Nama iPSK: a comprehensive guide for businesses

Identity Pre-Shared Key (iPSK) es el modelo de autenticación de mejores prácticas actual para entornos multiinquilino, ya que ofrece credenciales únicas por unidad, aislamiento de dispositivos de Capa 2 mediante redes de área privada y compatibilidad total con dispositivos de IoT. Esta guía detalla la arquitectura técnica, las estrategias de implementación y el impacto comercial de iPSK para promotores inmobiliarios, operadores de BTR y arrendadores que implementan redes WiFi gestionadas en edificios residenciales y de uso mixto. La capa en la nube de Purple automatiza todo el ciclo de vida del residente, desde el suministro de claves al firmar el contrato de arrendamiento hasta la revocación instantánea al mudarse, en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

📖 8 min de lectura📝 1,877 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido a la sesión técnica de Purple. Hoy hablaremos de Nama iPSK: la arquitectura que está cambiando radicalmente la forma de implementar WiFi en sectores como el alquiler residencial (Build-to-Rent), edificios de viviendas compartidas y grandes complejos hoteleros. Si eres un director de TI o un arquitecto de redes que intenta equilibrar la seguridad con la experiencia del residente, este análisis en profundidad de diez minutos es para ti.

Pongámonos en situación. Históricamente, ofrecer WiFi en un edificio de apartamentos conllevaba una de estas dos malas opciones. Opción uno: colocar un router físico en cada uno de los apartamentos. ¿El resultado? Una interferencia de RF masiva, altos costes de hardware y una pesadilla de gestión. Opción dos: transmitir una red para todo el edificio con una contraseña compartida o un Captive Portal. ¿El resultado? Cero privacidad, y los dispositivos inteligentes como Apple TV o videoconsolas sencillamente se niegan a conectarse.

Aquí es donde Identity Pre-Shared Key - o iPSK - cambia las reglas del juego.

En lugar de implementar doscientos routers o transmitir doscientos SSID, se transmite un único SSID seguro de categoría empresarial. Llamémoslo Resident WiFi. Cuando un usuario se conecta, no utiliza una contraseña compartida. Utiliza una clave única asignada específicamente a su apartamento.

Así es como funciona el flujo técnico. El residente conecta su dispositivo utilizando su clave única. El punto de acceso toma esa credencial y la reenvía mediante un RADIUS Access-Request a su servidor de autenticación. El servidor RADIUS valida la clave y responde con un mensaje Access-Accept. Pero, fundamentalmente, incluye atributos específicos, en concreto, el Tunnel-Private-Group-ID.

Esto le indica al punto de acceso exactamente en qué VLAN debe colocar a ese usuario. De este modo, el apartamento ciento uno se coloca en la VLAN ciento uno. El apartamento ciento dos va a la VLAN ciento dos. Están en el mismo punto de acceso físico, pero su tráfico está completamente aislado en la Capa 2. A esto lo llamamos una Red de Área Privada, o PAN.

Ahora, comparemos esto con las alternativas. El PSK estándar - el modelo de contraseña compartida - ofrece un aislamiento nulo. Si un residente comparte la contraseña, la seguridad de todo el edificio se ve debilitada. Y revocar el acceso de un solo inquilino implica tener que cambiar la contraseña de todos. Eso simplemente no es viable a gran escala.

WPA3-Enterprise, o 802.1X, es el otro extremo. Es muy seguro y se utiliza en entornos corporativos. Pero requiere certificados digitales o pantallas de inicio de sesión complejas. Las videoconsolas, los altavoces inteligentes y los dispositivos domésticos inteligentes no pueden procesar este sistema. El resultado son residentes frustrados y una avalancha de llamadas al servicio de soporte.

iPSK se sitúa precisamente en el medio. De cara al dispositivo, parece exactamente una red WiFi doméstica (una simple contraseña). Pero en el backend, es un sistema de nivel empresarial con cifrado individual, asignación dinámica de VLAN y gestión centralizada.

Hablemos de la implementación. Hay cinco pasos clave para un despliegue exitoso.

Paso uno: preparación de la infraestructura. Sus switches perimetrales deben tener todas las VLAN de inquilinos potenciales etiquetadas en los puertos troncales que se conectan a los puntos de acceso. Si el servidor RADIUS le indica al AP que coloque a un usuario en la VLAN ciento cinco, pero la VLAN ciento dos no está etiquetada en el puerto del switch, el tráfico caerá en un pozo negro. El usuario se autenticará correctamente pero no podrá obtener una dirección IP. Este es el error de implementación más común que vemos.

Paso dos: configuración del controlador. Configure su controlador inalámbrico — ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks o Fortinet — para emitir un único SSID con iPSK habilitado, apuntando las solicitudes de autenticación a su servidor RADIUS.

Paso tres: integración del proveedor de identidad. Conecte su servidor RADIUS a su software de gestión de propiedades o proveedor de identidad. Microsoft Entra ID, Okta y Google Workspace son compatibles con esto. Aquí es donde Purple aporta un valor significativo como capa de orquestación.

Paso cuatro: reflexión mDNS. Los residentes esperan poder transmitir desde su teléfono a su televisor. Debe habilitar el reenvío de Bonjour, pero restringirlo estrictamente a los límites de cada VLAN individual. Si no lo hace, la transmisión no funcionará en absoluto o un residente del primer piso transmitirá accidentalmente a un televisor del cuarto piso.

Paso cinco: automatización del ciclo de vida. No gestione estas claves manualmente. Integre su software de gestión de propiedades con Purple para activar la generación automática de claves cuando se firme un contrato de arrendamiento y la revocación instantánea cuando un inquilino se mude. Cero intervención de su equipo de TI.

Ahora, abordemos algunos errores comunes.

El primero es la caducidad del certificado. Si su infraestructura RADIUS depende de certificados del lado del servidor, configure una monitorización estricta. Un certificado caducado dejará a todo el edificio sin conexión. Configure recordatorios de renovación a los noventa, sesenta y treinta días.

El segundo es la compatibilidad con dispositivos heredados. Algunos dispositivos IoT más antiguos no admiten los modos de transición WPA3. Mantenga un modo de compatibilidad WPA2 en el mismo SSID para evitar problemas de compatibilidad.

El tercero es el agotamiento del pool de DHCP. El residente medio trae de siete a diez dispositivos conectados. Diseñe su esquema de direccionamiento IP para soportar la densidad máxima. Recomendamos una subred de barra veintiocho — esto es, catorce direcciones IP utilizables — por apartamento.

Hagamos una ronda rápida de preguntas y respuestas basadas en las dudas más comunes de los arquitectos de red.

Pregunta uno: ¿Funciona iPSK con dispositivos IoT heredados? Respuesta: Sí. A diferencia de 802.1X, que requiere certificados complejos, iPSK se comporta exactamente como una red WiFi doméstica estándar para el dispositivo. El cien por cien de los dispositivos de consumo lo admiten.

Pregunta dos: ¿Qué proveedores de hardware admiten esto? Respuesta: Todo el stack empresarial lo admite. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks y Fortinet admiten la asignación dinámica de VLAN a través de RADIUS.
Pregunta tres: ¿Cómo afecta esto al retorno de la inversión? Respuesta: Al eliminar el hardware en las viviendas, reduce los gastos de capital hasta en un cuarenta por ciento. Elimina los tickets de soporte asociados con restablecimientos de contraseñas y Captive Portals. Y puede monetizar la red ofreciendo paquetes de velocidad por niveles directamente a través del portal de gestión.

En resumen: iPSK es el estándar de oro para la conectividad de múltiples inquilinos. Ofrece la experiencia Instant-On que los residentes demandan, con la seguridad y el control que requieren los equipos de TI. Transmita un solo SSID. Asigne claves únicas. Aísle el tráfico por vivienda. Automatice el ciclo de vida.

Audite sus implementaciones de MDU actuales. Si está gestionando cientos de routers o lidiando con quejas de conectividad de IoT, es hora de diseñar una solución iPSK. Hable con el equipo de Purple para obtener una revisión técnica de su entorno específico.

Gracias por asistir a esta sesión informativa técnica. Siga creando redes seguras y escalables.

Conclusiones clave

✓iPSK asigna una contraseña de WiFi única a cada unidad de residentes, eliminando los fallos de seguridad y privacidad de las redes PSK compartidas.
✓La asignación dinámica de VLAN basada en RADIUS aísla el tráfico de cada unidad en la Capa 2, creando una red de área privada que imita la experiencia de un router doméstico.
✓iPSK es compatible con el 100 % de los dispositivos de consumo, incluidas las consolas de videojuegos y el hardware de hogar inteligente que no pueden conectarse a redes empresariales 802.1X.
✓La gestión automatizada del ciclo de vida - integrada con su software de gestión de propiedades a través de Purple - aprovisiona las claves al firmar el contrato de alquiler y las revoca al mudarse.
✓La eliminación de routers en las unidades reduce el CapEx de hardware hasta en un 40 % y elimina la interferencia de RF causada por cientos de dispositivos de consumo que compiten entre sí.
✓El fallo de despliegue más común es la falta de etiquetas VLAN en los puertos trunk del switch: verifique el trunking de extremo a extremo antes de la puesta en marcha.
✓iPSK es compatible con toda la gama de hardware empresarial: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Resumen ejecutivo

Gestionar la conectividad en entornos multiinquilino obliga a asumir ciertos compromisos. Si despliega hardware individual por unidad, generará graves interferencias de RF y una pesada carga de mantenimiento de hardware. Si emite SSIDs compartidos, comprometerá la privacidad de los residentes y romperá la compatibilidad con los dispositivos IoT. Identity Pre-Shared Key (iPSK) elimina este dilema. Le permite emitir un único SSID seguro al tiempo que asigna una credencial única a cada unidad de residentes. El servidor RADIUS asocia cada credencial a una VLAN dedicada, creando una Red de Área Privada (PAN) para cada apartamento. Los residentes conectan Smart TVs, consolas de videojuegos y portátiles con la misma sencillez que en una red doméstica. Los equipos de TI mantienen una visibilidad centralizada, asignación dinámica de VLAN y gestión automatizada del ciclo de vida. Esta guía detalla la arquitectura técnica, los pasos de despliegue y los resultados empresariales medibles de la implementación de iPSK para promotores inmobiliarios, operadores de BTR y arrendadores.

Análisis técnico en profundidad: la arquitectura iPSK

Los modelos tradicionales de seguridad de red fallan en los entornos residenciales modernos. El PSK estándar (WPA2-Personal) ofrece cero aislamiento entre unidades y escala con dificultad. WPA3-Enterprise (802.1X) proporciona una seguridad excelente, pero rompe la compatibilidad con dispositivos IoT sin interfaz de usuario y consolas de videojuegos, que no pueden procesar flujos de autenticación basados en certificados.

iPSK soluciona este problema trasladando la lógica de segmentación desde la capa de RF a la capa de autenticación RADIUS. Cada residente recibe una clave precompartida única. Esa clave es el token de identidad. Cuando el servidor RADIUS la valida, asigna simultáneamente al residente a una VLAN dedicada, aislando su tráfico de cualquier otra unidad del edificio.

El flujo de autenticación

Cuando un residente conecta un dispositivo al SSID de todo el edificio, se produce la siguiente secuencia:

Paso 1 - Asociación. El dispositivo se asocia con el punto de acceso utilizando su credencial PSK única. El AP bloquea todo el tráfico excepto las tramas EAPOL (Extensible Authentication Protocol over LAN).

Paso 2 - Solicitud de RADIUS. El AP encapsula la credencial y la reenvía al servidor RADIUS como un paquete Access-Request.

Paso 3 - Evaluación de políticas. El servidor RADIUS valida la clave frente al almacén de identidades. Si coincide, prepara una respuesta Access-Accept que contiene tres atributos estándar de la IETF críticos:

Atributo RADIUS	Valor	Propósito
`Tunnel-Type` (64)	13 (VLAN)	Declara la segmentación de VLAN
`Tunnel-Medium-Type` (65)	6 (IEEE 802)	Especifica el tipo de medio
`Tunnel-Private-Group-ID` (81)	ej., "101"	La VLAN específica a asignar

Paso 4 - Asignación dinámica. El AP lee el Tunnel-Private-Group-ID y dirige el tráfico del dispositivo directamente a la VLAN dedicada del residente. El switch de red ascendente gestiona este tráfico como si el residente estuviera conectado físicamente a un puerto dedicado.

Paso 5 - Red de área privada (PAN). Los dispositivos del residente ahora están aislados en la Capa 2. Pueden descubrirse y comunicarse entre sí (mediante reflexión mDNS), pero siguen siendo invisibles para cualquier otra unidad del edificio.

Esta arquitectura garantiza que 200 apartamentos que comparten los mismos puntos de acceso físicos tengan un tráfico completamente aislado. Un residente de la unidad 401 puede transmitir a su Apple TV. No puede ver la impresora de la unidad 402.

Nombres de implementación de los fabricantes

La lógica central de iPSK es consistente en toda la infraestructura de hardware empresarial, aunque la nomenclatura de los fabricantes varía:

Fabricante	Nombre del producto	Integración RADIUS
Cisco Meraki	iPSK	RADIUS con atributo `Tunnel-Password`
HPE Aruba	MPSK (Multi-PSK)	RADIUS con VSA `Aruba-MPSK-Passphrase`
Ruckus	DPSK (Dynamic PSK)	RADIUS con VSA `Ruckus-DPSK-Passphrase`
Juniper Mist	PPSK (Private PSK)	RADIUS con `Tunnel-Private-Group-ID`
Ubiquiti UniFi	PPSK	RADIUS con atributos estándar
Cambium	PPSK	RADIUS con atributos estándar
Extreme Networks	PPSK	RADIUS con atributos estándar
Fortinet	MPSK	RADIUS con `Tunnel-Private-Group-ID`

Guía de implementación: despliegue de iPSK

El despliegue de iPSK requiere coordinación en toda la infraestructura de red. Siga esta secuencia de despliegue independiente del fabricante.

Fase 1: preparación de la infraestructura de red

Defina su esquema de VLAN antes de tocar cualquier hardware. Para un edificio de 200 unidades, asigne las VLAN de la 101 a la 300, una por apartamento. Cada VLAN necesita su propia subred dedicada y su propio rango de DHCP.

Recomendamos una subred /28 (14 direcciones IP utilizables) por apartamento para dar cabida a la densidad de dispositivos actuales. El residente medio tiene entre siete y diez dispositivos conectados. Una subred /28 proporciona suficiente margen sin desperdiciar espacio de direcciones. Para un edificio de 200 unidades, el bloque de red principal es un /21 (2.048 direcciones IP en total).

Paso crítico: Etiquete todas las VLAN de inquilinos potenciales en los puertos troncales que conectan sus switches de extremo a los puntos de acceso. Si el servidor RADIUS asigna un usuario a la VLAN 105 pero la VLAN 105 no está etiquetada en el puerto del switch, el tráfico se pierde por completo. El usuario se autentica correctamente pero no puede obtener una dirección IP a través de DHCP. Este es el error de despliegue más común en entornos MDU.

Fase 2: configuración del controlador inalámbrico

Configure su controlador inalámbrico para transmitir un único SSID. Establezca el modo de seguridad en WPA2/WPA3 con iPSK o control de acceso basado en MAC habilitado. Dirija todas las solicitudes de autenticación a su servidor RADIUS. Desactive la transmisión de SSID para cualquier red heredada por unidad una vez que se haya validado el SSID de iPSK. Consolidar en un único SSID tiene un beneficio inmediato en el rendimiento de RF. Cada SSID que emite consume tiempo de transmisión con tramas de gestión (beacons, respuestas de sondeo) a la velocidad de datos obligatoria más baja. Eliminar 10 SSID heredados puede recuperar entre el 15 % y el 20 % del tiempo de transmisión disponible, según los datos de despliegue de Purple.

Fase 3: Integración del servidor RADIUS y del proveedor de identidad

Su servidor RADIUS es el motor de políticas. Debe estar configurado para:

Aceptar solicitudes de autenticación de sus puntos de acceso (configuración de secreto compartido).
Validar credenciales contra su almacén de identidades (Microsoft Entra ID, Okta, Google Workspace o una base de datos local).
Devolver el atributo Tunnel-Private-Group-ID correcto para cada credencial.

Purple actúa como la capa de orquestación entre su software de gestión de propiedades (PMS) y el servidor RADIUS. Cuando se firma un contrato de alquiler en su PMS, Purple genera automáticamente una iPSK única, la asocia con la VLAN correcta y envía la credencial por correo electrónico al residente. Cuando el contrato termina, Purple revoca la clave al instante. El equipo de TI no tiene que intervenir para nada.

Fase 4: Configuración del reenvío mDNS

Los residentes esperan funciones de hogar inteligente. Transmitir contenido desde un teléfono a una televisión, imprimir de forma inalámbrica y conectar altavoces inteligentes depende de la detección de mDNS (DNS multidifusión), también conocido como Apple Bonjour o DLNA.

En una red estándar, mDNS se bloquea entre VLAN para evitar la detección de dispositivos entre diferentes inquilinos. Este es el comportamiento correcto. Sin embargo, debe habilitar el reenvío mDNS dentro de cada VLAN individual para que los dispositivos del propio residente puedan descubrirse entre sí. Configure su controlador inalámbrico para reenviar el tráfico mDNS únicamente dentro de los límites de la VLAN de cada inquilino. No habilite el reenvío global de mDNS en todas las VLAN.

Fase 5: Automatización del ciclo de vida y autoservicio

No gestione las claves de forma manual. En una promoción de 200 viviendas con una rotación habitual de inquilinos, la gestión manual de claves introduce errores humanos y genera brechas de seguridad cuando los inquilinos salientes conservan credenciales activas.

La aplicación Purple automatiza todo el ciclo de vida del residente:

Incorporación: La integración con el PMS activa la generación y el envío de claves antes de la mudanza.
Alquiler activo: Los residentes utilizan el portal de autoservicio para añadir dispositivos, comprobar velocidades o solicitar una renovación de clave.
Salida: La fecha de finalización del contrato activa la revocación automática de la clave y el reciclaje de la VLAN.

Buenas prácticas para operadores de BTR

Automatice la incorporación. No gestione las claves de forma manual. Integre su PMS con Purple para activar la generación automática de claves y su envío por correo electrónico antes de que el residente se mude. Esto ofrece la experiencia Instant-On que define a una marca BTR de primer nivel.

Habilite el reenvío mDNS por VLAN. Asegúrese de que la transmisión de contenido y los dispositivos domésticos inteligentes funcionen correctamente dentro de cada PAN. Restrinja mDNS estrictamente a los límites de cada VLAN individual para evitar la detección de dispositivos entre diferentes viviendas. Monitor RF health continuously. Consolidating to a single SSID reduces management frame overhead. Use the reclaimed airtime to optimise channel widths and transmit power. Purple's WiFi Analytics platform provides the visibility to act on this data.

Plan for device density. Design your IP addressing scheme to support peak density without exhausting DHCP pools. Use Purple's multi-tenant iPSK subnet designer to calculate the correct parent network block for your building.

Set certificate renewal alerts. If your RADIUS infrastructure uses server-side certificates, set renewal reminders at 90, 60, and 30 days. An expired certificate drops the entire building offline.

Maintain WPA2 compatibility. Some legacy IoT devices do not support WPA3 transition modes. Keep WPA2 compatibility enabled on the same SSID to avoid breaking older devices.

For a broader view of SSID architecture, read Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Troubleshooting and risk mitigation

The black hole VLAN. Symptom: user authenticates successfully but fails to obtain an IP address. Cause: the assigned VLAN is not tagged end-to-end from the AP through the edge switches to the DHCP server. Resolution: verify trunk port configuration on every switch in the path.

Certificate expiration. Symptom: entire building loses WiFi access simultaneously. Cause: RADIUS server certificate has expired. Resolution: implement automated certificate monitoring with 90-day advance alerts. Consider using Let's Encrypt with automated renewal for RADIUS server certificates.

mDNS not working within a unit. Symptom: resident cannot cast to their TV or discover their printer. Cause: mDNS reflection is disabled globally or not scoped to the resident's VLAN. Resolution: enable per-VLAN mDNS reflection on the wireless controller.

DHCP pool exhaustion. Symptom: devices connect to WiFi but cannot obtain an IP address, despite correct VLAN tagging. Cause: DHCP scope is too small for the number of connected devices. Resolution: expand the subnet to a /27 (30 usable IPs) for high-density units or student accommodation.

Key sharing between residents. Symptom: multiple residents appear on the same VLAN. Cause: a resident has shared their unique PSK with a neighbour. Resolution: implement key rotation policies and educate residents that their key is tied to their unit's network segment.

ROI and business impact

Transitioning to an iPSK architecture delivers measurable business outcomes for BTR operators and landlords.

Reducción de gastos de capital. Eliminar los routers individuales en un edificio de 200 viviendas elimina 200 dispositivos domésticos de la red. Según los datos de implantación de Purple, esto reduce el CapEx de hardware hasta un 40% en comparación con un modelo de router por vivienda. Los puntos de acceso centralizados de calidad empresarial, situados estratégicamente en todo el edificio, ofrecen una mejor cobertura con menos dispositivos.

Reducción de gastos operativos. La gestión automatizada del ciclo de vida elimina el esfuerzo de TI manual asociado al restablecimiento de contraseñas, la resolución de problemas de Captive Portal y la sustitución de hardware. El volumen de incidencias de soporte técnico relacionadas con la conectividad WiFi disminuye significativamente cuando los residentes reciben una credencial de funcionamiento antes de mudarse.

Generación de ingresos. La arquitectura iPSK permite ofrecer paquetes de ancho de banda por niveles. Puede ofrecer un nivel básico incluido en el cargo de servicio y un nivel premium (por ejemplo, un nivel para videojuegos o streaming con velocidades más altas) como complemento opcional. Como iPSK se basa en la identidad, puede mejorar el nivel de velocidad de un residente al instante a través del panel de Purple, sin necesidad de realizar cambios de hardware.

Fidelización de residentes. En el mercado de BTR, la calidad del WiFi se cita sistemáticamente como uno de los tres factores principales en las encuestas de satisfacción de los residentes. La experiencia de encendido instantáneo - donde el WiFi funciona en el momento en que un residente entra por la puerta - favorece directamente la fidelización y las opiniones positivas.

Para obtener un contexto específico de cada sector, explore las guías de Purple para entornos de Hostelería , Retail y Sanidad , o consulte la guía relacionada sobre Logo iPSK: una guía completa para empresas .

Purple se fundó en 2012 y opera en más de 80.000 espacios activos, con 350 millones de usuarios únicos y 440 millones de inicios de sesión registrados en 2024. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA, Cyber Essentials y B Corp.

Definiciones clave

iPSK (Identity Pre-Shared Key)

Un mecanismo de autenticación WiFi que asigna una clave precompartida única a cada usuario individual, grupo de dispositivos o unidad de apartamento en un único SSID. La clave sirve como un token de identidad que el servidor RADIUS asigna a una política de red y VLAN específicas.

Se utiliza en entornos BTR, MDU, alojamiento de estudiantes y hostelería para proporcionar seguridad por unidad sin necesidad de certificados 802.1X.

Private Area Network (PAN)

Un segmento de red virtual y aislado creado para un usuario o grupo específico dentro de una infraestructura compartida más grande. Los dispositivos dentro de una PAN pueden descubrirse y comunicarse entre sí, pero son invisibles para los dispositivos de otras PAN.

La PAN es el resultado de la iPSK y de la Dynamic VLAN Assignment de cara a los residentes. Ofrece la experiencia de una red doméstica dentro de la infraestructura de un edificio compartido.

Dynamic VLAN Assignment

El proceso de colocar a un usuario en una VLAN (Virtual Local Area Network) específica en función de su identidad, según lo dictado por el servidor RADIUS durante la autenticación, en lugar de por el SSID al que se conecta.

El mecanismo técnico que hace funcionar el aislamiento de iPSK. El servidor RADIUS devuelve el atributo Tunnel-Private-Group-ID, que el AP utiliza para asignar al usuario la VLAN correcta.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red. En un despliegue de iPSK, el servidor RADIUS valida las credenciales y devuelve los atributos de asignación de VLAN.

El motor de políticas en el corazón de cualquier arquitectura iPSK. Conecta la infraestructura inalámbrica con el almacenamiento de identidades y dicta las políticas de red por usuario.

mDNS Reflection

Una función de red que permite que los protocolos de descubrimiento DNS multidifusión (Apple Bonjour, DLNA) funcionen a través de límites de red específicos. En un despliegue de iPSK, debe habilitarse dentro de cada VLAN de inquilino para permitir la transmisión de contenido y el descubrimiento de dispositivos domésticos inteligentes.

Sin la mDNS reflection por VLAN, los residentes no pueden transmitir contenido a sus televisores ni descubrir sus impresoras, lo que rompe la experiencia de tipo doméstico que iPSK está diseñada para ofrecer.

Dispositivo sin interfaz de usuario (headless)

Un dispositivo conectado a la red que carece de pantalla o interfaz de usuario capaz de introducir credenciales de inicio de sesión complejas, como un nombre de usuario, contraseña o certificado digital. Algunos ejemplos son los altavoces inteligentes, las consolas de videojuegos, las televisiones inteligentes y los sensores IoT.

Los dispositivos sin interfaz de usuario no pueden conectarse a redes 802.1X. iPSK soluciona este problema utilizando una clave precompartida sencilla que cualquier dispositivo puede utilizar, independientemente de las capacidades de su interfaz.

Tunnel-Private-Group-ID

Un atributo RADIUS estándar del IETF (atributo 81) que especifica el VLAN ID que se asignará a un usuario autenticado. Es el atributo crítico que permite la Dynamic VLAN Assignment en una arquitectura iPSK.

Cuando el servidor RADIUS devuelve este atributo en un mensaje Access-Accept, el punto de acceso lo utiliza para dirigir el tráfico del usuario a la VLAN correcta.

Build-to-Rent (BTR)

Propiedades residenciales construidas expresamente para el alquiler a largo plazo en lugar de para la venta. Las promociones de BTR suelen incluir zonas de servicios, conserjería y servicios gestionados como el WiFi.

Los operadores de BTR son el público principal de los despliegues de iPSK. El WiFi gestionado se posiciona cada vez más como un servicio básico en BTR, junto con el agua, el gas y la electricidad.

PMS (Property Management Software)

Software utilizado por los operadores de propiedades para gestionar contratos de alquiler, registros de residentes, solicitudes de mantenimiento y facturación. En un despliegue de iPSK, la integración con el PMS permite la provisión y revocación automatizadas de claves vinculadas al ciclo de vida del alquiler.

La integración con el PMS es lo que transforma iPSK de una tarea informática manual a un sistema de gestión del ciclo de vida del residente totalmente automatizado.

Ejemplos prácticos

Un promotor inmobiliario está construyendo un complejo BTR de 250 unidades. Quieren proporcionar WiFi en todo el edificio como un servicio gestionado. El pliego de condiciones requiere: que los residentes conecten todos sus dispositivos el día de la mudanza, que los dispositivos domésticos inteligentes funcionen y que ningún residente pueda ver los dispositivos de otro residente. ¿Cómo se debe diseñar la red?

Implemente una red unificada que emita un único SSID llamado "Resident WiFi". Implemente iPSK para asignar una contraseña única a cada apartamento. Configure el controlador inalámbrico (Cisco Meraki, HPE Aruba o Ruckus) para reenviar las solicitudes de autenticación a un servidor RADIUS. Configure el servidor RADIUS para que devuelva el atributo Tunnel-Private-Group-ID para cada credencial, asignando cada apartamento a una VLAN dedicada (VLANs 101 a 350). Dimensione cada VLAN con una subred /28 (14 IPs utilizables) para admitir hasta 10 dispositivos por unidad. Habilite la reflexión mDNS por VLAN para permitir el streaming y el descubrimiento de hogares inteligentes dentro de cada apartamento. Integre el PMS con Purple para automatizar la generación de claves al firmar el contrato de arrendamiento y la revocación al mudarse. Verifique que todas las VLAN de inquilinos potenciales estén etiquetadas en cada puerto troncal en la ruta de red.

Comentario del examinador: Este enfoque elimina la interferencia de RF causada por 250 routers individuales. El iPSK garantiza que los dispositivos sin pantalla, como las televisiones inteligentes, se conecten sin problemas, mientras que la asignación dinámica de VLAN proporciona el aislamiento de Capa 2 necesario para la privacidad de los residentes. La integración de PMS elimina la sobrecarga de TI manual que hace que las implementaciones de MDU a gran escala sean inmanejables.

Un residente de un edificio BTR de 150 unidades informa de que su smartphone se conecta correctamente al WiFi del edificio, pero no puede transmitir Netflix a su Chromecast. Ambos dispositivos están conectados mediante el iPSK único del residente. El equipo de TI ha confirmado que ambos dispositivos están en la VLAN correcta. ¿Cuál es la causa probable y la resolución?

El equipo de TI debe verificar la configuración de reflexión mDNS en el controlador inalámbrico. El streaming depende de mDNS (DNS multidifusión) para el descubrimiento de dispositivos. En una red iPSK correctamente configurada, mDNS está bloqueado entre VLAN para evitar el descubrimiento de dispositivos entre inquilinos. Sin embargo, la reflexión mDNS debe estar habilitada dentro de cada VLAN individual para que los propios dispositivos de un residente puedan descubrirse entre sí. Si la reflexión mDNS está deshabilitada globalmente o no tiene un alcance limitado a las VLAN individuales, el streaming fallará aunque ambos dispositivos estén en la VLAN correcta y tengan acceso a Internet.

Comentario del examinador: Este es el problema de soporte posterior a la implementación más común en entornos MDU iPSK. La distinción entre el bloqueo de mDNS entre VLAN (correcto, por seguridad) y la reflexión de mDNS dentro de la VLAN (necesario, por funcionalidad) es fundamental. Los operadores deben configurar ambos correctamente para ofrecer la experiencia similar a la de un hogar que los residentes esperan.

Preguntas de práctica

Q1. Usted es el responsable de TI de una promoción de BTR de 180 viviendas. El equipo de gestión de la propiedad quiere incluir el WiFi en los gastos de comunidad. Los estudiantes y jóvenes profesionales serán los residentes principales, y cada uno traerá una media de ocho dispositivos conectados, incluidas consolas de videojuegos y dispositivos domésticos inteligentes. La red existente utiliza WPA3-Enterprise. Los residentes se quejan de que sus consolas PlayStation 5 y sus dispositivos Amazon Echo no se conectan. ¿Cuál es el cambio de arquitectura más adecuado?

Sugerencia: Tenga en cuenta los requisitos de autenticación de los dispositivos sin interfaz de usuario y la necesidad de mantener la rendición de cuentas y el aislamiento por vivienda.

Ver respuesta modelo

Migrar la red de WPA3-Enterprise (802.1X) a una arquitectura iPSK. WPA3-Enterprise requiere autenticación 802.1X, la cual no es compatible con consolas de videojuegos y altavoces inteligentes debido a que carecen de interfaz para introducir credenciales o instalar certificados. iPSK permite que estos dispositivos se conecten mediante una clave compartida sencilla, manteniendo al mismo tiempo el aislamiento por unidad a través de la asignación dinámica de VLAN (Dynamic VLAN Assignment). El servidor RADIUS asocia cada clave única a una VLAN dedicada, conservando la seguridad y la trazabilidad que WPA3-Enterprise debía proporcionar.

Q2. Tras desplegar iPSK en un edificio de apartamentos de 100 unidades, el equipo de TI recibe informes de que los residentes de las unidades 201 a 210 pueden autenticarse en la red WiFi pero no obtienen una dirección IP. Los residentes de todas las demás unidades se conectan con normalidad. Los registros del servidor RADIUS muestran una autenticación correcta para todas las unidades afectadas. ¿Cuál es la causa más probable?

Sugerencia: Piense en la ruta de red entre los Access Points que dan servicio a las plantas 2 y el servidor DHCP, y qué se debe configurar de extremo a extremo.

Ver respuesta modelo

Es probable que en el puerto del switch que conecta con los Access Points de la planta 2 falten las etiquetas VLAN para las VLAN de la 201 a la 210. Cuando el servidor RADIUS autentica a un residente de la unidad 201 y devuelve la VLAN 201 en el atributo Tunnel-Private-Group-ID, el AP intenta colocar el tráfico en la VLAN 201. Si la VLAN 201 no está etiquetada en el puerto del switch, el tráfico se descarta y la solicitud DHCP nunca llega al servidor DHCP. La solución es añadir las etiquetas VLAN que faltan al puerto trunk afectado. El hecho de que la autenticación se realice correctamente pero la asignación de IP falle es la firma de diagnóstico de este problema específico.

Q3. Un operador de BTR quiere ofrecer un paquete de WiFi premium "Gamer Tier" con un coste mensual adicional, garantizando un mayor ancho de banda para los residentes que se apunten. El edificio ya funciona con iPSK con aislamiento de VLAN por unidad. ¿Cómo se puede implementar esto sin desplegar hardware adicional?

Sugerencia: Considere cómo el servidor RADIUS puede devolver diferentes atributos de política para diferentes credenciales, y qué debe soportar la plataforma de gestión.

Ver respuesta modelo

El operador puede implementar la segmentación de ancho de banda a través del servidor RADIUS y políticas de calidad de servicio (QoS). Cuando un residente se actualiza al Gamer Tier, la plataforma de gestión (Purple) actualiza su perfil RADIUS para devolver un atributo de política diferente junto con la asignación de VLAN. Este atributo activa un límite de ancho de banda superior o una prioridad de QoS en el controlador inalámbrico. No se requieren cambios de hardware. El panel de Purple permite al equipo de la propiedad actualizar la tarifa de un residente de forma instantánea, y el cambio se aplica en el siguiente evento de autenticación.

Continúe leyendo esta serie

PPSK WPA3: comparación de características y modelos de implementación

Esta guía de referencia técnica compara PPSK y WPA3-SAE, explicando sus diferencias arquitectónicas y modelos de implementación para entornos multi-inquilino. Ofrece orientación práctica para directores de TI y promotores inmobiliarios sobre cómo lograr redes WiFi seguras y aisladas utilizando las soluciones basadas en identidad de Purple.

PPSK en la práctica: comparación de funciones y modelos de implementación

Esta guía compara PPSK (Private Pre-Shared Key) con PSK estándar y 802.1X, detallando los modelos de implementación para entornos multi-inquilino. Equipa a los directores de IT y operadores de propiedades para implementar un WiFi seguro y aislado para los residentes, que admita dispositivos domésticos inteligentes y genere un valor comercial medible.

PPSK: comparación de características y modelos de implementación

Esta guía técnica detalla la implementación de arquitecturas de Clave Precompartida Privada (PPSK) y Clave Precompartida de Identidad (iPSK) en entornos de alta densidad multiinquilino. Proporciona estrategias de implementación prácticas para promotores inmobiliarios y directores de TI para proteger las redes de los residentes, admitir dispositivos IoT y generar un ROI positivo a través de WiFi gestionado.