Configurar los Ajustes de SSID del Punto de Acceso

En la pestaña Inalámbrico, puede configurar el nombre de SSID, especificar si la red es privada o para invitados, especificar las radios que transmitirán el SSID, habilitar la seguridad de SSID, editar y crear un ticket de código QR de SSID, descargar un código QR de SSID y configurar los ajustes de red.

• Nombre de SSID — Ingrese el nombre de SSID. Este es el nombre de la red inalámbrica que se muestra a los clientes.
• Difundir SSID — Marque la casilla de selección Difundir SSID para difundir el nombre del SSID a los clientes inalámbricos. Si desea ocultar el nombre del SSID, desmarque esta casilla de selección.
• Tipo de SSID
• Privado — Cree una red inalámbrica privada.
• Invitado — Cree una red inalámbrica para invitados que proporcione acceso limitado, con el fin de proteger los dispositivos y recursos en su red inalámbrica privada. Cuando se selecciona una red para un Invitado, el Aislamiento de Clientes también se habilita de forma predeterminada. Para más información, vaya a Aislamiento de Clientes.

Para aplicar diferentes rangos de direcciones IP a sus redes inalámbricas, puede configurar el SSID en modo NAT en la sección Red .

• Radio — Seleccione las radios del punto de acceso (2.4 GHz, 5 GHz, o ambas, 2.4 GHz y 5 GHz) que difunde este SSID.
• Seguridad — Seleccione el tipo de seguridad para este SSID.
• Open — Open significa que no se aplica ningún tipo de cifrado de seguridad. Esta opción se utiliza generalmente para las redes de invitados públicas.
• OWE — Opportunistic Wireless Encryption (OWE), también conocido como Enhanced Open, es el último y más seguro protocolo abierto para puntos de acceso Wi-Fi 6 (802.11ax) que proporciona a cada usuario un cifrado que protege el intercambio de datos entre el cliente y la red inalámbrica. Esto le permite crear una red abierta que proporciona privacidad de datos sin necesidad de autenticación. Los clientes que no son compatibles con OWE no pueden conectarse con un SSID configurado con OWE. Tanto el punto de acceso como el cliente deben ser compatibles con OWE.
• WPA2 Personal (predeterminada) — WPA2 es el protocolo más reciente y seguro para los puntos de acceso 802.11a/b/g/n/ac. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
• WPA3/WPA2 — Un modo mixto de protocolos WPA3 y WPA2. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
• WPA3 Personal — WPA3 es el protocolo más reciente y seguro para los dispositivos Wi-Fi 6 (802.11ax). WPA3 habilita los Marcos de Administración Protegidos (802.11w) para mayor seguridad. Los clientes inalámbricos también deben admitir 802.11ax para utilizar WPA3. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
• Contraseña — Si ha seleccionado un método de seguridad que utiliza una clave precompartida, como WPA2 Personal o WPA3 Personal, escriba la contraseña que va a utilizar. Los usuarios inalámbricos deben especificar esta contraseña cuando se conectan al SSID.

Existe un problema abierto por el que los clientes inalámbricos con sistemas operativos antiguos que no admiten WPA3 no pueden conectarse a un SSID con seguridad mixta WPA3/WPA2. Para obtener más información, vaya a la Base de Consulta de WatchGuard.

• WPA2 Enterprise — El protocolo WPA2 con autenticación RADIUS Enterprise. En el firmware v2.1 y superior del punto de acceso, puede personalizar los atributos RADIUS Called Station ID y NAS ID en los ajustes avanzados de un SSID. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.
• WPA3 Enterprise — El protocolo WPA3 con autenticación RADIUS Enterprise. Con WPA3 Enterprise, también puede habilitar el modo de 192 bits (WPA3 Enterprise Suite B) para aumentar la seguridad del cifrado en entornos empresariales sensibles. El modo WPA3 Enterprise de 192 bits requiere un firmware de punto de acceso v2.1 o superior. En el firmware v2.1 y superior del punto de acceso, puede personalizar los atributos RADIUS Called Station ID y NAS ID en los ajustes avanzados de un SSID. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.
• Dominio de Autenticación — Si seleccionó el modo de seguridad WPA2 Enterprise o WPA3 Enterprise, debe seleccionar un dominio de autenticación con sus servidores RADIUS configurados en la lista desplegable. Para más información, vaya a Dominios de Autenticación del Punto de Acceso. Si no hay Dominios de Autenticación configurados, debe agregar un dominio de autenticación en Configurar > Configuraciones Compartidas > Dominios de Autenticación.
• Para más información, vaya a Dominios de Autenticación del Punto de Acceso.
• Para más información sobre cómo utilizar RADIUS para autenticar clientes inalámbricos, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.

Código QR de SSID

Puede generar e imprimir un código QR que permita a los usuarios inalámbricos conectarse fácilmente al SSID de un punto de acceso. Para más información, vaya a Configurar el Código QR de SSID del Punto de Acceso.

Red

En la sección Red, puede configurar los ajustes de red para su SSID.

• Habilitar VLAN — Le permite asignar el SSID de su red inalámbrica a un ID de VLAN en su red. Puede asignar manualmente un ID de VLAN de 1 a 4094 para cada SSID. Por ejemplo, puede configurar las VLAN para separar el tráfico de la red entre sus SSID, como SSID privados y de invitados. Para obtener más información sobre las VLAN y sus redes inalámbricas, vaya a Puntos de Acceso y VLAN.
  Estas opciones de VLAN aparecen si configura seguridad WPA2 o WPA3 Enterprise para el SSID:
• VLAN No Etiquetada — El SSID se configura como una VLAN no etiquetada. No hay ID de VLAN etiquetada asignado. Este es el ajuste predeterminado.
• VLAN Dinámica asignada por RADIUS — Habilite la asignación de VLAN Dinámica para un cliente inalámbrico. La VLAN asignada al cliente se basa en la información de usuario que proporciona el servidor RADIUS después de que se autentica correctamente.
  Si el servidor RADIUS no devuelve un atributo de VLAN para el usuario, en la lista desplegable Clientes RADIUS No Asignados, puede asignar la VLAN como no etiquetada o como la VLAN que configure manualmente para el SSID. Para más información, vaya a Configurar VLAN Dinámica de Punto de Acceso.
• VLAN asignada por SSID — Puede asignar manualmente un ID de VLAN de 1 a 4094 para cada SSID.
• Puenteado (predeterminado) — Utilice una red puenteada cuando el punto de acceso y los clientes que se asocian al punto de acceso estén en la misma subred.
• NAT — Utilice la Traducción de Dirección de Red (NAT) cuando quiera tener a los clientes y al punto de acceso en una subred separada. Los clientes inalámbricos utilizan un conjunto de direcciones IP privadas asignadas desde el punto de acceso.
• No puede utilizar NAT al mismo tiempo que VLAN Dinámicas. Para más información, vaya a Configurar VLAN Dinámica de Punto de Acceso.
• Debe habilitar NAT para usar este SSID con una VPN del punto de acceso. Para más información, vaya a Configurar una VPN del Punto de Acceso.
• El Roaming Rápido se deshabilita si se utiliza NAT.

Debe configurar estos ajustes al habilitar la NAT:

• Dirección IP Local (Gateway) — Una dirección IP en la red seleccionada fuera del grupo de direcciones DHCP. Esta dirección se utiliza como la dirección de la puerta de enlace para los clientes en la red inalámbrica.
• Máscara de Subred — La máscara de red para la red seleccionada.
• Dirección IP de Inicio del Grupo DHCP — La dirección IP inicial del grupo de direcciones DHCP en la red seleccionada.
• Dirección IP de Finalización del Grupo DHCP — La dirección IP final del grupo de direcciones DHCP en la red seleccionada.
• Tiempo de Concesión — El tiempo de concesión DHCP en horas (1 a 24).
• Servidor DNS Principal y Secundario — Los servidores DNS principal y secundario a los cuales los clientes inalámbricos hacen las consultas DNS.

Para controlar el acceso de clientes inalámbricos específicos en función de su dirección MAC, habilite la Lista de Control de Acceso a Direcciones MAC.

• Utilice la Lista de Direcciones MAC Permitidas para permitir el acceso únicamente a las direcciones MAC de cliente que configure.
• Utilice la Lista de Direcciones MAC Bloqueadas para bloquear clientes inalámbricos en función de las direcciones MAC que configure.

Si utiliza la lista de control de acceso por dirección MAC para permitir el acceso solo a direcciones MAC específicas, asegúrese de desactivar la aleatorización de direcciones MAC en el sistema operativo del dispositivo cliente inalámbrico. Para más información, vaya a Aleatorización e informes de direcciones MAC de clientes inalámbricos en Wi-Fi in WatchGuard Cloud en la Base de Consulta de WatchGuard.

Para agregar una nueva dirección, haga clic en Agregar Dirección MAC. Cuando haya terminado, haga clic en Agregar para guardar la lista de control de acceso. Puede agregar un máximo de 256 direcciones MAC.

Importar Lista de Direcciones MAC

Para cargar una lista de varias direcciones MAC, haga clic en Importar Lista de Direcciones MAC.

Puede arrastrar y soltar una lista de direcciones MAC en la casilla o seleccione el archivo de la lista de direcciones MAC.

El archivo de la lista de direcciones MAC debe estar en formato de valores separados por comas (CSV), con una dirección MAC y una descripción opcional.

Por ejemplo, para importar direcciones con una descripción:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2,Description

Para importar direcciones sin descripción:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Para importar direcciones con y sin descripciones:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3,Description
00:aa:00:bb:00:c4

Cuando se analiza el archivo importado, puede seleccionar las direcciones MAC que desea importar. Haga clic en Guardar para importar las direcciones MAC.

Especifique cuándo habilitar el acceso Wi-Fi para este SSID. Esto limita el acceso a este SSID en base a las horas configuradas. Por ejemplo, es posible que desee limitar el acceso a invitados inalámbricos solo al horario de oficina. Las horas se basan en un horario de 24 horas con intervalos mínimos de 30 minutos.

El valor predeterminado es Siempre Disponible. También puede seleccionar un horario preconfigurado de 8:00 AM a 5:00 PM de lunes a viernes, o crear una Programación Personalizada.

Las VPN del punto de acceso configuradas con este SSID también se habilitan y deshabilitan según el programa de SSID configurado. Para más información, vaya a Configurar una VPN del Punto de Acceso.

Puede habilitar los controles de ancho de banda que limitan el uso del ancho de banda en este SSID. Por ejemplo, puede habilitar límites en su SSID para invitados para que los usuarios invitados no utilicen demasiado ancho de banda y afecten al rendimiento inalámbrico de su red inalámbrica privada.

Para habilitar los controles de ancho de banda, seleccione Control de Ancho de Banda de SSID.

Especifique el Límite de Carga y el Límite de Descarga en Mbps. Puede seleccionar un valor entre 1 y 999 Mbps.

Estos límites se aplican al tráfico de todo el SSID.

Para aplicar estos límites de carga y descarga a cada usuario individual en el SSID, marque la casilla de selección Por Cliente correspondiente.

Las opciones avanzadas le permiten configurar opciones adicionales de administración, seguridad y dirección para este SSID.

• Marcos de Administración Protegidos (802.11w) — Para el cifrado de seguridad WPA2 y WPA3, puede habilitar la protección adicional de marcos de administración para evitar ataques de suplantación de identidad que utilizan acciones de marcos de administración de desautenticación y disociación. Puede seleccionar Permitir a Todos los Clientes, que solo protege a los clientes compatibles con 802.11w, o bien seleccionar Permitir Solo Clientes Compatibles con 802.11w. 802.11w es obligatorio y se habilita automáticamente para el cifrado WPA3.
• ID de Estación Llamada/ID de NAS — Para la autenticación WPA2 y WPA3 Enterprise, puede personalizar los atributos RADIUS que identifican el punto de acceso y el cliente al servidor RADIUS durante la autenticación. Puede ingresar texto personalizado en combinación con las variables predefinidas. El carácter % debe utilizarse con una variable. La longitud máxima del campo es de 32 caracteres. Con la expansión de variables, la longitud máxima del ID de Estación Llamada o ID de NAS es de 84 caracteres.
• %m — Dirección MAC de la interfaz Ethernet del punto de acceso
• %s — Nombre del SSID
• %n — Nombre del dispositivo.

Esta función requiere un firmware de punto de acceso v2.1 o superior. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.

• Roaming Rápido (802.11k/r) — Cuando selecciona el cifrado de seguridad WPA2 Personal o WPA2 Enterprise, también puede habilitar el Roaming Rápido para reducir el tiempo de reautenticación de un cliente inalámbrico cuando se desplaza de un punto de acceso de WatchGuard a otro punto de acceso. Esto le permite la transición rápida de las comunicaciones al cliente inalámbrico, y mejora el rendimiento y la estabilidad de las aplicaciones que hacen un uso intensivo de las transmisiones, como VoIP y difusión de video. El Roaming Rápido se recomienda principalmente para redes con WPA2 Enterprise para reducir los tiempos de autenticación RADIUS durante el roaming. Los clientes inalámbricos deben admitir los estándares 802.11k y 802.11r para utilizar Roaming Rápido. En algunos casos, ciertos clientes inalámbricos más antiguos presentan dificultades para conectarse a una red con Roaming Rápido habilitado. El Roaming Rápido se deshabilita si se habilita NAT en el SSID. El Roaming Rápido se habilita automáticamente con seguridad WPA3.
• Dirección de Banda — La dirección de banda dirige activamente a los clientes inalámbricos de la banda de 2.4 GHz para que utilicen la banda de 5 GHz, menos congestionada, a fin de ayudar a equilibrar los clientes asociados en un punto de acceso entre las radios de 2.4 GHz y 5 GHz. La dirección de banda también habilita la compatibilidad con 802.11v para mejorar el comportamiento de roaming de los clientes y ayudarlos a encontrar mejores puntos de acceso a los que asociarse.

Puede elegir entre estos ajustes:

• Equilibrar Clientes: Distribuye la carga de clientes inalámbricos entre las radios de 2.4 GHz y 5 GHz. En el cuadro de texto Tasa de Equilibrio, especifique el porcentaje de clientes que pueden utilizar la radio de 5 GHz. El porcentaje restante debe utilizar la radio de 2.4 GHz.
• Preferir 5 GHz (predeterminado): Los clientes se dirigen a la banda de 5 GHz si la fuerza de señal del cliente en 5 GHz es superior al Umbral RSSI configurado (predeterminado -75 dBm).
• Forzar 5 GHz: Habilita el uso de paquetes de administración adicionales para asegurarse de que un cliente siempre se desconecta de la radio de 2.4 GHz y se dirige a la radio de 5 GHz cuando el cliente se vuelve a conectar al punto de acceso.
• Aislamiento de Clientes — Evite que los clientes inalámbricos se comuniquen directamente con otros clientes y dispositivos inalámbricos o cableados conectados a la misma red. El aislamiento de clientes es útil en las implementaciones típicas de acceso Wi-Fi para invitados con el fin de evitar las comunicaciones entre los clientes invitados, así como de otros clientes y dispositivos de la red. De forma predeterminada, el aislamiento de clientes está habilitado si el SSID está configurado como SSID para Invitados.

  Para descubrir con precisión la red de aislamiento de clientes, el punto de acceso debe poder enviar solicitudes DHCP y recibir respuestas exitosas del servidor DHCP. Asegúrese de que haya suficientes direcciones IP disponibles en el grupo DHCP de la red para los puntos de acceso, incluidos los grupos DHCP en redes VLAN. Se recomienda configurar una reserva DHCP para la dirección MAC del punto de acceso a fin de garantizar el correcto funcionamiento de la red.

• Aplicación de Reglas de Acceso a la Red — La Aplicación de Reglas de Acceso a la Red proporciona una capa adicional de seguridad cuando un cliente inalámbrico se conecta a la red inalámbrica corporativa. La Aplicación de Reglas de Acceso a la Red requiere que un cliente inalámbrico tenga un producto WatchGuard Endpoint Security instalado (WatchGuard Advanced EPDR, EPDR, EDR, EDR Core o EPP) para que el dispositivo pueda conectarse a la red inalámbrica. La Aplicación de Reglas de Acceso a la Red requiere un firmware de punto de acceso v2.1 o superior. Para más información, vaya a Aplicación de Reglas de Acceso a la Red del Punto de Acceso.