Citrix SD-WAN Orchestrator

Punto de acceso Wi-Fi

Puede configurar un dispositivo Citrix SD-WAN que admita Wi-Fi como punto de acceso Wi-Fi. El dispositivo Citrix SD-WAN configurado como punto de acceso Wi-Fi elimina la necesidad de mantener un dispositivo de punto de acceso adicional para crear una WLAN. Los dispositivos de su LAN pueden conectarse al dispositivo Citrix SD-WAN a través de Wi-Fi.

Nota

Asegúrese de que haya un servidor DHCP disponible en la red para asignar direcciones IP a las máquinas host. Si no hay otro servidor DHCP disponible en la red, puede configurar el dispositivo SD-WAN como servidor DHCP. Para obtener instrucciones, consulte Servidor DHCP.

Las dos variantes siguientes de la plataforma Citrix SD-WAN 110 admiten Wi-Fi y se pueden configurar como punto de acceso Wi-Fi:

  • Citrix SD-WAN 110-WiFi-SE
  • Citrix SD-WAN 110-LTE-WiFi

Para obtener más información sobre las plataformas, consulte Citrix SD-WAN 110 SE.

Nota

La función Wi-Fi no admite alta disponibilidad (HA) en la versión 11.3 de Citrix SD-WAN.

Puede configurar y administrar los dispositivos Citrix SD-WAN que están configurados como puntos de acceso a través del servicio Citrix SD-WAN Orchestrator.

Para configurar las capacidades de Wi-Fi en un dispositivo Citrix SD-WAN 110, asegúrese de que el modelo y el submodelo de dispositivo adecuados estén seleccionados en la página Configuración > Configuración del sitio.

Modelo de dispositivo 110

Seleccione Habilitar Wi-Fi en la página de detalles de Wi-Fi para que el dispositivo Citrix SD-WAN 110 funcione como punto de acceso Wi-Fi.

Activar Wi-Fi

Configurar los ajustes de la radio Wi-Fi

Configure los ajustes de la radio Wi-Fi proporcionando los siguientes detalles.

  • País: El país en el que está desplegado el dispositivo. El país determina la configuración de radio inalámbrica permitida para ese país.

    Nota

    El campo País está bloqueado para EE. UU. y Canadá para los dispositivos vendidos a EE. UU. y Canadá. Para los dispositivos vendidos a otros países, el campo País está configurado en Todo el mundo de forma predeterminada, lo que le permite elegir el país correspondiente.

  • Banda: El dispositivo Citrix SD-WAN 110 admite bandas de frecuencia de 2,4 GHz y 5 GHz. La banda de 5 GHz ofrece un mayor rendimiento que la banda de 2,4 GHz, pero no es compatible con todos los dispositivos inalámbricos. Seleccione la banda y el protocolo en función de los dispositivos que se conectan al dispositivo Citrix SD-WAN. El dispositivo Citrix SD-WAN 110 no admite la doble banda, solo puede elegir una banda a la vez.
  • Protocolo: S eleccione el protocolo en función de la banda seleccionada. La banda de 2,4 GHz admite el protocolo 802.11n, mientras que la banda de 5 GHz admite los protocolos 802.11n y 802.11ac.

    Nota

    El protocolo 802.11ac es compatible con versiones anteriores de 802.11n. Se recomienda utilizar el protocolo 802.11ac si se selecciona la banda de 5 GHz.

  • Canal: Los canales disponibles dependen del país y del protocolo inalámbrico seleccionados. De forma predeterminada, el canal está configurado en Automático. El dispositivo Citrix SD-WAN selecciona un canal con la menor interferencia de la lista disponible para la banda. Si bien no se recomienda, también puede seleccionar un canal manualmente, si es necesario.

  • Ancho de canal: Puede configurar el canal para que utilice un ancho de canal de 20 MHz, 40 MHz u 80 MHz (solo para ciertos canales de 5 GHz). De forma predeterminada, el ancho del canal se establece en el ancho de canal máximo disponible para la banda y el canal seleccionados.

Configurar SSID

El identificador de conjunto de servicios (SSID) se utiliza para identificar un perfil de red inalámbrica a fin de establecer y mantener la conectividad inalámbrica. Puede configurar hasta cuatro SSID en el dispositivo Citrix SD-WAN. Los SSID le ayudan a configurar su red inalámbrica con diferentes niveles de seguridad y sirven a diferentes tipos de usuarios, como usuarios corporativos, usuarios domésticos o invitados.

Nota

La configuración de la radio Wi-Fi es común a todos los SSID.

Configuración de SSID

Para configurar los SSID, proporcione los siguientes detalles:

  • Tipo de SSID: Citrix SD-WAN Orchestrator le permite configurar dos tipos de SSID corporativo y doméstico. Para un SSID corporativo, se recomienda crear y usar un perfil de SSID corporativo. Para obtener más información, consulte Perfiles de SSID.
  • Nombre de SSID: identificador único para el perfil de red inalámbrica. Los nombres del SSID distinguen entre mayúsculas y minúsculas y pueden contener hasta 32 caracteres alfanuméricos. No incluyas espacios al principio ni al final del nombre de tu SSID.
  • Transmisión de SSID: Al habilitar la transmisión de SSID, todos los dispositivos de la red pueden ver el nombre del SSID, lo que les permite identificarla fácilmente y conectarse a ella. La desactivación de la transmisión del SSID hace que el nombre del SSID sea invisible para otros dispositivos. Sin embargo, solo oculta el nombre, no la red en sí. Los usuarios que conocen el nombre del SSID pueden seguir conectándose a la red Wi-Fi.
  • Aislamientode clientes: El aislamiento de clientes impide que los clientes conectados al mismo SSID se comuniquen entre sí. Para la autenticación abierta, en la que pueden conectarse clientes que no son de confianza, se recomienda configurar el aislamiento de clientesen Activado.
  • Seguridad: Citrix SD-WAN admite los siguientes tipos de protocolos de seguridad de Wi-Fi:

    • Abierta: La red Wi-Fi no es segura y cualquiera puede conectarse a la red inalámbrica. Se recomienda aislar los SSID abiertos en su propio dominio de enrutamiento para evitar que los clientes que no son de confianza pongan en peligro las redes personales (domésticas) o corporativas.
    • WPA2 Personal: El protocolo Wi-Fi Protected Access (WPA) 2, modo de clave precompartida, comúnmente denominado “personal”, se utiliza para proteger la red Wi-Fi. Con este protocolo, puede configurar una contraseña como clave precompartida (PSK). Cualquier persona que conozca el SSID y la contraseña puede conectarse a tu red Wi-Fi. Por lo general, se usa para redes domésticas. Se recomienda aislar los SSID domésticos en su propio dominio de enrutamiento para evitar que los clientes que no son de confianza pongan en peligro la red corporativa.
    • WPA2 Enterprise: La versión empresarial del protocolo Wi-Fi Protected Access (WPA) 2 se utiliza para proporcionar una autenticación de nivel empresarial para acceder a su red Wi-Fi. Se requiere un nombre de usuario y una contraseña para iniciar sesión. Un servidor RADIUS autentica el nombre de usuario y la contraseña. Puede seleccionar los perfiles RADIUS principal y secundario, que apuntan a un servidor RADIUS principal y secundario respectivamente. Si el servidor RADIUS principal está inactivo, se utiliza el servidor secundario para la autenticación. Para obtener más información sobre la creación de perfiles RADIUS, consulte Perfiles de servidor RADIUS.

      Nota

      Cada sitio puede tener hasta dos perfiles de servidor RADIUS asignados en cada SSID empresarial de WPA2.

    • WPA3 Personal: Al igual que en WPA2 Personal, se utiliza un PSK para conectarse a la red. Utiliza la versión más reciente del protocolo Wi-Fi Protected Access. Solo los dispositivos compatibles con WPA3 pueden conectarse a esta red.
    • Transición a WPA3: Permite que los dispositivos compatibles con WPA3 se conecten mediante el nuevo protocolo de seguridad WPA3 y que los dispositivos no compatibles sigan utilizando el protocolo de seguridad WPA2. Los dispositivos que utilizan la versión personal de WPA3 o WPA2 pueden usar el mismo PSK para conectarse a esta red.
    • ID de VLAN: Asocia el SSID a un identificador de VLAN. El identificador de VLAN se puede reutilizar cuando se asigna el SSID a una interfaz virtual, para asociarlo a una VLAN externa o asociarlo a un dominio de enrutamiento distinto.

También puede guardar la configuración del SSID corporativo como un perfil de SSID. Le permite reutilizar y administrar fácilmente la configuración del SSID en varios sitios. Para obtener más información, consulte Perfiles de SSID.

Los SSID configurados se reflejan como interfaces virtuales al configurar las interfaces. Además, le permite utilizar los SSID en su configuración de SD-WAN o mejorar la seguridad de la red. Por ejemplo, puede tener una configuración para marcar todo el tráfico de un SSID en particular para que pertenezca a un dominio de enrutamiento determinado o se asigne a una VLAN específica. Además, este dominio de enrutamiento se puede configurar para tener acceso a redes y recursos específicos. Si se configura una combinación de redes inalámbricas corporativas, domésticas y de usuarios temporales, es fundamental asociarlas a diferentes dominios de enrutamiento para garantizar el aislamiento de los arrendatarios y evitar que los clientes no autorizados o comprometidos de una red pongan en peligro a los demás.

SSID en interfaces

Perfiles de servidor RADIUS

El protocolo WPA2 Enterprise proporciona una autenticación de nivel empresarial a su red inalámbrica. Se requiere un nombre de usuario y una contraseña para iniciar sesión en la red inalámbrica mediante el protocolo empresarial WPA2. El nombre de usuario y la contraseña se autentican mediante un servidor RADIUS, que se configura mediante perfiles RADIUS. Los perfiles RADIUS se pueden aplicar a varios sitios mientras se configuran los SSID. Para obtener más información, consulte Configurar los SSID.

Los perfiles RADIUS son de naturaleza dinámica. Cualquier cambio realizado en el perfil RADIUS se reflejará en todos los sitios en los que se utilice el perfil RADIUS. Cada SSID empresarial de WPA2 puede tener asignados hasta dos perfiles de servidor RADIUS. Para administrar los perfiles RADIUS, al nivel de red, vaya a Configuración > Seguridad > Perfiles RADIUS. Se muestra una lista de todos los perfiles RADIUS disponibles; puede modificar o eliminar los perfiles.

perfiles RADIUS

Para crear un perfil RADIUS, haga clic en Agregar y proporcione los siguientes detalles:

  • Nombre de perfil de RADIUS: Un nombre único para identificar el perfil del servidor RADIUS.
  • IP del servidor de autenticación: L a dirección IP del servidor de autenticación RADIUS. El servidor de autenticación puede estar ubicado en el centro de datos, al que se puede acceder a través de la interfaz de administración o la administración en banda.
  • Puerto del servidor de autenticación: El número de puerto del servidor de autenticación RADIUS. El número de puerto predeterminado es 1812.
  • Secreto del servidor de autenticación: La contraseña secreta para conectarse al servidor de autenticación. Solo los clientes autorizados que conocen la clave secreta pueden conectarse al servidor de autenticación y enviar solicitudes de autenticación.
  • Identificador NAS: Configure el mismo identificadordel servidor de acceso a la red (NAS) en el servidor RADIUS y el dispositivo Citrix SD-WAN. Permite que el servidor RADIUS identifique el cliente RADIUS correcto y realice la autenticación. Es un nombre de dominio totalmente cualificado. Se utiliza una etiqueta especial {SITENAME}. La etiqueta se sustituye en el identificador del NAS por el nombre de sitio correspondiente a cada sitio.

El servidor de cuentas RADIUS recopila opcionalmente datos estadísticos y de supervisión de la red. El proceso de contabilidad comienza cuando se concede el acceso al servidor RADIUS y si el AVP Acct-Interim-Interval aparece en el mensaje de acceso y aceptación de RADIUS. En este caso, el cliente RADIUS SD-WAN de Citrix informa sobre los detalles de la sesión, como el tiempo total, los datos totales y los paquetes transferidos por cada segundo del intervalo intermedio de acuerdo. El servidor de cuentas puede ser el mismo que el servidor de autenticación o un servidor diferente. Para habilitar la función de contabilidad RADIUS opcional, seleccione Configurar la contabilidad RADIUS y proporcione los siguientes detalles.

  • IP del servidor de cuentas: La dirección IP del servidor de cuentas.
  • Puerto del servidor de cuentas: El número de puerto del servidor de cuentas. El número de puerto predeterminado es 1813.
  • Secreto del servidor de cuentas: L a contraseña secreta para conectarse al servidor de cuentas. Solo los clientes autorizados que conocen la clave secreta pueden conectarse al servidor de contabilidad y enviar solicitudes de contabilidad.

Crear perfiles RADIUS

También puede crear un perfil RADIUS directamente desde la página de detalles de la red Wi-Fi mientras configura los sitios. También puede realizar operaciones como modificar, clonar y eliminar.

Perfiles SSID

El identificador de conjunto de servicios (SSID) se utiliza para identificar un perfil de red inalámbrica a fin de establecer y mantener la conectividad inalámbrica. Puede configurar hasta cuatro SSID en el dispositivo Citrix SD-WAN. Los SSID le ayudan a configurar su red inalámbrica con diferentes niveles de seguridad y sirven a diferentes tipos de usuarios, como usuarios corporativos, usuarios domésticos o invitados.

En implementaciones grandes, que utilizan SSID corporativos, se espera que la misma configuración de SSID se replique en varios dispositivos. Los ajustes más utilizados se pueden almacenar como un perfil de SSID. Los perfiles SSID son de naturaleza dinámica. Cualquier cambio realizado en un perfil de SSID se refleja en todos los sitios en los que se utiliza este perfil de SSID.

Para administrar los perfiles de SSID, al nivel de red, vaya a Configuraciones > Seguridad > Perfiles SSID. Se muestra una lista de todos los perfiles SSID disponibles.

Administrar perfiles de SSID

Para crear un nuevo perfil de SSID, haga clic en Agregar. Para obtener más información sobre la configuración del SSID, consulte Configurar los SSID.

También puede realizar operaciones como modificar, clonar y eliminar.

Diagnóstico de Wi-Fi

Para capturar los detalles del tráfico de Wi-Fi, al nivel de red, vaya a Solución de problemas > Diagnóstico y seleccione la casilla Captura de paquetes. Elija la interfaz Wi-Fi adecuada.

NOTA

El tráfico entre los clientes inalámbricos está aislado de la ruta de datos en la plataforma Citrix SD-WAN 110 y, por lo tanto, no forma parte de la captura de paquetes.

Para obtener información detallada sobre la captura de paquetes, consulte Diagnóstico.

Punto de acceso Wi-Fi