PPSK mun: comparativa de funciones y modelos de despliegue

You are a senior network consultant speaking in British English with a clear, authoritative, conversational tone - confident and direct, as if briefing a client before a board meeting. Speak at a measured, professional pace with natural pauses. No filler words. No lecture tone. Treat the listener as a peer who is technically literate but time-pressed: Bienvenido a la sesión técnica de Purple. [short pause] Hoy hablaremos de PPSK para despliegues multi-inquilino: qué es, cómo se compara con las alternativas y dónde tiene sentido implementarlo. Si es promotor inmobiliario, operador de alquiler residencial de obra nueva (BTR) o responsable de TI de un edificio residencial o de uso mixto, esta es la información que necesita antes de aprobar el diseño de una red. [medium pause] Empecemos por el problema. En una red WPA2 Personal tradicional, todos los dispositivos de la red comparten la misma contraseña. Esto es aceptable para un hogar, pero es un riesgo para un complejo de alquiler de 200 viviendas, una residencia de estudiantes o un complejo de apartamentos de servicios. Cuando un residente se muda, o se cambia la contraseña de todo el mundo (lo que desconecta la smart TV, el termostato y la consola de todos los demás residentes) o se le sigue permitiendo el acceso al antiguo residente. Ninguna de las dos opciones es viable. [short pause] PPSK - Private Pre-Shared Key - soluciona esto asignando a cada residente, piso o grupo de dispositivos su propia clave WiFi exclusiva. Todos se conectan al mismo SSID (el mismo nombre de red), pero cada clave se asocia a una VLAN distinta. El piso 12 está en la VLAN 10. El piso 13 está en la VLAN 20. Los dispositivos IoT están en la VLAN 99. El punto de acceso gestiona la asignación de clave a VLAN de forma automática. Sin necesidad de servidor RADIUS, sin infraestructura de certificados y sin suplicante 802.1X en el dispositivo. [medium pause] Ahora bien, la terminología varía según el fabricante, y eso genera bastante confusión. HPE Aruba lo llama PPSK - Private Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK. Juniper Mist utiliza ePSK. Extreme Networks, que desarrolló el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. Cambium también utiliza ePSK. El mecanismo subyacente es idéntico en todos ellos: un SSID, múltiples claves exclusivas, y cada clave vinculada a una VLAN o a un grupo de políticas. [short pause] Técnicamente, esto es lo que ocurre en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave precompartida durante el saludo de cuatro vías de WPA2. El punto de acceso (o el controlador en la nube que tiene detrás) busca esa clave en el almacén de PPSK, identifica a qué VLAN está asociada y etiqueta el tráfico del dispositivo en consecuencia a partir de ese momento. El dispositivo detecta una conexión WiFi normal. No tiene ni idea de que se le ha ubicado en un segmento aislado. Su Chromecast funciona. Su altavoz inteligente se empareja. Su consola obtiene el tipo de NAT correcto. Todo funciona como en una red doméstica porque, desde la perspectiva del dispositivo, realmente lo es. [medium pause] Esta es la diferencia clave con respecto a 802.1X, que es el estándar empresarial para redes de personal y entornos corporativos. 802.1X requiere un servidor RADIUS, un proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Todos los portátiles gestionados tienen uno. Todos los teléfonos corporativos tienen uno. El frigorífico inteligente de su residente no lo tiene. El controlador de HVAC de su edificio no lo tiene. Sus sensores de IoT no lo tienen. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. [short pause] Dicho esto, PPSK no sustituye a 802.1X en entornos corporativos. Es una herramienta diferente para un problema diferente. Si gestiona una red de personal donde importa la responsabilidad individual (donde necesita saber que una persona específica se autenticó a una hora específica y necesita revocar su acceso en el momento en que deja la organización) 802.1X es la respuesta correcta. Si gestiona una red residencial donde necesita aislamiento por vivienda, soporte para IoT y simplicidad operativa a escala, PPSK es la respuesta correcta. [medium pause] Veamos los tres modelos de despliegue que encontrará en producción. [short pause] El primero es el modelo de controlador en la nube. Este es el más común para nuevos despliegues de BTR y MDU. Sus puntos de acceso (ya sean Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet) se conectan a una plataforma de gestión en la nube. El almacén de claves PPSK reside en el controlador en la nube. Cuando da de alta a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador envía la política a cada punto de acceso del edificio. El residente recibe su clave por correo electrónico, SMS o un código QR en un paquete de bienvenida. Lo escanean, se conectan y ya están en línea. Cuando se mudan, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. [short pause] El segundo modelo es PPSK con un backend RADIUS local. Algunos despliegues empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK. Esto le proporciona un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidades. Añade sobrecarga de infraestructura, pero le ofrece la trazabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Es el modelo adecuado para entornos mixtos; por ejemplo, un espacio de coworking donde tiene tanto dispositivos corporativos gestionados como equipos de IoT propiedad de los miembros. [short pause] El tercer modelo es el híbrido: PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión. Esta es la arquitectura que Purple recomienda para despliegues de Build-to-Rent y unidades multifamiliares. Los residentes obtienen PPSK. Los sistemas de gestión del edificio, la videovigilancia y el control de accesos obtienen su propia VLAN de IoT con PPSK. Los dispositivos del equipo de gestión de la propiedad utilizan 802.1X contra Microsoft Entra ID o Okta. Tres modelos de autenticación distintos, tres VLAN distintas, una sola infraestructura física. [medium pause] Ahora entremos en la implementación. Si está desplegando PPSK para un desarrollo de BTR, esta es la secuencia que funciona. [short pause] Comience con su diseño lógico antes de tocar el hardware. Planifique el número de residentes, sus categorías de dispositivos IoT y cualquier sistema de personal o de gestión. Asigne VLANs. Un despliegue de BTR típico tiene este aspecto: VLANs de la 10 hasta la que requiera su número de unidades para los residentes - una VLAN por piso o una VLAN por planta en función de la densidad. VLAN 99 para IoT. VLAN 100 para la gestión del edificio. VLAN 200 para la red WiFi de invitados en las zonas comunes. [short pause] A continuación, documente su esquema de direccionamiento IP. En un edificio de 200 unidades, se contemplan de 3.000 a 5.000 dispositivos en la red en cualquier momento. Esa es la cifra de 15 a 25 dispositivos por hogar según la investigación de la British Property Federation. Sus alcances de DHCP deben dar cabida a eso. Utilice el direccionamiento privado RFC 1918 con tamaños de subred suficientes por VLAN. Una barra 24 le ofrece 254 direcciones utilizables. Una barra 23 le ofrece 510. Dimensione en consecuencia. [medium pause] En cuanto al hardware: PPSK es compatible con todas las principales plataformas de puntos de acceso empresariales. Cisco Meraki admite hasta 5.000 entradas de iPSK por red. HPE Aruba lo implementa de forma nativa en ArubaOS y Aruba Central. Ruckus lo admite a través de SmartZone y la plataforma Ruckus Cloud. Juniper Mist utiliza ePSK con gestión de RF impulsada por IA. Ubiquiti UniFi cuenta con PPSK desde 2023, aunque tenga en cuenta que actualmente es solo WPA2 y no funcionará en la banda de 6 gigahercios. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3. [short pause] Una limitación crítica a tener en cuenta: si está especificando puntos de acceso WiFi 6E y desea utilizar la banda de 6 gigahercios para clientes PPSK, necesitará una plataforma que admita WPA3-SAE con PPSK, o tendrá que restringir los clientes PPSK a las bandas de 2,4 y 5 gigahercios. [medium pause] Ahora los errores habituales. Estos son los modos de fallo que veo repetidamente en los despliegues en producción. [short pause] Primero: la proliferación de SSID. Cada SSID que emite consume tiempo de aire para las tramas de baliza. En un edificio residencial denso, si está emitiendo seis u ocho SSIDs por punto de acceso, está degradando el rendimiento para todos. Manténgalo en un máximo de cuatro SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un único SSID en lugar de crear un SSID independiente por piso o por planta. [short pause] Segundo: configuración insuficiente del puerto troncal. Diseña un esquema de VLAN limpio, despliega los puntos de acceso y, a continuación, el tráfico cae silenciosamente porque alguien olvidó permitir las VLANs correspondientes en un enlace troncal entre el conmutador de distribución y la capa de acceso. Valide cada puerto troncal durante la puesta en marcha. Realice pruebas con un dispositivo en cada VLAN antes de que se muden los residentes. [short pause] Tercero: la distribución de claves. Generar claves es fácil. Entregárselas a los residentes de forma segura y gestionable desde el punto de vista operativo es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal para residentes donde puedan recuperar su clave y añadir nuevos dispositivos es mejor para las operaciones diarias. Diseñe el flujo de trabajo de distribución de claves antes de la implantación, no después. [short pause] Cuarto, específico para IoT: colocar los dispositivos domésticos inteligentes en el segmento PPSK del residente sin analizar las implicaciones. Un dispositivo IoT comprometido en la VLAN de un residente puede potencialmente atacar a otros dispositivos en esa misma VLAN. Para categorías de IoT de alto riesgo, considere una VLAN de IoT independiente con filtrado de salida. [medium pause] Pasemos ahora a una sesión rápida de preguntas y respuestas sobre los temas que más suelen surgir. [short pause] ¿Cuántas claves PPSK puede gestionar un único punto de acceso? La mayoría de las plataformas empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta 5.000 entradas iPSK por red. Ubiquiti UniFi admite hasta 1.000 por red. Para un edificio de 200 viviendas, está muy dentro de los límites en cualquier plataforma. [short pause] ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE proporciona una protección más sólida contra ataques de diccionario sin conexión en comparación con WPA2-PSK, por lo que implantar PPSK en WPA3 siempre que los dispositivos de los clientes lo admitan es el enfoque correcto. La excepción es UniFi, que actualmente solo admite WPA2 para PPSK. [short pause] ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist ofrecen APIs REST para la gestión de claves PPSK. La plataforma Multi-Tenant WiFi de Purple actúa como una capa en la nube sobre estos sistemas, automatizando todo el ciclo de vida del residente: aprovisionamiento al firmar el contrato de alquiler, gestión de dispositivos en régimen de autoservicio durante el alquiler y revocación automática de claves al mudarse. [medium pause] Cerremos con el caso de negocio. El mercado global de WiFi gestionado se valoró en 3.190 millones de dólares en 2023 y se proyecta que alcance los 7.780 millones de dólares para 2030, según Verified Market Research. Este crecimiento está impulsado por los operadores de MDU y BTR que reconocen el WiFi como un servicio básico - no como un servicio adicional. La encuesta de 2024 de la National Multifamily Housing Council reveló que más del 58% de los inquilinos valoraban el WiFi gestionado como muy importante o absolutamente esencial. Y el 90% de los inquilinos consideran que internet de alta velocidad es un factor clave en las decisiones de alquiler, según una investigación de la NMHC citada por MFE. [short pause] Para una promoción BTR de 200 viviendas, los cálculos operativos son sencillos. PPSK elimina por completo el problema de la rotación de contraseñas. Reduce los tickets de soporte relacionados con el WiFi - los operadores que utilizan la plataforma de Purple informan de una reducción del 30% en comparación con las implantaciones de contraseñas compartidas. Permite modelos de ingresos de WiFi-as-a-service, con paquetes de velocidad por niveles que se pueden ajustar en el portal sin necesidad de cambiar el hardware. [short pause] La arquitectura es independiente del hardware. Purple funciona como una capa en la nube sobre Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. No está atado a un solo proveedor de hardware. No está reemplazando su infraestructura existente. Está agregando una capa de gestión que automatiza el ciclo de vida del residente y le proporciona los datos para gestionar la red de forma inteligente. [medium pause] Para resumir los puntos clave de la sesión de hoy. [short pause] Primero: PPSK proporciona a cada residente o unidad una clave WiFi única, mapeada a una VLAN aislada, sin requerir infraestructura 802.1X ni certificados de dispositivo. Segundo: la terminología varía según el proveedor - iPSK en Meraki, ePSK en Mist y Cambium, Private PSK en Extreme, PPSK en Aruba y UniFi - pero el mecanismo es idéntico. Tercero: la arquitectura recomendada para BTR y MDU es híbrida - PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión del edificio. Cuarto: diseñe su esquema de VLAN y direccionamiento IP antes de tocar el hardware. Calcule sus rangos de DHCP para un promedio de 15 a 25 dispositivos por hogar. Quinto: mantenga el recuento de SSID en cuatro o menos por radio. PPSK le permite dar servicio a múltiples segmentos de residentes desde un único SSID. Sexto: cree su flujo de trabajo de distribución de claves - códigos QR, portal del residente, integración con PMS - antes del despliegue, no después. [short pause] Si desea profundizar en alguno de estos temas, el equipo técnico de Purple organiza sesiones periódicas de revisión de arquitectura para operadores de BTR y MDU. Puede reservar una en purple.ai. La guía escrita completa con diagramas, ejemplos prácticos y notas de configuración específicas del proveedor está enlazada en las notas de la sesión. [medium pause] Eso es todo por hoy. Gracias por su tiempo.