Gestión de ancho de banda para WiFi de personal: modelado, QoS y reducción de tráfico

Gestión de ancho de banda para WiFi de personal: modelado, QoS y reducción de tráfico. Un informe técnico de Purple. Bienvenido. Si está escuchando esto, probablemente se esté enfrentando a una de las quejas más comunes en el departamento de TI empresarial: el personal dice que el WiFi está lento. Tal vez sea el equipo de administración interna (back-of-house) de un hotel que tiene dificultades para procesar los check-ins. Tal vez sea una cadena de retail donde las terminales POS están experimentando timeouts. O tal vez sea un centro de conferencias donde el equipo de AV no puede obtener una conexión estable durante un evento en vivo. Cualquiera que sea el contexto, la causa raíz casi siempre es la misma: tiene más tráfico del que su red está diseñada para manejar, y el tráfico incorrecto está recibiendo prioridad. En este informe, cubriremos tres aspectos: cómo funcionan realmente el modelado de tráfico y QoS en un entorno de WiFi de personal, cómo se ve un despliegue práctico en diferentes tipos de establecimientos y cómo el despliegue de Purple Shield para el bloqueo de anuncios puede reducir la carga general de su red en una cantidad significativa, sin alterar la velocidad de su línea ni gastar en actualizaciones de infraestructura. Comencemos. Sección uno: Entender el problema. La mayoría de los establecimientos empresariales operan con una conexión a internet compartida. El WiFi de personal, el WiFi de invitados, los sistemas de back-office, el CCTV, los sistemas de gestión del edificio; todos comparten el mismo canal de subida. Cuando ese canal se congestiona, todo se degrada. Pero no todo el tráfico es igual. Que una llamada de VoIP se corte a mitad de una frase es catastrófico. Que una actualización de software tarde dos minutos más es irrelevante. El problema es que, sin una gestión activa, su red no nota la diferencia. El modelado de tráfico es el mecanismo que utiliza para indicarle a la red qué tráfico es el que importa. Quality of Service, o QoS, es el marco que define las reglas. Juntos, le permiten garantizar el ancho de banda para las aplicaciones críticas y limitar todo lo demás. El estándar IEEE 802.11e introdujo QoS en las redes inalámbricas a través de un mecanismo llamado WMM (Wireless Multimedia). WMM define cuatro categorías de acceso: voz, video, best effort (mejor esfuerzo) y segundo plano (background). Todos los puntos de acceso modernos de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi son compatibles con WMM. La pregunta es si lo está utilizando correctamente. En el lado cableado, QoS se implementa utilizando marcas DSCP (Differentiated Services Code Point) en la cabecera IP. DSCP EF, que significa Expedited Forwarding, se utiliza para el tráfico de voz. DSCP AF41 se utiliza para videoconferencias. DSCP CS1 es la clase de segundo plano: actualizaciones de software, transferencias masivas, cualquier cosa que pueda esperar. Cuando asocia el tráfico de sus aplicaciones con las marcas DSCP correctas y configura sus switches y puntos de acceso para respetarlas, obtiene un rendimiento predecible para las aplicaciones que importan. Sección dos: Arquitectura y segmentación. Antes de configurar QoS, debe segmentar su red correctamente. El WiFi de personal debe estar en su propia VLAN (Virtual Local Area Network), completamente aislada del WiFi de invitados y de los dispositivos IoT. Esto no es solo un requisito de seguridad bajo PCI DSS y GDPR; es un requisito previo para una QoS eficaz, ya que puede aplicar diferentes políticas a diferentes VLAN. Una arquitectura típica de un establecimiento empresarial se ve así. Tiene un switch central que se conecta a su puerta de enlace (gateway) de internet. A partir de ese switch, tiene múltiples VLAN: una para los dispositivos del personal, otra para el acceso de invitados, otra para los sistemas de pago y POS, y otra para la gestión del edificio. Cada VLAN tiene su propia política de QoS. La VLAN de personal recibe la mayor asignación de ancho de banda garantizada. La VLAN de invitados recibe un límite de velocidad por usuario, típicamente de dos a cinco megabits por segundo de bajada, para que ningún visitante individual pueda saturar la conexión. En la propia VLAN de personal, se aplica QoS con reconocimiento de aplicaciones. Las transacciones de POS y el tráfico de autenticación RADIUS reciben DSCP EF (la prioridad más alta). Su sistema ERP y las herramientas de videoconferencia reciben DSCP AF41. La navegación web general recibe best effort. Las actualizaciones de software y las descargas de parches del sistema operativo reciben DSCP CS1: se ejecutan en segundo plano y no compiten con el tráfico operativo. Para la autenticación, los dispositivos del personal deben autenticarse mediante 802.1X con EAP-TLS (basado en certificados) o PEAP con MSCHAPv2 contra su servidor RADIUS. Si utiliza Microsoft Entra ID, Okta o Google Workspace, Purple se integra directamente con los tres a través de SAML y SCIM, por lo que su proveedor de identidad se convierte en la fuente de verdad para el acceso a la red. Cuando un miembro del personal se va, usted revoca su acceso en Entra ID y el acceso a la red desaparece automáticamente. Sección tres: El drenaje de ancho de banda oculto y cómo lo soluciona Shield. Aquí hay algo en lo que la mayoría de los equipos de TI no piensan. Una parte significativa del tráfico en su WiFi de personal no tiene nada que ver con su negocio. Cada página web que visita un miembro del personal carga docenas de redes de anuncios de terceros, píxeles de seguimiento, scripts de análisis y endpoints de telemetría. Las investigaciones de Ghostery y análisis similares de bloqueo de anuncios muestran constantemente que las solicitudes de anuncios y rastreadores representan entre el 25% y el 40% del total de solicitudes HTTP en una sesión de navegación típica. Ese tráfico consume ancho de banda real. Consume capacidad de consultas DNS. Agrega latencia a cada carga de página. Y presenta riesgos de seguridad: el malvertising, las descargas no autorizadas (drive-by downloads) y la filtración de datos a través de píxeles de seguimiento son vectores de ataque reales. Purple Shield aborda esto a nivel de red. En lugar de depender de extensiones de navegador que el personal puede o no tener instaladas, Shield opera como un filtro en la capa de DNS. Cada consulta DNS de la VLAN de personal pasa por la lista de bloqueo de Shield antes de resolverse. Los dominios de redes de anuncios, los endpoints de rastreadores conocidos y los dominios maliciosos se bloquean antes de que se descargue un solo byte de contenido. El dispositivo nunca realiza la conexión. El ancho de banda nunca se consume. En la práctica, los establecimientos que despliegan Shield en su WiFi de personal informan una reducción en el volumen total de consultas DNS de alrededor del 30%. Ese es ancho de banda que antes se desperdiciaba en anuncios y rastreadores, ahora disponible para su sistema ERP, sus videollamadas y sus terminales POS. Obtiene el equivalente a una actualización del 30% del ancho de banda sin pagar por una línea más rápida. Shield también reduce su exposición a la seguridad. Al bloquear dominios maliciosos conocidos en la capa de DNS, elimina una categoría de amenaza que el antivirus de endpoint a menudo pasa por alto, particularmente para dispositivos IoT y terminales compartidas que no ejecutan software de seguridad tradicional. Sección cuatro: Implementación en el mundo real. Permítame guiarlo a través de dos escenarios. Primero: un hotel de 200 habitaciones. El equipo de administración interna opera un software de gestión de propiedades, un sistema de telefonía VoIP y una plataforma de videovigilancia en la misma red. El WiFi de invitados está en una VLAN separada con un límite de cinco megabits por usuario, pero la VLAN de personal no tiene política de QoS. Durante los períodos de mayor afluencia de check-in, el sistema de gestión de propiedades se ralentiza al extremo porque el personal está transmitiendo música y el sistema de vigilancia está subiendo grabaciones. La solución: aplique DSCP EF al tráfico del sistema de gestión de propiedades y al sistema VoIP. Aplique DSCP AF41 al tráfico de subida de la vigilancia (es importante pero no sensible a la latencia). Aplique DSCP CS1 a todo lo demás. Despliegue Shield en la VLAN de personal para eliminar el tráfico de anuncios y rastreadores. Resultado: los tiempos de respuesta del sistema de gestión de propiedades disminuyen en más del 40% durante los períodos pico. La calidad de las llamadas VoIP mejora notablemente en la escala Mean Opinion Score utilizada para calificar la calidad de la voz. Segundo: una cadena de retail con 50 sucursales. Cada tienda tiene una única conexión de banda ancha de 100 megabits compartida entre el WiFi de personal, el WiFi de invitados y las terminales POS. Durante los períodos comerciales de mayor actividad, la navegación del personal en dispositivos personales satura la conexión y las transacciones de POS comienzan a experimentar timeouts. La cadena está considerando actualizar a líneas de 200 megabits con un costo de alrededor de 18,000 libras al año en todas sus propiedades. La solución: segmente las terminales POS en una VLAN dedicada con ancho de banda garantizado. Aplique límites de velocidad por usuario en la VLAN de WiFi de personal: 10 megabits por usuario de bajada, dos megabits de subida. Despliegue Shield para eliminar el tráfico de anuncios. La combinación reduce la utilización pico en un 35%, los timeouts de las POS caen a cero y la actualización de la línea se pospone indefinidamente. El ahorro anual solo en costos de línea es de 18,000 libras. El costo de configuración de Shield y QoS es una fracción de eso. Sección cinco: Errores comunes de implementación. Algunas cosas a tener en cuenta. Remarcado de DSCP. Muchos ISP y algunos switches empresariales eliminan o remarcan los valores de DSCP en el límite de la red. Verifique que sus marcas de QoS sobrevivan a todo el trayecto desde el dispositivo hasta la aplicación. Utilice una captura de paquetes en el gateway para verificarlo. WMM y dispositivos heredados. Algunos dispositivos más antiguos, en particular las terminales compartidas y los sensores IoT, no son compatibles con WMM de manera adecuada. Pueden ignorar las marcas de QoS o generar tráfico con valores de DSCP incorrectos. Audite su inventario de dispositivos antes de desplegar políticas de QoS. Limitación de velocidad y tráfico de ráfagas. Un límite de velocidad estricto de 10 megabits por usuario suena razonable, pero si 20 miembros del personal inician actualizaciones de software simultáneamente, alcanzará el límite agregado. Utilice el modelado de cubeta de tokens con un margen de ráfaga en lugar de un limitador estricto (hard policer). Esto permite ráfagas cortas mientras limita el uso sostenido de alto ancho de banda. Shield y DNS-over-HTTPS. Si los dispositivos del personal utilizan DNS-over-HTTPS para eludir su resolutor de DNS, el filtrado de Shield no se aplicará. Debe bloquear DNS-over-HTTPS en el firewall o configurar sus dispositivos a través de MDM para que utilicen su resolutor de DNS interno. Este es un paso de configuración único, no una carga de gestión continua. Sección seis: Preguntas rápidas. ¿Necesito QoS si tengo suficiente ancho de banda? Sí. El ancho de banda no es lo mismo que el rendimiento. Una conexión de 1 gigabit sin QoS seguirá ofreciendo una mala calidad de VoIP si un solo dispositivo está ejecutando una transferencia masiva de archivos. QoS garantiza que el tráfico sensible a la latencia obtenga la prioridad de cola que necesita, independientemente del rendimiento total. ¿Puedo desplegar Shield sin cambiar mi hardware existente? Sí. Shield opera como una superposición de DNS. Apunta su servidor DHCP a los resolutores DNS de Purple y Shield se aplica de inmediato. Funciona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet; no se requieren cambios de hardware. ¿Cómo mido el impacto? Realice un seguimiento de tres métricas antes y después del despliegue: el porcentaje de utilización pico en su enlace de subida, el volumen de consultas DNS por hora y los tiempos de respuesta de las aplicaciones para sus sistemas críticos. El panel de control de Purple muestra los tres en tiempo real. Sección siete: Resumen y próximos pasos. En resumen. Gestionar el ancho de banda para el WiFi de personal no se trata de comprar más ancho de banda. Es acerca de asegurarse de que el ancho de banda que tiene se dirija a los lugares correctos. El modelado de tráfico y QoS le brindan el control. Purple Shield le brinda la reducción. Juntos, ofrecen mejoras medibles en el rendimiento de las aplicaciones sin gastos de infraestructura. Sus próximos pasos: audite su estructura actual de VLAN y confirme que el WiFi de personal esté aislado del tráfico de invitados y de IoT. Asocie sus aplicaciones críticas con las clases de DSCP. Despliegue Shield en su VLAN de personal y mida la reducción de consultas DNS. Revise sus límites de velocidad por usuario trimestralmente a medida que cambie el número de dispositivos. Si desea profundizar en algo de esto, la guía escrita completa está disponible en purple.ai. Cubre la arquitectura técnica en detalle, incluye ejemplos de configuración para las principales plataformas de hardware y detalla el cálculo del ROI para el despliegue de Shield. Gracias por escuchar. Este ha sido un informe técnico de Purple.