Saltar al contenido principal

Diseño de redes WiFi para edificios de oficinas multi-inquilino

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología un plan de diseño neutral respecto al proveedor para diseñar redes WiFi escalables, seguras y aisladas en edificios de oficinas multi-inquilino. Abarca la segmentación de VLAN bajo IEEE 802.1Q, la asignación dinámica de VLAN mediante 802.1X y RADIUS, la planificación de RF para entornos de alta densidad y las consideraciones de cumplimiento bajo GDPR y PCI-DSS. Los operadores de recintos y los administradores de edificios encontrarán directrices de arquitectura prácticas, casos de estudio del mundo real y errores de configuración que se deben evitar antes del despliegue.

📖 9 min de lectura📝 2,022 palabras🔧 2 ejemplos resueltos4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast
INFORME TÉCNICO DE PURPLE Diseño de redes WiFi para edificios de oficinas multi-inquilino Transcripción completa [SECCIÓN 1: INTRODUCCIÓN Y CONTEXTO - 1 MINUTO] Bienvenido al Informe Técnico de Purple. Soy Arquitecto de Soluciones Senior en Purple, y hoy nos adentraremos en uno de los escenarios de implementación técnicamente más exigentes en redes empresariales: el diseño de redes WiFi para edificios de oficinas multi-inquilino. Ya sea que sea responsable de una torre comercial de primer nivel con quince inquilinos independientes, un desarrollo de uso mixto que combina espacio comercial y de oficinas, o un campus de coworking flexible, el desafío es fundamentalmente el mismo. Necesita ofrecer una conectividad confiable, segura y aislada a múltiples organizaciones independientes sobre una única red física compartida. Y debe hacerlo de manera que cumpla con los requisitos de cumplimiento, mantenga tranquilo a su equipo de soporte y no requiera un ingeniero de tiempo completo para su mantenimiento. Entremos en la arquitectura técnica. [SECCIÓN 2: INMERSIÓN TÉCNICA PROFUNDA - 5 MINUTOS] La base de cualquier diseño de WiFi multi-inquilino es la segmentación de la red. El mecanismo principal para lograrlo es el etiquetado de VLAN, estandarizado bajo IEEE 802.1X. El concepto es sencillo: se asigna a cada inquilino, o a cada clase de tráfico, una LAN virtual distinta. El tráfico en la VLAN 10 no puede llegar al tráfico en la VLAN 20 a menos que lo permita explícitamente a través de una política de firewall. Ese aislamiento lógico es su primera línea de defensa. Ahora, aquí es donde los arquitectos suelen cometer su primer error. Confunden la segmentación por VLAN con la seguridad. Las VLAN proporcionan aislamiento, no seguridad. Todavía necesita políticas de firewall entre las VLAN. Todavía necesita listas de control de acceso. Y todavía necesita pensar detenidamente qué enrutamiento inter-VLAN permite. Un puerto de enlace troncal mal configurado puede colapsar todo su modelo de segmentación en segundos. En un edificio de oficinas multi-inquilino, normalmente se tiene una infraestructura física compartida: cableado, estructura de switches y puntos de acceso que dan servicio a múltiples inquilinos. Los puntos de acceso transmiten múltiples SSID, cada uno asignado a una VLAN diferente. El Inquilino A se conecta a su SSID, su tráfico se etiqueta con la VLAN 10 en el punto de acceso, atraviesa la estructura de switches compartida en un puerto de enlace troncal y llega a la capa de distribución donde se enruta a la subred aislada del Inquilino A. El tráfico del Inquilino B sigue la misma ruta física pero está completamente aislado en la Capa 2. Ahora, históricamente, los ingenieros de red segmentaban los entornos creando un SSID único para cada inquilino. Pero la proliferación de SSID es un detractor del rendimiento. Cada SSID que transmite debe enviar tramas de administración, llamadas balizas (beacons), a la tasa de datos obligatoria básica más baja. Si está transmitiendo seis o siete SSID en un punto de acceso, puede consumir fácilmente entre el veinte y el treinta por ciento del tiempo de transmisión inalámbrica disponible solo en la sobrecarga de administración. Eso es antes de que se transmita un solo byte de datos de usuario reales. El estándar empresarial moderno es la Asignación Dinámica de VLAN (Dynamic VLAN Assignment). En lugar de múltiples SSIDs, usted transmite un SSID seguro utilizando la autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo intercambia credenciales con un servidor RADIUS. El servidor RADIUS autentica al usuario y envía un mensaje de Access-Accept de vuelta al punto de acceso. Crucialmente, este mensaje incluye atributos estándar IETF específicos: el Tunnel-Type, el Tunnel-Medium-Type y el Tunnel-Private-Group-ID, el cual contiene el VLAN ID específico para la organización de ese usuario. El punto de acceso recibe estos atributos y coloca dinámicamente el tráfico de ese usuario directamente en su VLAN dedicada. Un ejecutivo corporativo y un dispositivo IoT pueden conectarse exactamente al mismo SSID, pero su tráfico está completamente aislado en la Capa 2. Para la autenticación, WPA3-Enterprise es ahora el estándar de cifrado recomendado. Proporciona un modo de seguridad de 192 bits y elimina las vulnerabilidades asociadas con el saludo de cuatro vías de WPA2. Los proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace se integran con su infraestructura RADIUS para gestionar las credenciales de forma centralizada. Ahora hablemos de la planificación de RF, porque aquí es donde las implementaciones en oficinas multi-inquilino se vuelven genuinamente complejas. Cuando se tienen múltiples inquilinos en espacios adyacentes, se tiene un entorno de RF de alta densidad. La interferencia de canal compartido es su enemigo. Necesita un ejercicio adecuado de planificación de RF antes de la implementación: un estudio activo del sitio que mapee la propagación de la señal, identifique las fuentes de interferencia e informe su estrategia de asignación de canales. La banda de 2.4 GHz le ofrece tres canales que no se traslapan en la mayoría de los dominios regulatorios: los canales 1, 6 y 11. La banda de 5 GHz le ofrece una capacidad significativamente mayor. WiFi 6E extiende esto a la banda de 6 GHz, ofreciéndole un espectro limpio y prácticamente libre de la interferencia de dispositivos heredados. Para nuevas implementaciones multi-inquilino, especificar puntos de acceso compatibles con WiFi 6E de proveedores como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist es la decisión correcta. El margen de espectro adicional genera grandes beneficios en entornos densos. El IoT es la otra dimensión que no puede ignorar. en un edificio multi-inquilino moderno, se tienen sistemas de gestión de edificios, controladores de HVAC, iluminación inteligente, control de acceso y CCTV. Estos deben estar en su propia VLAN aislada, completamente separados tanto del tráfico de los inquilinos como del tráfico de invitados. Los dispositivos IoT son notoriamente difíciles de actualizar con parches y representan una superficie de ataque significativa. Segméntelos, monitoréelos y aplique un filtrado de salida estricto. [SECCIÓN 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS] Permítame compartir los tres errores más comunes que veo en las implementaciones multi-inquilino. El primero es una configuración insuficiente de puertos troncales. Los arquitectos diseñan un esquema VLAN excelente y luego olvidan permitir explícitamente las VLAN relevantes en cada enlace troncal de la ruta. El tráfico se interrumpe de forma silenciosa, los inquilinos se quejan y el equipo de soporte pasa días rastreando el problema. Documente sus configuraciones troncales meticulosamente y valídelas durante la puesta en marcha. El segundo error es la proliferación de SSID. Mantenga su recuento de SSID a no más de cuatro por radio. Utilice la asignación dinámica de VLAN mediante atributos RADIUS en lugar de usar SSID independientes para dar servicio a varios inquilinos. El tercer error es descuidar el plano de gestión. Su VLAN de gestión, aquella en la que se comunican sus puntos de acceso, switches y controladores, debe estar completamente aislada de todas las VLAN de inquilinos y de invitados. Si un inquilino puede alcanzar su plano de gestión, tiene una vulnerabilidad de seguridad crítica. También agregaría un cuarto: descuidar la gestión del tiempo de concesión de DHCP en las VLAN de invitados. En entornos de alta rotación, los dispositivos conservan las concesiones después de desconectarse. Establezca los tiempos de concesión de la VLAN de invitados entre una y dos horas para evitar el agotamiento de direcciones IP. [SECTION 4: RAPID-FIRE Q AND A - 1 MINUTE] Permítame repasar rápidamente algunas preguntas que surgen constantemente en estas implementaciones. ¿Necesita puntos de acceso físicos independientes por inquilino? No. Ese es precisamente el propósito de la arquitectura multi-tenant basada en VLAN. Varios inquilinos comparten el mismo punto de acceso, y el aislamiento del tráfico se aplica en la capa de red. ¿Cómo se gestionan los dispositivos IoT heredados que no son compatibles con 802.1X? Utilice MAC Authentication Bypass combinado con WPA3-SAE. El servidor RADIUS identifica el dispositivo por su dirección MAC y lo asigna a una VLAN de IoT aislada. Aplique reglas de firewall estrictas a este segmento. ¿Afecta la asignación dinámica de VLAN al roaming? No si se configura correctamente. Habilite 802.11r para Fast BSS Transition y Opportunistic Key Caching. El estado de autenticación se almacena en caché en todos los puntos de acceso y los usuarios se desplazan sin problemas y sin retrasos por reautenticación. [SECTION 5: SUMMARY AND NEXT STEPS - 1 MINUTE] En resumen: una arquitectura WiFi multi-tenant bien diseñada para un edificio de oficinas se basa en cuatro pilares. Primero, una segmentación rigurosa de VLAN con políticas de firewall aplicadas entre segmentos. Segundo, una gestión centralizada basada en controladores que le brinde visibilidad operativa y control de políticas a escala. Tercero, un ejercicio de planeación de RF adecuado que tenga en cuenta el entorno físico y la densidad de la implementación. Y cuarto, un modelo de seguridad que aborde los requisitos de autenticación, cifrado, aislamiento de IoT y cumplimiento desde el primer día. Las organizaciones que hacen esto bien ven resultados medibles: reducción de la carga de soporte, incorporación más rápida de inquilinos, una postura de cumplimiento demostrable para las auditorías y la capacidad de monetizar la conectividad como un servicio en lugar de tratarla como un centro de costos. Si está planeando una implementación multi-inquilino y quiere explorar cómo la plataforma de Purple puede proporcionar analíticas, gestión de WiFi de invitados y la capa de informes a nivel de inquilino sobre su infraestructura de red, visite purple punto ai. Los recursos enlazados en la guía son un buen punto de partida. Gracias por escuchar. Hasta la próxima.

header_image.png

Resumen Ejecutivo

Para los CTO y arquitectos de red que gestionan edificios de oficinas multi-inquilino, el reto es claro: cómo ofrecer conectividad confiable, segura y aislada a múltiples organizaciones independientes a través de una sola red física compartida. En un entorno multi-inquilino, una arquitectura de red plana es un riesgo grave para la seguridad. Amplía el alcance de cumplimiento bajo GDPR y PCI-DSS, expone a los inquilinos a amenazas de seguridad laterales y crea una carga operativa difícil de escalar a medida que crece el número de inquilinos.

Esta guía proporciona un plan neutral respecto al fabricante para diseñar arquitecturas de WiFi multi-inquilino. Al implementar la segmentación VLAN IEEE 802.1Q, la Asignación Dinámica de VLAN basada en 802.1X y una planificación de RF disciplinada, es posible eliminar la proliferación de SSID, reducir el consumo excesivo de tiempo de aire hasta en un 20% y aplicar un aislamiento estricto de Capa 2 entre los inquilinos. Detallamos los estándares técnicos, las consideraciones de hardware entre distintos fabricantes como Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, y las políticas de enrutamiento necesarias para asegurar la infraestructura. Implementada correctamente, esta arquitectura reduce los costos de soporte, simplifica las auditorías de cumplimiento y permite monetizar la conectividad como un servicio.

Análisis Técnico Detallado

El Argumento en Contra de las Redes Planas

Una red plana coloca a todos los dispositivos - independientemente del inquilino, tipo de tráfico o nivel de seguridad - en un único dominio de transmisión. Cada dispositivo recibe todos los paquetes de transmisión. Un solo dispositivo de invitado comprometido puede escanear y alcanzar terminales de punto de venta, sistemas de gestión del edificio y estaciones de trabajo corporativas. Esto coloca a toda su red dentro del alcance de una auditoría PCI-DSS. Este no es un riesgo teórico; es el estado predeterminado de muchos edificios multi-inquilino cableados antes de que la densidad inalámbrica se convirtiera en una consideración de diseño.

La solución es la segmentación lógica. No necesita una infraestructura física independiente para cada inquilino; necesita una arquitectura VLAN diseñada correctamente, un firewall bien configurado y una plataforma de gestión centralizada.

IEEE 802.1Q y el Etiquetado VLAN

Las redes LAN virtuales - estandarizadas como IEEE 802.1Q - le permiten dividir una única estructura física de switches en múltiples redes lógicas aisladas. Cuando un cliente se conecta a un punto de acceso (AP) de WiFi, el AP etiqueta las tramas de ese cliente con un identificador VLAN (VID) de 12 bits. Los switches leen esta etiqueta y garantizan que el tráfico de una VLAN nunca se reenvíe a un puerto de otra VLAN, a menos que una regla de enrutamiento explícita en el firewall lo permita.

Un edificio de oficinas multi-inquilino estándar requiere al menos cuatro VLANs:

VLAN Clase de Tráfico Política de Enrutamiento
VLAN 10 Corporate Tenant A Solo Internet + recursos específicos del inquilino
VLAN 20 Corporate Tenant B Solo Internet + recursos específicos del inquilino
VLAN 30 Guest WiFi (captive portal) Solo Internet, sin acceso de ningún tipo a ninguna VLAN de inquilinos
VLAN 40 IoT y BMS Solo egreso a plataformas de gestión designadas

Para edificios con más inquilinos, se extiende el modelo. Cada inquilino adicional recibe una VLAN dedicada y una política de firewall correspondiente. La infraestructura física se mantiene compartida.

vlan_architecture_diagram.png

Asignación dinámica de VLAN mediante 802.1X y RADIUS

Históricamente, los ingenieros de redes creaban un SSID independiente para cada inquilino. Este enfoque degrada el rendimiento. Cada SSID transmite tramas de administración (beacons) a la tasa de datos básica obligatoria más baja para garantizar que los dispositivos heredados puedan conectarse. Transmitir seis o siete SSIDs en un solo punto de acceso puede consumir del 20% al 30% del tiempo de transmisión inalámbrica disponible antes de que se transmita cualquier dato de usuario. En un edificio multiinquilino denso, eso es inaceptable.

El estándar moderno es la Asignación dinámica de VLAN. Se transmite un único SSID seguro mediante autenticación IEEE 802.1X. Cuando un usuario se conecta, su dispositivo (el suplicante) intercambia credenciales con un servidor RADIUS a través del punto de acceso (el autenticador). El servidor RADIUS valida las credenciales con un proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y devuelve un mensaje Access-Accept al punto de acceso. Ese mensaje contiene tres atributos RADIUS estándar de la IETF:

  • Tunnel-Type (atributo 64): establecido en VLAN
  • Tunnel-Medium-Type (atributo 65): establecido en 802
  • Tunnel-Private-Group-ID (atributo 81): el ID de VLAN específico para la organización de ese usuario

El punto de acceso recibe estos atributos y coloca dinámicamente el tráfico de ese usuario en su VLAN designada. Un empleado del Inquilino A y un empleado del Inquilino B se conectan al mismo SSID. Su tráfico está completamente aislado en la Capa 2. Los switches los tratan como si estuvieran conectados a redes físicas completamente independientes.

Para el segmento de invitados, enrute el tráfico a través de una VLAN de invitados dedicada a un captive portal. La plataforma de Guest WiFi de Purple gestiona el consentimiento de conformidad con la GDPR, la incorporación segura y las WiFi Analytics en el segmento aislado, con cero acceso enrutado a las redes corporativas. Para obtener una descripción general más amplia de la arquitectura de control de acceso, consulte nuestra guía de sistemas de control de acceso a la red .

WPA3-Enterprise y estándares de cifrado

WPA3-Enterprise es el estándar de cifrado recomendado para implementaciones multi-tenant. Ofrece un modo de seguridad de 192 bits, elimina las vulnerabilidades en el protocolo de enlace de cuatro vías de WPA2 y hace obligatorias las Tramas de Gestión Protegidas (PMF) bajo IEEE 802.11w. Para entornos que manejan datos de tarjetas de pago o información corporativa sensible, WPA3-Enterprise con EAP-TLS - autenticación mutua basada en certificados - elimina por completo el vector de robo de credenciales.

Para segmentos de invitados donde no se pueden implementar certificados, WPA3-SAE (Simultaneous Authentication of Equals) proporciona seguridad hacia adelante, garantizando que una clave comprometida no exponga el tráfico histórico.

Planificación de RF en Entornos de Alta Densidad

La interferencia de canal compartido (CCI) es la causa principal de un rendimiento deficiente de WiFi en edificios de oficinas multi-tenant. Cuando los puntos de acceso adyacentes transmiten en el mismo canal de frecuencia, los dispositivos deben esperar a que haya tiempo de aire libre antes de transmitir. En un edificio con múltiples inquilinos y una densidad extrema de dispositivos, la asignación de canales no planificada crea un entorno de RF congestionado que ninguna cantidad de ancho de banda puede solucionar.

Un estudio de RF activo en el sitio es esencial antes de la implementación. Los mapas de cobertura de los proveedores suelen ser optimistas. Se necesitan mediciones de señal reales tomadas en el espacio físico, teniendo en cuenta los materiales de las paredes, la construcción de los pisos y el entorno de RF de los edificios vecinos.

rf_planning_heatmap.png

In la mayoría de los dominios regulatorios, la banda de 2.4 GHz ofrece tres canales que no se traslapan (1, 6 y 11). La banda de 5 GHz ofrece significativamente más capacidad. WiFi 6E se extiende a la banda de 6 GHz, proporcionando un espectro limpio y prácticamente libre de interferencias de dispositivos heredados. Para nuevas implementaciones multi-tenant, especificar puntos de acceso compatibles con WiFi 6E de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi proporciona el margen espectral que demandan los entornos de alta densidad.

Aislamiento de IoT

Los edificios de oficinas modernos contienen sistemas de gestión de edificios, controladores de HVAC, iluminación inteligente, control de accesos y CCTV. Estos dispositivos son notoriamente difíciles de parchar y representan una superficie de ataque sustancial. Deben estar aislados en una VLAN dedicada con un filtrado de salida estricto, permitiendo la comunicación saliente únicamente a sus plataformas de gestión designadas. Cero acceso enrutado a cualquier VLAN de inquilinos. Cero acceso enrutado a la VLAN de invitados. Esto no es negociable tanto desde el punto de vista de la seguridad como de GDPR.

Guía de Implementación

Paso 1: Diseñe su arquitectura lógica antes de tocar el hardware. Mapee su número de inquilinos y clases de tráfico (corporativo, invitado, IoT, pago, gestión) y asigne las VLAN. Documente su esquema de direccionamiento IP. Defina su política de enrutamiento inter-VLAN: qué puede comunicarse con qué y qué está absolutamente prohibido.

Paso 2: Realice un estudio activo de cobertura RF en el sitio. Nunca confíe en los mapas de cobertura del proveedor. Necesita mediciones de señal reales tomadas en el espacio físico para definir la ubicación de los AP y la asignación de canales.

Paso 3: Configure su firewall central con una política de denegación predeterminada (Default-Deny). Bloquee todo el enrutamiento inter-VLAN por defecto. Agregue solo excepciones explícitas y específicas de puertos. Cada ruta inter-VLAN debe estar justificada y documentada.

Paso 4: Desactive la VLAN 1 en todos los puertos troncales. Cambie la VLAN nativa en los puertos troncales a un ID de VLAN no enrutable y que no esté en uso. Esto evita ataques de salto de VLAN que explotan la VLAN nativa por defecto.

Paso 5: Verifique la configuración de los puertos troncales. Permita explícitamente cada ID de VLAN requerido en cada enlace troncal en la ruta desde el punto de acceso hasta la capa de distribución. La falta de una etiqueta VLAN causa caídas silenciosas de tráfico que tardan horas en diagnosticarse.

Paso 6: Despliegue una gestión centralizada en la nube. Las plataformas de Cisco Meraki, HPE Aruba, Juniper Mist y Ruckus proporcionan políticas de ancho de banda por SSID, informes por cliente e integración con su infraestructura RADIUS. Gestionar un conjunto de AP distribuido sin un controlador implica una carga operativa que es insostenible a escala.

Paso 7: Establezca tiempos de concesión DHCP por segmento. VLAN corporativas: de 8 a 24 horas. VLAN de WiFi para invitados: de 1 a 2 horas. Los tiempos de concesión cortos en el segmento de invitados evitan el agotamiento de direcciones IP en entornos de alta rotación.

Paso 8: Aísle el plano de gestión. Su VLAN de gestión debe estar completamente aislada de todas las VLAN de clientes e invitados. Aplique ACL estrictas al tráfico de gestión. Si un cliente puede acceder a su plano de gestión, tiene una vulnerabilidad de seguridad grave.

Mejores prácticas

La siguiente tabla resume los estándares de configuración clave para un despliegue de WiFi multi-inquilino que cumpla con las normativas.

Control Estándar Justificación
Segmentación de VLAN IEEE 802.1Q Aislamiento de Capa 2 entre clientes
Autenticación IEEE 802.1X con WPA3-Enterprise Elimina los vectores de robo de credenciales
Asignación dinámica de VLAN RADIUS con atributos de túnel Reduce el número de SSID, conserva el tiempo de aire
Incorporación de invitados Captive Portal con consentimiento GDPR Cumplimiento y captura de datos
Aislamiento de IoT VLAN dedicada con ACL de salida Limita la superficie de ataque de dispositivos sin parches
Planificación de RF Estudio activo de cobertura en el sitio Mitiga la interferencia de canal compartido
Roaming 802.11r Fast BSS Transition Traspaso continuo entre AP
VLAN nativa ID de VLAN no enrutable y sin usar Evita ataques de salto de VLAN

Para despliegues en el sector de hotelería , el aislamiento de la VLAN de invitados es fundamental. Para entornos de retail , aislar las terminales de punto de venta en una VLAN dedicada reduce directamente el alcance de la auditoría PCI-DSS. Para centros de transporte e instalaciones de salud , se aplican los mismos principios de segmentación, con atención adicional a los volúmenes de conexiones concurrentes y la diversidad de tipos de dispositivos. Para los establecimientos que consideran enlaces ascendentes WAN de banda ancha satelital, la guía de Purple Cómo configurar un Captive Portal en Starlink cubre las consideraciones específicas para entornos remotos y marítimos.

Solución de problemas y mitigación de riesgos

Caídas silenciosas de tráfico. Este es el modo de falla más común en implementaciones multi-inquilino. La causa es la falta de una etiqueta VLAN en un puerto troncal. Un usuario se autentica con éxito a través de 802.1X, el servidor RADIUS lo asigna a la VLAN 40, pero la VLAN 40 no está permitida en el puerto troncal. El tráfico se cae y el usuario no puede obtener una dirección IP. Documente meticulosamente las configuraciones de los enlaces troncales y verifíquelas durante la puesta en marcha.

Proliferación de SSID. Cada SSID que transmite consume tiempo de aire de las tramas de baliza (beacon frames). En entornos densos, de 8 a 10 SSIDs por AP degradan el rendimiento de la red para todos. Mantenga los SSIDs en un máximo de 4 por radio. Utilice la asignación dinámica de VLAN a través de atributos RADIUS en lugar de SSIDs separados para atender a múltiples inquilinos.

Exposición del plano de gestión. Si su VLAN de gestión no está aislada, un inquilino que obtenga acceso puede modificar las configuraciones de los AP, interrumpir el servicio o interceptar el tráfico de gestión. Utilice la gestión fuera de banda cuando sea posible y aplique ACLs estrictas a todas las interfaces de gestión.

Dispersión de dispositivos IoT. Los operadores de edificios suelen agregar dispositivos IoT sin notificar al equipo de red. Implemente una política de control de acceso a la red (NAC) que requiera autorización explícita antes de que cualquier dispositivo nuevo obtenga una dirección IP en la VLAN de IoT.

Agotamiento de DHCP en la VLAN de invitados. En entornos de alta rotación, los dispositivos conservan las concesiones DHCP después de desconectarse. Una subred /24 proporciona 254 direcciones. En un centro de conferencias o espacio de coworking concurrido, estas se agotan rápidamente. Establezca tiempos de concesión de 1 a 2 horas y ajuste el tamaño de las subredes de la VLAN de invitados para admitir la cantidad máxima de dispositivos simultáneos.

ROI e impacto comercial

Una arquitectura de WiFi multi-inquilino segmentada adecuadamente ofrece resultados medibles en tres dimensiones.

Reducción de costos de cumplimiento. Con base en los datos de implementación de Purple, aislar las terminales de punto de venta y de pago en una VLAN dedicada con controles de firewall estrictos reduce el alcance de la auditoría PCI-DSS en aproximadamente un 70%. Esto disminuye directamente los costos de auditoría anual y el tiempo que su equipo de TI dedica a la documentación de cumplimiento.

Eficiencia operativa. La gestión centralizada en la nube reduce el OpEx asociado con la administración de un conjunto de AP distribuido. El aprovisionamiento sin contacto, la aplicación de políticas globales y los informes por inquilino eliminan la necesidad de realizar cambios de configuración en el sitio. El tiempo de incorporación de inquilinos se reduce de días a horas. Generación de ingresos. Una red segura y de alto rendimiento permite a los operadores de edificios monetizar la conectividad como un servicio. Los planes de ancho de banda por niveles, los SLA por inquilino y la información impulsada por análisis transforman el WiFi de un centro de costos en una fuente de ingresos. Purple opera en más de 80,000 espacios físicos a nivel mundial y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024), proporcionando la infraestructura de análisis para respaldar este modelo a escala.

Para explorar más a fondo cómo la conectividad WiFi respalda los objetivos más amplios de inclusión digital, consulte nuestro artículo sobre el Día Mundial del WiFi 2026 . Para obtener una introducción sobre las consideraciones de arquitectura WAN relevantes para implementaciones en múltiples sitios, consulte nuestra guía sobre la definición de una red informática WAN .

Definiciones clave

IEEE 802.1Q

El estándar de red que define el etiquetado de VLAN para tramas Ethernet. Agrega una etiqueta de 4 bytes a cada trama que contiene un Identificador de VLAN (VID) de 12 bits, lo que permite a los switches mantener múltiples dominios de transmisión aislados sobre una infraestructura física compartida.

El protocolo fundamental para la segmentación de redes multi-inquilino. Todos los switches y puntos de acceso empresariales admiten 802.1Q. Sin él, el aislamiento lógico entre inquilinos es imposible.

Dynamic VLAN Assignment

Un método donde un servidor RADIUS asigna una VLAN específica a un usuario o dispositivo tras una autenticación 802.1X exitosa, utilizando atributos RADIUS de la IETF (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para indicarle al punto de acceso en qué VLAN debe colocar al usuario.

El enfoque estándar para ofrecer servicio a múltiples inquilinos desde un único SSID. Elimina la proliferación de SSID y conserva el tiempo de transmisión inalámbrica mientras mantiene un aislamiento completo de Capa 2 entre los inquilinos.

IEEE 802.1X

El estándar IEEE para el Control de Acceso a Red basado en puertos (PNAC). Define un modelo de autenticación de tres partes: el suplicante (dispositivo cliente), el autenticador (punto de acceso o switch) y el servidor de autenticación (RADIUS). El autenticador bloquea todo el tráfico hasta que el suplicante se autentica.

El marco de autenticación utilizado para aplicar Dynamic VLAN Assignment. Requerido para despliegues WPA3-Enterprise. Se integra con proveedores de identidad como Microsoft Entra ID, Okta y Google Workspace.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilización (AAA). En despliegues de WiFi, el servidor RADIUS valida las credenciales de usuario y devuelve atributos de asignación de VLAN al punto de acceso.

La infraestructura de servidores que aplica Dynamic VLAN Assignment. Se puede desplegar en sitio o como un servicio en la nube. Se integra con proveedores de identidad a través de LDAP, SAML o SCIM.

Interferencia de cocanal (CCI)

Interferencia causada cuando dos o más puntos de acceso transmiten en el mismo canal de frecuencia dentro del alcance del otro. Los dispositivos deben esperar un tiempo de transmisión libre antes de transmitir, lo que reduce el rendimiento efectivo para todos los usuarios en ese canal.

La causa principal del bajo rendimiento de WiFi en edificios densos con múltiples inquilinos. Se mitiga mediante estudios de sitio de RF activos y una asignación cuidadosa de canales en las bandas de 2.4 GHz, 5 GHz y 6 GHz.

VLAN nativa

La VLAN en un puerto troncal 802.1Q que transporta tráfico sin etiquetar. De forma predeterminada, la mayoría de los switches utilizan la VLAN 1 como la VLAN nativa, lo que crea un vector de ataque muy conocido para el salto de VLAN.

Un riesgo de seguridad que debe abordarse en cada despliegue multiinquilino. Cambie la VLAN nativa en todos los puertos troncales a un ID de VLAN no utilizado y no enrutable para evitar ataques de salto de VLAN.

Captive Portal

Una página web con la que un usuario debe interactuar antes de que se le otorgue acceso a la red. En despliegues de WiFi, el usuario se conecta a un SSID abierto o WPA2-Personal, es redirigido a una página de bienvenida para la autenticación o aceptación de términos, y luego se le otorga acceso únicamente a internet en una VLAN aislada.

El mecanismo de incorporación estándar para los segmentos de WiFi de invitados. Permite la recopilación de consentimiento de conformidad con el GDPR, la verificación de identidad y el análisis de datos. Debe desplegarse en una VLAN con acceso de enrutamiento nulo a las redes corporativas o de inquilinos.

WPA3-Enterprise

El último protocolo de seguridad Wi-Fi para redes empresariales, estandarizado por la Wi-Fi Alliance. Proporciona una fuerza criptográfica de 192 bits (suite CNSA), requiere autenticación 802.1X, exige Tramas de Gestión Protegidas (PMF) bajo IEEE 802.11w y elimina las vulnerabilidades en el saludo de cuatro vías de WPA2.

El estándar de cifrado recomendado para segmentos de WiFi corporativos multiinquilino. Requerido para entornos que manejan datos de tarjetas de pago o información corporativa sensible. Soportado por todos los principales proveedores de puntos de acceso empresariales.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación 802.1X basado en certificados que requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales X.509, lo que proporciona autenticación mutua y elimina el robo de credenciales basadas en contraseñas.

El método de autenticación 802.1X más seguro. Se utiliza en entornos multiinquilino de alta seguridad donde el robo de credenciales es una preocupación principal. Requiere una Infraestructura de Clave Pública (PKI) para emitir y administrar certificados de cliente.

MAC Authentication Bypass (MAB)

Un método de autenticación de respaldo que utiliza la dirección MAC de un dispositivo como su identidad cuando el dispositivo no es compatible con 802.1X. El servidor RADIUS busca la dirección MAC y asigna el dispositivo a una VLAN predefinida.

Se utiliza para dispositivos IoT, impresoras y otros equipos que no pueden realizar la autenticación 802.1X. Debido a que las direcciones MAC se pueden falsificar, MAB siempre debe combinarse con reglas de firewall estrictas en la VLAN asignada.

Ejemplos resueltos

Un grupo hotelero de 12 propiedades y 350 habitaciones necesita asegurar su red. Actualmente, los smartphones de los huéspedes, las laptops del personal, las terminales de punto de venta (POS) y los sistemas de gestión del edificio comparten una única red plana. El equipo de TI dedica 40 horas al mes a la documentación de cumplimiento de PCI-DSS porque toda la red está dentro del alcance. El director de tecnología quiere reducir la carga de trabajo de cumplimiento y mejorar la postura de seguridad antes de la próxima auditoría.

Despliegue una arquitectura de cuatro VLAN utilizando IEEE 802.1Q en las 12 propiedades a través de una plataforma de gestión centralizada en la nube. Asigne las VLAN de la siguiente manera: VLAN 10 para Personal Corporativo (autenticado por 802.1X, enrutado a recursos internos e internet), VLAN 20 para Guest WiFi (Captive Portal, solo internet), VLAN 30 para Terminales POS (autenticado por 802.1X, enrutado únicamente a los extremos del procesador de pagos) y VLAN 40 para IoT y BMS (MAC Authentication Bypass, egreso solo a la plataforma de gestión de BMS). Configure una política de firewall de denegación predeterminada (Default-Deny) entre todas las VLAN. Integre la plataforma de Guest WiFi de Purple en la VLAN 20 para la gestión de consentimiento y analíticas en conformidad con GDPR. Valide las configuraciones de los puertos troncales (trunk) en cada switch del trayecto durante la puesta en marcha.

Comentario del examinador: Este enfoque reduce el alcance de la auditoría de PCI-DSS en aproximadamente un 70% al aislar el segmento de POS. La estricta política de firewall evita el movimiento lateral desde un dispositivo de huésped comprometido hacia la infraestructura de pagos. El equipo de TI recupera las 40 horas mensuales que antes dedicaba a la documentación de cumplimiento. La plataforma de gestión centralizada en la nube permite aplicar políticas de forma coherente en las 12 propiedades sin necesidad de visitas presenciales.

Un operador de coworking gestiona un edificio de oficinas de 15 plantas con 40 empresas miembro independientes. Cada empresa necesita su propia red WiFi aislada. La arquitectura actual emite un SSID independiente por empresa, lo que genera 40 SSIDs por planta. El rendimiento de WiFi es deficiente en todo el edificio a pesar de contar con un enlace ascendente de fibra de 10 Gbps. El equipo de redes quiere resolver los problemas de rendimiento sin reemplazar el hardware.

Consolide en un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X. Despliegue un servidor RADIUS integrado con el proveedor de identidad del edificio (Microsoft Entra ID o Okta). Configure el servidor RADIUS para que devuelva los atributos de asignación dinámica de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para cada usuario autenticado, ubicándolos en la VLAN dedicada de su empresa. Conserve un SSID de Guest WiFi independiente con un Captive Portal para el acceso de visitantes. Esto reduce el número de SSIDs de 40 a dos por radio. Realice un estudio de sitio (site survey) de RF activo para validar la asignación de canales y la ubicación de los AP tras la consolidación de SSIDs.

Comentario del examinador: Reducir el número de SSIDs de 40 a dos por radio elimina la sobrecarga de gestión de tramas de baliza (beacons) que consumía entre el 20% y el 30% del tiempo de transmisión disponible. El rendimiento promedio de los clientes aumenta significativamente. El enfoque de asignación dinámica de VLAN mantiene un aislamiento completo de Capa 2 entre las 40 empresas miembro sin ningún cambio en la infraestructura física. El estudio de sitio de RF garantiza que la asignación de canales esté optimizada tras el cambio de configuración.

Preguntas de práctica

Q1. Está implementando WiFi para un nuevo edificio de uso mixto con 20 inquilinos minoristas independientes en la planta baja y 10 inquilinos de oficinas en los pisos 1 a 5. El propietario del edificio desea que cada inquilino tenga su propia red WiFi segura, además de una red WiFi de invitados compartida para los visitantes. ¿Cuál es el enfoque de arquitectura más eficiente y cuál es el número máximo de SSIDs que debería transmitir por punto de acceso?

Sugerencia: Considere el impacto de transmitir 30 SSIDs independientes en el tiempo de aire inalámbrico. Piense en cómo la asignación dinámica de VLAN puede dar servicio a múltiples inquilinos desde un único SSID.

Ver respuesta modelo

Implemente un único SSID seguro utilizando WPA3-Enterprise y autenticación IEEE 802.1X para todos los inquilinos corporativos. Utilice un servidor RADIUS integrado con el proveedor de identidad del edificio para realizar la asignación dinámica de VLAN, colocando los dispositivos de cada inquilino en su propia VLAN aislada tras la autenticación. Implemente un segundo SSID para WiFi de invitados con un Captive Portal. Esto da como resultado dos SSIDs por radio, muy por debajo del máximo de cuatro SSIDs. Cada uno de los 30 inquilinos recibe una VLAN dedicada con una política de firewall Default-Deny correspondiente. La VLAN de WiFi de invitados tiene cero acceso de enrutamiento a cualquier VLAN de inquilino.

Q2. Durante una auditoría posterior a la implementación de un edificio de oficinas multiinquilino, descubre que el tráfico de la VLAN de WiFi de invitados (VLAN 30) puede hacer ping correctamente a los dispositivos en la VLAN de IoT (VLAN 40). Ambas están en VLANs separadas. ¿Cuál es la causa más probable y cuál es el paso de remediación inmediato?

Sugerencia: Las VLANs separan los dominios de transmisión en la Capa 2. ¿Qué maneja el enrutamiento de tráfico entre diferentes subredes en la Capa 3?

Ver respuesta modelo

El router principal o firewall carece de una política de enrutamiento inter-VLAN Default-Deny. Por defecto, los routers pasan tráfico entre todas las subredes conectadas. La remediación inmediata es configurar una regla Deny explícita en el firewall que bloquee todo el tráfico de la VLAN 30 a la VLAN 40. Audite todas las demás políticas de enrutamiento inter-VLAN al mismo tiempo para confirmar que no existan otras rutas no deseadas. La solución a largo plazo es implementar una política Default-Deny en todas las VLANs permitiendo únicamente excepciones explícitas y documentadas.

Q3. Un inquilino en un edificio de oficinas multiinquilino informa que sus dispositivos se pueden autenticar en la red WiFi con éxito, pero nunca reciben una dirección IP y no pueden acceder a internet. Otros inquilinos en los mismos puntos de acceso funcionan normalmente. Los registros del servidor RADIUS muestran una autenticación exitosa y una asignación de VLAN 50 para el inquilino afectado. ¿Cuál es la primera configuración que debería verificar?

Sugerencia: Piense en la ruta física que toma el tráfico etiquetado con VLAN desde el punto de acceso hasta el switch principal. ¿Qué se debe configurar en esa ruta para que pase el tráfico de la VLAN 50?

Ver respuesta modelo

Verifique la configuración del puerto troncal 802.1Q en el puerto del switch conectado al punto de acceso. Compruebe que la VLAN 50 aparezca explícitamente como una VLAN permitida en el troncal. Si la VLAN 50 no está permitida en el troncal, el switch descarta todas las tramas etiquetadas con la VLAN 50 y el cliente nunca recibe una respuesta DHCP. Agregue la VLAN 50 a la lista de VLANs permitidas del troncal y verifique que el cliente reciba una dirección IP. También confirme que exista un ámbito DHCP para la subred de la VLAN 50.

Q4. Un administrador de un edificio desea agregar 50 nuevos sensores de IoT para monitorear el consumo de energía en un edificio de oficinas multi-inquilino. Los sensores no admiten la autenticación 802.1X. ¿Cómo debería incorporar estos dispositivos de manera segura y qué política de firewall debería aplicarse a su VLAN?

Sugerencia: Considere el método de autenticación disponible para los dispositivos que no pueden realizar la autenticación 802.1X y las implicaciones de seguridad de ese método.

Ver respuesta modelo

Utilice MAC Authentication Bypass (MAB) para incorporar los sensores de IoT. Registre la dirección MAC de cada sensor en el servidor RADIUS y configure el servidor para asignar las direcciones MAC autenticadas a la VLAN de IoT dedicada (por ejemplo, VLAN 40). Debido a que las direcciones MAC se pueden suplantar, aplique reglas estrictas de firewall de egreso a la VLAN 40: permita el tráfico de salida solo a las direcciones IP designadas de la plataforma de gestión de energía y bloquee todo el demás tráfico de salida y de entrada. Aplique ACL estrictas para evitar que cualquier dispositivo en la VLAN 40 inicie conexiones a cualquier VLAN de inquilino o a la VLAN de gestión.

Continúe leyendo esta serie

Mean time to innocence: cómo demostrar que no es el WiFi

El Mean time to innocence (MTTI) es la métrica crítica que define cuánto tiempo pasan los equipos de TI demostrando que un problema de red no es su culpa. Esta guía detalla una metodología de observabilidad de cinco pasos para eliminar el juego de las culpas en entornos multi-tenant, reemplazando los señalamientos con evidencia compartida para reducir el tiempo medio de resolución (MTTR).

Leer la guía →

Requisitos legales y de cumplimiento para infraestructura de WiFi compartido

Esta guía de referencia técnica autorizada describe los requisitos legales, regulatorios y de arquitectura críticos para implementar y administrar infraestructura de WiFi compartido. Proporciona a los gerentes de TI, arquitectos de red y operadores de recintos marcos de trabajo prácticos para garantizar una sólida protección de datos, un estricto cumplimiento de la seguridad de los pagos y un aislamiento de inquilinos de alto rendimiento utilizando estándares empresariales.

Leer la guía →

Gestión de ancho de banda y calidad de servicio (QoS) en espacios de co-working

Una guía de referencia técnica autorizada para gerentes de TI, arquitectos de red y directores de operaciones de instalaciones sobre la implementación de marcos robustos de Gestión de ancho de banda y Calidad de servicio (QoS) en entornos de co-working. Esta guía detalla la segmentación de red, la priorización del tráfico, las configuraciones independientes del proveedor y las métricas de ROI del mundo real para ofrecer conectividad de nivel empresarial. Cubre los estándares IEEE 802.11e/WMM, el diseño de VLAN, la limitación de velocidad por usuario y las estrategias de resolución de problemas con resultados comerciales medibles.

Leer la guía →