Análisis exhaustivo del HPE Instant On Secure Gateway SG2505P, un router profesional con características avanzadas

Un aspecto clave es que el SG2505P cuenta con todos los puertos LAN equipados con PoE+, permitiendo alimentar dispositivos directamente con una potencia de hasta 30W, y un presupuesto máximo de PoE de 60W. Así, tanto los puertos LAN/WAN como los LAN pueden suministrar energía a dispositivos conectados, ofreciendo un total de cuatro puertos PoE en este modelo.

Este Secure Gateway permite establecer túneles VPN utilizando el protocolo IPsec. Un detalle fundamental es que su procesador soporta aceleración de cifrado por hardware, lo que se traduce en velocidades reales de hasta 2,4Gbps, que es el máximo en sus interfaces 2.5G Multigigabit para WAN y LAN. En la sección de pruebas VPN, profundizaremos en esta funcionalidad y en el rendimiento que hemos logrado.

Es relevante mencionar que este modelo no incluye ventiladores; su refrigeración es completamente pasiva, lo que lo hace totalmente silencioso. Se puede colocar sobre un escritorio o en un armario rack, ya que dentro de la caja vienen todos los accesorios necesarios para su instalación en estas ubicaciones.

En nuestro vídeo de unboxing y primeras impresiones, podréis observar con detalle el diseño de este nuevo equipo y los puertos que posee:

Ahora, abordaremos las características principales del software.

Software

El Secure Gateway SG2505P forma parte de la familia HPE Instant On. Solo se necesita registrar el número de serie, esperar unos minutos para que el equipo sincronice y se actualice, y estará listo para administrar y gestionar toda la red de manera centralizada. La red local profesional se puede gestionar desde un navegador web o utilizando la app oficial de Instant On para dispositivos Android e iOS.

Algunas de las características de software disponibles en este equipo, que también estaban en el modelo SG1004, son las siguientes:

• IDS/IPS para protección contra amenazas: este sistema de seguridad monitorea todas las conexiones para detectar y bloquear intentos de intrusión y otras amenazas. En el menú de «Seguridad» se muestra el estado del IDS/IPS, donde se pueden configurar excepciones y activar o desactivar el sistema. Es importante señalar que no se cuenta con una configuración tan avanzada como la que ofrecerían herramientas como Snort o Suricata.
• Cortafuegos avanzado basado en reglas: el firewall se puede configurar con múltiples reglas, permitiendo o denegando el tráfico según sea necesario. También se puede gestionar el acceso a diferentes categorías de contenido en Internet, como contenido para adultos, deportes y política, entre otros. A partir de la versión 3.3.0, Instant On permite crear políticas basadas en IA, mejorando notablemente la creación de reglas mediante lenguaje natural.
• Bloqueo por aplicaciones: esta función trabaja en conjunto con el firewall, permitiendo gestionar el acceso a cualquier contenido que deseemos, añadiendo así una capa de control sobre los contenidos. Esta característica ya estaba presente en los APs profesionales.
• IPsec para conexiones Site-to-Site: si se tienen dos o más «Sitios» configurados en HPE Instant On, junto con un Secure Gateway en cada uno, se puede establecer una VPN Site-to-Site mediante «Dominios». Gracias a la aceleración de cifrado por hardware, se puede lograr un rendimiento entre sedes de hasta 2,4Gbps, ideal para transferencias de grandes volúmenes de datos.
• Servidor VPN con WireGuard: desde la versión 3.3.0 de Instant On, esta funcionalidad se ha implementado. Permite a clientes conectarse desde Internet a la red local, de manera rápida, segura y sencilla.
• Gestión de VLANs: este equipo permite crear subredes y trabajar con VLANs, pudiendo asignarlas como tagged o untagged en los distintos puertos. Todo está perfectamente integrado para su uso en switches y APs, y la configuración es bastante intuitiva.

En el siguiente vídeo podréis ver con detalle todas las opciones de la plataforma, aunque también explicaremos todas las opciones relacionadas con este SG2505P en la sección de funcionalidades de Instant On.

El precio de este equipo varía alrededor de los 450€, dependiendo de la tienda donde se adquiera. Un aspecto destacado es que no se requieren pagos por licencias, ya que el uso de la nube es completamente gratuito para siempre.

Análisis externo

El nuevo HPE Instant On Secure Gateway SG2505P se presenta en una caja de grandes dimensiones con los colores característicos de la marca. En la parte frontal se puede ver el modelo del equipo, algunas de sus características principales como el sistema de detección y prevención de intrusiones, y la capacidad para alimentar puntos de acceso a través de los puertos PoE. También se menciona que la configuración del equipo puede realizarse de manera remota, ya que todo se basa en la nube. En la parte trasera de la caja se incluye una comparativa breve entre el SG1004 y el SG2505P, destacando que este último cuenta con puertos 2.5G Multigigabit para WAN y LAN, además de puertos PoE para alimentar APs Wi-Fi profesionales.

En el lateral derecho de la caja se encuentran las especificaciones técnicas más relevantes, como los puertos Multigigabit para WAN y LAN, además de la posibilidad de instalarlo sobre una mesa o en un armario rack. También se informa sobre las características de software, como la inclusión de un firewall, un sistema IDS/IPS, soporte para VPN, y un sistema para monitorear las aplicaciones usadas en la red local. Finalmente, en el lateral izquierdo se pueden observar las certificaciones del router, así como el número de serie, la dirección MAC y otra información pertinente, junto a la guía de instalación en tres pasos.

En el interior de la caja de este router profesional, se incluyen el equipo, la documentación y todos los accesorios proporcionados por HPE. El contenido de la caja es el siguiente:

• HPE Instant On Secure Gateway SG2505P.
• Cable de alimentación para AC, con fuente de alimentación interna.
• Tornillos y tacos para su instalación en la pared.
• Tacos de goma para colocar el router sobre una mesa.
• Soportes y tornillería para instalar el SG2505P en un armario rack.
• Tarjeta con código QR para descargar la app móvil.
• Garantía limitada del producto, recomendaciones de seguridad y otra información relacionada con el equipo.

La documentación proporcionada por HPE incluye una tarjeta con un código QR para descargar la app Instant On para Android o iOS, que se utilizará para realizar la instalación y puesta en marcha del equipo. La facilidad de instalación y configuración de los dispositivos Instant On es uno de sus mayores atractivos. También se incluye la garantía limitada del router, información regulatoria, recomendaciones de seguridad, entre otros.

En cuanto a los accesorios incluidos, este SG2505P puede instalarse sobre una mesa (gracias a los tacos de goma antideslizantes) o en un armario rack (con los soportes y la tornillería necesarias). Además, se incluye un cable de alimentación AC, ya que la fuente de alimentación es interna.

En la parte superior del equipo se encuentra el logo de Instant On y de HPE, además de una pequeña rejilla de ventilación para asegurar una adecuada refrigeración de los componentes internos. En la parte frontal se sitúan los diferentes LEDs de estado del equipo, que indican el estado de la WAN cuando se usa USB, los dos puertos Gigabit para LAN, el puerto Gigabit WAN/LAN, el puerto 2.5G Multigigabit para WAN/LAN, así como el estado de la conexión 2.5G WAN. A la derecha, se encuentran los LEDs de sincronización con la nube, el estado de la WAN de Internet y el estado del PoE. También se encuentran el botón de modo LED y el de RESET para restaurar a valores de fábrica.

En el lateral derecho del router se puede observar una gran rejilla de ventilación y los agujeros correspondientes para los soportes del rack. En el lateral izquierdo ocurre lo mismo, con rejilla de ventilación y agujeros para los soportes.

En la parte trasera se encuentran todas las conexiones. Se dispone del conector de alimentación AC, junto a una abertura para colocar una brida y evitar que un tirón del cable de alimentación desconecte el router. En el centro están el puerto 2.5G Multigigabit dedicado para WAN, el puerto 2.5G WAN/LAN, el puerto 1G para WAN/LAN, y los dos puertos 1G para LAN. El equipo también cuenta con un puerto USB que se puede utilizar como WAN secundaria, ideal para instalar un módem 4G o 5G en caso de fallo. El código QR presente es el número de serie, facilitando su alta.

En la parte inferior hay una etiqueta con todas las certificaciones que ha pasado el router, junto con sus características eléctricas de entrada, el número de serie y la dirección MAC del equipo.

Como habéis podido apreciar, este nuevo router SG2505P es un modelo realmente atractivo, ya que incluye puertos 2.5G y proporciona PoE para alimentar APs profesionales directamente. Ahora nos trasladaremos al laboratorio de pruebas para mostraros el rendimiento real del equipo.

Laboratorio de pruebas

En este laboratorio de pruebas, evaluaremos el rendimiento real de este Secure Gateway SG2505P en diversas pruebas que realizamos a todos los routers profesionales. Se llevarán a cabo pruebas de rendimiento LAN-LAN, Inter-VLAN (dado que el router soporta VLANs en la red local), así como pruebas LAN-WAN y pruebas con la VPN IPsec.

Toda la información sobre la metodología de pruebas y el hardware utilizado está disponible en nuestro banco de pruebas, que se actualiza constantemente. Si es la primera vez que veis un análisis nuestro, os recomendamos que lo reviséis para entender cómo realizamos las pruebas. A continuación, se presentan todas las pruebas realizadas y nuestras conclusiones.

Pruebas LAN-LAN

En estas pruebas LAN utilizaremos iperf3 para observar el comportamiento del router con múltiples hilos en la red local. Este router cuenta con un puerto 2.5G Multigigabit y puertos Gigabit Ethernet para la LAN. En las siguientes capturas se puede ver el rendimiento que hemos obtenido con los diferentes puertos, utilizando 100 hilos concurrentes, tanto para descarga como para subida.

En la primera prueba, hemos empleado los dos puertos 1G para realizar el test de velocidad, tanto en descarga como en subida.

En la segunda prueba, utilizamos un puerto 2.5G Multigigabit y otro puerto 1G para la LAN, donde el resultado debería ser similar al anterior, ya que la velocidad máxima será la del puerto más lento.

Como se puede observar, hemos alcanzado el máximo de la interfaz Gigabit Ethernet, es decir, 0,94Gbps.

Conclusiones LAN-LAN

El rendimiento LAN-LAN del SG2505P ha sido sobresaliente en todas las pruebas, tanto en descarga como en subida. En cada prueba de rendimiento se alcanzó la máxima velocidad de la interfaz Gigabit Ethernet (la más lenta de cada prueba), por lo que el rendimiento es excelente y no habrá problemas de velocidad.

Pruebas Inter-VLAN

Este SG2505P permite configurar VLANs. Por ejemplo, se puede configurar un puerto LAN como untagged en una VLAN previamente configurada, y utilizar otro puerto LAN como untagged en una VLAN diferente. En estas pruebas Inter-VLAN, emplearemos iperf3 para analizar el comportamiento con múltiples hilos en la red local, tanto en descarga como en subida, utilizando 100 hilos TCP concurrentes. A continuación, se muestran los resultados obtenidos con los diferentes puertos.

En la primera prueba, utilizamos los dos puertos 1G para realizar el test de velocidad, tanto en descarga como en subida, entre las dos VLANs configuradas.

En la segunda prueba, utilizamos los puertos 2.5G y 1G para llevar a cabo el test de velocidad, tanto en descarga como en subida, entre las dos VLANs configuradas.

Como era de esperar, hemos logrado la máxima velocidad de la interfaz Gigabit Ethernet, por lo que el rendimiento es excelente.

Conclusiones Inter-VLAN

El rendimiento Inter-VLAN logrado por este equipo ha sido excepcional en todas las pruebas, alcanzando también el máximo rendimiento de la interfaz Gigabit Ethernet. No importa cuántas VLANs se configuren, el rendimiento al transferir tráfico entre ellas será siempre óptimo.

Pruebas LAN-WAN

En esta prueba de rendimiento, simularemos el comportamiento del router con programas P2P de forma intensiva hacia Internet. El router incorpora NAT por hardware y el firmware incluye esta funcionalidad, por lo que se espera una gran velocidad cableada. Utilizaremos el puerto 2.5G Multigigabit principal como WAN de Internet, y los puertos de la LAN a 2.5G y 1G para realizar las pruebas. En las pruebas, usaremos iperf3 con 100 hilos TCP concurrentes, tanto en descarga como en subida. La conexión WAN ha sido configurada con DHCP y PPPoE, obteniendo resultados similares en ambos casos.

En la primera prueba, utilizamos el puerto 1G para la LAN, por lo que la velocidad máxima que obtendremos será de 1Gbps, debido a la limitación del puerto LAN.

En la segunda prueba, utilizamos el puerto 2.5G para la LAN, lo que nos permite alcanzar una velocidad máxima de 2.5Gbps.

Como se puede observar, el rendimiento obtenido es excelente, alcanzando casi el máximo de la interfaz 2.5G Multigigabit que ofrece este equipo. También hemos realizado pruebas con el protocolo PPPoE de forma local, y los resultados son idénticos. Si tu proveedor utiliza DHCP o PPPoE, con este equipo podrás alcanzar 2,5Gbps de velocidad sin inconvenientes.

Conclusiones LAN-WAN

La velocidad alcanzada en todas las pruebas ha sido excelente en términos generales. Con este router es posible obtener una velocidad real de hasta 2.5Gbps al utilizar el puerto Multigigabit; de lo contrario, se alcanzará 1Gbps. Este modelo es ideal para conexiones de hasta 2,5Gbps, considerando que lo habitual será utilizar switches Multigigabit en la red, y, por ende, se usará el troncal de 2,5Gbps para proporcionar servicio a este switch.

Pruebas IPsec Site-to-Site

Este equipo permite crear túneles VPN entre diferentes «Sitios», siempre que se disponga de un Secure Gateway en cada sede. En el menú de «Dominios» se puede configurar un sitio central y luego establecer el resto de sitios como «clientes». HPE Instant On utiliza el protocolo IPsec IKEv2 para establecer los túneles de manera segura; si utilizamos una herramienta como Wireshark, podemos observar el establecimiento de dicha conexión.

El rendimiento logrado entre dos SG2505P es notable, alcanzando 2,3Gbps de velocidad, el máximo de sus interfaces 2.5G Multigigabit para WAN y LAN. Es relevante recordar que cuenta con un potente procesador que soporta aceleración de cifrado por hardware, por lo que el rendimiento será sobresaliente. Esto resulta ideal para conectar sedes a velocidades de hasta 2,3Gbps.

Como habéis visto, el rendimiento de la VPN entre dos SG2505P es excepcional, logrando casi el máximo de las interfaces 2.5G Multigigabit tanto para WAN como para LAN.

Pruebas de servidor VPN con WireGuard

En nuestra plataforma HPE Instant On 3.3.0, ya contamos con la nueva funcionalidad de servidor VPN utilizando WireGuard, así que hemos podido evaluar el rendimiento en descarga y subida que ofrece su VPN integrada. El rendimiento real que hemos conseguido con este SG2505P es el siguiente:

Como se puede observar, se alcanzan 530Mbps en descarga y 485Mbps en subida, lo cual es un rendimiento sobresaliente, aunque es importante señalar que el túnel IPsec entre sedes es claramente más rápido, debido a la aceleración IPsec. No obstante, esta opción será suficiente para la mayoría de los usuarios que necesiten acceso remoto a los recursos de su red local doméstica.

Opciones de configuración en HPE Instant On

HPE Instant On ha experimentado un cambio significativo desde el año pasado. Han añadido soporte para los nuevos Secure Gateway, han cambiado de dirección y mejorado la interfaz gráfica de usuario. Sin embargo, lo que persiste es la facilidad para instalar y gestionar nuevos dispositivos, todo ello desde la web o usando la aplicación móvil.

Asistente de instalación de dispositivos

La plataforma en la nube permite ingresar el SN (Número de Serie) del Secure Gateway, y automáticamente detectará todos los dispositivos HPE Instant On conectados a él. En nuestro caso, al ingresar este SN, también se reconoció un switch gestionable y un AP profesional, permitiendo la instalación de todos simultáneamente sin complicaciones.

En el menú principal de «Dispositivos» se presenta un resumen de todos ellos. Se listan diversos dispositivos, mostrando su integridad, estado, tipo de dispositivo, modelo, dirección MAC y dirección IP privada. Desde este menú, se tiene una visión general de todos los dispositivos HPE Instant On registrados.

Si accedemos al «Sitio» general, podemos ver el estado de toda la red. Se puede observar la integridad de la red, alertas, el número de clientes conectados por cable e inalámbricos, las redes LAN configuradas, la WAN y cuántos dispositivos HPE Instant On se han dado de alta. También se puede monitorear las amenazas, el tráfico de aplicaciones y las políticas implementadas.

Como habéis podido ver, la instalación de estos dispositivos es realmente sencilla; solo es necesario ingresar un SN para detectar el resto de dispositivos, siempre y cuando estén conectados entre sí.

Configuración del SG2505P

Al acceder a la configuración principal del dispositivo, se puede cambiar el nombre del equipo, activar los LEDs para ubicarlo físicamente con mayor facilidad, además de configurar el comportamiento de los LEDs de estado, reiniciar el dispositivo o incluso eliminarlo de la red.

Este modelo tiene un total de cinco puertos Ethernet: dos puertos 2.5G Multigigabit y tres puertos Gigabit. El software permite configurar ciertos puertos como WAN de Internet o como LAN. Desde este menú, se pueden definir detalladamente los puertos disponibles y las VLAN que se tengan configuradas. Es posible configurar las VLAN por puerto sin complicaciones, ya sea como tagged o untagged.

Gracias a la opción de «Asignación de redes», se puede definir la configuración de las VLANs, ya sean como T (tagged) o U (untagged). También hay una opción importante para indicar que un puerto no tenga acceso a ninguna red VLAN, todo es configurable con bastante detalle.

Si se presentan problemas de conectividad, hay un menú específico en este SG2505P para realizar pruebas de conectividad mediante tracert. Solo es necesario ingresar la IP de destino, y se realizará un traceroute hacia el destino definido.

A continuación, mostraremos todas las opciones disponibles en el menú «Dispositivos».

Dispositivos

En este menú se puede ver una topología de los dispositivos conectados. Por supuesto, se puede acceder a cualquier dispositivo de manera bastante detallada, haciendo clic en el equipo y seleccionando «Ver detalles» para entrar en su configuración.

Si se tiene un AP registrado, aparecerán las opciones para administrar la potencia del radio, tanto de la banda de 2.4GHz como de 5GHz. Se pueden seleccionar los canales disponibles en modo automático, el ancho del canal, así como la potencia de transmisión de cada banda de frecuencia. Estas configuraciones se aplicarán de forma global a todos los APs, y luego se pueden ajustar individualmente.

En la sección de «Protección de bucle», se puede configurar el Spanning-Tree, específicamente el RSTP, para prevenir bucles a nivel de capa de enlace. Finalmente, dado que el SG2505P soporta PoE, se puede establecer un horario para proporcionar o no energía a los puertos.

HPE Instant On es altamente configurable, además, muchas de las configuraciones se aplicarán de forma global automáticamente, sincronizando todos los dispositivos sin necesidad de realizar acciones adicionales.

Integridad y alertas

En el menú de «Integridad», se puede verificar si la red de HPE Instant On está funcionando correctamente o si existe algún tipo de problema. En eventos, se pueden consultar todos los registros de lo que está ocurriendo. En el menú de alertas, se recibirán notificaciones si hay problemas graves, como la desconexión de algún dispositivo, la eliminación de una red o eventos similares.

Es importante considerar que, con una gestión en la nube como la de HPE Instant On, no se requerirá un servidor de syslog, ya que todo se almacenará en la nube de forma transparente.

Clientes

En el menú de «Clientes» se puede acceder a un listado de todos los clientes cableados e inalámbricos actualmente en la red. Se mostrará el nombre del dispositivo, su estado, si está en línea, la duración de la conexión, en qué red se ha conectado, el tipo de dispositivo, dirección MAC, IP privada y el dispositivo de Instant On al que se ha conectado, así como la interfaz o banda Wi-Fi utilizada.

Desde este menú se tiene una visión general de todos los dispositivos en la red local. Además, se puede añadir a la lista de observación a dispositivos críticos, como cámaras IP, servidores u otros dispositivos que deben permanecer conectados.

Redes

En el menú de «Redes» se ofrece una visión global de todas las redes creadas, tanto cableadas como inalámbricas. Se puede revisar el estado de configuración de la WAN de Internet, así como la configuración de la redundancia de la WAN y otros ajustes relacionados. Al acceder a la red principal predeterminada, se pueden realizar los siguientes ajustes:

• Cambiar el nombre de la red.
• Verificar su integridad.
• Configurar la VLAN definida en esta red.
• Activar IGMP Snooping.
• Configurar la protección contra ataques DHCP y ARP.

Otras opciones disponibles incluyen la asignación de direcciones IP, configuración de DNS, reservas de direcciones IP privadas con DHCP estático, y asignación de redes a diferentes puertos, switches gestionables y APs. También se puede habilitar el control de acceso, que se aplicará tras configurar la «Política» correspondiente.

Para otras redes creadas, se tienen las mismas opciones de configuración disponibles. Al modificar algún aspecto de la red, todos los dispositivos «afectados» se sincronizarán automáticamente.

En la sección de WAN se pueden configurar estas opciones:

• Tipo de conexión a Internet: DHCP, IP estática y PPPoE.
• Ver estado de la conexión.
• Configurar el puerto WAN con VLAN o sin VLAN.

Si se dispone de FTTH, es necesario conectar la ONT del proveedor al puerto WAN, y posiblemente será necesario establecer el VLAN ID para acceder a Internet. De lo contrario, no se podrá obtener la IP proporcionada por el proveedor. En cuanto a la segunda WAN, se puede configurar en cualquier momento, teniendo las mismas opciones que la principal.

Con varias WAN (doble WAN e incluso por USB), se pueden gestionar de dos maneras:

• Conmutación por error: solo la WAN 1 está activa, mientras que la secundaria permanece en espera de que la principal falle. Este modo es ideal si hay una conexión rápida y otra lenta.
• Equilibrio de carga: ambas WAN operan simultáneamente, distribuyendo el tráfico. Es óptimo si se tienen dos conexiones de velocidades similares.

Finalmente, en la sección de «Portal de invitado» se configura el portal cautivo para la red Wi-Fi de invitados. Se puede personalizar la interfaz gráfica de usuario, tanto para PC como para móviles.

Ahora que ya conocéis todo lo que se puede hacer en «Redes», veamos otros menús.

Seguridad

En esta sección se abordan todas las funciones del IDS/IPS (Sistema de Detección y Prevención de Intrusiones). Se puede consultar la lista de amenazas detectadas y bloqueadas, así como las excepciones de amenazas, opciones de gestión y la posibilidad de desactivar el IDS/IPS si así se desea. Otra opción es configurar el firewall de Internet, aunque esto se manejará en el menú específico de «Políticas».

Una limitación significativa del IDS/IPS es su naturaleza de «caja negra». Aunque detecta y bloquea amenazas automáticamente, no permite personalizar reglas o analizar logs de eventos en profundidad, a diferencia de plataformas abiertas como Snort o Suricata. Esto puede ser un inconveniente para empresas que necesiten auditorías de seguridad exhaustivas.

Aplicaciones

En el menú de «Aplicaciones» se pueden ver las diferentes categorías disponibles, así como la opción de permitir o denegar su acceso. Esta funcionalidad ya se contaba anteriormente al establecer un AP profesional, pero ahora se puede aplicar a nivel de red de forma muy sencilla.

Un aspecto que apreciamos de HPE Instant On es la capacidad de realizar configuraciones complejas con un simple clic, lo que permite permitir o denegar categorías de forma sencilla sin necesidad de configurarlas manualmente en diferentes listas.

Políticas

En este menú se gestionan las políticas más relevantes en cuanto a seguridad: las reglas del firewall. Se puede permitir o denegar el tráfico deseado, y la incorporación de IA en la nube permite expresar en lenguaje natural lo que se desea hacer, sugiriendo automáticamente una política a aplicar. Esta política puede ser aceptada o editada para ajustarla a las necesidades específicas.

Como habéis podido ver, la renovada plataforma de HPE Instant On es realmente potente, y se integra a la perfección con los diferentes dispositivos de la marca.

Os recomendamos ver el siguiente vídeo, donde hacemos un recorrido por todas las opciones del menú de configuración vía web:

Hasta aquí hemos llegado con el análisis de todas las opciones de HPE Instant On, así como la revisión del HPE Instant On Secure Gateway SG2505P, un equipo muy interesante para una red local profesional, especialmente con velocidades Multigigabit.

Conclusiones finales

El HPE Instant On Secure Gateway SG2505P es el modelo superior al SG1004 que revisamos anteriormente en RedesZone. Si necesitas velocidades de hasta 2,5Gbps gracias a sus puertos Multigigabit, y soporte PoE para conectar directamente uno o dos APs profesionales, es una mejor opción que el SG1004. Este equipo está diseñado para ser el núcleo de la red en oficinas y pequeñas y medianas empresas. Si ya cuentas con dispositivos HPE Instant On, la integración y configuración es rápida, ya que todo se gestiona en la nube y se puede ajustar la red con gran detalle. Este modelo cuenta con un hardware potente, y el rendimiento demostrado en las pruebas ha sido impecable. Además, la posibilidad de configurar doble WAN es excelente para mantener una conexión constante a Internet.

El rendimiento LAN-LAN e Inter-VLAN ha sido sobresaliente en todas las pruebas, logrando la máxima velocidad en los puertos 1G y 2.5G. En cuanto al rendimiento LAN-WAN, también ha sido excepcional, alcanzando hasta 2,3Gbps con los puertos 2.5G Multigigabit. En lo que respecta al rendimiento de la VPN IPsec, el procesador con aceleración de cifrado por hardware ha permitido lograr esos 2,3Gbps que ofrece la WAN de Internet, por lo que el rendimiento es impecable en este ámbito. Finalmente, valoraremos la velocidad del servidor VPN con WireGuard una vez que lo probemos.

Este equipo se integra perfectamente con HPE Instant On, permitiendo gestionar todo desde la nube, sin necesidad de acceder localmente. En la plataforma se puede monitorear, gestionar y administrar tanto este equipo como el resto de switches y APs de la red profesional. Con este router profesional, se pueden configurar en detalle la doble WAN, las distintas VLANs para segmentar el tráfico adecuadamente, el IDS/IPS para protegerse de amenazas externas, las reglas del firewall basadas en IA para facilitar la configuración, y una amplia gama de funciones que ya hemos mencionado.

También es relevante destacar la posibilidad de establecer túneles VPN con IPsec entre «Sitios», facilitando la conexión de diferentes sedes de forma sencilla y veloz, lo cual se realiza directamente en «Dominios». En cuanto al servidor VPN con WireGuard, se ha implementado en la versión 3.3.0 o posterior, y lo valoraremos cuando esté disponible en nuestro entorno.

Aunque HPE Instant On es una plataforma robusta y completa, se echan de menos algunas características para entornos más avanzados. Por ejemplo, no se tiene soporte para VPN de OpenVPN ni WireGuard (en modo cliente, ya que en modo servidor sí está disponible a partir de la versión 3.3.0); tampoco hay opciones de configuración avanzadas para IPsec, ya que solo se pueden definir redes de origen y destino, sin más parámetros de seguridad. Finalmente, las opciones del IDS/IPS son limitadas; no se puede configurar como con Snort o Suricata, ya que solo se permite añadir excepciones ante falsos positivos.

Es importante señalar que la gestión y administración de HPE Instant On es completamente gratuita, sin suscripciones ni pagos adicionales para acceder a más opciones. En esta plataforma se encuentran la mayoría de características que cualquier oficina o pequeña empresa podría necesitar, aunque en ciertos casos las opciones disponibles podrían resultar insuficientes. Para ello, es recomendable evaluar si se ajusta a tus necesidades o no.

Puntos fuertes

• Hardware con puertos 2.5G Multigigabit para WAN y WAN/LAN, y un potente procesador con aceleración de cifrado por hardware.
• Dispone de puertos PoE+ con hasta 30W de potencia por puerto, y un presupuesto total de 60W para PoE.
• Rendimiento LAN-LAN excelente, alcanzando hasta 0,95Gbps reales, el máximo de la interfaz Gigabit.
• Rendimiento Inter-VLAN excepcional, alcanzando hasta 0,95Gbps, el máximo de la interfaz Gigabit.
• Rendimiento LAN-WAN sobresaliente, con DHCP y PPPoE, alcanzando hasta 2,3Gbps reales usando el puerto 2.5G Multigigabit para LAN.
• Rendimiento VPN con IPsec excelente (2,3Gbps simétricos) y rendimiento VPN con WireGuard sobresaliente (alrededor de 500Mbps simétricos).
• Doble WAN de Internet con balanceo de carga y conmutación por error. Se incluye un puerto USB para usar un módem 4G/5G como segunda WAN.
• Gestión centralizada en la nube de HPE Instant On, con opciones de configuración avanzadas, como se ha detallado en este análisis.
• Protocolo VPN IPsec para Site-to-Site y el protocolo WireGuard para acceso remoto.
• Diseño metálico y orientado a PyMEs, apto para instalación en armarios rack.
• Precio: el PVP es de 450€, con gestión en la nube gratuita de por vida sin licencias requeridas.

Puntos débiles

• En las VPN, no se tiene soporte para clientes/servidores de OpenVPN ni cliente para WireGuard. Las opciones de configuración en IPsec son limitadas.
• Las opciones en el IDS/IPS son restringidas, a diferencia de lo que se puede hacer con Snort o Suricata.
• El firewall carece de suficientes opciones avanzadas para las reglas, lo que podría resultar insuficiente para algunas empresas.

La valoración que otorgamos a este gateway de seguridad profesional HPE Instant On Secure Gateway SG2505P, tras analizar el rendimiento real del equipo, las opciones de configuración de la plataforma Cloud del fabricante y su precio de 450€, es de 9/10.

Esperamos que este análisis haya sido de vuestro agrado; si tenéis alguna pregunta, no dudéis en dejarnos un comentario y estaremos encantados de responder.