iPSK: una guía completa para empresas

Resumen ejecutivo

iPSK (Identity Pre-Shared Key) es la tecnología que hace posible el WiFi multi-inquilino. Le permite transmitir un solo SSID en toda una propiedad mientras emite una contraseña única para cada residente. Cuando un dispositivo se conecta, un servidor RADIUS asocia esa contraseña a una VLAN dedicada, creando una burbuja de red privada por departamento. El teléfono del residente ve su Chromecast. Su bocina inteligente controla sus luces. El residente B no ve nada de esto.

El WiFi de invitados estándar aísla cada dispositivo de los demás - no es compatible con dispositivos de casa inteligente. El protocolo 802.1X EAP-TLS proporciona una seguridad sólida, pero requiere la gestión de certificados y falla en dispositivos IoT sin pantalla. iPSK se encuentra entre ambos: es más sencillo que 802.1X, mucho más seguro que una contraseña compartida y totalmente compatible con todos los dispositivos que posea un residente.

Purple despliega iPSK como una capa de nube sobre hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. No necesita reemplazar sus puntos de acceso. Purple actúa como el servidor RADIUS, gestiona el ciclo de vida de las claves y automatiza el alta y baja de usuarios a través de la API. Esta guía cubre la arquitectura, los pasos de despliegue, los errores comunes y el caso comercial para tratar el WiFi como un servicio gestionado en propiedades de BTR y MDU.

Inmersión técnica profunda

Cómo funciona iPSK

El WPA2-Personal tradicional utiliza una sola contraseña para todos los usuarios de un SSID. Cualquier residente puede ver los dispositivos de otros residentes en el mismo dominio de difusión. Cambiar la contraseña cuando un residente se muda afecta a todos los demás residentes. iPSK cambia el modelo de autenticación por completo.

Cuando un dispositivo intenta asociarse con el punto de acceso utilizando una PSK específica, el controlador inalámbrico envía un RADIUS Access-Request a la nube de Purple. El servidor RADIUS compara la contraseña con el registro del residente y devuelve un mensaje RADIUS Access-Accept que contiene un atributo específico del proveedor: el VLAN ID asignado a ese residente. El controlador coloca al cliente en esa VLAN. Todo el intercambio toma milisegundos y es invisible para el residente.

Esta arquitectura ofrece tres resultados. Primero, segmentación de VLAN: el tráfico está aislado en la Capa 2, por lo que el Residente A en la VLAN 10 no puede enrutar tráfico hacia el Residente B en la VLAN 20. Segundo, contención de difusión: el tráfico de descubrimiento mDNS y Bonjour permanece dentro de la VLAN del residente, por lo que Chromecast y Sonos funcionan dentro del departamento pero no se filtran al pasillo. Tercero, ciclo de vida de clave limpio: revocar una clave en el momento de la mudanza afecta únicamente a ese residente; el resto del edificio permanece en línea.

La terminología de los proveedores varía. HPE Aruba lo llama PPSK (Private Pre-Shared Key). Cisco Meraki lo llama Personal Private Network. Ruckus y Juniper Mist usan DPSK (Dynamic Pre-Shared Key). El concepto es idéntico en todas las plataformas.

Comparación de métodos de autenticación

La siguiente tabla resume las ventajas y desventajas de los tres principales métodos de autenticación WiFi utilizados en entornos multi-inquilino.

Para implementaciones de BTR y MDU, iPSK es la opción correcta. Proporciona el aislamiento y la seguridad que necesita sin la carga operativa de una entidad de certificación.

WPA3 y el desafío de los 6 GHz

WPA3 introduce la Autenticación Simultánea de Iguales (SAE) como reemplazo del protocolo de enlace de 4 vías de WPA2. SAE es más resistente a los ataques de diccionario fuera de línea. Sin embargo, el estándar IEEE 802.11 para SAE actualmente no admite múltiples claves precompartidas por SSID.

Dado que Wi-Fi 6E y Wi-Fi 7 exigen WPA3 en la banda de 6 GHz, no es posible ejecutar iPSK estándar en un SSID de 6 GHz hoy en día. Esta no es una limitación específica de un proveedor. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Extreme y Fortinet enfrentan la misma restricción porque se deriva del propio estándar IEEE.

La mejor práctica actual es una implementación híbrida. Mantenga un SSID WPA2 iPSK en las bandas de 2.4 GHz y 5 GHz para admitir dispositivos heredados y hardware IoT. Para dispositivos con capacidad de 6 GHz, implemente un SSID separado utilizando 802.1X EAP-TLS, o espere a que maduren las implementaciones de SAE específicas de cada proveedor. Algunos proveedores están desarrollando soluciones propietarias de SAE de claves múltiples, pero aún no existe un enfoque estandarizado universalmente.

Guía de implementación

Paso 1: Planificación de VLAN

Asigne una VLAN dedicada por departamento o residente. Asegúrese de que sus switches principales y firewalls admitan la cantidad requerida de interfaces VLAN. Una propiedad BTR de 200 unidades requiere 200 VLANs distintas. Las plataformas de switching empresarial modernas manejan miles de VLANs sin impacto en el rendimiento.

Paso 2: DHCP y direccionamiento IP

Configure un alcance DHCP para cada VLAN. Asigne una subred /24 (254 direcciones útiles) por residente. Un hogar moderno conecta de 15 a 25 dispositivos. Una subred /28 (14 direcciones útiles) se agotará en cuestión de días. Nunca dimensione de menos el alcance DHCP.

Paso 3: Configuración de RADIUS

Apunte sus controladores inalámbricos a los servidores RADIUS de Purple. Configure los controladores para que acepten atributos de invalidación de RADIUS para la asignación de VLAN. Purple proporciona las direcciones IP del servidor RADIUS, los secretos compartidos y las asignaciones de atributos para cada plataforma de hardware compatible.

Paso 4: Aprovisionamiento de SSID

Transmita un único SSID para todo el edificio. Habilite MAC Authentication Bypass (MAB) en el SSID. MAB es el mecanismo mediante el cual el controlador inicia la solicitud RADIUS cuando un dispositivo se conecta utilizando una PSK en lugar de un certificado.

Paso 5: Incorporación de residentes

Integre el aprovisionamiento de WiFi en el flujo de trabajo de mudanza de los residentes. La API de Purple genera la iPSK única y la entrega al residente por correo electrónico o a través de un portal para residentes. Al momento de la mudanza, el sistema de administración de la propiedad activa la API de Purple para revocar la clave. No se requiere intervención manual.

-

Mejores prácticas

Desactive el aislamiento de clientes dentro de las VLAN de los residentes

El aislamiento de clientes evita que los dispositivos de la misma subred se comuniquen entre sí. Si lo habilita, interrumpirá la funcionalidad de hogar inteligente para la que está diseñado iPSK. Desactive el aislamiento de clientes dentro de la VLAN de cada residente. El límite de la VLAN en sí proporciona el aislamiento entre los residentes.

Configure NAT para juegos

Los juegos en línea requieren configuraciones de NAT específicas. PlayStation 5 y Xbox Series X necesitan NAT Tipo 2 (Moderado) o NAT Tipo 1 (Abierto) para el emparejamiento. Implemente Carrier-Grade NAT (CGNAT) con cuidado. Configure UPnP o reenvío de puertos estáticos por VLAN de residente en lugar de aplicar una política estricta de NAT general.

Enlace todas las VLAN de los residentes a todos los puntos de acceso

Un residente que se conecta en su departamento en el cuarto piso debe mantener su conexión cuando camina hacia el gimnasio en la planta baja. Todas las VLAN de los residentes deben estar enlazadas a todos los puntos de acceso de la propiedad, o debe implementar un protocolo de túnel como CAPWAP o GRE para anclar el tráfico del cliente a un controlador central.

Planifique para eventos de mudanza masivos

Los operadores de alojamientos estudiantiles enfrentan un desafío específico: cientos de residentes que se conectan simultáneamente durante la semana de mudanza. Pre-aprovisione todos los iPSK antes del día de la mudanza. Pruebe la capacidad del servidor RADIUS bajo carga. La infraestructura en la nube de Purple está clasificada para un 99.999% de tiempo de actividad y maneja ráfagas de autenticación simultáneas sin degradación.

-

Resolución de problemas y mitigación de riesgos

Fallas de Chromecast y altavoces inteligentes

El ticket de soporte más común en WiFi multi-inquilino. Si un residente no puede transmitir a su Chromecast o emparejar su altavoz inteligente, verifique dos cosas. Primero, confirme que el aislamiento de clientes esté desactivado dentro de su VLAN. Segundo, confirme que el proxy mDNS o la puerta de enlace Bonjour no estén filtrando el tráfico de descubrimiento dentro de la VLAN.

Agotamiento de direcciones IP

Si los residentes informan que los dispositivos nuevos no pueden conectarse, verifique la tabla de concesión DHCP para su VLAN. Una subred /28 se agotará en cuestión de días en un hogar moderno. Amplíe el alcance a un /24 de inmediato.

Conexiones caídas en áreas comunes

Si los residentes pierden la conectividad al moverse entre pisos o zonas, significa que la VLAN del residente no está troncalizada hacia el punto de acceso en esa área. Audite la configuración de la troncal de VLAN en cada puerto de switch conectado a un punto de acceso.

Fallas de autenticación después de la revocación de claves

Si un dispositivo se sigue conectando después de que se ha revocado una clave, verifique la caché del servidor RADIUS. Algunos controladores almacenan en caché las decisiones de autenticación por un período configurable. Establezca el tiempo de espera de la sesión y el intervalo de reautenticación en un valor corto (de 15 a 30 minutos) para asegurar que las revocaciones surtan efecto de inmediato.

-

ROI e impacto empresarial

El caso de la prima de alquiler

La investigación de la British Property Federation indica que el WiFi administrado genera una prima de alquiler de £15 a £30 por unidad, por mes en los desarrollos BTR del Reino Unido. En una propiedad de 200 unidades, eso representa de £3,000 a £6,000 en ingresos mensuales adicionales. El costo de capital de implementar puntos de acceso empresariales y la capa de software de Purple se recupera típicamente en un plazo de 12 a 18 meses.

Reducción del período de desocupación

Ofrecer conectividad desde el primer día elimina el período de desocupación de 5 a 10 días mientras un residente espera a un ingeniero de ISP. Los residentes se mudan y se conectan de inmediato. Esto reduce los costos de desocupación y mejora la satisfacción del residente desde el primer día de su contrato de arrendamiento.

Mejora del entorno de RF

Un edificio de 200 unidades donde cada residente tiene su propio router doméstico genera una interferencia de cocanal severa. 200 routers compitiendo en canales superpuestos de 2.4 GHz y 5 GHz degradan el rendimiento para todos. Reemplazar esto con un solo SSID administrado en puntos de acceso empresariales elimina la interferencia y ofrece una conectividad de alta velocidad constante en todo el edificio.

Eficiencia operativa

Purple automatiza todo el ciclo de vida de las claves mediante la integración de API con los sistemas de administración de propiedades. El aprovisionamiento al mudarse y la revocación al mudarse requieren cero intervención manual por parte del equipo de TI o de administración de la propiedad. Esto se puede medir directamente en el volumen de tickets de soporte y en el tiempo del personal.

Para obtener más información sobre cómo Purple admite Guest WiFi y WiFi Analytics en más de 80,000 establecimientos, consulte las guías relacionadas. Si está evaluando WiFi multiinquilino para un contexto de retail o sector hotelero, consulte nuestras páginas de la industria de Retail y Hospitality . Para un debate más amplio sobre la estrategia de diseño de SSID, lea Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .