UniFi PPSK: comparación de funciones y modelos de implementación

Te damos la bienvenida al briefing técnico de Purple. Hoy analizaremos UniFi PPSK: qué es, cómo encaja en tu kit de herramientas de diseño de redes y, lo que es más importante, cuándo deberías utilizarlo en comparación con las alternativas. Permíteme que te ponga en situación. Eres un promotor inmobiliario, un operador de alquiler residencial para profesionales (BTR) o un gestor de TI responsable de un edificio con cientos de residentes o inquilinos. Necesitas un WiFi que aísle a cada hogar de los demás, que sea compatible con dispositivos domésticos inteligentes y que no te obligue a cambiar una contraseña compartida cada vez que alguien se mude. Ese es el problema para el que se diseñó PPSK - y merece la pena comprender tanto sus puntos fuertes como sus límites estrictos antes de comprometerse con él. Por tanto, ¿qué es exactamente PPSK? PPSK significa Private Pre-Shared Key (clave privada precompartida). Es una función integrada en UniFi Network que te permite ejecutar un único SSID de WiFi con varias contraseñas diferentes, donde cada contraseña se asigna a una VLAN específica. El concepto es sencillo. En lugar de una contraseña compartida para todos, proporcionas una contraseña diferente a cada inquilino, a cada grupo de dispositivos o a cada caso de uso. Cuando un dispositivo se conecta con esa contraseña, el controlador de UniFi lo asigna automáticamente a la VLAN correspondiente. Sin necesidad de servidor RADIUS. Sin certificados. Sin una infraestructura compleja de 802.1X. Ahora bien, oirás llamar a PPSK de diferentes maneras según el fabricante con el que hables. Aruba lo llama MPSK. Cisco Meraki lo llama iPSK. Ruckus lo llama DPSK. El concepto subyacente es el mismo en todos ellos: un SSID, muchas claves, cada clave vinculada a un segmento de red. La implementación de UniFi se denomina PPSK y reside de forma nativa en el controlador de UniFi Network sin coste adicional de licencia. Entremos en la arquitectura técnica. Al habilitar PPSK en un SSID de UniFi, estás creando una red WPA2-Personal con múltiples claves precompartidas. Cada clave está asociada a un ID de VLAN específico que ya has configurado en tu switch y controlador de UniFi. Cuando un dispositivo cliente se autentica con una de esas claves, el punto de acceso etiqueta el tráfico del cliente con el ID de VLAN correspondiente antes de reenviarlo de forma ascendente. El cliente se comporta exactamente como si estuviera en una VLAN dedicada - aislado de los clientes de otras VLAN, con su propio rango de DHCP y sus propias reglas de cortafuegos. Esto es realmente útil para varias situaciones. En un edificio residencial, das a cada apartamento su propio PPSK. Todos los dispositivos de ese apartamento - teléfonos, portátiles, altavoces inteligentes, videoconsolas - se conectan con la misma clave y terminan en la misma VLAN. Pueden descubrirse entre sí, transmitir contenidos entre ellos y emparejarse, exactamente como lo harían en una red doméstica. Pero son completamente invisibles para el apartamento de al lado. En un hotel, puedes utilizar PPSK para separar el tráfico de los huéspedes del tráfico del personal y de los dispositivos IoT como televisiones inteligentes y cerraduras electrónicas - todo en un único SSID. En un entorno de retail, puedes aislar los terminales de pago en su propia VLAN para cumplir con la normativa PCI-DSS, manteniendo los dispositivos del personal y el WiFi de los clientes en segmentos separados. Ahora, este es el límite crítico que debe comprender antes de continuar. PPSK es una función exclusiva de WPA2. No funciona con WPA3. Y debido a que la banda de 6 GHz - utilizada por WiFi 6E y WiFi 7 - exige el uso de WPA3, no se puede utilizar PPSK en radios de 6 GHz. Este no es un límite específico de UniFi. Es una restricción fundamental del estándar 802.11. Actualmente, WPA3 solo permite una única clave precompartida por SSID, por lo que la arquitectura de claves múltiples en la que se basa PPSK es simplemente incompatible con WPA3. ¿Qué significa esto en la práctica? Si habilita PPSK en un SSID, ese SSID solo se transmitirá en 2.4 GHz y 5 GHz. Sus puntos de acceso WiFi 6E y WiFi 7 más nuevos no utilizarán sus radios de 6 GHz para esa red. Para la mayoría de los despliegues residenciales actuales, esto es aceptable. Pero es una limitación que debe tener en cuenta en su plan de red a cinco años, especialmente a medida que se acelera la adopción de WiFi 7. Comparemos PPSK directamente con las dos alternativas principales: RADIUS con 802.1X, y una solución iPSK gestionada en la nube como Purple. RADIUS con 802.1X - también llamado WPA2-Enterprise o WPA3-Enterprise - es el estándar de oro para la autenticación empresarial. Cada usuario o dispositivo tiene credenciales únicas. El servidor RADIUS valida esas credenciales y asigna dinámicamente al cliente a una VLAN. Admite WPA3, funciona en 6 GHz y se escala a usuarios ilimitados. La desventaja es la complejidad. Necesita un servidor RADIUS, ya sea de forma local o alojado en la nube. Debe gestionar certificados si utiliza EAP-TLS. Y lo que es más crítico, muchos dispositivos IoT - altavoces inteligentes, consolas de videojuegos, sensores domésticos inteligentes - no pueden conectarse en absoluto a redes 802.1X. UniFi PPSK se sitúa en un punto intermedio. Es más sencillo que RADIUS - sin necesidad de infraestructura de servidores ni certificados, y funciona con todos los dispositivos. Sin embargo, es menos escalable. La implementación nativa de PPSK de UniFi almacena las claves de forma local en el controlador. El límite práctico para la mayoría de los despliegues se sitúa en unos pocos cientos de claves. Para un edificio BTR de 50 unidades, es suficiente. Para un desarrollo de 500 unidades, se encontrará rápidamente con problemas de gestión. Ahí es donde una capa en la nube como Purple cambia las reglas del juego. La solución Multi-Tenant WiFi de Purple se ejecuta sobre su hardware UniFi existente. Gestiona el ciclo de vida de las claves de forma centralizada en la nube. Cuando se muda un nuevo residente, Purple aprovisiona su clave de forma automática. Cuando se marcha, Purple la revoca. Los dispositivos del residente pierden el acceso de inmediato, sin afectar a ningún otro residente. Purple se integra con Microsoft Entra ID y Okta para automatizar por completo ese ciclo de vida. Ahora repasemos dos escenarios de despliegue del mundo real. Escenario uno: una promoción de Build to Rent de 120 viviendas. El operador quiere que los residentes disfruten de una experiencia de WiFi similar a la de su hogar desde el primer día: sin esperar a un técnico de banda ancha, sin contraseñas compartidas y con soporte completo para hogares inteligentes. El hardware es UniFi en su totalidad. Cada residente recibe una clave única suministrada a través de la plataforma Purple, vinculada a su contrato de alquiler. Sus dispositivos se conectan a una VLAN dedicada. Chromecast funciona. Las videoconsolas obtienen NAT abierta. Los altavoces inteligentes se emparejan correctamente. Cuando un residente se muda, la clave se revoca en segundos. El operador reporta una reducción del 40% en los tickets de soporte relacionados con WiFi en los primeros tres meses. Escenario dos: un hotel de 200 habitaciones que utiliza puntos de acceso UniFi. El equipo de TI necesita segmentar el WiFi de los huéspedes, el WiFi del personal y los dispositivos IoT (smart TV, cerraduras inteligentes, sensores HVAC) sin tener que ejecutar un SSID diferente para cada uno. Activan PPSK de forma nativa en UniFi. Tres claves: una para huéspedes, otra para el personal y otra para IoT. Tres VLANs. Un SSID. El resultado: un entorno de RF limpio con menos SSIDs, una segmentación clara del tráfico y conformidad con PCI DSS para los sistemas de pago en la VLAN del personal. Permítame indicarle los errores de implementación que debe evitar. Primero: configuración de VLAN antes de PPSK. Debe configurar sus VLANs en el switch y controlador UniFi antes de crear las entradas PPSK. Construya siempre primero la segmentación de su red. Segundo: la trampa de los 6 GHz. Si va a desplegar puntos de acceso WiFi 6E o WiFi 7 y desea utilizar 6 GHz para áreas de alta densidad, no puede utilizar PPSK en esas redes. Planifique la arquitectura de su SSID en consecuencia. Tercero: gestión de claves a escala. Si gestiona más de 100 unidades de forma nativa en UniFi sin una capa en la nube, sentirá rápidamente el dolor del aprovisionamiento manual de claves. Cuarto: mDNS y detección de dispositivos. Por defecto, los dispositivos en diferentes VLANs no pueden detectarse entre sí. Si desea que Chromecast o AirPlay funcionen dentro de la VLAN de un residente, necesita habilitar la reflexión mDNS. UniFi admite esto, pero debe configurarse explícitamente por VLAN. Preguntas rápidas. ¿Puedo usar PPSK y RADIUS en el mismo controlador UniFi? Sí. Puede ejecutar un SSID con PPSK y un SSID con WPA2-Enterprise simultáneamente. ¿Admite PPSK el modo de transición WPA3? No. PPSK es solo WPA2. ¿Cuál es el número máximo de claves PPSK en UniFi? La experiencia de la comunidad sugiere que el rendimiento disminuye más allá de unos pocos cientos de claves en un solo SSID. Para grandes despliegues, una capa de gestión en la nube es la respuesta adecuada. Para concluir: UniFi PPSK es una herramienta realmente útil para despliegues de tamaño pequeño a mediano donde se necesita segmentación de VLAN sin infraestructura RADIUS. Es la opción correcta para un edificio de 50 viviendas, un hotel boutique o una pequeña oficina con tipos de dispositivos mixtos. Para despliegues más grandes (cualquier cosa que supere las 100 unidades o donde se requiera una gestión automatizada del ciclo de vida), se necesita una capa en la nube como Purple para que sea operativamente viable. El marco de decisión clave es sencillo. Hágase tres preguntas. ¿Cuántas claves únicas necesito? Si son menos de 100, PPSK nativo funciona. Si son más de 100, necesita una capa de gestión. ¿Necesito 6 GHz? Si la respuesta es sí, PPSK no es la solución. ¿Y necesito un aprovisionamiento automatizado vinculado a un sistema de inquilinos o de recursos humanos? Si es así, una capa en la nube como Purple es la opción correcta. Para obtener más información sobre la solución WiFi multi-inquilino de Purple y cómo se implementa en el hardware de UniFi, visite purple dot ai. Gracias por escuchar el Purple Technical Briefing.