UniFi PPSK: Funktionsvergleich und Bereitstellungsmodelle

Willkommen zum Purple Technical Briefing. Heute befassen wir uns mit UniFi PPSK - was es ist, wo es in Ihr Netzwerkdesign-Toolkit passt und vor allem, wann Sie es im Vergleich zu den Alternativen einsetzen sollten. Lassen Sie mich die Ausgangslage beschreiben. Sie sind ein Bauträger, ein BTR-Betreiber oder ein IT-Manager, der für ein Gebäude mit Hunderten von Bewohnern oder Mietern verantwortlich ist. Sie benötigen WiFi, das jeden Haushalt von den anderen isoliert, Smart-Home-Geräte unterstützt und von Ihnen nicht verlangt, dass Sie bei jedem Auszug ein gemeinsames Passwort ändern. Das ist das Problem, für dessen Lösung PPSK entwickelt wurde - und es lohnt sich, sowohl die Stärken als auch die harten Grenzen zu verstehen, bevor Sie sich dafür entscheiden. Was genau ist also PPSK? PPSK steht für Private Pre-Shared Key. Es handelt sich um eine in UniFi Network integrierte Funktion, mit der Sie eine einzige WiFi-SSID mit mehreren verschiedenen Passwörtern betreiben können, wobei jedes Passwort einem bestimmten VLAN zugeordnet ist. Das Konzept ist einfach. Anstelle eines einzigen gemeinsamen Passworts für alle vergeben Sie ein anderes Passwort an jeden Mieter, jede Gerätegruppe oder jeden Anwendungsfall. Wenn sich ein Gerät mit diesem Passwort verbindet, weist der UniFi-Controller es automatisch dem entsprechenden VLAN zu. Kein RADIUS-Server erforderlich. Keine Zertifikate. Keine komplexe 802.1X-Infrastruktur. Je nachdem, mit welchem Anbieter Sie sprechen, wird PPSK unterschiedlich bezeichnet. Aruba nennt es MPSK. Cisco Meraki nennt es iPSK. Ruckus nennt es DPSK. Das zugrundeliegende Konzept ist bei allen gleich: eine SSID, viele Schlüssel, wobei jeder Schlüssel an ein Netzwerksegment gebunden ist. Die Implementierung von UniFi heißt PPSK und ist nativ im UniFi Network-Controller ohne zusätzliche Lizenzkosten integriert. Kommen wir zur technischen Architektur. Wenn Sie PPSK auf einer UniFi-SSID aktivieren, erstellen Sie ein WPA2-Personal-Netzwerk mit mehreren Pre-Shared Keys. Jeder Schlüssel ist einer bestimmten VLAN-ID zugeordnet, die Sie bereits in Ihrem UniFi-Switch und -Controller konfiguriert haben. Wenn sich ein Client-Gerät mit einem dieser Schlüssel authentifiziert, kennzeichnet der Access Point den Datenverkehr des Clients mit der entsprechenden VLAN-ID, bevor er ihn weiterleitet. Der Client verhält sich genau so, als ob er sich in einem dedizierten VLAN befände - isoliert von Clients in anderen VLANs, mit eigenem DHCP-Bereich und eigenen Firewall-Regeln. Dies ist für verschiedene Szenarien äußerst nützlich. In einem Wohngebäude geben Sie jeder Wohnung ihren eigenen PPSK. Alle Geräte in dieser Wohnung - Telefone, Laptops, Smart-Speaker, Spielekonsolen - verbinden sich mit demselben Schlüssel und landen im selben VLAN. Sie können sich gegenseitig erkennen, Inhalte streamen und sich miteinander koppeln, genau wie in einem Heimnetzwerk. Aber sie sind für die Wohnung nebenan völlig unsichtbar. In einem Hotel können Sie PPSK verwenden, um den Datenverkehr von Gästen vom Datenverkehr des Personals und von IoT-Geräten wie Smart-TVs und Türschlössern zu trennen - alles auf einer einzigen SSID. In einer Einzelhandelsumgebung können Sie Zahlungsterminals in einem eigenen VLAN isolieren, um die Einhaltung von PCI-DSS zu unterstützen, während die Geräte der Mitarbeiter und das WiFi der Kunden in separaten Segmenten verbleiben.Nun gibt es eine entscheidende Einschränkung, die Sie verstehen müssen, bevor Sie fortfahren. PPSK ist ein reines WPA2-Feature. Es funktioniert nicht mit WPA3. Und da das 6-GHz-Band - das von WiFi 6E und WiFi 7 genutzt wird - WPA3 vorschreibt, können Sie PPSK nicht auf 6-GHz-Funkbändern nutzen. Dies ist keine spezifische Einschränkung von UniFi. Es ist eine fundamentale Einschränkung des 802.11-Standards. WPA3 erlaubt derzeit nur einen einzigen Pre-Shared Key pro SSID, sodass die Multi-Key-Architektur, auf der PPSK basiert, schlicht inkompatibel mit WPA3 ist. Was bedeutet das in der Praxis? Wenn Sie PPSK auf einer SSID aktivieren, wird diese SSID nur auf 2,4 GHz und 5 GHz übertragen. Ihre neueren WiFi 6E und WiFi 7 Access Points werden ihre 6-GHz-Funkbänder nicht für dieses Netzwerk nutzen. Für die meisten Wohngebäude-Installationen heute ist das akzeptabel. Aber es ist eine Einschränkung, die Sie in Ihren Fünfjahres-Netzwerkplan einkalkulieren müssen, insbesondere da sich die Einführung von WiFi 7 beschleunigt. Vergleichen wir PPSK direkt mit den beiden wichtigsten Alternativen: RADIUS mit 802.1X und einer Cloud-gesteuerten iPSK-Lösung wie Purple. RADIUS mit 802.1X - auch WPA2-Enterprise oder WPA3-Enterprise genannt - ist der Goldstandard für die Authentifizierung in Unternehmen. Jeder Benutzer oder jedes Gerät hat eindeutige Zugangsdaten. Der RADIUS-Server validiert diese Zugangsdaten und weist den Client dynamisch einem VLAN zu. Er unterstützt WPA3, funktioniert auf 6 GHz und lässt sich für eine unbegrenzte Anzahl von Benutzern skalieren. Der Nachteil ist die Komplexität. Sie benötigen einen RADIUS-Server, der entweder lokal oder in der Cloud gehostet wird. Wenn Sie EAP-TLS nutzen, müssen Sie Zertifikate verwalten. Und was besonders schwer wiegt: Viele IoT-Geräte - wie Smart Speaker, Spielekonsolen oder Smart-Home-Sensoren - können sich überhaupt nicht mit 802.1X-Netzwerken verbinden. UniFi PPSK liegt genau dazwischen. Es ist einfacher als RADIUS - keine Serverinfrastruktur erforderlich, keine Zertifikate, funktioniert mit jedem Gerät. Aber es ist weniger skalierbar. Die native PPSK-Implementierung von UniFi speichert Schlüssel lokal auf dem Controller. Das praktische Limit für die meisten Implementierungen liegt im niedrigen dreistelligen Bereich bei den Schlüsseln. Für ein Gebäude mit 50 Wohneinheiten ist das in Ordnung. Bei einer Anlage mit 500 Einheiten stoßen Sie schnell an Grenzen bei der Verwaltung. Hier verändert ein Cloud-Overlay wie Purple die Gleichung. Die Multi-Tenant-WiFi-Lösung von Purple läuft auf Ihrer vorhandenen UniFi-Hardware. Sie verwaltet den Lebenszyklus der Schlüssel zentral in der Cloud. Wenn ein neuer Bewohner einzieht, stellt Purple seinen Schlüssel automatisch bereit. Wenn er auszieht, widerruft Purple ihn. Die Geräte des Bewohners verlieren sofort den Zugriff, ohne dass andere Bewohner davon betroffen sind. Purple integriert sich mit Microsoft Entra ID und Okta, um diesen Lebenszyklus vollständig zu automatisieren. Gehen wir nun zwei reale Bereitstellungsszenarien durch. Szenario eins: Eine BTR-Wohnanlage (Build to Rent) mit 120 Einheiten. Der Betreiber möchte, dass die Bewohner vom ersten Tag an ein heimisches WiFi-Erlebnis haben - kein Warten auf einen Breitbandtechniker, keine gemeinsam genutzten Passwörter, volle Smart-Home-Unterstützung. Die Hardware ist durchgängig UniFi. Jeder Bewohner erhält einen eindeutigen Schlüssel, der über die Purple-Plattform bereitgestellt und mit seinem Mietvertrag verknüpft ist. Ihre Geräte landen in einem dedizierten VLAN. Chromecast funktioniert. Gaming-Konsolen erhalten ein offenes NAT. Smart Speaker lassen sich korrekt koppeln. Wenn ein Bewohner auszieht, wird der Schlüssel in Sekundenschnelle widerrufen. Der Betreiber meldet in den ersten drei Monaten eine Reduzierung der WiFi-bezogenen Support-Tickets um 40%. Szenario zwei: Ein Hotel mit 200 Zimmern, das UniFi-Access-Points nutzt. Das IT-Team muss das WiFi für Gäste, Personal und IoT-Geräte - Smart-TVs, Türschlösser, HLK-Sensoren - segmentieren, ohne für jedes Gerät eine eigene SSID zu betreiben. Sie aktivieren PPSK nativ in UniFi. Drei Schlüssel: einer für Gäste, einer für Mitarbeiter, einer für IoT. Drei VLANs. Eine SSID. Das Ergebnis: eine saubere HF-Umgebung mit weniger SSIDs, klarer Datenverkehrsegmentierung und PCI-DSS-Konformität für die Zahlungssysteme im Mitarbeiter-VLAN. Lassen Sie mich Ihnen die Implementierungsfallen nennen, auf die Sie achten sollten. Erstens: VLAN-Konfiguration vor PPSK. Sie müssen Ihre VLANs im UniFi-Switch und -Controller konfigurieren, bevor Sie PPSK-Einträge erstellen. Erstellen Sie Ihre Netzwerksegmentierung immer zuerst. Zweitens: Die 6-GHz-Falle. Wenn Sie WiFi 6E oder WiFi 7 Access Points einsetzen und 6 GHz für Bereiche mit hoher Dichte nutzen möchten, können Sie PPSK in diesen Netzwerken nicht verwenden. Planen Sie Ihre SSID-Architektur entsprechend. Drittens: Schlüsselverwaltung in großem Maßstab. Wenn Sie mehr als 100 Einheiten nativ in UniFi ohne ein Cloud-Overlay verwalten, werden Sie die Schmerzen der manuellen Schlüsselbereitstellung schnell zu spüren bekommen. Viertens: mDNS und Geräteerkennung. Standardmäßig können sich Geräte in verschiedenen VLANs nicht gegenseitig erkennen. Wenn Sie möchten, dass Chromecast oder AirPlay innerhalb des VLANs eines Bewohners funktionieren, muss die mDNS-Reflektion aktiviert sein. UniFi unterstützt dies, es muss jedoch explizit pro VLAN konfiguriert werden. Schnelle Fragen. Kann ich PPSK und RADIUS auf demselben UniFi-Controller verwenden? Ja. Sie können eine PPSK-SSID und eine WPA2-Enterprise-SSID gleichzeitig betreiben. Unterstützt PPSK den WPA3-Übergangsmodus? Nein. PPSK ist nur für WPA2 verfügbar. Was ist die maximale Anzahl von PPSK-Schlüsseln in UniFi? Die Erfahrung der Community zeigt, dass die Leistung ab einigen hundert Schlüsseln auf einer einzigen SSID abnimmt. Für große Bereitstellungen ist eine Cloud-Management-Ebene die richtige Antwort. Fazit: UniFi PPSK ist ein wirklich nützliches Tool für kleine bis mittlere Bereitstellungen, bei denen Sie eine VLAN-Segmentierung ohne RADIUS-Infrastruktur benötigen. Es ist die richtige Wahl für ein Gebäude mit 50 Einheiten, ein Boutique-Hotel oder ein kleines Büro mit verschiedenen Gerätetypen. Für größere Bereitstellungen - alles über 100 Einheiten oder wo Sie ein automatisiertes Lifecycle-Management benötigen - benötigen Sie ein Cloud-Overlay wie Purple, um es betrieblich rentabel zu machen. Das wichtigste Entscheidungsframework ist einfach. Stellen Sie sich drei Fragen. Wie viele eindeutige Schlüssel benötige ich? Wenn es weniger als 100 sind, funktioniert natives PPSK. Wenn es mehr als 100 sind, benötigen Sie eine Verwaltungsebene. Benötige ich 6 GHz? Wenn ja, ist PPSK nicht die richtige Antwort. Und benötige ich eine automatisierte Bereitstellung, die an ein Mietverhältnis- oder HR-System gekoppelt ist? Wenn ja, ist ein Cloud-Overlay wie Purple die richtige Wahl. Weitere Informationen über die Multi-Tenant WiFi Lösung von Purple und deren Bereitstellung auf UniFi Hardware finden Sie unter purple dot ai. Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben.