configurar los Ajustes de SSID del Punto de Acceso
Se aplica A: Puntos de Acceso Administrados en WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)
Puede configurar los SSID inalámbricos que difunden sus puntos de acceso y habilitar a los clientes inalámbricos para que se conecten a su red.
Los puntos de acceso pueden tener dos distintos tipos de ajustes:
- Ajustes a nivel de dispositivo que se aplican individualmente a cada punto de acceso — Para más información, consulte Configurar los Ajustes de SSID para un Punto de Acceso.
- Ajustes que se aplican al punto de acceso desde un Access Point Site — Puede utilizar Access Point Sites para crear ajustes de SSID que se aplican a varios puntos de acceso suscritos al sitio.Para más información, consulte Configurar los Ajustes de SSID para un Access Point Site.
Configurar los Ajustes de SSID para un Punto de Acceso
Para configurar los ajustes de SSID a nivel de dispositivo en WatchGuard Cloud para un punto de acceso:
- Seleccione Configurar > Dispositivos.
- Seleccione el punto de acceso que desea configurar.
- Seleccione Configuración del Dispositivo.
Se abre la página Configuración del Dispositivo.
- En el mosaico Redes Wi-Fi, haga clic en SSID.
Configurar los Ajustes de SSID para un Access Point Site
Para configurar los ajustes de SSID en WatchGuard Cloud para un Access Point Site:
- Seleccione Configurar > Access Points Sites.
- Seleccione un sitio existente o agregue un sitio nuevo.
- En la pestaña Detalles de Configuración, en el mosaico Redes Wi-Fi, haga clic en SSID.
Administrar SSID
La página SSID indica las redes Wi-Fi configuradas e incluye esta información:
- Nombre de SSID — El nombre de SSID de la red Wi-Fi. Hay dos tipos de SSID, un SSID a nivel de dispositivo, o un SSID configurado desde un Access Point Site, indicado por . Desde esta página solo puede agregar o eliminar SSID a nivel de dispositivo. Para obtener más información sobre los Access Point Sites, consulte Acerca de los Access Point Sites.
- Difundir — Indica si el nombre de SSID se difunde y es visible para los clientes Wi-Fi.
- Seguridad — El tipo de seguridad configurado en esta red, como WPA2 Personal, WPA3 Personal u Open.
- Radios — Las radios del punto de acceso que difunden este SSID.
Para ordenar la lista de SSID, haga clic en el nombre de una columna.
Haga clic en un SSID existente para editar los ajustes de la red inalámbrica o haga clic en Agregar SSID para agregar una nueva red inalámbrica.
Agregar un SSID
Para agregar un SSID, haga clic en .
En cada pestaña, puede configurar diferentes ajustes para el SSID, como los ajustes inalámbricos, el control de acceso, la programación, la conformación de tráfico y los ajustes avanzados.
Cuando haya terminado la configuración de la red inalámbrica, haga clic en Agregar para guardar el SSID.
Asegúrese de implementar los cambios de configuración en el punto de acceso después de guardar la configuración. Para más información, vaya a Administrar la Implementación de la Configuración del Dispositivo y Historial de Implementaciones de Puntos de Acceso.
En la pestaña Inalámbrico, puede configurar el nombre de SSID, especificar si la red es privada o para invitados, especificar las radios que transmitirán el SSID, habilitar la seguridad de SSID, editar y crear un ticket de código QR de SSID, descargar un código QR de SSID y configurar los ajustes de red.
- Nombre de SSID — Escriba el nombre de SSID. Este es el nombre de la red inalámbrica que se muestra a los clientes.
- Difundir SSID — Marque la casilla de selección Difundir SSID para difundir el nombre del SSID a los clientes inalámbricos. Si desea ocultar el nombre del SSID, desmarque esta casilla de selección.
- Tipo de SSID
- Privado — Cree una red inalámbrica privada.
- Invitado — Cree una red inalámbrica para invitados que proporcione acceso limitado, con el fin de proteger los dispositivos y recursos en su red inalámbrica privada. Cuando se selecciona una red para Invitados, el Aislamiento de Clientes también se habilita de forma predeterminada. Para más información, consulte Aislamiento de Clientes.
Para aplicar diferentes rangos de direcciones IP a sus redes inalámbricas, puede configurar el SSID en modo NAT en la sección Red.
- Radio — Seleccione las radios del punto de acceso (2.4 GHz, 5 GHz, o ambas, 2.4 GHz y 5 GHz) que difunde este SSID.
- Seguridad — Seleccione el tipo de seguridad para este SSID.
- Open — Open significa que no se aplica ningún tipo de cifrado de seguridad. Esta opción se utiliza generalmente para las redes de invitados públicas.
- OWE — Opportunistic Wireless Encryption (OWE), también conocido como Enhanced Open, es el último y más seguro protocolo abierto para puntos de acceso Wi-Fi 6 (802.11ax) que proporciona a cada usuario un cifrado que protege el intercambio de datos entre el cliente y la red inalámbrica. Esto le permite crear una red abierta que proporciona privacidad de datos sin necesidad de autenticación. Los clientes que no son compatibles con OWE no pueden conectarse con un SSID configurado con OWE. Tanto el punto de acceso como el cliente deben ser compatibles con OWE.
- WPA2 Personal (predeterminada) — WPA2 es el protocolo más reciente y seguro para los puntos de acceso 802.11a/b/g/n/ac. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
- WPA3/WPA2 — Un modo mixto de protocolos WPA3 y WPA2. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
- WPA3 Personal — WPA3 es el protocolo más reciente y seguro para los dispositivos Wi-Fi 6 (802.11ax). WPA3 habilita los Marcos de Administración Protegidos (802.11w) para mayor seguridad. Los clientes inalámbricos también deben admitir 802.11ax para utilizar WPA3. Debe escribir una Contraseña que los usuarios inalámbricos deben usar para conectarse al SSID.
- Contraseña — Si ha seleccionado un método de seguridad que utiliza una clave precompartida, como WPA2 Personal o WPA3 Personal, escriba la contraseña que va a utilizar. Los usuarios inalámbricos deben especificar esta contraseña cuando se conectan al SSID.
Existe un problema abierto por el que los clientes inalámbricos con sistemas operativos antiguos que no admiten WPA3 no pueden conectarse a un SSID con seguridad mixta WPA3/WPA2. Para obtener más información, consulte la Base de Consulta de WatchGuard.
- WPA2 Enterprise — El protocolo WPA2 con autenticación RADIUS Enterprise. En el firmware v2.1 y superior del punto de acceso, puede personalizar los atributos RADIUS Called Station ID y NAS ID en los ajustes avanzados de un SSID. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.
- WPA3 Enterprise — El protocolo WPA3 con autenticación RADIUS Enterprise. Con WPA3 Enterprise, también puede habilitar el modo de 192 bits (WPA3 Enterprise Suite B) para aumentar la seguridad del cifrado en entornos empresariales sensibles. El modo WPA3 Enterprise de 192 bits requiere un firmware de punto de acceso v2.1 o superior. En el firmware v2.1 y superior del punto de acceso, puede personalizar los atributos RADIUS Called Station ID y NAS ID en los ajustes avanzados de un SSID. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.
- Dominio de Autenticación — Si seleccionó el modo de seguridad WPA2 Enterprise o WPA3 Enterprise, debe seleccionar un dominio de autenticación con sus servidores RADIUS configurados en la lista desplegable. Para más información, consulte Dominios de Autenticación del Punto de Acceso. Si no hay Dominios de Autenticación configurados, debe agregar un dominio de autenticación en Configurar > Configuraciones Compartidas > Dominios de Autenticación.
- Para más información, consulte Dominios de Autenticación del Punto de Acceso.
- Para más información sobre cómo utilizar RADIUS para autenticar clientes inalámbricos, consulte Configurar Autenticación RADIUS para un Punto de Acceso.
Código QR de SSID
Puede generar e imprimir un código QR que permita a los usuarios inalámbricos conectarse fácilmente al SSID de un punto de acceso. Para más información, vaya a Configurar Código QR de SSID del Punto de Acceso.
- Habilitar VLAN — Para mapear el SSID de su red inalámbrica a una VLAN en su red, marque la casilla de selección Habilitar VLAN. Por ejemplo, puede configurar las VLAN para separar el tráfico entre sus SSID, como SSID privados y de invitados. Puede asignar una ID de VLAN de 1 a 4094 para cada SSID. Para más información sobre las VLAN y sus redes inalámbricas, consulte Puntos de Acceso y VLAN.
- Puenteado (predeterminado) — Utilice una red puenteada cuando el punto de acceso y los clientes que se asocian al punto de acceso estén en la misma subred.
- NAT — Utilice la Traducción de Dirección de Red (NAT) cuando quiera tener a los clientes y al punto de acceso en una subred separada. Los clientes inalámbricos utilizan un conjunto de direcciones IP privadas asignadas desde el punto de acceso. Debe utilizar NAT para usar este SSID con una VPN del punto de acceso. Para más información, consulte Configurar una VPN del Punto de Acceso. El Roaming Rápido se deshabilita si se utiliza NAT.
Debe configurar estos ajustes al habilitar la NAT: - Dirección IP Local (Gateway) — Una dirección IP en la red seleccionada fuera del grupo de direcciones DHCP. Esta dirección se utiliza como la dirección de la puerta de enlace para los clientes en la red inalámbrica.
- Máscara de Subred — La máscara de red para la red seleccionada.
- Dirección IP de Inicio del Grupo DHCP — La dirección IP inicial del grupo de direcciones DHCP en la red seleccionada.
- Dirección IP de Finalización del Grupo DHCP — La dirección IP final del grupo de direcciones DHCP en la red seleccionada.
- Tiempo de Concesión — El tiempo de concesión DHCP en horas (1 a 24).
- Servidor DNS Principal y Secundario — Los servidores DNS principal y secundario a los cuales los clientes inalámbricos hacen las consultas DNS.
Para controlar el acceso de clientes inalámbricos específicos en función de su dirección MAC, habilite la Lista de Control de Acceso a Direcciones MAC.
- Utilice la Lista de Direcciones MAC Permitidas para permitir el acceso únicamente a las direcciones MAC de cliente que especifique.
- Utilice la Lista de Direcciones MAC Bloqueadas para bloquear clientes inalámbricos en función de las direcciones MAC que especifique.
Para agregar una nueva dirección, haga clic en Agregar Dirección MAC. Cuando haya terminado, haga clic en Agregar para guardar la lista de control de acceso.
La cantidad máxima de direcciones MAC admitidas depende de la versión de firmware del punto de acceso.
- Los puntos de acceso que ejecutan la versión de firmware 1.1.24 o superior admiten un máximo de 256 direcciones MAC.
- Los dispositivos con versiones de firmware inferiores a 1.1.24 solo admiten un máximo de 32 direcciones MAC.Las listas importadas para estos dispositivos se truncan a 32 direcciones.
Importar Lista de Direcciones MAC
Para cargar una lista de varias direcciones MAC, haga clic en Importar Lista de Direcciones MAC.
Puede arrastrar y soltar una lista de direcciones MAC en la casilla o seleccione el archivo de la lista de direcciones MAC.
El archivo de la lista de direcciones MAC debe estar en formato de valores separados por comas (CSV), con una dirección MAC y una descripción opcional.
Por ejemplo, para importar direcciones con una descripción:
00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description
Para importar direcciones sin descripción:
00:aa:00:bb:00:c1
00:aa:00:bb:00:c2
Para importar direcciones con y sin descripciones:
00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4
Cuando se analiza el archivo importado, puede seleccionar las direcciones MAC que desea importar. Haga clic en Guardar para importar las direcciones MAC.
Especifique cuándo habilitar el acceso Wi-Fi para este SSID. Esto limita el acceso a este SSID en base a las horas configuradas. Por ejemplo, es posible que desee limitar el acceso a invitados inalámbricos solo al horario de oficina. Las horas se basan en un horario de 24 horas con intervalos mínimos de 30 minutos.
El valor predeterminado es Siempre Disponible. También puede seleccionar un horario preconfigurado de 8:00 AM a 5:00 PM de lunes a viernes, o crear una Programación Personalizada.
Las VPN del punto de acceso configuradas con este SSID también se habilitan y deshabilitan según el programa de SSID configurado. Para más información, consulte Configurar una VPN del Punto de Acceso.
Puede habilitar los controles de ancho de banda que limitan el uso del ancho de banda en este SSID. Por ejemplo, puede habilitar límites en su SSID para invitados para que los usuarios invitados no utilicen demasiado ancho de banda y afecten al rendimiento inalámbrico de su red inalámbrica privada.
Para habilitar los controles de ancho de banda, seleccione Control de Ancho de Banda de SSID.
Especifique el Límite de Carga y el Límite de Descarga en Mbps. Puede seleccionar un valor entre 1 y 999 Mbps.
Estos límites se aplican al tráfico de todo el SSID.
Para aplicar estos límites de carga y descarga a cada usuario individual en el SSID, marque la casilla de selección Por Cliente correspondiente.
Las opciones avanzadas le permiten configurar opciones adicionales de administración, seguridad y dirección para este SSID.
- Marcos de Administración Protegidos (802.11w) — Para el cifrado de seguridad WPA2 y WPA3, puede habilitar la protección adicional de marcos de administración para evitar ataques de suplantación de identidad que utilizan acciones de marcos de administración de desautenticación y disociación. Puede seleccionar Permitir a Todos los Clientes, que solo protege a los clientes con capacidad de 802.11w, o seleccionar Permitir Solo Clientes con Capacidad de 802.11w. 802.11w es obligatorio y se habilita automáticamente para el cifrado WPA3.
- ID de Estación Llamada/ID de NAS — Para la autenticación WPA2 y WPA3 Enterprise, puede personalizar los atributos RADIUS que identifican el punto de acceso y el cliente al servidor RADIUS durante la autenticación. Puede ingresar texto personalizado [a-z, A-Z, 0-9, -] en combinación con las variables predefinidas. La longitud máxima es de 84 caracteres. Asegúrese de no exceder la longitud máxima cuando utilice variables.
- %m — Dirección MAC de la interfaz Ethernet del punto de acceso
- %s — Nombre del SSID
- %n — Nombre del dispositivo.
Esta función requiere un firmware de punto de acceso v2.1 o superior. Para más información, vaya a Configurar Autenticación RADIUS para un Punto de Acceso.
- Roaming Rápido (802.11k/r) — Cuando selecciona el cifrado de seguridad WPA2, puede habilitar el Roaming Rápido para reducir el tiempo de reautenticación de un cliente inalámbrico cuando se desplaza de un punto de acceso de WatchGuard a otro punto de acceso. Esto le permite la transición rápida de las comunicaciones al cliente inalámbrico, y mejora el rendimiento y la estabilidad de las aplicaciones que hacen un uso intensivo de las transmisiones, como VoIP y difusión de video. Los clientes inalámbricos deben admitir los estándares 802.11k y 802.11r para utilizar Roaming Rápido. El Roaming Rápido se deshabilita si se habilita NAT en el SSID. El Roaming Rápido se habilita automáticamente con WPA3.
- Dirección de Banda — La dirección de banda dirige activamente a los clientes inalámbricos de la banda de 2.4 GHz para que utilicen la banda de 5 GHz, menos congestionada, a fin de ayudar a equilibrar los clientes asociados en un punto de acceso entre las radios de 2.4 GHz y 5 GHz. La dirección de banda también habilita la compatibilidad con 802.11v para mejorar el comportamiento de roaming de los clientes y ayudarlos a encontrar mejores puntos de acceso a los que asociarse.
Puede elegir entre estos ajustes:
- Equilibrar Clientes: Distribuye la carga de clientes inalámbricos entre las radios de 2.4 GHz y 5 GHz. En el cuadro de texto Tasa de Equilibrio, especifique el porcentaje de clientes que pueden utilizar la radio de 5 GHz. El porcentaje restante debe utilizar la radio de 2.4 GHz.
- Preferir 5 GHz (predeterminado): Los clientes se dirigen a la banda de 5 GHz si la fuerza de señal del cliente en 5 GHz es superior al Umbral RSSI configurado (predeterminado -75 dBm).
- Forzar 5 GHz: Habilita el uso de paquetes de administración adicionales para asegurarse de que un cliente siempre se desconecta de la radio de 2.4 GHz y se dirige a la radio de 5 GHz cuando el cliente se vuelve a conectar al punto de acceso.
- Aislamiento de Clientes — Evite que los clientes inalámbricos se comuniquen directamente con otros clientes y dispositivos inalámbricos o cableados conectados a la misma red.El aislamiento de clientes es útil en las implementaciones típicas de acceso Wi-Fi para invitados con el fin de evitar las comunicaciones entre los clientes invitados, así como de otros clientes y dispositivos de la red. De forma predeterminada, el aislamiento de clientes está habilitado si el SSID está configurado como SSID para Invitados.
- Aplicación de Reglas de Acceso a la Red — La Aplicación de Reglas de Acceso a la Red proporciona una capa adicional de seguridad cuando un cliente inalámbrico se conecta a la red inalámbrica corporativa. La Aplicación de Reglas de Acceso a la Red requiere que un cliente inalámbrico tenga un producto WatchGuard Endpoint Security instalado (WatchGuard Advanced EPDR, EPDR, EDR, EDR Core o EPP) para que el dispositivo pueda conectarse a la red inalámbrica. La Aplicación de Reglas de Acceso a la Red requiere un firmware de punto de acceso v2.1 o superior. Para más información, vaya a Aplicación de Reglas de Acceso a la Red del Punto de Acceso.
Configurar Ajustes de Dispositivo del Punto de Acceso