Configurar los SSID del AP WatchGuard
Antes de que pueda asignar un SSID a un AP WatchGuard, debe agregar el SSID al Gateway Wireless Controller.
Cada radio en un AP WatchGuard es compatible con ocho SSIDs.
También puede activar el etiquetado VLAN en cada SSID. Si habilita el etiquetado VLAN, el SSID utiliza la ID de VLAN que usted especifique para conectarse a una VLAN que esté configurada en la red entre el AP y el Firebox. Para obtener más información sobre cuándo y cómo usar el etiquetado de VLAN con el AP, consulte Configurar VLAN para AP WatchGuard.
Agregar un SSID
- Seleccione Red > Gateway Wireless Controller.
- Haga clic en Agregar.
Aparecen los ajustes de configuración SSID.
- Configure los ajustes de SSID, como se describe en la siguiente sección.
- Seleccione Red > Gateway Wireless Controller.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar SSID.
- Configure los ajustes de SSID, como se describe en la siguiente sección.
Ajustar la Configuración de SSID
Configure los ajustes de SSID, en la pestaña Configuración:
- Nombre de Red (SSID) — Escriba el nombre de SSID, que es el nombre de esta red inalámbrica que aparece a los clientes.
- Difusión SSID — Habilite los AP para difundir el nombre de SSID. Desmarque la casilla de selección Difusión SSID si desea ocultar el nombre del SSID.
- Habilitar el Aislamiento del Cliente — Evita que los clientes inalámbricos conectados a este SSID envíen tráfico entre sí a través del AP. Para más información, consulte Acerca del Aislamiento de Cliente AP.
- Limitar la cantidad de asociaciones — (Fireware v12.3 y superior) Limite la cantidad de clientes que pueden asociarse a este SSID. Seleccione la Cantidad máxima de asociaciones. en el cuadro de selección. Esta opción no es compatible con AP heredados (AP100, AP102, AP200, AP300).
- Utilizar la lista de Control de Acceso MAC definida en los Ajustes del Gateway Wireless Controller — Use una lista de direcciones MAC Denegadas o Permitidas para controlar el acceso desde clientes inalámbricos. Para más información, consulte Configurar el Control de Acceso MAC.
- Habilitar el etiquetado VLAN — Use VLAN etiquetadas para separar el tráfico entre múltiples SSID. Si habilitó el etiquetado VLAN, en el cuadro de texto ID de VLAN, ingrese o seleccione la ID de la VLAN etiquetada que desea utilizar para este SSID.
Si habilita el etiquetado VLAN e intenta configurar un SSID para utilizar una ID de VLAN que no está configurada en el Firebox, aparece un mensaje de advertencia con la información de que la ID de VLAN que configuró en los ajustes de SSID no existe. Asegúrese de configurar una VLAN etiquetada para este SSID. En la mayoría de las configuraciones de red, usted crea la VLAN etiquetada para cada SSID, y una VLAN no etiquetada para las conexiones de administración al AP.
- Implementar automáticamente este SSID en todos los AP WatchGuard no enlazados — Habilite este SSID para usarse con la implementación automática a fin de configurar este SSID para los AP recién implementados. Para obtener más información, consulte Acerca de Implementación Automática de AP.
- Mitigar la vulnerabilidad de reinstalación de claves WPA/WPA2 en clientes — Mitigue las vulnerabilidades de KRACK WPA/WPA2 en clientes inalámbricos vulnerables.
Esta opción bloquea los mensajes del protocolo de enlace que pueden explotar potencialmente a los clientes y forzarlos a volver a autenticarse. Normalmente, esta reautenticación no requiere que el usuario vuelva a introducir las credenciales, pero puede agregar unos segundos al tiempo de conexión del cliente. Esta opción está deshabilitada de forma predeterminada. Esta lógica de mitigación puede desencadenar otros síntomas similares de paquetes descartados, por ejemplo, errores de marco natural durante un protocolo de enlace o paquetes descartados cuando un cliente se desplaza de un AP a otro, o cuando se desplaza más allá del alcance de la conexión AP actual. Esto puede causar la falla de algunas conexiones de autenticación de cliente y, por consiguiente, su restablecimiento. WatchGuard recomienda que habilite esta función de mitigación hasta haber actualizado todo su software cliente para abordar las vulnerabilidades del cliente y evaluar el impacto en su entorno cliente y la experiencia del usuario.
Esta opción no es compatible con AP heredados (AP100, AP102, AP200, AP300).
- Habilitar el modo de trabajador a distancia en este SSID cuando se usa de forma remota — (Fireware v12.0.2 o inferior) Habilite este SSID para usarlo en modo de trabajador a distancia cuando se implemente en una ubicación remota. La opción de trabajador a distancia solo es compatible con los AP heredados (AP100, AP102, AP200 y AP300) en Fireware v12.0.2 e inferior. Para más información, consulte Acerca de la Implementación de VPN Remota de AP.
- RSSI de Asociación Mínima — Configure la intensidad de señal mínima que se requiere para que un cliente se asocie con un AP.
El RSSI (Indicador de Potencial de la Señal Recibida) se usa como umbral para determinar si los clientes pueden asociarse a un AP. El valor se expresa en dBm (decibelios-milivatios). Por ejemplo, el valor predeterminado es -70 dBm. Mientras más cercano sea el valor a 0, más fuerte será la señal. Para más información sobre la fuerza de la señal, consulte Fuerza y Niveles de Ruido de la Señal Inalámbrica.
Puede configurar el Umbral de Dirección de RSSI en los ajustes de un AP. Para más información, consulte Configurar los Ajustes del AP.
- Dirección Inteligente — Direcciona proactivamente a los clientes hacia un AP con una señal más intensa que su AP actual.
Esto evita que los clientes permanezcan conectados a su AP actual cuando la señal se degrada debido al roaming del cliente. Debe habilitar la RSSI Mínima de Asociación antes de poder habilitar la Dirección Inteligente. Puede configurar los ajustes avanzados para la Dirección Inteligente en los ajustes de un AP. Para más información, consulte Configurar los Ajustes del AP.
- Dirección de Banda — Ayude a distribuir los clientes inalámbricos entre las bandas de 2.4 y 5 GHz de un SSID.
Cuando se configura un SSID tanto en la banda de 2.4 GHz como de 5 GHz, los clientes se pueden direccionar a la banda menos congestionada de 5 GHz para equilibrar la carga en el AP. Los clientes se direccionan a la banda de 5 GHz si la intensidad de señal del cliente de 5 GHz es superior a la Banda de Dirección de RSSI (predeterminada: -75 dBm). Los clientes con una intensidad de señal débil no pueden operar efectivamente en la banda de 5 GHz ni deben ser dirigidos incluso aunque fuesen capaces de operar en 5 GHz.
Por lo general, la Dirección de Banda no es necesario en un entorno donde la mayoría de los dispositivos inalámbricos son dispositivos más nuevos que ya están optimizados para elegir la banda de 5 GHz.
Deshabilite la Dirección de Banda si los clientes experimentan problemas de conexión cuando también esté habilitada la Dirección Inteligente al mismo tiempo. Los clientes dirigidos hacia la banda de 5 GHz podrían experimentar una caída del RSSI que causa una desconexión debido al umbral RSSI.
- SSID Globales de Conformación del Tráfico — Especifique los límites de ancho de banda de carga y descarga en la conformación de tráfico para este SSID.
Por ejemplo, puede usar esta función para restringir las descargas para los usuarios conectados a su SSID de Invitado para que no ralenticen el resto de la red, o bien puede aplicar límites a todos los usuarios en toda su red inalámbrica. Los valores que defina dependen del ancho de banda disponible en su conexión a Internet, cuántos clientes están conectados simultáneamente, y el tipo y tamaño del tráfico, así como si sus usuarios requieren transmisión de audio/video u otras aplicaciones de alto ancho de banda.
Puede configurar límites para todo el SSID o por usuario.
- Restringir el ancho de banda de descarga en el SSID a — Ingrese un límite en Kbps. Por ejemplo, para limitar las descargas a 2 Mbps, ingrese 2000. Ingrese 0 para cantidad ilimitada.
- Restringir el ancho de banda de carga en el SSID a — Ingrese un límite en Kbps. Por ejemplo, para limitar las cargas a 1 Mbps, ingrese 1000. Ingrese 0 para cantidad ilimitada.
- Restringir ancho de banda de descarga del usuario a — Ingrese un límite en Kbps. Por ejemplo, para limitar las descargas a 2 Mbps, ingrese 2000. Ingrese 0 para cantidad ilimitada.
- Restringir el ancho de banda de subida del usuario — Ingrese un límite en Kbps. Por ejemplo, para limitar las cargas a 1 Mbps, ingrese 1000. Ingrese 0 para cantidad ilimitada.
Los AP heredados (AP100, AP102, AP200 y AP300) solamente admiten las restricciones de descarga.
- Habilitar un horario de activación — Active este SSID por un período de tiempo específico. Esto limita el acceso a este SSID en base a las horas configuradas. Por ejemplo, es posible que desee limitar el acceso a invitados inalámbricos solo durante el horario de oficina. Configure la Hora de inicio y Hora de finalización en formato de 24 horas (hh:mm).
Los SSID que no están activos en el programa no aparecen en las páginas de monitoreo del Gateway Wireless Controller en Fireware Web UI o Firebox System Manager.
- Habilitar rogue access point detection — Escanee su red inalámbrica en busca de puntos de acceso que no pertenezcan a su red.
Un punto de acceso rogue es cualquier punto de acceso inalámbrico que se encuentre dentro del rango de su red que no se reconozca como un punto de acceso autorizado. Cuando habilita rogue access point detection, el Gateway Wireless Controller escanea canales inalámbricos para identificar los puntos de acceso inalámbricos desconocidos. Para más información, consulte Habilitar Rogue Access Point Detection con el Gateway Wireless Controller.
Utilice la función de Mapas de Implementación Inalámbrica del Gateway Access Controller para ver los BSSID externos (SSID de difusión) y los posibles puntos de acceso rogue. Para más información, consulte Ver Mapas de Implementación Inalámbrica.
Puede configurar las excepciones a la lista de puntos de acceso rogue para que el Firebox no identifique un punto de acceso conocido (identificado por la dirección MAC) como punto de acceso rogue. Haga clic en Agregar para agregar una dirección MAC de un punto de acceso conocido. Haga clic en Eliminar para eliminar un dispositivo de la lista.
La función de Rogue Access Point Detection para el Gateway Wireless Controller y los AP WatchGuard administrados es diferente de la función de Rogue Access Point Detection diseñada para dispositivos inalámbricos Firebox con capacidades inalámbricas integradas.
Para obtener información sobre las diferencias entre los dispositivos inalámbricos Firebox y los AP WatchGuard, consulte Soluciones Inalámbricas de WatchGuard. Para obtener información sobre Rogue Access Point Detection para dispositivos inalámbricos Firebox, consulte Rogue Access Point Detection.
Agregar Radios de AP
Cuando agrega un SSID, puede asignar el SSID a uno o más radios de AP.
Para asignar un SSID a un radio de AP:
- De la configuración SSID, seleccione la pestaña Puntos de Acceso.
- En la lista Puntos de Acceso con este SSID, agregue los radios de AP que desea utilizar con este SSID.
También puede asignar SSIDs a un radio de AP al editar los ajustes de radio del AP. Para más información, consulte Configurar los Ajustes de Radio del AP.
Configurar ajustes de seguridad
Para configurar los ajustes de seguridad inalámbrica para el SSID:
- Seleccione la pestaña Seguridad.
- En la lista desplegable Modo de seguridad, seleccione el protocolo de seguridad para utilizar con este SSID.
- Complete los ajustes para configurar el protocolo de seguridad seleccionado.