Nama ff keren iPSK: una guía completa para empresas

Esta guía explica cómo implementar iPSK (Identity Pre-Shared Key) en entornos multi-inquilino, tales como promociones de alquiler residencial (Build to Rent), residencias de estudiantes y propiedades multi-familiares (MDU). Abarca la arquitectura basada en RADIUS que proporciona a cada residente una burbuja de WiFi privada y aislada en un único SSID compartido, y detalla los pasos de implementación, las integraciones de hardware y el argumento comercial para tratar el WiFi como un servicio gestionado.

📖 7 min de lectura📝 1,663 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al briefing técnico de Purple. Hoy cubriremos la clave precompartida de identidad, o iPSK, y por qué es la arquitectura definitiva para WiFi multiinquilino en Build to Rent y promociones residenciales.

Comencemos con el problema. Si gestiona una propiedad Build to Rent, una residencia de estudiantes o un gran espacio de coworking, se enfrenta a un reto de red muy específico. Debe proporcionar a cientos de personas una experiencia de WiFi que se sienta exactamente igual que la red de su casa. El teléfono de un residente necesita ver su Chromecast. Su altavoz inteligente necesita controlar sus luces. Pero, fundamentalmente, el Residente A debe estar completamente aislado del Residente B. No pueden ver los dispositivos del otro y, desde luego, no pueden interceptar el tráfico de los demás.

El WiFi para invitados estándar no puede hacer esto. El WiFi para invitados aísla cada dispositivo individual. Está diseñado para una cafetería, no para un salón. Y 802.1X EAP-TLS, aunque es muy seguro, es una pesadilla para los despliegues residenciales porque requiere la gestión de certificados, y los dispositivos IoT sin interfaz de usuario, como una videoconsola o un altavoz inteligente, sencillamente no lo admiten.

Aquí es donde entra en juego la clave precompartida de identidad, o iPSK.

La arquitectura técnica es elegante. Se emite un único SSID en toda la propiedad. Llamémoslo Building WiFi. Pero en lugar de una contraseña para todo el mundo, se emite una clave precompartida única para cada residente.

Cuando un dispositivo se conecta, el punto de acceso inalámbrico, ya sea Cisco Meraki, HPE Aruba o Ruckus, envía una solicitud RADIUS a la nube de Purple. El servidor RADIUS analiza la contraseña utilizada, identifica al residente y devuelve un mensaje Access-Accept. Fundamentalmente, este mensaje contiene atributos específicos del fabricante, concretamente un VLAN ID.

A continuación, el punto de acceso asigna a ese cliente su VLAN dedicada. El Residente A va a la VLAN 10. El Residente B va a la VLAN 20. Esto logra el aislamiento de Capa 2. El dominio de difusión queda contenido. El tráfico mDNS y Bonjour permanece dentro del apartamento, por lo que la transmisión de contenido funciona perfectamente, pero no se filtra al pasillo. Y cuando un residente se muda, simplemente se revoca su clave única a través de la API de Purple. El resto del edificio ni se entera.

Ahora hablemos de la implementación y de los errores más comunes que vemos.

El primer error y el más común es dimensionar a la baja el alcance de DHCP. Los ingenieros de red a veces asignan una subred barra-28 a un apartamento para ahorrar espacio de direcciones IP. Eso son 14 direcciones utilizables. En 2026, una pareja que viva en un apartamento Build to Rent habrá agotado 14 IPs para el martes. Un teléfono, un ordenador portátil, una tableta, una smart TV, una videoconsola, un altavoz inteligente, un par de bombillas inteligentes. Ya estás en ocho dispositivos antes de que venga un amigo a casa. Por defecto, asigne siempre una subred barra-24 por residente. Eso le da 254 direcciones utilizables y un amplio margen de maniobra.

El segundo detalle de configuración crítico es el aislamiento de clientes. Debe asegurarse de que el aislamiento de clientes esté desactivado dentro de la VLAN del residente. Si deja el aislamiento de clientes activado, romperá la funcionalidad de hogar inteligente para la que está diseñado iPSK. Los dispositivos con la misma clave no podrán comunicarse entre sí y estará recibiendo tickets de soporte de Chromecast toda la semana.

La tercera consideración es el roaming. Si un residente camina desde su apartamento en el cuarto piso hasta el gimnasio en la planta baja, su conexión debe persistir. Esto significa que su VLAN específica debe estar troncalizada hasta el punto de acceso en el gimnasio, o debe tunelizar el tráfico de vuelta a un controlador central. Este es un descuido común en las implementaciones iniciales y provoca caídas de conexión en las zonas comunes.

Ahora hablemos del elefante en la habitación: WPA3 y la banda de seis gigahercios.

WiFi 6E y WiFi 7 exigen la seguridad WPA3 en la banda de seis gigahercios. WPA3 sustituye el antiguo handshake de cuatro vías por la Autenticación Simultánea de Iguales, o SAE. El problema es que el estándar IEEE para SAE no admite actualmente múltiples contraseñas por SSID de la forma en que lo hace WPA2.

Esto significa que no puede simplemente activar WPA3 y esperar que su implementación de iPSK siga funcionando. Este no es un problema de Cisco Meraki o de Aruba. Es una limitación de toda la industria que se deriva de cómo el estándar IEEE 802.11 define SAE. Todos los principales fabricantes, incluidos Ruckus, Juniper Mist, Ubiquiti, UniFi y Extreme, se enfrentan a la misma restricción.

La mejor práctica actual es un enfoque híbrido. Se mantiene un SSID iPSK WPA2 en las bandas de 2.4 y 5 gigahercios. Esto gestiona todos los dispositivos heredados y el hardware de IoT. Para la banda de 6 gigahercios, se despliega un SSID independiente utilizando 802.1X para dispositivos corporativos, o se espera a que maduren las implementaciones de SAE específicas de cada fabricante.

Pasemos a las preguntas rápidas que recibimos con más frecuencia.

Pregunta uno: ¿Puedo utilizar iPSK para dispositivos IoT que no tengan pantalla? Sí. Esa es una de sus principales ventajas sobre 802.1X. Cualquier dispositivo que pueda conectarse a un router doméstico mediante una contraseña puede utilizar iPSK. Enchufes inteligentes, impresoras inalámbricas, cámaras IP, todos ellos funcionan.

Pregunta dos: ¿Qué pasa si un residente comparte su contraseña con un amigo? El dispositivo del amigo se une a la VLAN del residente. Esto es así por diseño. La clave identifica al inquilino, no al dispositivo individual. Si desea un control por dispositivo, necesita 802.1X.

Pregunta tres: ¿Cuántas VLAN puedo gestionar de forma realista? Los switches empresariales modernos gestionan miles de VLAN. Un edificio de 500 viviendas con una VLAN por apartamento está muy dentro de las capacidades de cualquier plataforma de conmutación empresarial. La sobrecarga de gestión la maneja la plataforma en la nube de Purple, no su equipo de forma manual.

Por último, analicemos el impacto empresarial.

Implementar WiFi gestionado a través de iPSK no es solo una actualización de TI. Es una estrategia comercial. Al proporcionar conectividad desde el primer día, se elimina el periodo de inactividad de de cinco a diez días mientras el residente espera a un ingeniero del ISP. Las investigaciones de la British Property Federation indican que el WiFi gestionado permite aplicar un recargo de entre 15 y 30 libras en el alquiler mensual por vivienda en las promociones Build to Rent del Reino Unido.

También mejorará drásticamente el entorno de RF. En lugar de 200 routers domésticos compitiendo en canales superpuestos, dispondrá de un único SSID limpio gestionado por puntos de acceso empresariales. Menos tiques de soporte. Mayor satisfacción de los residentes. Y con Purple gestionando la identidad, automatizará todo el ciclo de vida de incorporación y salida, reduciendo los costes operativos del equipo de gestión del inmueble.

En resumen: iPSK es la arquitectura definitiva para el WiFi multiinquilino. Un SSID, muchas claves exclusivas, aislamiento absoluto de VLAN. Ofrece la seguridad de las redes empresariales con la sencillez de un router doméstico. Es compatible con todos los dispositivos IoT de sus residentes y convierte el WiFi de un centro de costes en un motor de ingresos cuantificables.

Gracias por escuchar este boletín técnico de Purple. Si está planificando un despliegue multiinquilino, hable con nuestro equipo de ingeniería sobre la integración con su hardware existente.

Conclusiones clave

✓iPSK emite una contraseña de WiFi única por residente, asignando cada clave a una VLAN dedicada a través de un servidor RADIUS.
✓El límite de la VLAN aísla a los residentes entre sí en la Capa 2, al tiempo que permite que los dispositivos domésticos inteligentes funcionen dentro del apartamento.
✓A diferencia de 802.1X, iPSK es compatible con todos los dispositivos IoT que posea un residente - sin necesidad de certificados ni suplicantes.
✓Los despliegues de WPA3 y 6 GHz requieren un enfoque híbrido: WPA2 iPSK en 2.4/5 GHz, 802.1X en 6 GHz.
✓Asigne siempre una subred /24 por residente y desactive el aislamiento de clientes dentro de la VLAN.
✓El WiFi gestionado como un servicio BTR ofrece un recargo de alquiler mensual de entre 15 y 30 libras por unidad y reduce los periodos de desocupación entre 5 y 10 días.
✓Purple se despliega como una superposición en la nube sobre hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks y Fortinet.

Resumen ejecutivo

iPSK (Identity Pre-Shared Key) es la tecnología que hace posible el WiFi multiinquilino. Le permite transmitir un único SSID en todo un edificio mientras asigna una contraseña única a cada residente. Cuando un dispositivo se conecta, un servidor RADIUS asocia esa contraseña a una VLAN dedicada, creando una red privada independiente para cada apartamento. El teléfono del residente puede ver su Chromecast. Su altavoz inteligente controla sus luces. El residente B no tiene acceso a nada de esto.

El WiFi para invitados estándar aísla todos los dispositivos entre sí, por lo que no es compatible con dispositivos de hogar inteligente. 802.1X EAP-TLS ofrece una seguridad robusta pero requiere la gestión de certificados y no funciona en dispositivos IoT sin pantalla. iPSK se sitúa en un punto intermedio: es más sencillo que 802.1X, mucho más seguro que una contraseña compartida y totalmente compatible con todos los dispositivos del residente.

Purple despliega iPSK como una capa en la nube sobre hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. No es necesario reemplazar sus puntos de acceso. Purple actúa como el servidor RADIUS, gestiona el ciclo de vida de las claves y automatiza el alta y baja de usuarios a través de una API. Esta guía detalla la arquitectura, los pasos de implementación, los errores comunes y el modelo comercial para ofrecer el WiFi como un servicio gestionado en propiedades residenciales de alquiler para particulares (BTR) y multifamiliares (MDU).

Análisis técnico detallado

Cómo funciona iPSK

El WPA2-Personal tradicional utiliza una única contraseña para todos los usuarios de un SSID. Cualquier residente puede ver los dispositivos de otros residentes en el mismo dominio de difusión. Cambiar la contraseña cuando un residente se marcha afecta a todos los demás. iPSK cambia este modelo de autenticación por completo.

Cuando un dispositivo intenta asociarse con el punto de acceso mediante una PSK específica, el controlador inalámbrico envía un RADIUS Access-Request a la nube de Purple. El servidor RADIUS asocia la contraseña con el registro del residente y devuelve un mensaje RADIUS Access-Accept que contiene un atributo específico del fabricante: el ID de la VLAN asignada a ese residente. El controlador asigna al cliente a esa VLAN. Todo este intercambio de información tarda milisegundos y es invisible para el residente.

Esta arquitectura ofrece tres ventajas clave. En primer lugar, la segmentación de VLAN: el tráfico se aísla en la Capa 2, por lo que el residente A en la VLAN 10 no puede dirigir tráfico hacia el residente B en la VLAN 20. En segundo lugar, la contención de difusión: el tráfico de descubrimiento mDNS y Bonjour se mantiene dentro de la VLAN del residente, por lo que Chromecast y Sonos funcionan dentro del apartamento pero no se ven desde el pasillo. En tercer lugar, un ciclo de vida de claves limpio: revocar una clave cuando un inquilino se muda solo afecta a ese residente, el resto del edificio sigue conectado sin interrupciones.

La terminología de los fabricantes varía. HPE Aruba lo llama PPSK (Private Pre-Shared Key). Cisco Meraki lo denomina Personal Private Network. Ruckus y Juniper Mist utilizan DPSK (Dynamic Pre-Shared Key). El concepto es idéntico en todas las plataformas.

Comparación de métodos de autenticación

La siguiente tabla resume las diferencias entre los tres métodos principales de autenticación WiFi utilizados en entornos multi-inquilino.

Dimensión	PSK compartido	iPSK	802.1X EAP-TLS
Nivel de seguridad	Bajo - una clave para todos	Medio - clave única por residente	Alto - certificado por dispositivo
Complejidad de despliegue	Baja	Media	Alta
Soporte para dispositivos IoT	Sí	Sí	No - requiere certificados
Aislamiento de residentes	No	Sí - por VLAN	Sí - por VLAN
Revocación de claves	Afecta a todos los residentes	Afecta a un solo residente	Revocación de certificado por dispositivo
Compatibilidad con hogar inteligente	No	Sí	No

Para despliegues en BTR y MDU, iPSK es la opción correcta. Proporciona el aislamiento y la seguridad que necesita sin la carga operativa de una entidad de certificación.

WPA3 y el desafío de los 6 GHz

WPA3 introduce la Autenticación Simultánea de Iguales (SAE) para sustituir el intercambio de claves de 4 vías de WPA2. SAE es más resistente a los ataques de diccionario sin conexión. Sin embargo, el estándar IEEE 802.11 para SAE no admite actualmente múltiples claves precompartidas por SSID.

Dado que WiFi 6E y WiFi 7 exigen WPA3 en la banda de 6 GHz, actualmente no es posible ejecutar un iPSK estándar en un SSID de 6 GHz. No se trata de una limitación específica de un fabricante. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Extreme y Fortinet se enfrentan a la misma restricción porque se deriva del propio estándar IEEE.

La mejor práctica actual es un despliegue híbrido. Mantenga un SSID WPA2 iPSK en las bandas de 2.4 GHz y 5 GHz para admitir dispositivos antiguos y hardware IoT. Para los dispositivos compatibles con 6 GHz, despliegue un SSID independiente mediante 802.1X EAP-TLS, o espere a que maduren las implementaciones SAE específicas de cada fabricante. Algunos fabricantes están desarrollando soluciones SAE de clave múltiple patentadas, pero aún no existe un enfoque estandarizado de forma universal.

Guía de implementación

Paso 1: Planificación de VLAN

Asigne una VLAN dedicada por apartamento o residente. Asegúrese de que sus switches principales y firewalls admitan el número requerido de interfaces VLAN. Una propiedad BTR de 200 unidades requiere 200 VLAN distintas. Las plataformas de conmutación empresariales modernas gestionan miles de VLAN sin que afecte al rendimiento.

Paso 2: DHCP y direccionamiento IP

Configure un alcance DHCP para cada VLAN. Asigne una subred /24 (254 direcciones útiles) por residente. Un hogar moderno conecta de 15 a 25 dispositivos. Una subred /28 (14 direcciones útiles) se agotará en cuestión de días. Nunca dimensione por debajo de lo necesario el alcance de DHCP.

Paso 3: Configuración de RADIUS

Apunte sus controladores inalámbricos a los servidores RADIUS de Purple. Configure los controladores para que acepten atributos de anulación de RADIUS para la asignación de VLAN. Purple proporciona las direcciones IP del servidor RADIUS, los secretos compartidos y las asignaciones de atributos para cada plataforma de hardware compatible.

Paso 4: Aprovisionamiento de SSID

Transmita un único SSID para todo el edificio. Habilite la derivación de autenticación MAC (MAB) en el SSID. MAB es el mecanismo mediante el cual el controlador inicia la solicitud RADIUS cuando un dispositivo se conecta mediante una PSK en lugar de un certificado.

Paso 5: Incorporación de residentes

Integre el aprovisionamiento de WiFi en el flujo de trabajo de mudanza de los residentes. La API de Purple genera la iPSK única y la entrega al residente por correo electrónico o a través de un portal para residentes. Al mudarse, el sistema de gestión de la propiedad activa la API de Purple para revocar la clave. No se requiere intervención manual.

Buenas prácticas

Deshabilitar el aislamiento de clientes dentro de las VLAN de los residentes

El aislamiento de clientes impide que los dispositivos de la misma subred se comuniquen entre sí. Si lo habilita, interrumpirá la funcionalidad de hogar inteligente para la que está diseñada la iPSK. Deshabilite el aislamiento de clientes dentro de la VLAN de cada residente. El propio límite de la VLAN proporciona el aislamiento entre los residentes.

Configurar NAT para juegos

Los juegos en línea requieren configuraciones NAT específicas. PlayStation 5 y Xbox Series X necesitan NAT Tipo 2 (Moderado) o NAT Tipo 1 (Abierto) para el emparejamiento. Implemente Carrier-Grade NAT (CGNAT) con cuidado. Configure UPnP o redireccionamiento de puertos estáticos por VLAN de residente en lugar de aplicar una política NAT estricta generalizada.

Conectar todas las VLAN de residentes a todos los puntos de acceso

Un residente que se conecta en su apartamento en el cuarto piso debe mantener su conexión cuando camina hacia el gimnasio en la planta baja. Todas las VLAN de los residentes deben estar conectadas mediante troncales a todos los puntos de acceso de la propiedad, o debe implementar un protocolo de túnel como CAPWAP o GRE para anclar el tráfico de los clientes a un controlador central.

Planificar los eventos de mudanza por cohortes

Los operadores de alojamiento para estudiantes se enfrentan a un desafío específico: cientos de residentes que se conectan simultáneamente durante la semana de mudanza. Aprovisione previamente todas las iPSK antes del día de la mudanza. Pruebe la capacidad del servidor RADIUS bajo carga. La infraestructura en la nube de Purple está calificada para un tiempo de actividad del 99,999 % y maneja picos de autenticación simultáneos sin degradación.

Resolución de problemas y mitigación de riesgos

Fallos de Chromecast y altavoces inteligentes

El ticket de soporte más común en WiFi multiinquilino. Si un residente no puede transmitir a su Chromecast o emparejar su altavoz inteligente, verifique dos cosas. Primero, confirme que el aislamiento de clientes esté deshabilitado dentro de su VLAN. Segundo, confirme que el proxy mDNS o la puerta de enlace Bonjour no estén filtrando el tráfico de descubrimiento dentro de la VLAN.

Agotamiento de direcciones IP

Si los residentes informan que los nuevos dispositivos no se pueden conectar, verifique la tabla de arrendamientos DHCP para su VLAN. Una subred /28 se agotará en unos días en un hogar moderno. Amplíe el alcance a un /24 de inmediato.

Conexiones caídas en áreas comunes

Si los residentes pierden la conectividad al moverse entre plantas o zonas, significa que la VLAN del residente no está troncalizada en el punto de acceso de esa zona. Audite la configuración del troncal de la VLAN en cada puerto de switch conectado a un punto de acceso.

Errores de autenticación tras la revocación de claves

Si un dispositivo se sigue conectando después de haber revocado una clave, compruebe la caché del servidor RADIUS. Algunos controladores almacenan en caché las decisiones de autenticación durante un período configurable. Establezca el tiempo de espera de la sesión y el intervalo de reautenticación en un valor corto (de 15 a 30 minutos) para garantizar que las revocaciones tengan efecto de inmediato.

Retorno de la inversión e impacto comercial

El caso de la prima de alquiler

Los estudios de la British Property Federation indican que el WiFi gestionado permite aplicar un recargo de alquiler de entre 15 y 30 libras por unidad al mes en las promociones Build to Rent (BTR) del Reino Unido. En una propiedad de 200 unidades, esto supone entre 3.000 y 6.000 libras de ingresos mensuales adicionales. El coste de capital derivado de implementar puntos de acceso empresariales y la capa de software de Purple suele recuperarse en un plazo de 12 a 18 meses.

Reducción del período de desocupación

Ofrecer conectividad desde el primer día elimina el período de desocupación de 5 a 10 días mientras el residente espera al técnico del ISP. Los residentes se mudan y se conectan de inmediato. Esto reduce los costes de desocupación y mejora la satisfacción del residente desde el primer día de su contrato de alquiler.

Mejora del entorno de radiofrecuencia (RF)

Un edificio de 200 unidades en el que cada residente utiliza su propio router doméstico genera graves interferencias de cocanal. Tener 200 routers compitiendo en canales superpuestos de 2.4 GHz y 5 GHz degrada el rendimiento de todos. Sustituir este sistema por un único SSID gestionado en puntos de acceso empresariales elimina las interferencias y ofrece una conectividad de alta velocidad constante en todo el edificio.

Eficiencia operativa

Purple automatiza todo el ciclo de vida de las claves mediante la integración de API con los sistemas de gestión de propiedades. El aprovisionamiento al mudarse y la revocación al marcharse no requieren ninguna intervención manual por parte del equipo de TI o de gestión de la propiedad. Esto se puede medir directamente en el volumen de tickets de soporte y en el tiempo del personal.

Para obtener más información sobre cómo Purple ofrece soporte para Guest WiFi y WiFi Analytics en más de 80.000 centros, consulte las guías relacionadas. Si está evaluando una solución WiFi multiinquilino para el sector comercial o de la hostelería, visite nuestras páginas específicas para el sector Minorista y de Hostelería . Para un análisis más detallado sobre la estrategia de diseño de SSID, lea Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Definiciones clave

iPSK (Identity Pre-Shared Key)

Un método de autenticación que permite múltiples contraseñas únicas en un único SSID. Un servidor RADIUS asocia cada contraseña a una VLAN y una política de red específicas.

La tecnología principal para WiFi multi-inquilino. También llamada PPSK (Aruba), Personal Private Network (Cisco Meraki) o DPSK (Ruckus, Juniper Mist).

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a una red.

El motor que sustenta iPSK. Cuando un dispositivo se conecta, el punto de acceso consulta al servidor RADIUS para verificar la clave y recuperar la asignación de VLAN.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa dispositivos de diferentes ubicaciones físicas en un dominio de difusión aislado.

A cada residente en un despliegue de iPSK se le asigna su propia VLAN. Este es el mecanismo que evita que un residente vea los dispositivos de otro.

BTR (Build to Rent)

Alojamientos residenciales construidos específicamente para el alquiler a largo plazo en lugar de para la ocupación por parte de propietarios.

El contexto comercial principal para despliegues de iPSK multi-tenant. El WiFi se trata como un servicio gestionado, lo que permite cobrar un recargo de alquiler mensual de entre 15 y 30 libras por unidad.

MDU (Multi-Dwelling Unit)

Una clasificación de edificios que contienen múltiples unidades residenciales independientes, incluidos bloques de pisos, residencias de estudiantes y viviendas sociales.

El entorno físico donde se despliega el WiFi multi-tenant. Una infraestructura compartida da servicio a muchos hogares independientes.

SAE (Simultaneous Authentication of Equals)

El protocolo de establecimiento de claves utilizado en WPA3, que sustituye al apretón de manos de 4 vías de WPA2. SAE es resistente a los ataques de diccionario sin conexión.

La limitación actual para iPSK en redes de 6 GHz. El estándar IEEE 802.11 SAE no admite múltiples PSK por SSID, lo que requiere un enfoque de despliegue híbrido.

MAB (MAC Authentication Bypass)

Un método para activar una solicitud de autenticación RADIUS basada en la dirección MAC de un dispositivo cuando este no inicia 802.1X.

Se utiliza en despliegues iPSK para iniciar la solicitud RADIUS desde el controlador inalámbrico cuando un dispositivo se conecta mediante una PSK.

CGNAT (Carrier-Grade NAT)

Un método para compartir una única dirección IP pública entre múltiples direcciones IP privadas, utilizado por operadores que gestionan un gran número de dispositivos conectados.

Necesario en grandes despliegues residenciales para conservar direcciones IPv4. Debe configurarse con cuidado para admitir los requisitos de NAT de los juegos en línea.

mDNS (Multicast DNS)

Un protocolo que resuelve nombres de host a direcciones IP dentro de una red local sin necesidad de un servidor DNS, utilizado por Chromecast, AirPlay y Bonjour.

mDNS debe estar contenido dentro de la VLAN del residente para que los dispositivos domésticos inteligentes funcionen. Si mDNS se filtra entre VLAN, los residentes pueden descubrir los dispositivos de los demás.

Ejemplos prácticos

Un operador de Build to Rent de 250 unidades planea instalar líneas de banda ancha individuales y routers domésticos en cada apartamento. Al gestor de la propiedad le preocupa la calidad del WiFi y los costes de soporte. ¿Cómo cambia un despliegue de iPSK esta arquitectura y cuáles son los resultados medibles?

Sustituya las 250 líneas de ISP individuales y routers domésticos por puntos de acceso empresariales (Cisco Meraki MR57 o HPE Aruba AP-635) desplegados en pasillos y apartamentos, todos cableados a switches gestionados centrales. Un único enlace ascendente desde el edificio a un ISP de calidad empresarial proporciona la conexión a internet. Emita un único SSID ('BuildingName_WiFi'). Configure Purple como el servidor RADIUS. Emita 250 iPSKs únicas en el momento del registro de entrada a través de la API de Purple. A cada residente se le asigna una VLAN /24. Desactive el aislamiento de clientes dentro de cada VLAN. Enlace todas las VLANs a todos los puntos de acceso. Integre la API de Purple con el sistema de gestión de propiedades para automatizar el aprovisionamiento al registrar la entrada y la revocación al registrar la salida.

Comentario del examinador: Esto elimina las interferencias de co-canal de 250 routers competidores, proporciona una itinerancia fluida por todo el edificio y reduce el coste del ISP de 250 líneas individuales a una única conexión empresarial. El operador obtiene visibilidad completa del rendimiento de la red a través del panel de Purple. El recargo de alquiler mensual de entre 15 y 30 libras por unidad cubre con creces los costes de infraestructura y software en un plazo de 12 a 18 meses.

Un operador de residencias de estudiantes de 500 camas necesita aprovisionar WiFi para todo el grupo durante la semana de llegada. El año pasado, la red se colapsó bajo la carga durante las primeras 48 horas. ¿Cómo se diseña el despliegue de iPSK para gestionar esto?

Aprovisione previamente las 500 iPSKs antes del día de llegada. Entregue la clave única a cada estudiante a través del paquete de correo electrónico de bienvenida enviado dos semanas antes de su llegada. El día de la mudanza, los estudiantes simplemente introducen su clave: sin Captive Portal, sin colas y sin cuellos de botella de RADIUS derivados de autenticaciones simultáneas de primera vez. Configure el servidor RADIUS con suficiente capacidad de sesiones concurrentes. La infraestructura cloud RADIUS de Purple gestiona los picos de autenticación sin degradación. Establezca los tiempos de concesión DHCP en 24 horas para evitar el agotamiento durante el periodo de alta densidad de la mudanza. Asegúrese de que todas las VLANs estén enlazadas a todos los puntos de acceso, incluidas las zonas comunes, las salas de estudio y el gimnasio.

Comentario del examinador: La clave fundamental es el aprovisionamiento previo. El colapso de la red el año anterior fue causado por cientos de autenticaciones simultáneas por primera vez e interacciones con el Captive Portal. Al entregar la clave antes de la llegada, se distribuye la carga de autenticación a lo largo de los días previos a la mudanza. El SLA de disponibilidad del 99,999% de Purple cubre este escenario de carga máxima.

Preguntas de práctica

Q1. Un residente informa de que no puede transmitir Netflix desde su teléfono a su Chromecast. Ambos dispositivos están conectados al WiFi del edificio utilizando la iPSK exclusiva del residente. Otros residentes no están afectados. ¿Cuál es el error de configuración más probable y cómo se soluciona?

Sugerencia: Chromecast utiliza mDNS para el descubrimiento de dispositivos. Piense en qué configuración de red impide que los dispositivos de la misma subred se comuniquen.

Ver respuesta modelo

El aislamiento de clientes (también llamado aislamiento de Capa 2) está habilitado en el SSID o dentro de la VLAN del residente. Esto impide que los dispositivos de la misma subred se comuniquen entre sí, lo que bloquea el descubrimiento de mDNS y Bonjour. La solución consiste en desactivar el aislamiento de clientes dentro de la VLAN del residente. El propio límite de la VLAN proporciona aislamiento respecto a otros residentes. No es necesario el aislamiento de clientes para lograr la seguridad entre residentes.

Q2. Está desplegando WiFi en un bloque de residencias de estudiantes de 500 unidades. Un compañero sugiere asignar una subred /28 a cada habitación para conservar espacio de direcciones IP. ¿Por qué es esto un problema y qué debería asignar en su lugar?

Sugerencia: Calcule el número de direcciones utilizables en una subred /28 y, a continuación, cuente los dispositivos que conecta un estudiante típico.

Ver respuesta modelo

Una subred /28 proporciona solo 14 direcciones IP utilizables. Un estudiante típico conecta un teléfono, un portátil, una tableta, una videoconsola, una televisión inteligente y un altavoz inteligente; eso ya son seis dispositivos. Si añadimos algunos dispositivos IoT y la visita de un amigo, el grupo de direcciones se agotará en pocos días. Asigne una subred /24 (254 direcciones utilizables) por habitación. El espacio de IP adicional no cuesta nada y evita un modo de fallo común y muy molesto.

Q3. Un operador de BTR desea actualizar toda su red a Wi-Fi 7 y exigir la seguridad WPA3 en todas las bandas, incluida la de 6 GHz. Actualmente utiliza iPSK en un SSID WPA2. ¿Cuál es el impacto en su despliegue de iPSK y cuál es la ruta de migración recomendada?

Sugerencia: Considere el apretón de manos de autenticación utilizado en WPA3 y si admite múltiples PSK por SSID.

Ver respuesta modelo

WPA3 utiliza SAE, que actualmente no admite múltiples PSK por SSID según el estándar IEEE 802.11. Exigir WPA3 en todas las bandas romperá el despliegue de iPSK. El enfoque recomendado es un modelo híbrido: mantener el SSID WPA2 iPSK en 2.4 GHz y 5 GHz para dispositivos IoT y hardware heredado, y desplegar un SSID WPA3 independiente utilizando 802.1X EAP-TLS en la banda de 6 GHz para dispositivos compatibles con WiFi 7. Esto no es un compromiso, es la mejor práctica actual independiente del proveedor en Cisco Meraki, HPE Aruba, Ruckus y todas las demás plataformas principales.

Continúe leyendo esta serie

PPSK WPA3: comparación de características y modelos de implementación

Esta guía de referencia técnica compara PPSK y WPA3-SAE, explicando sus diferencias arquitectónicas y modelos de implementación para entornos multi-inquilino. Ofrece orientación práctica para directores de TI y promotores inmobiliarios sobre cómo lograr redes WiFi seguras y aisladas utilizando las soluciones basadas en identidad de Purple.

PPSK en la práctica: comparación de funciones y modelos de implementación

Esta guía compara PPSK (Private Pre-Shared Key) con PSK estándar y 802.1X, detallando los modelos de implementación para entornos multi-inquilino. Equipa a los directores de IT y operadores de propiedades para implementar un WiFi seguro y aislado para los residentes, que admita dispositivos domésticos inteligentes y genere un valor comercial medible.

PPSK: comparación de características y modelos de implementación

Esta guía técnica detalla la implementación de arquitecturas de Clave Precompartida Privada (PPSK) y Clave Precompartida de Identidad (iPSK) en entornos de alta densidad multiinquilino. Proporciona estrategias de implementación prácticas para promotores inmobiliarios y directores de TI para proteger las redes de los residentes, admitir dispositivos IoT y generar un ROI positivo a través de WiFi gestionado.