UniFi PPSK: comparación de funciones y modelos de implementación

Bienvenido al Informe Técnico de Purple. Hoy cubriremos UniFi PPSK: qué es, dónde encaja en su kit de herramientas de diseño de red y, de manera crítica, cuándo debería usarlo frente a las alternativas. Permítame contextualizar la situación. Usted es un desarrollador inmobiliario, un operador de BTR o un gerente de TI responsable de un edificio con cientos de residentes o inquilinos. Necesita un WiFi que aísle a cada hogar de los demás, que admita dispositivos domésticos inteligentes y que no requiera cambiar una contraseña compartida cada vez que alguien se mude. Ese es el problema para el que se diseñó PPSK, y vale la pena comprender tanto sus fortalezas como sus límites estrictos antes de comprometerse con él. Entonces, ¿qué es exactamente PPSK? PPSK significa Private Pre-Shared Key. Es una función integrada en UniFi Network que le permite ejecutar un solo SSID de WiFi con múltiples contraseñas diferentes, donde cada contraseña se asigna a una VLAN específica. El concepto es sencillo. En lugar de una contraseña compartida para todos, usted emite una contraseña diferente para cada inquilino, cada grupo de dispositivos o cada caso de uso. Cuando un dispositivo se conecta con esa contraseña, el controlador de UniFi lo ubica en la VLAN correspondiente de forma automática. Sin necesidad de un servidor RADIUS. Sin certificados. Sin una infraestructura compleja de 802.1X. Ahora bien, escuchará que a PPSK se le llama de diferentes maneras según el proveedor con el que hable. Aruba lo llama MPSK. Cisco Meraki lo llama iPSK. Ruckus lo llama DPSK. El concepto subyacente es el mismo en todos ellos: un SSID, muchas claves y cada clave vinculada a un segmento de red. La implementación de UniFi se llama PPSK y reside de forma nativa dentro del controlador de UniFi Network sin costo de licencia adicional. Analicemos la arquitectura técnica. Cuando habilita PPSK en un SSID de UniFi, está creando una red WPA2-Personal con múltiples claves precompartidas. Cada clave está asociada con un ID de VLAN específico que ya ha configurado en su switch y controlador de UniFi. Cuando un dispositivo cliente se autentica con una de esas claves, el punto de acceso etiqueta el tráfico del cliente con el ID de VLAN correspondiente antes de enviarlo ascendente. El cliente se comporta exactamente como si estuviera en una VLAN dedicada: aislado de los clientes en otras VLAN, con su propio rango DHCP y sus propias reglas de firewall. Esto es genuinamente útil para varios escenarios. En un edificio residencial, le asigna a cada departamento su propio PPSK. Todos los dispositivos de ese departamento (teléfonos, laptops, bocinas inteligentes, consolas de videojuegos) se conectan con la misma clave y aterrizan en la misma VLAN. Pueden descubrirse entre sí, transmitir contenido entre ellos y emparejarse, exactamente como lo harían en una red doméstica. Pero son completamente invisibles para el departamento de al lado. En un hotel, puede usar PPSK para separar el tráfico de los huéspedes del tráfico del personal y de los dispositivos IoT, como televisiones inteligentes y cerraduras de puertas, todo en un solo SSID. En un entorno minorista, puede aislar las terminales de pago en su propia VLAN para respaldar el cumplimiento de PCI-DSS, mientras mantiene los dispositivos del personal y el WiFi de los clientes en segmentos separados. Ahora, este es el límite crítico que debe comprender antes de continuar. PPSK es una función exclusiva de WPA2. No funciona con WPA3. Y debido a que la banda de 6 GHz - utilizada por WiFi 6E y WiFi 7 - exige el uso de WPA3, no puede utilizar PPSK en radios de 6 GHz. Esta no es una limitación específica de UniFi. Es una restricción fundamental del estándar 802.11. Actualmente, WPA3 solo permite una única clave precompartida por SSID, por lo que la arquitectura de claves múltiples en la que se basa PPSK es simplemente incompatible con WPA3. ¿Qué significa esto en la práctica? Si habilita PPSK en un SSID, ese SSID solo se transmitirá en 2.4 GHz y 5 GHz. Sus puntos de acceso WiFi 6E y WiFi 7 más nuevos no utilizarán sus radios de 6 GHz para esa red. Para la mayoría de las implementaciones residenciales actuales, esto es aceptable. Pero es una limitación que debe tener en cuenta en su plan de red a cinco años, especialmente a medida que se acelera la adopción de WiFi 7. Comparemos PPSK directamente con las dos alternativas principales: RADIUS con 802.1X y una solución iPSK gestionada en la nube como Purple. RADIUS con 802.1X - también conocido como WPA2-Enterprise o WPA3-Enterprise - es el estándar de oro para la autenticación empresarial. Cada usuario o dispositivo tiene credenciales únicas. El servidor RADIUS valida esas credenciales y asigna dinámicamente el cliente a una VLAN. Es compatible con WPA3, funciona en 6 GHz y se escala a un número ilimitado de usuarios. La desventaja es la complejidad. Necesita un servidor RADIUS, ya sea local o alojado en la nube. Necesita gestionar certificados si utiliza EAP-TLS. Y lo que es más crítico, muchos dispositivos IoT - bocinas inteligentes, consolas de videojuegos, sensores domésticos inteligentes - no pueden conectarse en absoluto a redes 802.1X. UniFi PPSK se sitúa en un punto medio. Es más sencillo que RADIUS - sin necesidad de infraestructura de servidores, sin certificados, y funciona con todos los dispositivos. Pero es menos escalable. La implementación nativa de PPSK de UniFi almacena las claves de forma local en el controlador. El límite práctico para la mayoría de las implementaciones es de unos pocos cientos de claves. Para un edificio residencial de alquiler de 50 unidades, es perfecto. Para un desarrollo de 500 unidades, se encontrará rápidamente con dificultades de gestión. Ahí es donde una capa en la nube como Purple cambia las reglas del juego. La solución Multi-Tenant WiFi de Purple se ejecuta sobre su hardware UniFi existente. Gestiona el ciclo de vida de las claves de forma centralizada en la nube. Cuando un nuevo residente se muda, Purple genera su clave automáticamente. Cuando se muda, Purple la revoca. Los dispositivos del residente pierden el acceso de inmediato, sin afectar a ningún otro residente. Purple se integra con Microsoft Entra ID y Okta para automatizar por completo ese ciclo de vida. Ahora analicemos dos escenarios de implementación del mundo real. Escenario uno: un desarrollo Build to Rent de 120 unidades. El operador desea que los residentes tengan una experiencia de WiFi similar a la de su hogar desde el primer día: sin esperar a un ingeniero de banda ancha, sin contraseñas compartidas y con soporte completo para el hogar inteligente. El hardware es UniFi en su totalidad. Cada residente recibe una clave única aprovisionada a través de la plataforma Purple, vinculada a su registro de arrendamiento. Sus dispositivos se conectan a una VLAN dedicada. Chromecast funciona. Las consolas de videojuegos obtienen NAT abierta. Las bocinas inteligentes se sincronizan correctamente. Cuando un residente se muda, la clave se revoca en segundos. El operador reporta una reducción del 40% en los reportes de soporte relacionados con WiFi en los primeros tres meses. Escenario dos: un hotel de 200 habitaciones que utiliza puntos de acceso UniFi. El equipo de TI necesita segmentar el WiFi de huéspedes, el WiFi del personal y los dispositivos IoT - como pantallas inteligentes, cerraduras de puertas y sensores HVAC - sin ejecutar SSIDs independientes para cada uno. Habilitan PPSK de forma nativa en UniFi. Tres claves: una para huéspedes, una para el personal y otra para IoT. Tres VLANs. Un SSID. El resultado: un entorno de RF limpio con menos SSIDs, segmentación clara del tráfico y cumplimiento de PCI-DSS para los sistemas de pago en la VLAN del personal. Permítame compartir los errores de implementación que debe evitar. Primero: configuración de VLAN antes de PPSK. Debe configurar sus VLANs en el switch y controlador de UniFi antes de crear las entradas de PPSK. Siempre cree la segmentación de su red primero. Segundo: la trampa de los 6 GHz. Si está implementando puntos de acceso WiFi 6E o WiFi 7 y desea utilizar 6 GHz para áreas de alta densidad, no puede usar PPSK en esas redes. Planifique su arquitectura de SSID en consecuencia. Tercero: gestión de claves a escala. Si gestiona más de 100 unidades de forma nativa en UniFi sin una interfaz en la nube, sentirá rápidamente la dificultad del aprovisionamiento manual de claves. Cuarto: mDNS y descubrimiento de dispositivos. Por defecto, los dispositivos en diferentes VLANs no pueden descubrirse entre sí. Si desea que Chromecast o AirPlay funcionen dentro de la VLAN de un residente, necesita habilitar la reflexión mDNS. UniFi admite esto, pero debe configurarse explícitamente por VLAN. Preguntas rápidas. ¿Puedo usar PPSK y RADIUS en el mismo controlador UniFi? Sí. Puede ejecutar un SSID de PPSK y un SSID de WPA2-Enterprise simultáneamente. ¿Soporta PPSK el modo de transición WPA3? No. PPSK es solo WPA2. ¿Cuál es el número máximo de claves PPSK en UniFi? La experiencia de la comunidad sugiere que el rendimiento se degrada más allá de unos pocos cientos de claves en un solo SSID. Para implementaciones grandes, una capa de gestión en la nube es la respuesta correcta. Para concluir: UniFi PPSK es una herramienta realmente útil para implementaciones pequeñas a medianas donde se necesita segmentación de VLAN sin infraestructura RADIUS. Es la opción adecuada para un edificio de 50 unidades, un hotel boutique o una oficina pequeña con tipos de dispositivos mixtos. Para implementaciones más grandes - cualquier proyecto de más de 100 unidades o donde necesite una gestión automatizada del ciclo de vida - requerirá una interfaz en la nube como Purple para que sea operativamente viable. El marco para la toma de decisiones es sencillo. Hágase tres preguntas. ¿Cuántas claves únicas necesito? Si son menos de 100, PPSK nativo funciona. Si son más de 100, necesita una capa de gestión. ¿Necesito 6 GHz? Si es así, PPSK no es la solución. ¿Y necesito un aprovisionamiento automatizado vinculado a un sistema de inquilinos o de recursos humanos? Si es así, una superposición en la nube como Purple es la opción correcta. Para obtener más información sobre la solución WiFi multi-inquilino de Purple y cómo se despliega en hardware de UniFi, visite purple.ai. Gracias por escuchar la Sesión Informativa Técnica de Purple.