LAN vs WAN: Entendiendo la diferencia en despliegues de WiFi

Una referencia técnica para líderes de TI y operadores de recintos sobre las diferencias críticas entre LAN y WAN en despliegues de WiFi empresarial. Esta guía ofrece información arquitectónica práctica, mejores prácticas de implementación y aclara cómo el entender esta distinción impulsa el ROI para el WiFi de invitados y la inteligencia operativa.

📖 6 min de lectura📝 1,349 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

(Música de introducción - Tono profesional, optimista, centrado en la tecnología, se desvanece después de 5 segundos)

**Anfitrión (Voz en inglés del Reino Unido, segura y con autoridad):** Hola y bienvenidos al Purple Technical Briefing. Soy su anfitrión y, en la sesión de hoy, abordaremos un concepto fundamental que tiene importantes implicaciones para cualquier despliegue de WiFi a gran escala: la diferencia entre una LAN y una WAN. Para los gerentes de TI y arquitectos de redes, entender esto correctamente es la clave para una red segura, eficiente y rentable. ¿Hacerlo mal? Bueno, eso conduce a cuellos de botella, brechas de seguridad y una mala experiencia de usuario. En los próximos diez minutos, dejaremos de lado la teoría y les daremos la guía práctica que necesitan.

**(Música de transición - Efecto de sonido breve y sutil)**

**Anfitrión:** Comencemos con lo básico. La red de área local, o LAN. Piensen en esto como su reino privado. Es la red dentro de sus cuatro paredes: un solo hotel, una tienda minorista, un centro de conferencias. Se caracteriza por velocidades muy altas, piensen en gigabits por segundo, y una latencia increíblemente baja. Esta es la red que conecta sus dispositivos locales: sus puntos de acceso WiFi, sus terminales de punto de venta, las computadoras de su personal. Al ser suya, tienen el control total. Pueden implementar una seguridad sólida con estándares como WPA3 y 802.1X, y pueden dividirla en zonas seguras e independientes mediante VLAN. Esto es absolutamente crucial. El tráfico de su WiFi para invitados nunca, bajo ninguna circunstancia, debe mezclarse con el tráfico de sus sistemas corporativos o de pago. Esa separación ocurre en la LAN.

Ahora, ampliemos la perspectiva a la red de área amplia, o WAN. Si la LAN es su edificio, la WAN es la autopista que conecta sus edificios entre sí, y con el resto del mundo a través de internet. Esta es la red que normalmente se adquiere como un servicio de un proveedor como BT, Virgin Media o un operador especializado. Cubre una gran área geográfica y, en comparación con la LAN, tiene menor ancho de banda y una latencia mucho mayor. También es más costosa. El desafío para cualquier empresa con múltiples sedes, ya sea una cadena de tiendas o un grupo hotelero, es gestionar esta conectividad WAN de manera eficaz. Aquí es donde tecnologías como SD-WAN se han vuelto tan potentes. SD-WAN les permite administrar de forma inteligente múltiples enlaces WAN, enrutando sus datos de pago críticos a través de una conexión de fibra altamente confiable, mientras envían el tráfico de invitados menos crítico a través de un enlace de banda ancha estándar, lo que garantiza el rendimiento y la resiliencia.

Por lo tanto, la distinción clave es esta: la LAN es local, rápida y de su propiedad. La WAN es global, más lenta y alquilada. Sus puntos de acceso WiFi viven en la LAN. Se conectan a sus switches locales. ¿Pero la conexión a internet que ofrecen a sus invitados? Eso depende completamente de su enlace WAN. Una señal de WiFi fantástica no sirve de nada si el canal de salida a internet está saturado.

**(Música de transición - Efecto de sonido breve y sutil)**

**Presentador:** Ahora hablemos de la implementación. Al diseñar su red, comience siempre desde la experiencia del usuario y trabaje hacia atrás. ¿Cuántos usuarios espera? ¿Qué estarán haciendo? Para un estadio de alta densidad, necesita un diseño de LAN muy diferente al de una pequeña cafetería. Su primer paso es un estudio de cobertura inalámbrica (site survey) para determinar la ubicación de los AP. No adivine. Modélelo. Segundo, su estrategia de VLAN. Como base, necesita VLANs independientes para invitados, corporativa y cualquier sistema sensible como pagos o gestión del edificio. Esto es innegociable para la seguridad y el cumplimiento de estándares como PCI DSS. Tercero, su conexión WAN. No compre simplemente el enlace más barato. Calcule sus necesidades de ancho de banda esperadas, incluido el tráfico de invitados, e implemente Calidad de Servicio, o QoS. QoS es su policía de tránsito. Asegura que un aumento repentino en el streaming de YouTube de los invitados no detenga su sistema de punto de venta. Priorice sus aplicaciones críticas para el negocio. Un error común es el aprovisionamiento insuficiente de la WAN o no aplicar QoS. Otro es usar una red plana sin VLANs. Estos son errores de principiante que pueden colapsar un establecimiento.

**(Música de transición: efecto de sonido breve y sutil)**

**Presentador:** Pasemos a una sesión de preguntas y respuestas rápidas. Me preguntan esto todo el tiempo.

*Pregunta uno: ¿Dónde encaja Purple en esto?* Purple es una capa de inteligencia que se coloca por encima. Nos integramos con la infraestructura WiFi de su LAN. El Captive Portal y los datos analíticos se alojan en nuestra nube, a la que su red accede a través de su conexión WAN. Aprovechamos su infraestructura para aportar valor empresarial.

*Pregunta dos: ¿Debería usar una sola VLAN grande para todos mis invitados?* No. Mala idea. Esto crea un dominio de difusión enorme y riesgos de seguridad. La mejor práctica es habilitar Client Isolation (aislamiento de clientes) en sus AP. Esto evita que los dispositivos de los invitados puedan verse o atacarse entre sí.

*Pregunta tres: SD-WAN. ¿Es solo publicidad?* Absolutamente no. Para cualquier empresa con múltiples sucursales, es un cambio radical. Ofrece un mejor rendimiento, mayor confiabilidad y, a menudo, costos más bajos que las configuraciones WAN tradicionales. Es una inversión estratégica.

**(Música de transición: efecto de sonido breve y sutil)**

**Presentador:** En resumen, su LAN es su base. Constrúyala para que sea sólida, segura y segmentada. Su WAN es su conexión con el mundo. Constrúyala para que sea resiliente y compatible con aplicaciones. Entienda el límite entre ellas y gestione el flujo de tráfico con QoS y enrutamiento inteligente. Al lograr esta arquitectura de manera correcta, no solo está ofreciendo WiFi; está construyendo una plataforma para la inteligencia empresarial, la interacción con el cliente y la excelencia operativa. Ese es el verdadero ROI.

**(Música de salida: entra gradualmente y suena hasta el final)**

**Presentador:** Gracias por acompañarnos en esta sesión técnica de Purple. Para obtener más información, visítenos en purple.ai. Hasta la próxima.

Puntos clave

✓Una LAN es tu red privada local (un edificio); una WAN conecta tus sitios entre sí (una autopista).
✓El diseño eficaz de WiFi depende de comprender el límite entre LAN y WAN para gestionar el rendimiento y los costos.
✓Utiliza VLANs para segmentar el tráfico por seguridad (por ejemplo, invitados frente a corporativo).
✓Utiliza QoS en tu enlace WAN para priorizar el tráfico comercial crítico sobre la navegación de los invitados.
✓SD-WAN proporciona una forma flexible y resiliente de gestionar la conectividad para empresas con múltiples sedes.
✓El aislamiento de clientes es una función de seguridad crítica para cualquier red WiFi de invitados de acceso público.
✓Las plataformas de analítica de WiFi como Purple son un servicio superpuesto que aprovecha tu LAN/WAN para proporcionar inteligencia empresarial.

Resumen ejecutivo

Para los ejecutivos de TI y arquitectos de redes, la distinción entre una Red de Área Local (LAN) y una Red de Área Amplia (WAN) es fundamental; sin embargo, su aplicación práctica en despliegues de WiFi a gran escala suele ser una fuente de gran complejidad y de sobrecostos presupuestarios. Una LAN proporciona conectividad de alta velocidad y baja latencia dentro de un área física limitada: un solo hotel, una tienda minorista o el piso de una conferencia. Una WAN, por el contrario, conecta múltiples LAN a través de una gran distancia geográfica, lo que permite a una cadena de retail vincular sus tiendas o a un grupo hotelero conectar sus propiedades a un centro de datos central. La falta de comprensión de este límite conduce a un diseño de red deficiente, lo que resulta en cuellos de botella en el rendimiento, vulnerabilidades de seguridad y una experiencia de usuario comprometida. Esta guía sirve como una referencia práctica que desmitifica los conceptos principales y proporciona un marco estratégico para diseñar, implementar y gestionar redes WiFi de nivel empresarial. Exploraremos las decisiones de arquitectura, las consideraciones de seguridad bajo estándares como WPA3 y PCI DSS, y el impacto comercial de una red bien estructurada, contextualizando dónde una plataforma de inteligencia de WiFi como Purple añade una capa crítica de valor para impulsar los ingresos y comprender el comportamiento del cliente.

Análisis técnico profundo

Comprender el límite entre LAN y WAN es crucial para un diseño eficaz de redes WiFi. La LAN es su dominio interno de control, que abarca todo el hardware en el sitio, mientras que la WAN es el tejido externo que conecta sus ubicaciones, administrado habitualmente por un Proveedor de Servicios de Internet (ISP) o un operador de telecomunicaciones.

La Red de Área Local (LAN): la potencia en el sitio

Una LAN es una red privada confinada a una sola ubicación geográfica, como un edificio de oficinas, un estadio o un hotel. Su propósito principal es facilitar el intercambio de datos a alta velocidad entre dispositivos interconectados dentro de ese perímetro. En un despliegue de WiFi moderno, la LAN no se trata solo de cables; es un ecosistema sofisticado de componentes que funcionan en conjunto.

Componentes: El hardware clave incluye Puntos de Acceso Inalámbrico (APs) que transmiten la señal WiFi (por ejemplo, operando bajo los estándares IEEE 802.11ax/Wi-Fi 6), Switches de red que agregan el tráfico de los APs y otros dispositivos cableados, y un Router central o switch de Capa 3 que gestiona el flujo de tráfico y dirige los datos a su destino, incluyendo la puerta de enlace (gateway) de la WAN.
Rendimiento: Las LAN se caracterizan por un ancho de banda muy alto (normalmente de 1 Gbps a 10 Gbps o más a través de Ethernet) y una latencia extremadamente baja (a menudo inferior al milisegundo). Esto es esencial para soportar entornos de alta densidad como centros de conferencias o aplicaciones que requieren datos en tiempo real, como los sistemas de punto de venta (POS) en el sector de retail.
Control y seguridad: Dado que la LAN es de propiedad privada, los equipos de TI tienen control total sobre su arquitectura y postura de seguridad. Esto permite implementar controles de acceso granulares utilizando IEEE 802.1X, segmentación de red con VLANs para aislar el tráfico de invitados del tráfico corporativo, y protocolos de cifrado robustos como WPA3 para proteger los datos en tránsito.

La red de área amplia (WAN): Conectando a la empresa

Una WAN interconecta múltiples LANs a través de áreas geográficas amplias, desde unas pocas millas hasta todo el planeta. El internet en sí es la WAN más grande, pero para las empresas, una WAN se refiere típicamente a los enlaces privados o públicos utilizados para conectar sitios distribuidos.

Conectividad: Los enlaces WAN se adquieren de proveedores de servicios externos y pueden incluir diversas tecnologías como líneas de fibra óptica, MPLS (Conmutación de etiquetas multiprotocolo) o, cada vez más, SD-WAN (WAN definida por software). SD-WAN ofrece un enfoque más flexible, rentable y consciente de las aplicaciones para gestionar la conectividad WAN, lo que permite a los equipos de TI enrutar dinámicamente el tráfico a través de múltiples tipos de enlaces (por ejemplo, MPLS, banda ancha, 4G/5G) según la prioridad de la aplicación.
Rendimiento: El rendimiento de la WAN está limitado por el costo y la disponibilidad de los enlaces del proveedor de servicios. El ancho de banda es significativamente menor y más costoso que en la LAN, y la latencia es mucho mayor debido a las distancias físicas involucradas. Un enlace que cruza el país podría tener una latencia de 50 a 100 ms, un marcado contraste con la latencia de menos de 1 ms en la LAN.
Seguridad y gestión: Proteger la WAN implica firewalls, VPNs (redes privadas virtuales) y sistemas de detección de intrusos en el borde de la red. Gestionar una WAN es complejo, ya que implica coordinarse con múltiples operadores y garantizar la aplicación coherente de políticas en todos los sitios. Esta es otra área donde SD-WAN proporciona ventajas significativas a través del control centralizado y la orquestación simplificada de políticas.

Dónde se ubica Purple en la pila

Purple es una plataforma superpuesta que opera sobre su infraestructura LAN y WAN existente. Se integra con los APs de WiFi en su LAN para gestionar la experiencia del usuario invitado a través de un Captive Portal. Cuando un invitado se conecta, su autenticación y posterior tráfico web son gestionados por la plataforma en la nube de Purple, a la que se accede a través de la conexión WAN de su sitio. Luego, Purple captura datos analíticos de presencia y ubicación anonimizados, los procesa en la nube y los presenta de vuelta a los operadores del establecimiento a través de un panel de control. Esta capa de inteligencia no reemplaza su infraestructura LAN o WAN, sino que la aprovecha para desbloquear información valiosa sobre el comportamiento de los visitantes, lo que le permite impulsar la lealtad, aumentar los ingresos y mejorar la eficiencia operativa.

Guía de implementación

Definir los requisitos del sitio: Para cada ubicación, documente el área física, la densidad de dispositivos esperada y las necesidades de rendimiento de las aplicaciones. Un hotel requiere una cobertura sin interrupciones en las habitaciones y áreas comunes, mientras que una tienda minorista necesita dar soporte a sistemas POS, WiFi de invitados y dispositivos del personal.
Diseño de LAN y ubicación de AP: Realice un estudio de sitio inalámbrico para determinar la cantidad y ubicación óptimas de los AP. Utilice herramientas que puedan modelar la propagación de RF para la distribución específica de su edificio. Asegúrese de que su infraestructura de conmutación tenga suficiente capacidad de puertos y presupuesto de Power over Ethernet (PoE) para dar soporte a todos los AP.
Estrategia de segmentación de red: Implemente VLAN para separar lógicamente los diferentes tipos de tráfico. Un modelo estándar incluye VLAN separadas para: WiFi de invitados, red inalámbrica corporativa, dispositivos IoT (por ejemplo, termostatos inteligentes, cámaras de seguridad) y tráfico de gestión.
Adquisición de conectividad WAN: Evalúe las opciones de WAN según la criticidad del sitio y las necesidades de ancho de banda. Para una tienda insignia, un enlace de fibra principal con un respaldo 4G/5G a través de SD-WAN proporciona alta disponibilidad. Para oficinas satélite más pequeñas, una sola conexión de banda ancha empresarial puede ser suficiente.
Configuración de seguridad perimetral: Implemente un firewall de última generación (NGFW) en el perímetro WAN de cada LAN. Configure políticas para aplicar controles de acceso, prevenir intrusiones y garantizar el cumplimiento de estándares como PCI DSS si se manejan datos de tarjetas de pago.
Integrar Purple: Once the underlying network is stable, integre su controlador de WiFi o AP con la plataforma en la nube de Purple. Esto normalmente implica apuntar la configuración del Captive Portal o de la autenticación RADIUS a los puntos de conexión del servicio de Purple. Pruebe a fondo el recorrido del invitado, desde la conexión hasta la autenticación y el acceso a Internet.

Mejores prácticas

Gestión centralizada: Utilice una plataforma de gestión de red basada en la nube para configurar y monitorear sus AP, switches y firewalls en todos los sitios. Esto simplifica las actualizaciones de políticas y proporciona un panel de control único para la resolución de problemas.
Control de acceso basado en roles (RBAC): Aplique el principio de privilegio mínimo. Utilice IEEE 802.1X para autenticar usuarios y dispositivos, asignándolos a la VLAN adecuada y aplicando políticas de acceso específicas según su rol.
Cumplimiento desde el diseño: Al diseñar su red, incorpore controles para cumplir con los requisitos regulatorios desde el principio. Para el GDPR, esto significa garantizar que el consentimiento del invitado se capture correctamente en el Captive Portal. Para PCI DSS, requiere una separación estricta del entorno de datos de los titulares de tarjetas de todas las demás redes, incluido el WiFi de invitados.
Auditorías periódicas: Audite periódicamente la configuración de su red, las reglas del firewall y los registros de acceso para identificar posibles brechas de seguridad o configuraciones incorrectas. Las herramientas automatizadas pueden ayudar a agilizar este proceso.

Resolución de problemas y mitigación de riesgos

Modo de falla común: Saturación del enlace WAN. Un problema común ocurre cuando el tráfico de WiFi de invitados satura el enlace WAN principal, lo que afecta a las aplicaciones empresariales críticas. Mitigación: Implemente políticas de Calidad de Servicio (QoS) en su router/firewall de borde para priorizar el tráfico crítico para el negocio (por ejemplo, POS, voz) sobre el tráfico de invitados. Limite la velocidad de los usuarios invitados a un límite de ancho de banda razonable.
Modo de falla común: Agotamiento de direcciones IP. En un establecimiento concurrido, el alcance de DHCP para la VLAN de invitados puede quedarse sin direcciones IP disponibles, lo que impide que se conecten nuevos usuarios. Mitigación: Use una subred /22 o /21 para su VLAN de invitados para proporcionar miles de direcciones disponibles. Monitoree la utilización del alcance de DHCP y configure alertas para cuando supere el 80%.
Riesgo: Red de invitados insegura. Una red de invitados mal configurada puede ser un punto de partida para que un atacante acceda a la LAN corporativa. Mitigación: Asegúrese de

Definiciones clave

Local Area Network (LAN) / Red de área local

Una red de computadoras privada que cubre un área física pequeña, como una casa, oficina o un solo edificio en un campus.

Esta es su red local. Los equipos de TI tienen control total sobre la LAN, lo que la convierte en el dominio para comunicaciones internas de alta velocidad y seguras, así como para el acceso WiFi.

Wide Area Network (WAN) / Red de área amplia

Una red de computadoras que se extiende sobre una gran distancia geográfica, conectando varias LAN entre sí.

Así es como se conectan sus diferentes sucursales (por ejemplo, varias tiendas u hoteles) entre sí y a internet. El rendimiento y el costo son consideraciones clave, ya que depende de proveedores externos.

Access Point (AP) / Punto de acceso

Un dispositivo de hardware que permite que otros dispositivos Wi-Fi se conecten a una red cableada. Un AP actúa como un transmisor y receptor central de señales de radio inalámbricas.

Estos son los dispositivos que crean su red WiFi. La ubicación y configuración adecuadas de los AP son fundamentales para garantizar una buena cobertura y rendimiento.

Router / Enrutador

Un dispositivo de red que reenvía paquetes de datos entre redes de computadoras. Los routers realizan las funciones de direccionamiento de tráfico en internet.

El router es la puerta de enlace de su LAN. Conecta su red interna con la WAN externa (internet) y toma decisiones sobre a dónde enviar el tráfico.

Switch / Conmutador

Un dispositivo de red que conecta dispositivos entre sí en una red de computadoras mediante el uso de conmutación de paquetes para recibir, procesar y reenviar datos al dispositivo de destino.

Los switches son la columna vertebral de su LAN cableada, conectando sus AP, servidores y otros dispositivos cableados entre sí a alta velocidad.

VLAN (Virtual LAN)

Una red de área local virtual es cualquier dominio de difusión que está particionado e aislado en una red de computadoras en la capa de enlace de datos (capa 2 del modelo OSI).

Las VLAN son una herramienta de seguridad fundamental. Le permiten crear redes separadas e aisladas en el mismo hardware físico, por ejemplo, para mantener el tráfico de invitados completamente separado de su tráfico corporativo.

SD-WAN (Software-Defined WAN)

Una red de área amplia definida por software es una arquitectura WAN virtual que permite a las empresas aprovechar cualquier combinación de servicios de transporte, incluidos MPLS, LTE y servicios de internet de banda ancha, para conectar de manera segura a los usuarios con las aplicaciones.

Para las empresas con varias sucursales, SD-WAN ofrece una forma más inteligente, rentable y resistente de administrar la conectividad WAN en comparación con los enfoques tradicionales.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

Esta es la página de inicio de sesión que ven los invitados cuando se conectan a su WiFi. Purple utiliza el Captive Portal para gestionar la autenticación, presentar términos y condiciones y ofrecer opciones de suscripción de marketing.

Ejemplos resueltos

Un hotel de lujo de 200 habitaciones desea actualizar su WiFi para ofrecer una experiencia fluida y de alto rendimiento a los huéspedes, al mismo tiempo que separa de forma segura este tráfico de su sistema interno de gestión de propiedades (PMS). El grupo hotelero también desea centralizar el análisis de datos de los huéspedes en sus 10 propiedades.

La solución implica un enfoque doble. En la LAN, cada hotel implementará una red Wi-Fi 6 (802.11ax) de alta densidad con AP en cada habitación y área común. Un switch central agrega el tráfico y se utilizan VLAN para crear redes lógicamente separadas: VLAN 10 para Huéspedes, VLAN 20 para Personal, VLAN 30 para IoT (cerraduras inteligentes, minibares) y VLAN 40 para el PMS. Un firewall local inspecciona todo el tráfico. Para la WAN, cada hotel se conecta a internet a través de un enlace de fibra principal de 1 Gbps y un enlace inalámbrico secundario de 5G, administrados por un dispositivo SD-WAN. El SD-WAN está configurado para enrutar los datos de análisis de huéspedes de Purple y los datos del PMS a través del enlace de fibra seguro y de baja latencia, mientras que el tráfico general de internet de los huéspedes puede ser transportado o enrutado directamente a internet en el sitio local. Purple se integra con el controlador de WiFi local, utilizando RADIUS para autenticar a los huéspedes en su plataforma en la nube, lo que permite al grupo hotelero ver los análisis de las 10 propiedades en un solo panel.

Comentario del examinador: Este enfoque híbrido equilibra correctamente el rendimiento local con la gestión centralizada. El uso de SD-WAN es clave para garantizar tanto la resiliencia como el direccionamiento inteligente del tráfico, evitando que el tráfico de huéspedes de gran volumen afecte las operaciones críticas del hotel. La estrategia de VLAN proporciona una segmentación de seguridad robusta, la cual es esencial para el cumplimiento de PCI DSS para el PMS. Centralizar los análisis a través de Purple proporciona la inteligencia de negocios que requiere el grupo hotelero sin comprometer el rendimiento de las propiedades individuales.

Una cadena de tiendas de retail con 50 sucursales en todo el Reino Unido necesita implementar WiFi para huéspedes para impulsar la adopción de su aplicación de lealtad. Las tiendas tienen personal de TI local limitado y la empresa necesita garantizar una implementación uniforme y segura en todas las ubicaciones.

Un modelo de aprovisionamiento zero-touch basado en plantillas es la solución óptima. Para la LAN, cada tienda recibe un conjunto estandarizado de hardware: de 5 a 10 AP y un único dispositivo de gateway de seguridad integrado que combina enrutamiento, conmutación y firewall. La configuración se estandariza a través de una plataforma de gestión en la nube. Para la WAN, una solución de banda ancha dual en cada sitio, administrada por una superposición de SD-WAN, proporciona una conexión rentable y resiliente. La clave es la configuración centralizada: se crea una única plantilla de red en el controlador en la nube. Esta plantilla define los SSID, las VLAN (Huéspedes, Corporativo, POS), las reglas de firewall y las políticas de QoS. Cuando se activa una nueva tienda, un miembro del personal local simplemente conecta el gateway, el cual descarga automáticamente toda su configuración desde la nube. Purple se integra a nivel de plantilla, por lo que cada tienda utiliza automáticamente el mismo Captive Portal de la marca, que destaca un enlace para descargar la aplicación de lealtad.

Comentario del examinador: Esta solución prioriza la escalabilidad y la consistencia, que son críticas para una implementación de 50 sitios. El aprovisionamiento zero-touch reduce drásticamente los costos de implementación y la necesidad de técnicos especializados en cada sitio. El uso de una arquitectura de red gestionada en la nube garantiza que las políticas de seguridad se apliquen de manera uniforme, mitigando el riesgo de configuraciones incorrectas. Integrar Purple a nivel de plantilla garantiza una experiencia de marca consistente y asegura que se cumpla el objetivo comercial principal —la adopción de la aplicación de lealtad— en cada una de las ubicaciones.

Preguntas de práctica

Q1. Estás diseñando la red para un nuevo centro de conferencias de 5 pisos. El lugar albergará múltiples eventos simultáneamente, con hasta 1,000 usuarios concurrentes por piso. ¿Cómo estructurarías tu estrategia de direccionamiento IP y VLAN para la red de invitados?

Sugerencia: Considera el número de dispositivos, el tráfico de broadcast y la necesidad de aislamiento entre diferentes eventos.

Ver respuesta modelo

Una sola VLAN grande para todos los invitados sería ineficiente y crearía un dominio de broadcast masivo. Un mejor enfoque es utilizar una VLAN separada para cada piso (por ejemplo, VLAN 101 para el Piso 1, VLAN 102 para el Piso 2). A cada VLAN se le asignaría una subred /21 (por ejemplo, 10.101.0.0/21), proporcionando 2,046 direcciones IP utilizables, lo cual es más que suficiente para 1,000 usuarios. Para proporcionar aislamiento entre diferentes eventos en el mismo piso, podrías utilizar VLANs privadas o simplemente confiar en el aislamiento de clientes en los AP. Todas las VLAN de invitados se enrutarían a través de una política de firewall común que limite estrictamente su acceso únicamente a internet.

Q2. Una cadena de tiendas minoristas está experimentando tiempos de transacción lentos en sus puntos de venta (POS) durante las horas pico. Tienen una única conexión de banda ancha de 100 Mbps en cada sitio, que se comparte entre las terminales POS, los dispositivos del personal y el WiFi de invitados gratuito. ¿Cuál es la causa más probable y qué medidas inmediatas deberías tomar?

Sugerencia: Piensa en la congestión del tráfico en el enlace WAN.

Ver respuesta modelo

La causa más probable es la saturación del enlace WAN, donde el alto volumen de tráfico de WiFi de invitados está consumiendo todo el ancho de banda disponible, dejando poco para las transacciones POS que son sensibles a la latencia. Las medidas inmediatas son: 1) Implementar una política de Calidad de Servicio (QoS) en el router de borde para garantizar un cierto porcentaje de ancho de banda para el tráfico del sistema POS y darle la mayor prioridad. 2) Aplicar un límite de ancho de banda (por ejemplo, 5 Mbps por usuario) a los usuarios del WiFi de invitados para evitar que monopolicen la conexión. Una solución a largo plazo sería agregar un segundo enlace WAN y usar SD-WAN para enrutar el tráfico de POS a través del enlace más confiable.

Q3. Tu empresa está implementando una solución de WiFi de invitados en 100 estadios. Al CISO le preocupan los riesgos de seguridad de permitir más de 50,000 dispositivos desconocidos en la red por evento. ¿Qué control de seguridad clave se debe habilitar en la infraestructura inalámbrica para mitigar una parte significativa de este riesgo?

Sugerencia: ¿Cómo evitas que los invitados conectados se ataquen entre sí o a otros dispositivos en la misma red?

Ver respuesta modelo

El control de seguridad más crítico en este escenario público y de alta densidad es el Aislamiento de Clientes (también conocido como aislamiento de AP o aislamiento de puertos). Cuando se habilita en el SSID de invitados, esta función evita que los clientes inalámbricos se comuniquen directamente entre sí en la Capa 2. Cada dispositivo solo puede comunicarse con la puerta de enlace (el router), no con ningún otro dispositivo en la misma red WiFi. Esto neutraliza eficazmente el riesgo de que un dispositivo de invitado comprometido intente escanear, atacar o infectar los dispositivos de otros usuarios, reduciendo drásticamente la superficie de ataque interna de la red de invitados.

Continúe leyendo esta serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo estructurar redes WiFi hoteleras de nivel empresarial, enfocándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos conforme a GDPR.

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Esta guía autorizada proporciona a los líderes de TI y arquitectos de red un plan definitivo para implementar un WiFi de invitados empresarial seguro. Cubre la arquitectura esencial, la migración a WPA3, la segmentación de VLAN y la integración de Captive Portal para proteger los sistemas internos mientras se recopilan datos de primera mano en cumplimiento con las normativas.

Gestión de ancho de banda para WiFi de personal: modelado, QoS y reducción de tráfico

Esta guía detalla métodos prácticos para gestionar el ancho de banda para el WiFi de personal en entornos empresariales. Cubre el modelado de tráfico, la implementación de QoS y cómo el despliegue de Purple Shield reduce la carga de la red sin requerir actualizaciones de infraestructura.