iPSK: una guía completa para empresas

Esta guía explica cómo implementar iPSK (Identity Pre-Shared Key) en entornos multiinquilino, tales como desarrollos Build to Rent, residencias de estudiantes y propiedades MDU. Cubre la arquitectura basada en RADIUS que proporciona a cada residente una burbuja de WiFi privada y aislada en un único SSID compartido, y detalla los pasos de implementación, las integraciones de hardware y el caso comercial para tratar al WiFi como un servicio gestionado.

📖 7 min de lectura📝 1,663 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Te damos la bienvenida a la sesión informativa técnica de Purple. Hoy hablaremos de la clave precompartida de identidad, o iPSK, y de por qué es la arquitectura definitiva para el WiFi multiinquilino en los desarrollos Build to Rent y residenciales.

Comencemos con el problema. Si administras una propiedad Build to Rent, un bloque de alojamiento para estudiantes o un gran espacio de coworking, te enfrentas a un desafío de red específico. Necesitas proporcionar a cientos de personas una experiencia de WiFi que se sienta exactamente como la red de su hogar. El teléfono de un residente necesita ver su Chromecast. Su bocina inteligente necesita controlar sus luces. Pero, fundamentalmente, el Residente A debe estar completamente aislado del Residente B. No pueden ver los dispositivos del otro y, por supuesto, no pueden interceptar el tráfico del otro.

El WiFi para invitados estándar no puede hacer esto. El WiFi para invitados aísla cada uno de los dispositivos de forma individual. Está diseñado para una cafetería, no para una sala de estar. Y 802.1X EAP-TLS, aunque es muy seguro, es una pesadilla para las implementaciones residenciales porque requiere la gestión de certificados, y los dispositivos IoT sin interfaz de usuario, como una consola de videojuegos o una bocina inteligente, simplemente no lo admiten.

Aquí es donde entra la clave precompartida de identidad, o iPSK.

La arquitectura técnica es elegante. Transmites un solo SSID en toda la propiedad. Llamémoslo Building WiFi. Pero en lugar de una contraseña para todos, emites una clave precompartida única para cada residente.

Cuando un dispositivo se conecta, el punto de acceso inalámbrico, ya sea Cisco Meraki, HPE Aruba o Ruckus, envía una solicitud RADIUS a la nube de Purple. El servidor RADIUS analiza la contraseña utilizada, identifica al residente y devuelve un mensaje de Access-Accept. De manera fundamental, este mensaje contiene atributos específicos del proveedor, específicamente un VLAN ID.

Luego, el punto de acceso coloca a ese cliente en su VLAN dedicada. El Residente A va a la VLAN 10. El Residente B va a la VLAN 20. Esto logra el aislamiento de Capa 2. El dominio de transmisión queda contenido. El tráfico mDNS y Bonjour permanece dentro del departamento, por lo que la transmisión de contenido funciona perfectamente, pero no se filtra al pasillo. Y cuando un residente se muda, simplemente revocas su clave única a través de la API de Purple. El resto del edificio ni siquiera lo nota.

Ahora hablemos de la implementación y de los errores que vemos con más frecuencia.

El primer error y el más común es dimensionar de menos el alcance de DHCP. Los ingenieros de red a veces asignan una subred de barra 28 a un departamento para ahorrar espacio de direcciones IP. Eso equivale a 14 direcciones útiles. En 2026, una pareja que viva en un departamento Build to Rent habrá agotado 14 direcciones IP para el martes. Un teléfono, una laptop, una tableta, una smart TV, una consola de videojuegos, una bocina inteligente, un par de focos inteligentes. Ya tienes ocho dispositivos antes de que inviten a un amigo. Siempre opta de forma predeterminada por una subred de barra 24 por residente. Eso te da 254 direcciones útiles y un amplio margen de maniobra.

El segundo detalle de configuración crítico es el aislamiento de clientes. Debe asegurarse de que el aislamiento de clientes esté desactivado dentro de la VLAN del residente. Si deja activado el aislamiento de clientes, romperá la funcionalidad de hogar inteligente que iPSK está diseñado para habilitar. Los dispositivos en la misma clave no podrán comunicarse entre sí, y estará respondiendo a tickets de soporte técnico sobre Chromecast toda la semana.

La tercera consideración es el roaming. Si un residente camina desde su departamento en el cuarto piso hasta el gimnasio en la planta baja, su conexión debe persistir. Esto significa que su VLAN específica debe estar troncalizada al punto de acceso en el gimnasio, o bien necesita tunelizar el tráfico de regreso a un controlador central. Este es un descuido común en los despliegues iniciales y genera conexiones caídas en las áreas comunes.

Ahora hablemos del elefante en la habitación: WPA3 y la banda de seis gigahertz.

WiFi 6E y WiFi 7 exigen la seguridad WPA3 en la banda de seis gigahertz. WPA3 reemplaza el antiguo saludo de cuatro vías con la Autenticación Simultánea de Iguales, o SAE. El problema es que el estándar IEEE para SAE actualmente no admite múltiples contraseñas por SSID de la misma manera que lo hace WPA2.

Esto significa que no puede simplemente activar WPA3 y esperar que su despliegue de iPSK siga funcionando. Este no es un problema de Cisco Meraki ni un problema de Aruba. Es una limitación de toda la industria que surge de cómo el estándar IEEE 802.11 define SAE. Todos los principales proveedores, incluidos Ruckus, Juniper Mist, Ubiquiti UniFi y Extreme, se enfrentan a la misma restricción.

La mejor práctica actual es un enfoque híbrido. Se mantiene un SSID de iPSK WPA2 en las bandas de 2.4 y 5 gigahertz. Esto maneja todos los dispositivos heredados y el hardware de IoT. Para la banda de 6 gigahertz, se despliega un SSID independiente utilizando 802.1X para dispositivos corporativos, o se espera a que maduren las implementaciones de SAE específicas de cada proveedor.

Pasemos a las preguntas rápidas que recibimos con más frecuencia.

Pregunta uno: ¿Puedo usar iPSK para dispositivos IoT que no tienen pantalla? Sí. Esa es una de sus principales ventajas sobre 802.1X. Cualquier dispositivo que pueda conectarse a un router doméstico mediante una contraseña puede usar iPSK. Enchufes inteligentes, impresoras inalámbricas, cámaras IP, todos ellos funcionan.

Pregunta dos: ¿Qué pasa si un residente comparte su contraseña con un amigo? El dispositivo del amigo se une a la VLAN del residente. Esto es por diseño. La clave identifica el arrendamiento, no el dispositivo individual. Si desea un control por dispositivo, necesita 802.1X.

Pregunta tres: ¿Cuántas VLAN puedo administrar de manera realista? Los switches empresariales modernos manejan miles de VLAN. Un edificio de 500 unidades con una VLAN por departamento está muy dentro de las capacidades de cualquier plataforma de switching empresarial. La sobrecarga de administración la maneja la plataforma en la nube de Purple, no su equipo de forma manual.

Finalmente, analicemos el impacto empresarial.

Implementar WiFi gestionado a través de iPSK no es solo una actualización de TI. Es una estrategia comercial. Al proporcionar conectividad desde el primer día, se elimina el período de inactividad de cinco a diez días mientras el residente espera a un ingeniero de ISP. Las investigaciones de la British Property Federation indican que el WiFi gestionado permite obtener un recargo de alquiler de 15 a 30 libras por unidad al mes en los desarrollos Build to Rent del Reino Unido.

También mejora drásticamente el entorno de RF. En lugar de 200 routers domésticos compitiendo en canales superpuestos, se obtiene un SSID único y limpio gestionado por puntos de acceso empresariales. Menos tickets de soporte. Mayor índice de satisfacción de los residentes. Y con Purple a cargo de la gestión de identidades, se automatiza todo el ciclo de vida de incorporación y salida, lo que reduce la carga operativa para el equipo de administración de la propiedad.

En resumen: iPSK es la arquitectura definitiva para WiFi multiinquilino. Un SSID, muchas claves únicas, aislamiento absoluto de VLAN. Ofrece la seguridad de las redes empresariales con la simplicidad de un router doméstico. Es compatible con todos los dispositivos IoT de sus residentes y convierte el WiFi de un centro de costos en un generador de ingresos medibles.

Gracias por escuchar esta sesión informativa técnica de Purple. Si está planeando una implementación multiinquilino, hable con nuestro equipo de ingeniería sobre la integración con su hardware existente.

Puntos clave

✓iPSK emite una contraseña de WiFi única por residente, asignando cada clave a una VLAN dedicada a través de un servidor RADIUS.
✓El límite de la VLAN aísla a los residentes entre sí en la Capa 2, al tiempo que permite que los dispositivos domésticos inteligentes funcionen dentro del departamento.
✓A diferencia de 802.1X, iPSK es compatible con todos los dispositivos IoT que posea un residente, sin necesidad de certificados ni suplicantes.
✓Los despliegues de WPA3 y 6 GHz requieren un enfoque híbrido: WPA2 iPSK en 2.4/5 GHz, 802.1X en 6 GHz.
✓Asigne siempre una subred /24 por residente y desactive el aislamiento de clientes dentro de la VLAN.
✓El WiFi gestionado como un servicio BTR ofrece una prima de renta mensual de £15 a £30 por unidad y reduce los periodos de desocupación de 5 a 10 días.
✓Purple se despliega como una superposición en la nube sobre hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

Resumen ejecutivo

iPSK (Identity Pre-Shared Key) es la tecnología que hace posible el WiFi multi-inquilino. Le permite transmitir un solo SSID en toda una propiedad mientras emite una contraseña única para cada residente. Cuando un dispositivo se conecta, un servidor RADIUS asocia esa contraseña a una VLAN dedicada, creando una burbuja de red privada por departamento. El teléfono del residente ve su Chromecast. Su bocina inteligente controla sus luces. El residente B no ve nada de esto.

El WiFi de invitados estándar aísla cada dispositivo de los demás - no es compatible con dispositivos de casa inteligente. El protocolo 802.1X EAP-TLS proporciona una seguridad sólida, pero requiere la gestión de certificados y falla en dispositivos IoT sin pantalla. iPSK se encuentra entre ambos: es más sencillo que 802.1X, mucho más seguro que una contraseña compartida y totalmente compatible con todos los dispositivos que posea un residente.

Purple despliega iPSK como una capa de nube sobre hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. No necesita reemplazar sus puntos de acceso. Purple actúa como el servidor RADIUS, gestiona el ciclo de vida de las claves y automatiza el alta y baja de usuarios a través de la API. Esta guía cubre la arquitectura, los pasos de despliegue, los errores comunes y el caso comercial para tratar el WiFi como un servicio gestionado en propiedades de BTR y MDU.

Inmersión técnica profunda

Cómo funciona iPSK

El WPA2-Personal tradicional utiliza una sola contraseña para todos los usuarios de un SSID. Cualquier residente puede ver los dispositivos de otros residentes en el mismo dominio de difusión. Cambiar la contraseña cuando un residente se muda afecta a todos los demás residentes. iPSK cambia el modelo de autenticación por completo.

Cuando un dispositivo intenta asociarse con el punto de acceso utilizando una PSK específica, el controlador inalámbrico envía un RADIUS Access-Request a la nube de Purple. El servidor RADIUS compara la contraseña con el registro del residente y devuelve un mensaje RADIUS Access-Accept que contiene un atributo específico del proveedor: el VLAN ID asignado a ese residente. El controlador coloca al cliente en esa VLAN. Todo el intercambio toma milisegundos y es invisible para el residente.

Esta arquitectura ofrece tres resultados. Primero, segmentación de VLAN: el tráfico está aislado en la Capa 2, por lo que el Residente A en la VLAN 10 no puede enrutar tráfico hacia el Residente B en la VLAN 20. Segundo, contención de difusión: el tráfico de descubrimiento mDNS y Bonjour permanece dentro de la VLAN del residente, por lo que Chromecast y Sonos funcionan dentro del departamento pero no se filtran al pasillo. Tercero, ciclo de vida de clave limpio: revocar una clave en el momento de la mudanza afecta únicamente a ese residente; el resto del edificio permanece en línea.

La terminología de los proveedores varía. HPE Aruba lo llama PPSK (Private Pre-Shared Key). Cisco Meraki lo llama Personal Private Network. Ruckus y Juniper Mist usan DPSK (Dynamic Pre-Shared Key). El concepto es idéntico en todas las plataformas.

Comparación de métodos de autenticación

La siguiente tabla resume las ventajas y desventajas de los tres principales métodos de autenticación WiFi utilizados en entornos multi-inquilino.

Dimensión	PSK Compartido	iPSK	802.1X EAP-TLS
Nivel de seguridad	Bajo - una clave para todos	Medio - clave única por residente	Alto - certificado por dispositivo
Complejidad de implementación	Baja	Media	Alta
Soporte para dispositivos IoT	Sí	Sí	No - se requieren certificados
Aislamiento de residentes	No	Sí - por VLAN	Sí - por VLAN
Revocación de claves	Afecta a todos los residentes	Afecta a un solo residente	Revocación de certificados por dispositivo
Compatibilidad con hogares inteligentes	No	Sí	No

Para implementaciones de BTR y MDU, iPSK es la opción correcta. Proporciona el aislamiento y la seguridad que necesita sin la carga operativa de una entidad de certificación.

WPA3 y el desafío de los 6 GHz

WPA3 introduce la Autenticación Simultánea de Iguales (SAE) como reemplazo del protocolo de enlace de 4 vías de WPA2. SAE es más resistente a los ataques de diccionario fuera de línea. Sin embargo, el estándar IEEE 802.11 para SAE actualmente no admite múltiples claves precompartidas por SSID.

Dado que Wi-Fi 6E y Wi-Fi 7 exigen WPA3 en la banda de 6 GHz, no es posible ejecutar iPSK estándar en un SSID de 6 GHz hoy en día. Esta no es una limitación específica de un proveedor. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Extreme y Fortinet enfrentan la misma restricción porque se deriva del propio estándar IEEE.

La mejor práctica actual es una implementación híbrida. Mantenga un SSID WPA2 iPSK en las bandas de 2.4 GHz y 5 GHz para admitir dispositivos heredados y hardware IoT. Para dispositivos con capacidad de 6 GHz, implemente un SSID separado utilizando 802.1X EAP-TLS, o espere a que maduren las implementaciones de SAE específicas de cada proveedor. Algunos proveedores están desarrollando soluciones propietarias de SAE de claves múltiples, pero aún no existe un enfoque estandarizado universalmente.

Guía de implementación

Paso 1: Planificación de VLAN

Asigne una VLAN dedicada por departamento o residente. Asegúrese de que sus switches principales y firewalls admitan la cantidad requerida de interfaces VLAN. Una propiedad BTR de 200 unidades requiere 200 VLANs distintas. Las plataformas de switching empresarial modernas manejan miles de VLANs sin impacto en el rendimiento.

Paso 2: DHCP y direccionamiento IP

Configure un alcance DHCP para cada VLAN. Asigne una subred /24 (254 direcciones útiles) por residente. Un hogar moderno conecta de 15 a 25 dispositivos. Una subred /28 (14 direcciones útiles) se agotará en cuestión de días. Nunca dimensione de menos el alcance DHCP.

Paso 3: Configuración de RADIUS

Apunte sus controladores inalámbricos a los servidores RADIUS de Purple. Configure los controladores para que acepten atributos de invalidación de RADIUS para la asignación de VLAN. Purple proporciona las direcciones IP del servidor RADIUS, los secretos compartidos y las asignaciones de atributos para cada plataforma de hardware compatible.

Paso 4: Aprovisionamiento de SSID

Transmita un único SSID para todo el edificio. Habilite MAC Authentication Bypass (MAB) en el SSID. MAB es el mecanismo mediante el cual el controlador inicia la solicitud RADIUS cuando un dispositivo se conecta utilizando una PSK en lugar de un certificado.

Paso 5: Incorporación de residentes

Integre el aprovisionamiento de WiFi en el flujo de trabajo de mudanza de los residentes. La API de Purple genera la iPSK única y la entrega al residente por correo electrónico o a través de un portal para residentes. Al momento de la mudanza, el sistema de administración de la propiedad activa la API de Purple para revocar la clave. No se requiere intervención manual.

Mejores prácticas

Desactive el aislamiento de clientes dentro de las VLAN de los residentes

El aislamiento de clientes evita que los dispositivos de la misma subred se comuniquen entre sí. Si lo habilita, interrumpirá la funcionalidad de hogar inteligente para la que está diseñado iPSK. Desactive el aislamiento de clientes dentro de la VLAN de cada residente. El límite de la VLAN en sí proporciona el aislamiento entre los residentes.

Configure NAT para juegos

Los juegos en línea requieren configuraciones de NAT específicas. PlayStation 5 y Xbox Series X necesitan NAT Tipo 2 (Moderado) o NAT Tipo 1 (Abierto) para el emparejamiento. Implemente Carrier-Grade NAT (CGNAT) con cuidado. Configure UPnP o reenvío de puertos estáticos por VLAN de residente en lugar de aplicar una política estricta de NAT general.

Enlace todas las VLAN de los residentes a todos los puntos de acceso

Un residente que se conecta en su departamento en el cuarto piso debe mantener su conexión cuando camina hacia el gimnasio en la planta baja. Todas las VLAN de los residentes deben estar enlazadas a todos los puntos de acceso de la propiedad, o debe implementar un protocolo de túnel como CAPWAP o GRE para anclar el tráfico del cliente a un controlador central.

Planifique para eventos de mudanza masivos

Los operadores de alojamientos estudiantiles enfrentan un desafío específico: cientos de residentes que se conectan simultáneamente durante la semana de mudanza. Pre-aprovisione todos los iPSK antes del día de la mudanza. Pruebe la capacidad del servidor RADIUS bajo carga. La infraestructura en la nube de Purple está clasificada para un 99.999% de tiempo de actividad y maneja ráfagas de autenticación simultáneas sin degradación.

Resolución de problemas y mitigación de riesgos

Fallas de Chromecast y altavoces inteligentes

El ticket de soporte más común en WiFi multi-inquilino. Si un residente no puede transmitir a su Chromecast o emparejar su altavoz inteligente, verifique dos cosas. Primero, confirme que el aislamiento de clientes esté desactivado dentro de su VLAN. Segundo, confirme que el proxy mDNS o la puerta de enlace Bonjour no estén filtrando el tráfico de descubrimiento dentro de la VLAN.

Agotamiento de direcciones IP

Si los residentes informan que los dispositivos nuevos no pueden conectarse, verifique la tabla de concesión DHCP para su VLAN. Una subred /28 se agotará en cuestión de días en un hogar moderno. Amplíe el alcance a un /24 de inmediato.

Conexiones caídas en áreas comunes

Si los residentes pierden la conectividad al moverse entre pisos o zonas, significa que la VLAN del residente no está troncalizada hacia el punto de acceso en esa área. Audite la configuración de la troncal de VLAN en cada puerto de switch conectado a un punto de acceso.

Fallas de autenticación después de la revocación de claves

Si un dispositivo se sigue conectando después de que se ha revocado una clave, verifique la caché del servidor RADIUS. Algunos controladores almacenan en caché las decisiones de autenticación por un período configurable. Establezca el tiempo de espera de la sesión y el intervalo de reautenticación en un valor corto (de 15 a 30 minutos) para asegurar que las revocaciones surtan efecto de inmediato.

ROI e impacto empresarial

El caso de la prima de alquiler

La investigación de la British Property Federation indica que el WiFi administrado genera una prima de alquiler de £15 a £30 por unidad, por mes en los desarrollos BTR del Reino Unido. En una propiedad de 200 unidades, eso representa de £3,000 a £6,000 en ingresos mensuales adicionales. El costo de capital de implementar puntos de acceso empresariales y la capa de software de Purple se recupera típicamente en un plazo de 12 a 18 meses.

Reducción del período de desocupación

Ofrecer conectividad desde el primer día elimina el período de desocupación de 5 a 10 días mientras un residente espera a un ingeniero de ISP. Los residentes se mudan y se conectan de inmediato. Esto reduce los costos de desocupación y mejora la satisfacción del residente desde el primer día de su contrato de arrendamiento.

Mejora del entorno de RF

Un edificio de 200 unidades donde cada residente tiene su propio router doméstico genera una interferencia de cocanal severa. 200 routers compitiendo en canales superpuestos de 2.4 GHz y 5 GHz degradan el rendimiento para todos. Reemplazar esto con un solo SSID administrado en puntos de acceso empresariales elimina la interferencia y ofrece una conectividad de alta velocidad constante en todo el edificio.

Eficiencia operativa

Purple automatiza todo el ciclo de vida de las claves mediante la integración de API con los sistemas de administración de propiedades. El aprovisionamiento al mudarse y la revocación al mudarse requieren cero intervención manual por parte del equipo de TI o de administración de la propiedad. Esto se puede medir directamente en el volumen de tickets de soporte y en el tiempo del personal.

Para obtener más información sobre cómo Purple admite Guest WiFi y WiFi Analytics en más de 80,000 establecimientos, consulte las guías relacionadas. Si está evaluando WiFi multiinquilino para un contexto de retail o sector hotelero, consulte nuestras páginas de la industria de Retail y Hospitality . Para un debate más amplio sobre la estrategia de diseño de SSID, lea Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Definiciones clave

iPSK (Identity Pre-Shared Key)

Un método de autenticación que permite múltiples contraseñas únicas en un solo SSID. Un servidor RADIUS asocia cada contraseña a una VLAN y política de red específicas.

La tecnología principal para WiFi multiinquilino. También llamada PPSK (Aruba), Personal Private Network (Cisco Meraki) o DPSK (Ruckus, Juniper Mist).

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a una red.

El motor detrás de iPSK. Cuando un dispositivo se conecta, el punto de acceso consulta al servidor RADIUS para verificar la clave y obtener la asignación de VLAN.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa dispositivos de diferentes ubicaciones físicas en un dominio de difusión aislado.

A cada residente en una implementación de iPSK se le asigna su propia VLAN. Este es el mecanismo que evita que un residente vea los dispositivos de otro.

BTR (Build to Rent)

Alojamiento residencial construido con el propósito específico de renta a largo plazo en lugar de ocupación por parte del propietario.

El contexto comercial principal para implementaciones de iPSK multi-tenant. El WiFi se trata como un servicio administrado, lo que genera una prima de renta mensual de £15 a £30 por unidad.

MDU (Multi-Dwelling Unit)

Una clasificación de edificio que contiene múltiples unidades residenciales separadas, incluyendo bloques de departamentos, alojamiento para estudiantes y vivienda social.

El entorno físico donde se implementa el WiFi multi-tenant. La infraestructura compartida da servicio a muchos hogares independientes.

SAE (Simultaneous Authentication of Equals)

El protocolo de establecimiento de clave utilizado en WPA3, que reemplaza el saludo de 4 vías de WPA2. SAE es resistente a los ataques de diccionario fuera de línea.

La limitación actual para iPSK en redes de 6 GHz. El estándar IEEE 802.11 SAE no admite múltiples PSK por SSID, lo que requiere un enfoque de implementación híbrido.

MAB (MAC Authentication Bypass)

Un método para activar una solicitud de autenticación RADIUS basada en la dirección MAC de un dispositivo cuando el dispositivo no inicia 802.1X.

Se utiliza en implementaciones de iPSK para iniciar la solicitud RADIUS desde el controlador inalámbrico cuando un dispositivo se conecta utilizando una PSK.

CGNAT (Carrier-Grade NAT)

Un método para compartir una única dirección IP pública entre múltiples direcciones IP privadas, utilizado por operadores que administran una gran cantidad de dispositivos conectados.

Requerido en grandes implementaciones residenciales para conservar direcciones IPv4. Debe configurarse cuidadosamente para admitir los requisitos de NAT de los juegos en línea.

mDNS (Multicast DNS)

Un protocolo que resuelve nombres de host a direcciones IP dentro de una red local sin requerir un servidor DNS, utilizado por Chromecast, AirPlay y Bonjour.

mDNS debe estar contenido dentro de la VLAN del residente para que los dispositivos domésticos inteligentes funcionen. Si mDNS se filtra a través de las VLAN, los residentes pueden descubrir los dispositivos de los demás.

Ejemplos resueltos

Un operador de Build to Rent de 250 unidades planea actualmente instalar líneas de banda ancha individuales y routers residenciales en cada departamento. Al administrador de la propiedad le preocupa la calidad del WiFi y los costos de soporte. ¿Cómo cambia esta arquitectura una implementación de iPSK y cuáles son los resultados medibles?

Reemplace las 250 líneas de ISP individuales y los routers residenciales por puntos de acceso empresariales (Cisco Meraki MR57 o HPE Aruba AP-635) distribuidos en pasillos y departamentos, todos cableados hacia switches gestionados centrales. Un único enlace ascendente desde el edificio hacia un ISP de calidad empresarial proporciona la conexión a internet. Transmita un solo SSID ('BuildingName_WiFi'). Configure Purple como el servidor RADIUS. Emita 250 iPSK únicos al momento de la mudanza a través de la API de Purple. A cada residente se le asigna una VLAN /24. Desactive el aislamiento de clientes dentro de cada VLAN. Conecte en cajuela (trunk) todas las VLAN a todos los puntos de acceso. Integre la API de Purple con el sistema de administración de propiedades para automatizar el aprovisionamiento al momento de la mudanza y la revocación al momento de la salida.

Comentario del examinador: Esto elimina la interferencia de canal compartido de 250 routers competidores, proporciona un roaming fluido en todo el edificio y reduce el costo de ISP de 250 líneas individuales a una sola conexión empresarial. El operador obtiene visibilidad completa del rendimiento de la red a través del panel de control de Purple. La prima de renta mensual de £15 a £30 por unidad cubre con creces los costos de infraestructura y software en un plazo de 12 a 18 meses.

Un operador de residencias de estudiantes construidas para tal fin (PBSA) con 500 camas necesita aprovisionar WiFi para todo el grupo durante la semana de mudanza. El año pasado, la red colapsó bajo la carga durante las primeras 48 horas. ¿Cómo se diseña la implementación de iPSK para manejar esto?

Preaprovisione los 500 iPSK antes del día de la mudanza. Entregue la clave única a cada estudiante a través del paquete de correo electrónico de bienvenida enviado dos semanas antes de su llegada. El día de la mudanza, los estudiantes simplemente ingresan su clave: sin Captive Portal, sin filas, sin cuellos de botella de RADIUS por autenticaciones simultáneas de primera vez. Configure el servidor RADIUS con suficiente capacidad de sesiones concurrentes. La infraestructura RADIUS en la nube de Purple maneja los picos de autenticación sin degradación. Establezca los tiempos de concesión de DHCP en 24 horas para evitar el agotamiento durante el período de mudanza de alta densidad. Asegúrese de que todas las VLAN estén conectadas en cajuela (trunk) a todos los puntos de acceso, incluidas las áreas comunes, las salas de estudio y el gimnasio.

Comentario del examinador: La perspectiva crítica es el preaprovisionamiento. El colapso de la red el año anterior fue causado por cientos de autenticaciones simultáneas de primera vez e interacciones con el Captive Portal. Al entregar la clave antes de la llegada, se distribuye la carga de autenticación a lo largo de los días previos a la mudanza. El SLA de tiempo de actividad del 99.999% de Purple cubre el escenario de carga máxima.

Preguntas de práctica

Q1. Un residente informa que no puede transmitir Netflix desde su teléfono a su Chromecast. Ambos dispositivos están conectados al WiFi del edificio utilizando la iPSK única del residente. Otros residentes no se ven afectados. ¿Cuál es el error de configuración más probable y cómo se soluciona?

Sugerencia: Chromecast utiliza mDNS para el descubrimiento de dispositivos. Piense en qué configuración de red impide que los dispositivos en la misma subred se comuniquen.

Ver respuesta modelo

El aislamiento de clientes (también llamado aislamiento de Capa 2) está habilitado en el SSID o dentro de la VLAN del residente. Esto evita que los dispositivos en la misma subred se comuniquen entre sí, lo que bloquea el descubrimiento de mDNS y Bonjour. La solución es deshabilitar el aislamiento de clientes dentro de la VLAN del residente. El límite de la VLAN en sí proporciona aislamiento de otros residentes. No necesita aislamiento de clientes para lograr la seguridad entre residentes.

Q2. Está implementando WiFi en un bloque de alojamiento para estudiantes de 500 unidades. Un colega sugiere asignar una subred /28 a cada habitación para conservar el espacio de direcciones IP. ¿Por qué es esto un problema y qué debería asignar en su lugar?

Sugerencia: Calcule el número de direcciones útiles en una subred /28, luego cuente los dispositivos que conecta un estudiante típico.

Ver respuesta modelo

Una subred /28 proporciona solo 14 direcciones IP útiles. Un estudiante típico conecta un teléfono, laptop, tablet, consola de juegos, smart TV y bocina inteligente - eso ya son seis dispositivos. Agregue algunos dispositivos IoT y la visita de un amigo, y agotará el grupo de direcciones en cuestión de días. Asigne una subred /24 (254 direcciones útiles) por habitación. El espacio de IP adicional no cuesta nada y evita un modo de falla común y disruptivo.

Q3. Un operador de BTR desea actualizar toda su red a Wi-Fi 7 y exigir la seguridad WPA3 en todas las bandas, incluida la de 6 GHz. Actualmente ejecutan iPSK en un SSID WPA2. ¿Cuál es el impacto en su implementación de iPSK y cuál es la ruta de migración recomendada?

Sugerencia: Considere el saludo de autenticación utilizado en WPA3 y si admite múltiples PSK por SSID.

Ver respuesta modelo

WPA3 utiliza SAE, que actualmente no admite múltiples PSK por SSID según la norma IEEE 802.11. Exigir WPA3 en todas las bandas interrumpirá la implementación de iPSK. El enfoque recomendado es un modelo híbrido: conservar el SSID WPA2 iPSK en 2.4 GHz y 5 GHz para dispositivos IoT y hardware heredado. Desplegar un SSID WPA3 independiente utilizando 802.1X EAP-TLS en la banda de 6 GHz para dispositivos compatibles con WiFi 7. Esto no es una solución de compromiso, es la mejor práctica actual independiente del proveedor en Cisco Meraki, HPE Aruba, Ruckus y todas las demás plataformas principales.

Continúe leyendo esta serie

PPSK WPA3: comparación de características y modelos de implementación

Esta guía de referencia técnica compara PPSK y WPA3-SAE, explicando sus diferencias de arquitectura y modelos de implementación para entornos multiinquilino. Proporciona orientación práctica para gerentes de TI y desarrolladores inmobiliarios sobre cómo lograr redes WiFi seguras y aisladas mediante las soluciones basadas en la identidad de Purple.

La vida de PPSK: comparación de funciones y modelos de implementación

Esta guía compara PPSK (Private Pre-Shared Key) con el PSK estándar y 802.1X, detallando los modelos de implementación para entornos multi-inquilino. Equipa a los gerentes de TI y operadores de propiedades para implementar un WiFi seguro y aislado para los residentes, que admita dispositivos domésticos inteligentes y genere un valor comercial medible.

PPSK umpsa: comparación de características y modelos de implementación

Esta guía técnica detalla la implementación de arquitecturas de Private Pre-Shared Key (PPSK) e Identity Pre-Shared Key (iPSK) en entornos multi-inquilino de alta densidad. Proporciona estrategias de implementación prácticas para desarrolladores inmobiliarios y gerentes de TI para proteger las redes de los residentes, admitir dispositivos de IoT y generar un ROI positivo a través de WiFi gestionado.