Una vez que hayamos terminado, nos aparecerá el listado de dispositivos, con su integridad, estado, duración, el tipo de dispositivo que es y su modelo, así como la dirección MAC, dirección IP y el número de clientes conectados actualmente.
En estos instantes ya estamos listos para realizar la configuración de toda la red, ahora os vamos a mostrar todas las opciones que tenemos disponibles.
Opciones de configuración
En cuanto accedemos al portal de administración, podemos ver el listado de sitios de los que somos administradores. Nos aparecerá un resumen con la integridad de la red, el estado actual, así como si tenemos alguna alerta crítica, grave o de información.
Si tienes varios lugares donde has desplegado una red con HPE Instant On, tendrás varios sitios dados de alta, e incluso podrías interconectarlos entre sí sin ningún problema.
Resumen
Cuando pinchamos en un «Sitio» nos aparecerá el resumen de toda la red, para ver de un vistazo qué es lo que está ocurriendo. Podemos ver la integridad de la red, si tenemos alertas activadas, el número de clientes cableados y Wi-Fi conectados, las LAN que tenemos configuradas, las conexiones WAN, los dispositivos de HPE Instant On dados de alta, las amenazas que ha parado, así como también las aplicaciones que estamos usando y cuántas políticas tenemos dadas de alta.
Desde este menú es donde podemos acceder al resto de menús de configuración disponibles en la plataforma.
Integridad
La integridad de una red es fundamental, la plataforma recibirá continuamente el estado de los diferentes dispositivos HPE que tengamos dados de alta, y no avisará si tenemos algún problema como si un AP no responde. También podemos ver un listado completo de eventos de todo lo que hemos realizado en la red, es decir, los últimos cambios y ajustes realizados, para tener un cierto control de todo lo que está sucediendo.
Gracias a la plataforma en la nube, en todo momento tendremos alertas de problemas en la plataforma, y recibidas por email y/o a través de la aplicación oficial.
Alertas
En la sección de alertas es donde podemos ver un registro completo de todo lo que ocurre en la red, con el objetivo de ver qué ha pasado en todo momento. Si añadimos dispositivos o los borramos, también dejará un registro en esta sección para posteriormente ver si existe algún problema.
Una de las cosas buenas de tener una plataforma de gestión de redes en la nube, es que todos los registros se almacenan en la nube directamente, sin necesidad de tener un servidor syslog en la red local.
Clientes
En la sección de «Clientes» es donde podrás ver un listado completo de todos los clientes cableados e inalámbricos que tenemos conectados a toda la red, independientemente de a qué switch o AP estén conectados. En el listado nos aparecerá el nombre del cliente, la integridad, estado, a qué red se ha conectado, el tipo (cableada o Wi-Fi), la dirección MAC, el dispositivo al que se ha conectado, y a qué interfaz de red o banda Wi-Fi. Además, también podemos ver el ancho de banda consumido en las últimas 24 horas.
Si nos metemos en su configuración, podemos cambiar el nombre para identificarlo mejor, así como también añadir este cliente a la lista de observación, y que aparezca en la sección de alertas para que nos muestre cuándo se ha conectado y cuándo se ha desconectado. Otras opciones que tenemos son las de bloquear los clientes para que no se conecten, es decir, tenemos una lista negra con todos los bloqueados.
Cuando hay decenas de clientes conectados, esta lista nos dará una visión global de cómo se están conectando los diferentes clientes cableados e inalámbricos.
Redes
La sección de «Redes» es una de las más importantes, desde aquí es donde podemos crear nuevas redes cableadas o inalámbricas, y realizar todas las configuraciones a nivel de red (direccionamiento IP, configuración de VLANs etc.) Por defecto, HPE nos creará una red predeterminada que es la red de administración, aunque la podemos editar sin ningún problema. Las opciones que podemos realizar en esta red predeterminada son:
- Darle un nombre descriptivo a esta red.
- Configurar el IGMP Snooping.
- Activar la protección contra ataques DHCP y ARP, para evitar ataques Man in the Middle.
- Configurar el direccionamiento IP (dirección IP de la subred, máscara de subred), la resolución de DNS, así como configurar el DHCP estático para añadir clientes en base a su MAC y darles siempre la misma IP privada.
- Podemos asignar las diferentes redes mediante VLANs, podemos configurar las VLAN como etiquetadas (tagged o T) y también las no etiquetadas (untagged o U), e incluso podemos quitar los puertos directamente.
- Configurar control de acceso, podemos configurar restricciones a los destinos de red, forzar a que solamente puedan acceder a Internet, a la misma red o a una IP específica. La política a aplicar es restrictiva, todo bloqueado excepto lo permitido específicamente. Además, estas restricciones de acceso se evalúan después de las políticas (lo veremos más adelante).
Si queremos crear una nueva red inalámbrica, podemos pinchar en «Crear red» y seguimos el asistente de configuración. Tenemos que identificar la red con un nombre, y también el tipo (con cable o inalámbrica). Luego nos pedirá si la red la usarán empleados o invitados, para cambiar el tipo de autenticación y la seguridad aplicada, además, podemos configurar la red oculta y también un servidor RADIUS local para la autenticación con WPA2-Enterprise o WPA3-Enterprise. Una vez configurado el SSID, tenemos que configurar la asignación de red, puede ser igual que una red local ya configurada previamente, o bien una nueva y entonces tenemos que poner el direccionamiento IP.
Al crearla, tendremos a nuestra disposición todas las opciones de configuración de esta nueva red inalámbrica. Podemos darle un nombre de red Wi-Fi, configurar la seguridad y contraseña, la asignación de direccionamiento IP y DNS, así como configurar los radios donde queremos emitir el SSID, los APs WiFi donde queremos usar esta red, así como configurar el control de acceso (aplicado después de políticas), y también podemos configurar un horario donde esté la red inalámbrica disponible y otras opciones inalámbricas como habilitar el IGMP Snooping, limitador de ancho de banda, e incluso las tecnologías Wi-Fi.
También podemos crear una o varias redes cableadas adicionales, el asistente de configuración es similar, lo único que ahora será una red por cable, y después elegiremos si queremos una red para empleados, para invitados, o una red para VoIP. También le podemos poner un VLAN ID en concreto, y habilitar el IGMP Snooping y la protección contra ataques DHCP y ARP.
En este caso, las opciones de configuración pasan por:
- Darle un nombre a la red cableada nueva, un VLAN ID, habilitar el IGMP Snooping y las protecciones contra ataques DHCP y ARP.
- Asignación de la red con su correspondiente subred, los DNS y la reserva de direcciones IP.
- Asignar esta red con los puertos tagged y untagged, o sin ninguna VLAN en ese puerto en concreto.
- Control de acceso, se evalúa después de las políticas.
En la sección de WAN es donde podemos configurar la conexión a Internet. Los Secure Gateway soportan el modo de conexión por DHCP, IP estática y también PPPoE, además, soportan un VLAN ID en la WAN de Internet, por si nuestro operador usa VLANs en su servicio de Internet. Por supuesto, podemos asignar si la VLAN va como untagged o tagged, lo normal es que sea tagged siempre.
También podemos crear una segunda WAN de Internet, ya que los Secure Gateway pueden tener hasta 2 WAN vía Ethernet. En este caso, simplemente creamos una WAN secundaria, ponemos la configuración del tipo de conexión, DNS y el VLAN ID, lo asignamos a un puerto WAN/LAN y listo, ya habremos configurado la segunda WAN de Internet.
En la sección de «Redundancia de WAN» es donde podemos configurar el comportamiento de las WAN, tenemos la opción de conmutación por error activo/en espera, que es la opción predeterminada, o bien podemos configurar el equilibrio de carga para balancear el tráfico de red.
Por último, tenemos la sección de «Portal de invitado«, donde podemos configurar el portal cautivo para la red Wi-Fi de invitados, podemos configurar un diseño para escritorio (PC) y también para mobile (smartphones).
Como podéis ver, en este menú de «Redes» es donde tenemos todas las opciones necesarias para crear una red bastante avanzada. Además, a medida que añadimos diferentes equipos, todos van a heredar estas configuraciones de redes cableadas e inalámbricas.
Dispositivos
En este menú de «Dispositivos» es donde podemos ver un listado completo de todos los Secure Gateway, switches gestionables y APs Wi-Fi que tenemos dados de alta. Nos aparecerá el nombre del dispositivo que le hemos dado (por defecto es su número de serie), y también su estado en tiempo real. Si nos metemos en cada dispositivo, podemos ver las configuraciones específicas para cada tipo de dispositivo (Secure Gateway, switches gestionables y APs Wi-Fi).
En la sección de «Topología» es donde podemos ver cómo hemos conectado entre sí los diferentes dispositivos, por ejemplo, el modelo SG2505P tiene PoE así que puede alimentar APs directamente sin necesidad de un switch. En «Administración de radio» es donde podemos configurar las bandas de 2.4GHz y 5GHz en cuanto a canales disponibles y anchos de canal, además, también podemos editar la potencia de transmisión. En «Protección de bucle» es donde tenemos todas las configuraciones relacionadas con RSTP (Rapid Spanning-Tree Protocol), así como también la prioridad base del RSTP.
Los modelos compatibles con PoE (Power over Ethernet), como el SG2505P, permiten alimentar dispositivos como puntos de acceso o cámaras de seguridad directamente a través del cable de red. Esto elimina la necesidad de fuentes de alimentación adicionales, simplificando la instalación y reduciendo el desorden de cables. Podemos configurar el horario de energía para alimentar o no los dispositivos conectados a ellos, para así tener todo el control de los dispositivos alimentados por PoE.
Seguridad
En estos menús es donde tenemos todas las amenazas detectadas por el sistema de detección y prevención de intrusiones incorporado en los Secure Gateway. Podemos ver el listado de amenazas bloqueadas, las excepciones de amenazas por si hay falsos positivos, así como también gestionar las amenazas (activar el IDS/IPS o desactivarlo), e incluso configurar el cortafuegos de forma avanzada. Esto último está en otra configuración, pero tenemos un acceso directo desde este menú.
En este menú de «Acceso a aplicaciones» podemos crear reglas avanzadas para denegar el tráfico, podemos elegir todas las redes, solamente ciertas redes (cableadas y/o inalámbricas), así como también qué categorías queremos bloquear. La plataforma integra un asistente basado en IA para la creación de políticas de firewall. En lugar de crear reglas manualmente desde cero, el administrador puede describir el objetivo en lenguaje natural (bloquear redes sociales para la red de empleados, por ejemplo) y el sistema genera una plantilla de regla sugerida, agilizando drásticamente la configuración.
Como podéis ver, los Secure Gateways incorporan sistemas de seguridad como el IDS/IPS, y también un firewall avanzado y muy configurable en base a diferentes reglas que podemos aplicar.
Aplicaciones
En la sección de «Aplicaciones» es donde podemos ver las diferentes categorías que HPE ha incorporado, estas categorías están integradas directamente en los APs para denegar las que queramos, sin necesidad de un control parental más avanzado.
Si tenemos un Secure Gateway tendremos las mismas opciones de siempre, más las opciones de firewall y gestión de las diferentes redes.
Políticas
Este menú de «Políticas» es el centro del firewall incorporado en el Secure Gateway de HPE. Si pinchamos en «Crear política» podemos ayudarnos de la IA para crear políticas avanzadas, sin necesidad de tener demasiados conocimientos, simplemente le indicamos qué queremos hacer, y nos va a proponer una política que se ajustará a lo que le pedimos, y que incluso podemos modificar antes de crearla definitivamente.
La verdad es que este menú es el que más nos ha impresionado, ya que no tendremos un menú de firewall completamente vacío y que tenemos que configurar desde cero. Aquí le pediremos a la IA una acción de permitir o denegar, y empezaremos con una plantilla que se ajuste casi perfectamente a lo que necesitamos, e incluso sí es posible obtener una sugerencia que nos valga sin necesidad de tocar ninguna configuración adicional.
Administración de cuenta de usuario
En el menú de administración de la cuenta de usuario es donde podemos ver nuestro correo electrónico, las preferencias de idioma y el tema usado, así como si queremos recibir comunicaciones de Instant On. Otras opciones son las de cambiar la contraseña, configurar la verificación en dos pasos, e incluso eliminar la cuenta por completo.
Uno de los menús más importante es la parte de notificaciones, lo normal será tener instalada la app de Instant On en nuestro smartphone, y es que vamos a poder recibir una gran cantidad de notificaciones para estar permanentemente avisado de todo lo que ocurra en la red gestionada.
En este caso, todos los menús son igual que siempre en la antigua plataforma, nada ha cambiado en este aspecto.
Administración del sitio
En cuanto a la administración de los sitios, tenemos la posibilidad de darle un nombre a dicho sitio, una localización geográfica, si queremos activar el modo de mantenimiento para que no nos mande alertas, así como eliminar el sitio. Otras opciones son las de configurar administradores para gestionar la red, la versión del firmware que tienen los diferentes dispositivos dados de alta (Secure Gateway, switches y APs), así como la política de actualizaciones automáticas en un determinado día y franja horaria.
En este caso, todos los menús también son los mismos de siempre, una gestión del sitio rápida y eficaz.
Dominios (túneles VPN con IPsec)
HPE Instant On nos permite realizar túneles VPN entre dos sitios configurados, siempre que en ambos sitios tengamos un Secure Gateway para establecer la conexión. Actualmente, tanto el modelo SG2505P como el SG1004 disponen de motor de cifrado por hardware, así que el rendimiento de IPsec es excelente, llegando hasta 1Gbps en el caso del SG1004 (lo máximo de sus puertos Ethernet), y hasta 2,5Gbps en el caso del SG2505P (tiene puertos 2.5G Multigigabit).
El proceso de configuración está diseñado para ser intuitivo. Tras seleccionar los sitios a interconectar en el asistente, el sistema autogenera las políticas VPN necesarias, estableciendo un túnel IPsec funcional en menos de dos minutos durante nuestras pruebas. Lo que sí debemos tener en cuenta, es que el sitio que actúe como principal debe tener un IP pública (no funciona bajo CG-NAT), y si está detrás de un firewall debe tener abierto el puerto 4500 UDP para que se pueda establecer la comunicación.
En el primer menú tenemos que pinchar sobre «Crear dominio«, después le daremos un nombre a este dominio y elegiremos un sitio que sea el principal. A continuación, tenemos que seleccionar un sitio para que se conecte al principal. En el caso de tener más sitios, nos aparecerán varias opciones para añadirlo también a los túneles IPsec.
Ahora tendremos que configurar qué redes del sitio conectado puede ver del sitio principal, la comunicación será bidireccional. Esto nos permitirá compartir redes entre sí, aunque usen diferente direccionamiento IP, ya que hará NAT de forma completamente automática. Una vez que hayamos elegido las redes de parte del sitio conectado y sitio principal, pulsamos en «Crear dominio» y esperamos aproximadamente un minuto.
En estos instantes, se está estableciendo la comunicación IPsec entre ambos sitios, es fundamental que tengan conectividad entre sí para no tener ningún problema. En el estado del dominio podemos ver si todo está funcionando correctamente.
Aquí podéis ver cómo se realiza el establecimiento IPsec de la conexión, cuando hemos configurado el dominio, empezará la negociación de diferentes fases de IPsec, hasta que se establece totalmente.
En el menú principal de «Dominio» podemos ver el estado del dominio, y si existe algún tipo de problema. También nos informará sobre cuántos sitios se han conectado, porque podremos conectar múltiples sitios a un sitio central. También nos aparecerán las políticas que tenemos aplicadas en este momento, tanto de permitir como de denegar el tráfico. De forma predeterminada, todo el tráfico está denegado, así que tendremos que permitir tráfico de manera explícita.
En todo momento podremos ver si hay algún tipo de alerta en el dominio, es decir, si uno de los sitios se ha desconectado por algún motivo, o si hemos borrado el dominio. HPE Instant On nos avisará de todo.
En la sección de «Conexiones del sitio» es donde podemos ver los diferentes sitios conectados al principal. Veremos la integridad, el estado de la conexión, la duración de la conexión establecida, así como la IP de la WAN que tiene. También podremos ver el ancho de banda que hemos intercambiado. Por supuesto, también podemos ver en todo momento el estado del sitio principal, ya que es el más importante de todos porque el resto de sitios se conectarán a él.
En la sección de «Políticas» es donde podemos ver el listado de reglas que podemos aplicar en la conexión IPsec. Básicamente podemos permitir el acceso desde ciertas redes del sitio conectado, hacia ciertas redes del sitio principal. Por supuesto, la comunicación siempre será bidireccional entre ellos.
Como habéis visto, crear un túnel IPsec entre dos sitios es realmente sencillo, por lo que es perfecto para pequeñas empresas y negocios, que generalmente no disponen de personal de IT dedicado.
Actualización Instant On 3.3.0
HPE Instant On acaba de lanzar una actualización importante con la versión 3.3.0 que se está empezando a desplegar a todos los usuarios. Esta nueva versión incorpora las siguientes novedades:
- Políticas con IA más «inteligentes»: ahora el asistente admite políticas adicionales para usuarios con los dos modelos de Secure Gateway. Se pueden seguir creando políticas con lenguaje natural, como «Bloquear el tráfico del sitio web X.com», también «Detener la comunicación entre dos redes» o cualquier otra orden. Es decir, han mejorado esta característica tan importante.
- Servidor VPN con WireGuard para acceso remoto: una de las características que echávamos de menos es justamente no tener un servidor VPN. Ahora tenemos un servidor VPN con este protocolo tan rápido, seguro y fácil de configurar. El proceso de configuración es tan sencillo como ir al menú principal y pinchar en «Crear red», elegimos «VPN», y después pondremos el puerto de escucha, la dirección IP del cliente, y elegiremos qué VLANs (subredes) queremos usar para que los clientes accedan a ellas. Una vez terminado de configurar, nos descargaremos el archivo de configuración para nuestro cliente.
- Configuración de puertos y políticas RADIUS: muchos administradores de redes usan los mismos puertos en dos o más switches para sus configuraciones, ahora podemos guardar perfiles de puerto fácilmente para aplicarlo de forma global. En cuanto a las configuraciones de RADIUS, ahora también se ha agilizado el despliegue de estas configuraciones, y podemos crear un perfil en muy pocos pasos.
Como podéis ver, HPE Instant On no para de incorporar nuevas características y mejoras a su plataforma.
Conclusiones
HPE Instant On ha evolucionado enormemente en comparación con hace un año, incorporando los nuevos Secure Gateway e integrándolos a la perfección. Además, aunque han conservado la mayoría de menús de configuración, han añadido y extendido los ya existentes, para poner más opciones de configuración a nuestra disposición. Lo que más nos ha gustado, es que podemos crear políticas muy avanzadas de manera sencilla, con simplemente escribirle a la IA qué es lo que queremos hacer, sin necesidad de hacerlo manualmente desde cero como sí ocurre con otras soluciones similares para pequeños negocios.
En el siguiente vídeo podéis ver un completo recorrido a todos los menús y explicación de cómo se configuran ciertos aspectos de la red:
Si estabas buscando una solución completa que te proporcione un router, switches gestionables para extender la red cableada y alimentar APs, y los APs profesionales con múltiples opciones de configuración y políticas, la solución HPE Instant On es una de las mejores que puedes encontrar ahora mismo. Debemos recordar que, mientras otros fabricantes disponen de suscripciones obligatorias para usar la gestión en la nube, o que tienen un modelo «freemium» de suscripción para acceder a las opciones más avanzadas, Instant On es completamente gratuito, sin ningún coste oculto.
Preguntas frecuentes sobre HPE Instant On
¿Qué es HPE Instant On?
Es una solución de gestión de redes en la nube de Hewlett Packard Enterprise, diseñada para administrar de forma centralizada dispositivos como routers (Secure Gateways), switches y puntos de acceso Wi-Fi.
¿La gestión en la nube de HPE Instant On tiene algún coste o suscripción?
No, una de sus principales ventajas es que la plataforma de gestión en la nube es completamente gratuita, sin costes ocultos ni modelos de suscripción para acceder a funciones avanzadas.
¿Qué es un Secure Gateway en el ecosistema de Instant On?
El Secure Gateway es el dispositivo que actúa como router y firewall de la red. Gestiona la conexión a Internet, la seguridad (IDS/IPS) y la creación de túneles VPN.
¿Puedo conectar y gestionar las redes de diferentes oficinas con esta plataforma?
Sí, la plataforma permite crear “dominios” para establecer túneles VPN IPsec entre diferentes “sitios” (oficinas), siempre que cada uno disponga de un Secure Gateway, permitiendo una comunicación segura entre ellos.
¿Para qué sirve la función de IA en las políticas de seguridad?
La plataforma incluye un asistente basado en IA que ayuda a crear reglas de firewall complejas. El usuario puede describir en lenguaje natural lo que quiere permitir o bloquear, y la IA sugiere una política preconfigurada para simplificar el proceso.
