al SSID unificado, ocurre el siguiente flujo:

  1. Inicialización de EAPOL: El suplicante se conecta al AP. El AP bloquea todo el tráfico excepto los paquetes de Protocolo de Autenticación Extensible sobre LAN (EAPOL).
  2. RADIUS Access-Request: El AP encapsula los datos EAP y los reenvía al servidor RADIUS como un Access-Request.
  3. Validación de credenciales: El servidor RADIUS verifica las credenciales del usuario (a través de EAP-TLS, PEAP, etc.).
  4. RADIUS Access-Accept: Tras una validación exitosa, el servidor RADIUS responde con un mensaje Access-Accept. De manera crucial, este mensaje incluye atributos RADIUS estándar de la IETF específicos que indican al AP qué VLAN asignar al usuario.

Los atributos RADIUS críticos requeridos para la asignación dinámica de VLAN son:

  • Tunnel-Type (64): Establecido en VLAN (Valor 13)
  • Tunnel-Medium-Type (65): Establecido en 802 (Valor 6)
  • Tunnel-Private-Group-ID (81): Establecido en el ID de VLAN específico (por ejemplo, "20" para el Inquilino A, "30" para el Inquilino B)

radius_auth_flow.png

Una vez que el AP recibe estos atributos, dirige el tráfico del usuario directamente a la VLAN especificada. Los switches de red ascendentes manejan entonces el tráfico como si el usuario estuviera conectado físicamente a un puerto dedicado para ese inquilino, garantizando un aislamiento completo de Capa 2.

Guía de Implementación

El despliegue de la asignación dinámica de VLAN requiere una coordinación cuidadosa entre la infraestructura inalámbrica, los switches de borde y el proveedor de identidad. Siga esta secuencia de implementación independiente del proveedor.

Fase 1: Preparación de la infraestructura de red

  1. Aprovisionamiento de VLAN: Defina y cree las VLAN necesarias en su infraestructura de enrutamiento principal y servidores DHCP. Asegúrese de que cada VLAN de inquilino tenga su propia subred distinta y las políticas de enrutamiento adecuadas (por ejemplo, enrutar a internet, pero bloquear el tráfico entre VLANs).
  2. Trunking de switches: Este es un paso crítico. Los puertos del switch que se conectan a sus Puntos de Acceso deben configurarse como puertos troncales 802.1Q. Debe etiquetar todas las posibles VLANs de inquilinos que el AP podría necesitar asignar. Si el servidor RADIUS asigna la VLAN 40, pero la VLAN 40 no está etiquetada en el puerto del switch, el cliente se autenticará pero no podrá recibir una dirección IP.
  3. Configuración del AP: Configure los APs para transmitir un único SSID habilitado para 802.1X (por ejemplo, WPA3-Enterprise). Habilite la configuración específica en su controlador inalámbrico o APs que les permita aceptar atributos de anulación de RADIUS (a menudo denominados "AAA Override" o "Dynamic VLAN").

Fase 2: Integración de RADIUS e Identidad

  1. Integración del almacén de identidades: Conecte su servidor RADIUS al servicio de directorio que contiene las identidades de los usuarios y sus asociaciones de inquilinos.
  2. Creación de políticas de red: Cree políticas dentro del servidor RADIUS que mapeen grupos de usuarios a IDs de VLAN. Por ejemplo, una política que establezca: Si el usuario pertenece al grupo 'Retail_Staff', devolver Tunnel-Private-Group-ID = 10.
  3. Gestión de certificados: Si utiliza EAP-TLS (recomendado para dispositivos corporativos), implemente certificados de cliente. Si utiliza PEAP-MSCHAPv2 (común para BYOD), asegúrese de que haya un certificado de servidor válido y confiable instalado en el servidor RADIUS.

Fase 3: Pruebas y despliegue gradual

  1. Pruebas piloto: Realice pruebas con un grupo pequeño de dispositivos en diferentes inquilinos. Verifique que, al conectarse, el dispositivo reciba una dirección IP de la subred correcta y no pueda hacer ping a dispositivos en otras VLAN de inquilinos.
  2. Dispositivos IoT y sin pantalla: Para los dispositivos que no admiten 802.1X (impresoras, Smart TV), implemente la omisión de autenticación MAC (MAB). El servidor RADIUS autentica el dispositivo según su dirección MAC y le asigna la VLAN adecuada. Nota: Coloque estos dispositivos en VLAN estrictamente aisladas, ya que las direcciones MAC se pueden falsificar.

Mejores prácticas

  • Consolidar SSIDs: Intente mantener un máximo absoluto de tres SSIDs: un SSID 802.1X para todos los inquilinos, uno para dispositivos IoT heredados (usando PSK o MAB) y uno para Guest WiFi (usando un Captive Portal).
  • Aplicar aislamiento de clientes: Dentro de la red de invitados y las redes de inquilinos no confiables, habilite el aislamiento de clientes de Capa 2 a nivel de AP para evitar que los dispositivos se comuniquen entre sí, mitigando los riesgos de movimiento lateral.
  • Aprovechar la analítica avanzada: Integre su flujo de autenticación con una plataforma robusta de WiFi Analytics para obtener visibilidad sobre el uso del espacio, los tiempos de permanencia y el rendimiento de la red de los inquilinos.
  • Estandarizar en WPA3: Cuando el soporte del cliente lo permita, exija WPA3-Enterprise para el SSID 802.1X para garantizar el nivel más alto de cifrado y protección contra ataques de diccionario.
  • Contexto de la industria: Adapte el despliegue al sector vertical. En entornos de Retail , asegúrese de que los sistemas POS estén en una VLAN estrictamente aislada para mantener el cumplimiento de PCI DSS. En Hospitality , asegúrese de que las VLAN de invitados estén completamente separadas de las operaciones internas.

Resolución de problemas y mitigación de riesgos

Modos de falla comunes

  1. El escenario "Autenticado pero sin IP":

    • Síntoma: El cliente se conecta, la autenticación es exitosa, pero el dispositivo se autoasigna una dirección APIPA (169.254.x.x).
    • Causa raíz: El servidor RADIUS asignó una VLAN, pero esa VLAN no está creada en el servidor DHCP o, más comúnmente, la VLAN no está etiquetada en el puerto troncal que conecta el switch al AP.
    • Solución: Verifique las configuraciones de enlace troncal 802.1Q en el switch perimetral.

  2. Tiempo de espera de RADIUS agotado / No accesible:

    • Síntoma: Los clientes se quedan atascados en "Conectando..." o se les solicitan credenciales repetidamente.
    • Causa raíz: El AP no puede comunicarse con el servidor RADIUS, o el secreto compartido de RADIUS no coincide entre el AP y el servidor.
    • Solución: Verifique la conectividad de red entre la IP de administración del AP y el servidor RADIUS. Revise dos veces el secreto compartido.

  3. Vencimiento de certificados:

    • Síntoma: Fallas de autenticación repentinas y generalizadas para todos los usuarios en PEAP o EAP-TLS.
    • Causa raíz: El certificado del servidor RADIUS ha expirado, lo que provoca que los clientes rechacen la conexión.
    • Solución: Implemente un monitoreo y alertas proactivas para los certificados RADIUS. Renueve los certificados al menos 30 días antes de su vencimiento.

Estrategias de mitigación de riesgos

  • Falla en modo abierto (Fail-Open) vs. Falla en modo cerrado (Fail-Closed): Defina una política clara para cuando el servidor RADIUS no esté accesible. Para las redes corporativas de los inquilinos, es necesario el modo cerrado (denegar el acceso) por razones de seguridad. Para el acceso de invitados, puede configurar una política de modo abierto que dirija a los usuarios a una VLAN de "cuarentena" altamente restringida, solo con acceso a Internet.
  • Redundancia: Despliegue siempre servidores RADIUS en un par de alta disponibilidad (HA), preferiblemente distribuidos geográficamente si se brinda soporte a múltiples sitios.

ROI e impacto comercial

La implementación de la asignación dinámica de VLAN ofrece resultados comerciales significativos y medibles para los operadores de los establecimientos:

  1. Reducción de OpEx: La gestión centralizada de un solo SSID reduce drásticamente la carga de trabajo de TI asociada con el aprovisionamiento, la actualización y la resolución de problemas de las redes de inquilinos individuales.
  2. Espectro de RF optimizado: Eliminar la saturación de SSIDs recupera valioso tiempo de transmisión. Para obtener una guía sobre la gestión del espectro, consulte nuestro artículo sobre Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 . Esto se traduce en un mayor rendimiento y menos tickets de soporte relacionados con un "WiFi lento".
  3. Seguridad y cumplimiento mejorados: El aislamiento estricto de Capa 2 garantiza que una vulnerabilidad en la red de un inquilino no se propague a las demás. Esto es fundamental para cumplir con los requisitos regulatorios como PCI DSS y GDPR.
  4. Escalabilidad: Incorporar a un nuevo inquilino requiere cero cambios en la infraestructura física o en la configuración inalámbrica; es simplemente cuestión de crear una nueva política en el servidor RADIUS.

Para obtener estrategias más completas sobre el diseño de redes para espacios compartidos, revise nuestra guía sobre Designing a Multi-Tenant WiFi Architecture for MDU .

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental que permite a la red exigir una identidad antes de conceder el acceso, lo que habilita políticas dinámicas.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El motor de decisiones que valida las credenciales e indica a la red qué VLAN asignar a un usuario.

Suplicante

El dispositivo cliente (por ejemplo, laptop, smartphone) o software que solicita acceso a la red y proporciona credenciales.

El endpoint que debe configurarse para admitir 802.1X (por ejemplo, seleccionando PEAP o EAP-TLS en la configuración de WiFi).

Autenticador

El dispositivo de red (por ejemplo, un punto de acceso WiFi o un switch) que facilita el proceso de autenticación al retransmitir mensajes entre el suplicante y el servidor de autenticación.

El guardián que bloquea el tráfico hasta que RADIUS da luz verde y luego aplica la VLAN asignada.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones punto a punto, que admite múltiples métodos de autenticación (por ejemplo, EAP-TLS, PEAP).

El idioma que hablan el suplicante y el servidor RADIUS para intercambiar credenciales de forma segura.

MAB (MAC Authentication Bypass)

Una técnica utilizada para autenticar dispositivos que no admiten 802.1X utilizando su dirección MAC como credencial.

Se utiliza para la incorporación de dispositivos IoT heredados, impresoras o Smart TVs en un entorno multiinquilino.

Tunnel-Private-Group-ID

El atributo RADIUS específico (Atributo 81) utilizado para transmitir el ID de VLAN desde el servidor RADIUS al autenticador.

El dato crítico que realmente dicta en qué segmento de red se ubica al usuario.

Aislamiento de Capa 2

Una medida de seguridad que evita que los dispositivos en el mismo segmento de red o VLAN se comuniquen directamente entre sí.

Esencial para redes de invitados y redes de inquilinos no confiables para evitar el movimiento lateral de malware o el acceso no autorizado.

Ejemplos resueltos

Un gran centro de conferencias alberga tres eventos simultáneos. El Evento A requiere acceso corporativo seguro, el Evento B requiere acceso abierto para los asistentes y el Evento C requiere acceso a servidores de presentación internos específicos. ¿Cómo debería implementar esto el arquitecto de red utilizando VLAN dinámicas?

El arquitecto configura un único SSID 802.1X para el personal y los asistentes seguros, y un SSID abierto independiente con un Captive Portal para los invitados generales.

Para el SSID 802.1X, el servidor RADIUS se configura con tres políticas:

  1. Si el Grupo de usuarios = 'Event_A_Staff', se asigna la VLAN 100 (Internet + acceso a VPN corporativa).
  2. Si el Grupo de usuarios = 'Event_C_Presenters', se asigna la VLAN 102 (Internet + acceso al servidor de presentaciones).

Para el Evento B, los asistentes utilizan el SSID de invitados abierto, que los ubica en la VLAN 101 (solo Internet, con aislamiento de clientes habilitado).

Comentario del examinador: Este enfoque minimiza la sobrecarga de SSID al tiempo que mantiene límites de seguridad estrictos. Al aprovechar las políticas de RADIUS vinculadas a los grupos de usuarios, la red se adapta dinámicamente a los requisitos específicos de cada evento sin necesidad de reconfigurar manualmente los AP.

Una cadena de tiendas de retail opera un edificio compartido con una cafetería, una tienda de ropa y una farmacia. La farmacia debe cumplir con HIPAA y la tienda de ropa requiere el cumplimiento de PCI DSS para sus terminales de punto de venta inalámbricos. ¿Cómo se garantiza el aislamiento?

El equipo de TI implementa un único SSID WPA3-Enterprise.

  1. El personal de la farmacia se autentica a través de 802.1X y RADIUS los asigna a la VLAN 50, que tiene reglas de firewall estrictas que impiden el acceso a cualquier otra subred interna.
  2. Las terminales de punto de venta de la tienda de ropa se autentican mediante EAP-TLS (basado en certificados) y se asignan a la VLAN 60. La VLAN 60 se enruta directamente a la pasarela del procesador de pagos y se aísla de todo el demás tráfico.
  3. La cafetería utiliza un SSID de invitados independiente para los clientes, que termina en la VLAN 70 con aislamiento de clientes.
Comentario del examinador: Esta arquitectura segmenta con éxito el tráfico altamente regulado (HIPAA, PCI DSS) del tráfico corporativo general y de invitados sobre una infraestructura física compartida. El uso de EAP-TLS para las terminales de punto de venta elimina la dependencia de contraseñas, lo que mejora significativamente la seguridad.

Preguntas de práctica

Q1. Un inquilino informa que puede autenticarse correctamente en el SSID 802.1X, pero su dispositivo se asigna automáticamente una dirección IP (169.254.x.x) y no puede acceder a Internet. ¿Cuál es el error de configuración más probable?

Sugerencia: Piensa en la ruta entre el punto de acceso y los servicios de red principales.

Ver respuesta modelo

La causa más probable es que la VLAN asignada por el servidor RADIUS no esté etiquetada en el puerto troncal 802.1Q que conecta el switch de borde con el punto de acceso. El AP está intentando colocar el tráfico en la VLAN correcta, pero el switch descarta las tramas porque no está configurado para aceptarlas en ese puerto.

Q2. Estás diseñando una red multiinquilino para un espacio de oficinas compartidas. El cliente desea transmitir un SSID único para cada uno de los 15 inquilinos para 'facilitarles la búsqueda de su red'. ¿Qué le aconsejas al cliente?

Sugerencia: Considera el impacto de la sobrecarga de las tramas de gestión en el rendimiento de RF.

Ver respuesta modelo

Aconseja firmemente al cliente que no utilice este enfoque. Transmitir 15 SSIDs consumirá una cantidad masiva de tiempo de aire con tramas de baliza (beacon frames), lo que degradará gravemente el rendimiento de la red, aumentará la latencia y reducirá el rendimiento para todos los usuarios. Recomienda implementar un único SSID 802.1X y utilizar la asignación dinámica de VLAN a través de RADIUS para segmentar de forma segura a los inquilinos en el backend.

Q3. Un edificio multiinquilino requiere acceso a la red para varios dispositivos IoT sin interfaz de usuario (por ejemplo, termostatos inteligentes, señalización digital) que no admiten suplicantes 802.1X. ¿Cómo se pueden incorporar estos dispositivos de forma segura a las VLAN de inquilino correctas?

Sugerencia: Considera métodos de autenticación alternativos compatibles con RADIUS.

Ver respuesta modelo

Implementa la omisión de autenticación MAC (MAB). El punto de acceso enviará la dirección MAC del dispositivo al servidor RADIUS como nombre de usuario y contraseña. El servidor RADIUS se puede configurar para reconocer estas direcciones MAC específicas y devolver el ID de VLAN correspondiente. Debido a que las direcciones MAC se pueden suplantar, estos dispositivos deben colocarse en VLANs estrictamente aisladas con acceso limitado a la red.

Continúe leyendo esta serie

Managing Bandwidth in Student Accommodation Networks

Esta guía proporciona a los administradores de TI, arquitectos de red y directores de operaciones inmobiliarias una referencia técnica neutral respecto al proveedor para gestionar el ancho de banda de WiFi en entornos de alojamiento estudiantil de alta densidad. Abarca la segmentación de VLAN, el diseño de políticas de Calidad de Servicio (QoS), el modelado de tráfico basado en la identidad y la visibilidad a nivel de aplicación: los cuatro pilares de una red de acceso justo y escalable. Con escenarios de implementación del mundo real, resultados medibles y marcos de toma de decisiones, este es el manual operativo para cualquier equipo responsable de la infraestructura de red residencial a escala.

Leer la guía →

WPA2-Enterprise vs Personal para departamentos y espacios de co-working

Esta guía de referencia técnica autorizada evalúa WPA2-Enterprise frente a WPA2-Personal para entornos multi-inquilino como departamentos y espacios de co-working. Proporciona a los arquitectos de red y gerentes de TI información práctica sobre la autenticación 802.1X, la asignación dinámica de VLAN y el cumplimiento de seguridad, demostrando por qué las contraseñas compartidas introducen un riesgo inaceptable en los lugares compartidos modernos. Los operadores de espacios encontrarán orientación de implementación concreta, casos de estudio del mundo real y análisis de ROI para respaldar una decisión de migración este trimestre.

Leer la guía →

Mejores prácticas de microsegmentación para redes WiFi compartidas

Esta guía de referencia técnica proporciona estrategias prácticas para implementar la microsegmentación en una infraestructura WiFi compartida. Detalla cómo los administradores de TI y los arquitectos de red pueden aislar de forma segura el tráfico de invitados, IoT y del personal para mitigar riesgos, garantizar el cumplimiento y optimizar el rendimiento de la red.

Leer la guía →