Pular para o conteúdo principal
Português (Brasil)

Staff WiFi vs. Guest WiFi: Melhores Práticas para Segmentação de Rede Corporativa

Um guia técnico abrangente para líderes de TI sobre segmentação de redes WiFi de funcionários e visitantes. Ele abrange arquitetura de VLAN, autenticação 802.1X, políticas de firewall e o impacto comercial do design de rede seguro.

📖 4 min de leitura📝 855 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e, nos próximos dez minutos, abordaremos uma das decisões mais importantes que você tomará na rede do seu estabelecimento: como separar corretamente o seu WiFi de funcionários do seu WiFi de convidados. Se você gerencia um hotel, uma rede de varejo, um estádio ou um centro de convenções, você atende a dois públicos fundamentalmente diferentes no mesmo espaço aéreo. Um grupo precisa de acesso aos seus sistemas de ponto de venda, ao seu software de gerenciamento de propriedades e aos compartilhamentos de arquivos do back-office. O outro grupo só precisa de internet. Misturar esses dois grupos na mesma rede não é apenas uma prática ruim. É um risco de segurança. Vamos entrar no detalhamento técnico. O problema principal de uma rede plana e não segmentada é a movimentação lateral. Quando o dispositivo de um convidado se conecta à mesma rede que os terminais da sua equipe, esse dispositivo pode, em princípio, comunicar-se diretamente com esses terminais. Se esse dispositivo estiver infectado com malware, ou se um ator malicioso estiver explorando deliberadamente a rede, toda a sua infraestrutura corporativa estará exposta. Já vimos isso acontecer em violações reais. O ataque não começa no firewall. Ele começa no WiFi de convidados. A principal ferramenta para resolver isso é a VLAN, ou Virtual Local Area Network. Pense nisso como a criação de pistas separadas e isoladas logicamente na mesma estrada física. Seus pontos de acesso transmitem vários nomes de redes WiFi, os quais chamamos de SSIDs. Um SSID para convidados, um para funcionários. Mas o SSID é apenas a etiqueta na porta. A separação real acontece quando cada SSID é mapeado para uma VLAN diferente. Portanto, o WiFi de convidados é mapeado para a VLAN 10. O WiFi de funcionários é mapeado para a VLAN 20. Cada pacote de dados de um dispositivo de convidado é marcado com a VLAN 10. Cada pacote de um dispositivo de funcionário é marcado com a VLAN 20. Seus switches transportam essas marcações pela rede, e seu firewall as lê e aplica as regras. E as regras são diretas. O tráfego da VLAN 10 vai para a internet e para nenhum outro lugar. Ponto final. O tráfego da VLAN 20 recebe acesso controlado a sistemas internos específicos, conforme definido pela sua política de segurança. Essa é a arquitetura. Simples em princípio, mas os detalhes da implementação importam muito. Agora, a autenticação. A arquitetura de rede é tão forte quanto as credenciais que a protegem. Para o seu WiFi de funcionários, você deve usar WPA3-Enterprise com autenticação IEEE 802.1X. Este padrão significa que cada membro da equipe se autentica com uma identidade exclusiva. Sem senhas compartilhadas. Isso é fundamental por dois motivos. Primeiro, segurança: se um dispositivo for comprometido ou um funcionário sair, você revoga suas credenciais em seu provedor de identidade, seja ele Microsoft Entra ID, Okta ou Google Workspace, e ele será bloqueado imediatamente. Segundo, trilhas de auditoria: você pode ver exatamente quem se conectou, quando e a partir de qual dispositivo. Com uma senha compartilhada, você não tem nada disso. O framework 802.1X usa um servidor RADIUS como o intermediário de autenticação. O ponto de acesso encaminha as credenciais do usuário para o servidor RADIUS, que as valida em relação ao seu provedor de identidade. Se as credenciais estiverem corretas, o servidor RADIUS envia de volta uma mensagem de aceitação de acesso e o usuário entra na rede. Caso contrário, o acesso é negado. O ponto de acesso em si nunca vê a senha. Essa é uma propriedade de segurança importante. Para autenticação baseada em certificado, você pode ir além com EAP-TLS, que usa certificados de cliente em vez de senhas inteiramente. Isso elimina o risco de phishing de credenciais na rede da equipe. É mais complexo de implantar, mas para ambientes de alta segurança, é a escolha certa. Para o seu Guest WiFi, o mecanismo de autenticação é diferente. Você usa um Captive Portal. Quando um convidado se conecta, ele é redirecionado para uma página de destino antes de poder acessar a internet. É aqui que você apresenta seus termos e condições, coleta consentimento de marketing e, com uma plataforma como o Purple, começa a construir um perfil rico desse visitante. O Captive Portal não é apenas um mecanismo de conformidade. É o ponto de entrada para sua capacidade de análise de visitantes e marketing. Deixe-me guiar você por dois cenários do mundo real que ilustram como isso funciona na prática. Primeiro, um hotel de luxo de duzentos quartos. Eles precisam atender aos hóspedes do hotel, à equipe corporativa, incluindo a recepção e as equipes de limpeza, e a uma frota de dispositivos habilitados para IoT, incluindo frigobares inteligentes e fechaduras de portas. Eles também processam pagamentos com cartão de crédito por meio de seu sistema de gerenciamento de propriedade, o que significa que a conformidade PCI-DSS é obrigatória. A solução é uma arquitetura de quatro VLANs. VLAN 10 para convidados, VLAN 20 para equipe corporativa, VLAN 30 para o ambiente de cartões de pagamento e VLAN 40 para dispositivos IoT. A política de firewall é estrita e segue o princípio do privilégio mínimo. Os convidados têm apenas acesso à internet. A equipe tem acesso ao sistema de gerenciamento de propriedade e ao e-mail interno, e nada mais. Os terminais de pagamento só podem se comunicar com o gateway de pagamento em portas específicas. Os dispositivos IoT só podem alcançar o servidor de inventário do frigobar. Nada mais. Esta arquitetura satisfaz o Requisito 1.2 do PCI-DSS, que exige que os ambientes de dados de portadores de cartão sejam isolados de redes não confiáveis. Ela também reduz significativamente o seu escopo de conformidade, porque o avaliador só precisa examinar os sistemas dentro da VLAN 30, não toda a sua rede. A Premier Inn, parte do grupo Whitbread, opera esse tipo de arquitetura segmentada em centenas de propriedades, usando a plataforma da Purple para gerenciar de forma centralizada a camada de análise e o Captive Portal voltado para os convidados. Segundo cenário: uma rede de varejo com quinhentas lojas. O desafio aqui é a escala e a consistência. Você não pode se dar ao luxo de ter um engenheiro de rede configurando manualmente cada loja. A solução é uma implantação baseada em templates usando Zero-Touch Provisioning. Você define a configuração uma única vez: duas VLANs, dois SSIDs, regras de firewall, políticas de QoS. Cada novo ponto de acesso enviado para uma loja baixa automaticamente a configuração correta a partir do controlador de nuvem. O hardware neste cenário poderia ser Cisco Meraki, HPE Aruba ou Ruckus, todos os quais suportam Zero-Touch Provisioning gerenciado na nuvem. O Captive Portal de convidados é gerenciado centralmente pela Purple, oferecendo à equipe de marketing análises de fluxo de visitantes e ferramentas de campanha para todas as quinhentas filiais a partir de um único painel. Quando um cliente se conecta ao Guest WiFi em qualquer loja, a mesma experiência de marca é exibida. Os mesmos dados fluem para a mesma plataforma de análise. Este modelo reduz drasticamente o custo total de propriedade e garante uma postura de segurança consistente em toda a propriedade. Uma configuração incorreta em uma única loja não se propaga, pois cada loja é construída a partir do mesmo template validado. Agora, recomendações de implementação e as armadilhas a serem evitadas. Primeiro, habilite o isolamento de cliente em cada SSID voltado para convidados. Isso impede que os dispositivos na rede de convidados se comuniquem diretamente entre si. Sem isso, um ator malicioso sentado no lobby do seu hotel poderia realizar um ataque de man-in-the-middle contra os dispositivos de outros hóspedes. É um ajuste simples na configuração do seu ponto de acesso, e é inegociável. Segundo, aplique políticas de QoS (Quality of Service). Classifique o tráfego dos seus funcionários com uma classe de prioridade mais alta. Isso garante que cem convidados assistindo a vídeos por streaming não prejudiquem o desempenho dos seus terminais de ponto de venda ou do seu sistema de gestão de propriedade. Aplique limitação de largura de banda por usuário na rede de convidados. Um limite razoável é de cinco megabits por segundo por usuário. Isso evita que um único usuário sature seu link de upload. Terceiro, gerencie a sua contagem de SSID. Cada SSID que você transmite adiciona overhead ao espectro de rádio. Cada SSID requer frames de gerenciamento, que consomem tempo de transmissão. Em um ambiente denso, transmitir seis ou oito SSIDs pode degradar visivelmente o desempenho do WiFi para todos. O limite prático é de três a quatro SSIDs por ponto de acesso. Se você precisar de mais segmentos lógicos, use atribuição dinâmica de VLAN através de RADIUS em vez de SSIDs adicionais. Agora, o modo de falha mais comum. Não se trata de um ataque sofisticado. É uma configuração incorreta. Uma única porta de switch configurada como porta de acesso em vez de porta trunk pode interligar suas VLANs silenciosamente. Seu monitoramento não sinalizará isso. Seus usuários não notarão. Mas um dispositivo de convidado poderá, de repente, alcançar a sua rede corporativa. Isso é chamado de VLAN hopping, e é surpreendentemente fácil de ser introduzido por meio de uma alteração de configuração rotineira. A mitigação é a disciplina operacional. Use templates de configuração padronizados. Documente cada alteração. Execute auditorias trimestrais que verifiquem o isolamento de VLAN tentando rotear tráfego entre segmentos a partir de um dispositivo de teste. Se o teste for bem-sucedido, você tem um problema. Automatize essa verificação sempre que possível. Perguntas rápidas. Preciso de access points físicos separados para cada rede? Não. Os access points corporativos modernos da Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist suportam múltiplos SSIDs e VLANs em um único rádio. A separação é lógica, não física. Ocultar o SSID da minha equipe é segurança suficiente? Não. Um SSID oculto é apenas um pequeno impedimento. Um scanner de WiFi passivo pode descobri-lo em segundos. A segurança real vem da autenticação 802.1X, que exige credenciais válidas mesmo depois que a rede é descoberta. Meu estabelecimento é pequeno. Isso é exagero? Não. O risco é idêntico, independentemente da escala. Um pequeno café com um único terminal de pagamento está tão exposto quanto um grande hotel se o tráfego de convidados e funcionários compartilhar a mesma rede. A maioria dos roteadores corporativos inclui um recurso de rede de convidados integrado que fornece segmentação básica sem custo adicional. Use-o. É a proteção mínima viável. Resumindo. Segmente suas redes usando VLANs. Isso é inegociável para qualquer estabelecimento que atenda tanto convidados quanto funcionários. Use WPA3-Enterprise com 802.1X para funcionários e um Captive Portal para convidados. Aplique o princípio do privilégio mínimo no seu firewall: negue tudo por padrão e permita apenas o que for explicitamente necessário. Ative o isolamento de clientes em todos os SSIDs de convidados. Gerencie a largura de banda com políticas de QoS e limitação por usuário. Trate o gerenciamento de configuração como um controle de segurança, não como um detalhe secundário. Acertar nisso não apenas reduz o risco de violação de dados. Isso atende aos requisitos do PCI-DSS e GDPR, fornece uma plataforma estável para as operações de negócios e, quando você adiciona a plataforma de análise da Purple, transforma o seu Guest WiFi de um centro de custo em um ativo de receita mensurável. Para mais detalhes sobre como a Purple é implantada em mais de 80.000 estabelecimentos em todo o mundo, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Fornecer acesso à internet ao público enquanto se mantém operações corporativas seguras exige uma separação arquitetônica rigorosa. Executar o tráfego de funcionários e convidados em uma rede plana é uma vulnerabilidade crítica que permite a movimentação lateral de dispositivos não gerenciados diretamente para seus terminais de ponto de venda, sistemas de gerenciamento de propriedades e servidores de back-office. Este guia detalha os requisitos técnicos para a implementação da segmentação de WiFi de funcionários e convidados usando VLANs, autenticação 802.1X e políticas de firewall zero-trust. Ao isolar o tráfego não confiável, você mitiga o risco de violação, cumpre mandatos de conformidade como PCI DSS e cria uma base segura para implantar o Guest WiFi como um ativo de dados proprietário.

Ouça o podcast de briefing técnico:

Aprofundamento Técnico

O mecanismo fundamental para a segmentação de rede é a Virtual Local Area Network (VLAN). Em vez de implantar uma infraestrutura física separada para cada grupo de usuários, os access points empresariais de fornecedores como Cisco Meraki, HPE Aruba e Juniper Mist transmitem múltiplos SSIDs a partir de um único rádio. Cada SSID é mapeado para uma tag VLAN 802.1Q distinta.

Quando um dispositivo se conecta ao SSID do Guest WiFi, o access point etiqueta seu tráfego (ex: VLAN 10). Quando um funcionário se conecta ao SSID do Staff WiFi, seu tráfego recebe uma etiqueta diferente (ex: VLAN 20). Essas etiquetas persistem através da infraestrutura de switching até o firewall principal. O firewall atua como o ponto de aplicação absoluto, descartando quaisquer pacotes que tentem cruzar os limites da VLAN sem uma regra de permissão explícita.

Arquitetura de Autenticação

A segmentação de rede exige uma verificação de identidade robusta. Um SSID oculto oferece segurança zero contra varreduras passivas.

Para o Staff WiFi, o WPA3-Enterprise com IEEE 802.1X é o padrão obrigatório. Esta arquitetura substitui senhas compartilhadas por credenciais individuais e revogáveis, verificadas em um provedor de identidade como Microsoft Entra ID ou Okta via um servidor RADIUS. Se um funcionário se desligar, a revogação de sua identidade central encerra instantaneamente seu acesso à rede. Para ambientes de alta segurança, o EAP-TLS substitui as senhas por certificados de cliente, eliminando o risco de phishing de credenciais.

Para o Guest WiFi, a autenticação depende de um Captive Portal. Isso fornece um ponto de demarcação legal para os termos e condições e serve como camada de ingestão de dados para uma plataforma de WiFi Analytics .vlan_architecture_diagram.png

Guia de Implementação

A implantação de uma rede segmentada exige uma configuração disciplinada no controlador wireless, na estrutura de switching e no firewall.

  1. Defina o Esquema de VLAN: Atribua sub-redes que não se sobreponham a cada VLAN. Por exemplo, 10.10.0.0/22 para visitantes e 10.20.0.0/24 para funcionários.
  2. Configure os Access Points: Mapeie o SSID de Visitantes para a VLAN de visitantes e o SSID de Funcionários para a VLAN corporativa. Ative o Client Isolation no SSID de Visitantes para bloquear a comunicação peer-to-peer entre dispositivos não confiáveis.
  3. Configure a Estrutura de Switching: Certifique-se de que todas as portas do switch que se conectam aos access points estejam configuradas como portas de tronco 802.1Q que permitam as tags de VLAN necessárias. Evite usar a VLAN nativa para tráfego de gerenciamento.
  4. Implante Políticas de Firewall: Implemente uma postura de negação padrão (default-deny). A VLAN de visitantes requer uma regra de permissão explícita para tráfego HTTP/HTTPS destinado à interface WAN, e uma regra de negação para todas as faixas de IP interno RFC 1918. A VLAN de funcionários requer regras de permissão granulares com base em requisitos de aplicativos específicos.

Melhores Práticas

Para manter a integridade da sua segmentação de rede, siga estes padrões operacionais.

  • Imponha o Client Isolation: Sempre ative o isolamento de clientes em SSIDs públicos. Isso evita que um dispositivo comprometido no saguão de um hotel faça varreduras ou ataque outros dispositivos conectados ao mesmo access point.
  • Implemente a Limitação de Largura de Banda: Aplique políticas de Qualidade de Serviço (QoS) para priorizar o tráfego de funcionários. Imponha limites de largura de banda por usuário (por exemplo, 5 Mbps) na rede de visitantes para evitar que um único usuário sature o uplink da WAN e prejudique os aplicativos de negócios críticos.
  • Limite a Proliferação de SSIDs: A transmissão excessiva de SSIDs degrada o desempenho do rádio devido ao excesso de frames de gerenciamento. Restrinja as implantações a três ou quatro SSIDs por access point. Use a atribuição dinâmica de VLAN via RADIUS se precisar de uma separação lógica mais granular.
  • Padronize as Configurações: Use modelos gerenciados na nuvem para implantar configurações consistentes em propriedades de vários locais. Uma única porta de switch mal configurada definida para o modo de acesso em vez do modo de tronco pode interligar silenciosamente as VLANs e expor a rede corporativa.

Resolução de Problemas e Mitigação de Riscos

O risco mais grave em uma arquitetura segmentada é o VLAN hopping causado por uma configuração incorreta. Se uma porta de tronco for provisionada incorretamente, o tráfego de visitantes não marcado poderá ir por padrão para a VLAN de gerenciamento corporativo.

Mitigue esse risco por meio de auditoria de configuração automatizada. Execute testes de intrusão regulares que tentem rotear o tráfego da rede de visitantes para endereços IP internos. Se um ping alcançar um servidor corporativo a partir de um IP de visitante, a segmentação falhou. Garanta que todas as interfaces de gerenciamento (SSH, HTTPS) para o hardware de rede residam em uma VLAN de gerenciamento dedicada e isolada que seja inacessível tanto para os segmentos de visitantes quanto de funcionários.

ROI e Impacto nos Negócios

A segmentação de rede é um pré-requisito para operar com segurança em ambientes modernos de Varejo , Hotelaria e Transporte . Ela atende ao Requisito 1.2 do PCI DSS, que exige o isolamento de ambientes de dados de portadores de cartão de redes não confiáveis, reduzindo significativamente o escopo e o custo das auditorias de conformidade.

Além da redução de riscos, uma arquitetura segmentada transforma o WiFi de visitantes de um custo puramente operacional em um ativo seguro de coleta de dados. Ao isolar o tráfego público de forma segura, os estabelecimentos podem implantar Captive Portals avançados para capturar dados primários, impulsionar adesões a programas de fidelidade e gerar um ROI de marketing mensurável sem comprometer a segurança de seus sistemas internos.

retail_deployment_scenario.png

Definições principais

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos na mesma infraestrutura física como se estivessem em LANs separadas e isoladas.

As VLANs são a tecnologia fundamental para separar o tráfego de hóspedes do tráfego de funcionários sem a necessidade de switches e pontos de acesso duplicados.

Autenticação 802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

Substitui as senhas de WiFi compartilhadas por credenciais individuais, garantindo que apenas dispositivos de funcionários autorizados possam acessar a VLAN corporativa.

Client Isolation

Um recurso de segurança sem fio que impede que os dispositivos conectados ao mesmo ponto de acesso se comuniquem diretamente entre si.

Obrigatório em redes Guest WiFi para evitar que um ator mal-intencionado lance ataques contra notebooks ou celulares de outros visitantes.

Captive Portal

Uma página da web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

Usado na VLAN de hóspedes para apresentar termos de serviço e capturar dados de marketing primários antes de rotear o tráfego para a internet.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Auditoria (AAA) para usuários que se conectam e usam um serviço de rede.

O intermediário que valida as credenciais de WiFi de um funcionário em relação ao diretório corporativo (como o Microsoft Entra ID) antes de conceder acesso à rede.

Zero-Touch Provisioning

Um método de implantação em que os dispositivos de rede baixam automaticamente sua configuração de uma plataforma de gerenciamento central ao se conectarem à internet.

Essencial para grandes redes de varejo ou hotelaria para garantir configurações de VLAN consistentes e sem erros em centenas de locais.

PCI DSS Requisito 1.2

Um padrão de conformidade que exige a restrição de conexões entre redes não confiáveis e quaisquer componentes do sistema no ambiente de dados do portador do cartão.

A segmentação de rede adequada usando VLANs é necessária para passar nesta auditoria e processar pagamentos com cartão de crédito de forma segura.

Qualidade de Serviço (QoS)

O uso de mecanismos ou tecnologias que funcionam em uma rede para controlar o tráfego e garantir o desempenho de aplicativos críticos.

Usado para priorizar o tráfego de WiFi de funcionários (como transações de PDV) sobre o tráfego de WiFi de convidados (como streaming de vídeo) durante períodos de alto congestionamento de rede.

Exemplos práticos

Um hotel de luxo com 200 quartos precisa fornecer WiFi para hóspedes, funcionários corporativos e uma nova implementação de fechaduras inteligentes habilitadas para IoT, mantendo a conformidade com o PCI-DSS para seu sistema de gestão de propriedades.

Implante uma arquitetura de quatro VLANs. Atribua a VLAN 10 para hóspedes, a VLAN 20 para funcionários corporativos, a VLAN 30 para o ambiente de cartões de pagamento (CDE) e a VLAN 40 para dispositivos IoT. O firewall deve aplicar listas de controle de acesso (ACLs) rígidas. O tráfego de hóspedes é roteado exclusivamente para a WAN. O tráfego de funcionários é permitido para o sistema de gestão de propriedades. A VLAN do CDE é isolada de todas as outras VLANs, atendendo ao Requisito 1.2 do PCI-DSS. A VLAN de IoT é restrita a se comunicar apenas com o servidor em nuvem específico do fornecedor.

Comentário do examinador: Esta arquitetura aplica o princípio do menor privilégio. Ao isolar os terminais de pagamento em sua própria VLAN, o hotel reduz drasticamente o escopo de conformidade com o PCI-DSS. Se um dispositivo de hóspede for comprometido, a infecção não poderá atravessar o firewall para alcançar as redes corporativa ou de pagamento.

Uma rede de varejo com 500 locais precisa implantar WiFi seguro para funcionários e hóspedes de forma consistente, minimizando o risco de configurações incorretas locais que possam expor a rede corporativa.

Implemente uma implantação baseada em modelos usando hardware gerenciado em nuvem como Cisco Meraki ou HPE Aruba. Defina um perfil de configuração mestre especificando os SSIDs, tags de VLAN e regras de firewall. Use o Zero-Touch Provisioning para que, quando um novo ponto de acesso for conectado em uma loja, ele baixe automaticamente a configuração validada. Gerencie o Captive Portal de hóspedes centralmente via Purple para garantir uma experiência de marca consistente e coleta de dados unificada.

Comentário do examinador: A escala introduz desvios de configuração. Depender de configuração manual via CLI em 500 locais garante erros. Os modelos em nuvem garantem que a postura de segurança projetada pela equipe de arquitetura central seja aplicada de forma idêntica em cada localidade de borda, ao mesmo tempo em que centralizam os dados analíticos.

Questões práticas

Q1. O diretor de TI de um estádio propõe a transmissão de oito SSIDs diferentes para separar o tráfego de torcedores, bilheteria, imprensa, operações, VIPs, equipes, fornecedores e segurança. Qual é a falha arquitetônica dessa abordagem?

Dica: Considere o impacto dos quadros de gerenciamento no espectro de radiofrequência.

Ver resposta modelo

A transmissão de oito SSIDs causará interferência severa de canal compartilhado e sobrecarga de quadros de gerenciamento, reduzindo drasticamente o tempo de transmissão disponível para a transmissão real de dados. A abordagem correta é transmitir no máximo de três a quatro SSIDs (ex: Torcedor, Funcionários, Operações) e usar a atribuição dinâmica de VLAN 802.1X via RADIUS para colocar diferentes grupos de usuários (como imprensa ou VIPs) em suas respectivas VLANs isoladas após a autenticação.

Q2. Durante uma auditoria de rede em um hospital, você descobre que o notebook de um visitante conseguiu dar ping no endereço IP de um servidor de radiologia interno. Os pontos de acesso estão configurados com SSIDs separados para convidados e funcionários. Qual é o erro de configuração mais provável?

Dica: Pense em como o tráfego viaja do ponto de acesso para o firewall.

Ver resposta modelo

O erro mais provável é uma vulnerabilidade de salto de VLAN (VLAN hopping) causada por uma porta de switch mal configurada. Se a porta do switch que conecta o ponto de acesso estiver configurada como uma porta de "acesso" na VLAN nativa, em vez de uma porta "trunk" 802.1Q, as tags de VLAN aplicadas pelo ponto de acesso podem ser removidas ou ignoradas, enviando o tráfego de convidados diretamente para a rede corporativa não marcada.

Q3. Uma rede de varejo deseja implantar WiFi de convidados, mas está preocupada que os compradores que baixam arquivos grandes impeçam os terminais de ponto de venda (PDV) de processar transações rapidamente. Como a rede deve ser configurada para evitar isso?

Dica: Considere tanto os limites de largura de banda quanto a priorização de tráfego.

Ver resposta modelo

A rede deve implementar dois controles. Primeiro, aplicar limitação de largura de banda por usuário na VLAN de convidados (por exemplo, limitando cada dispositivo a 5 Mbps) para evitar que um único usuário sature o link. Segundo, configurar políticas de Qualidade de Serviço (QoS) no roteador/firewall para priorizar o tráfego originado da VLAN de Funcionários/PDV sobre o tráfego da VLAN de convidados, garantindo que os dados essenciais ao negócio sejam processados primeiro durante o congestionamento.

Continue a ler esta série

Guia de iPSK: um guia completo para empresas

Este guia explica a arquitetura de Identity Pre-Shared Key (iPSK) para incorporadores imobiliários, operadores de BTR e proprietários que implantam WiFi multi-tenant. Ele abrange a integração com RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gerenciamento automatizado do ciclo de vida das credenciais para oferecer uma experiência de residente instantânea em escala. Também detalha o caso de negócios para eliminar roteadores de consumo por unidade e as vantagens operacionais da integração do iPSK com provedores de identidade como o Microsoft Entra ID, Okta e Google Workspace.

Ler o guia →

Guia PPSK em PDF: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi de Private Pre-Shared Key (PPSK) com as implantações tradicionais de 802.1X e PSK padrão. Ele fornece a arquitetos de rede e gerentes de TI estratégias de implementação neutras em relação a fornecedores para ambientes multifamiliares de aluguel, IoT e BTR.

Ler o guia →

Uu PPSK 2023: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implantações tradicionais de PSK compartilhado e 802.1X, com foco específico no cenário de 2023 de implementações de fornecedores e recursos de plataforma. Ele fornece a desenvolvedores imobiliários, operadores de BTR e proprietários de MDU estratégias de implantação práticas, orientações de arquitetura de VLAN e fluxos de trabalho automatizados de gerenciamento de ciclo de vida. O guia abrange três modelos de implantação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →