Passer au contenu principal
Français

Annuaire PPSK : comparaison des fonctionnalités et des modèles de déploiement

Ce guide détaille l'architecture d'annuaire PPSK (Private Pre-Shared Key) pour les réseaux multi-locataires, en la comparant à 802.1X et au PSK standard. Il fournit aux architectes réseau et aux responsables IT des modèles de déploiement neutres vis-à-vis des constructeurs pour le Build to Rent, les résidences étudiantes et les environnements collectifs (MDU), couvrant le contrôleur cloud, le backend RADIUS et les modèles d'authentification hybrides.

📖 8 min de lecture📝 1,990 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
[00:00:00] Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous abordons la gestion de l'annuaire PPSK. Il s'agit de la gestion de l'annuaire Private Pre-Shared Key. Ce que c'est, comment cela se compare aux autres solutions et comment le déployer correctement dans des environnements multi-locataires. [00:00:20] Commençons par le problème qu'il résout. Vous gérez un immeuble résidentiel locatif de 200 appartements. Si vous utilisez un réseau WPA2 standard, chaque résident partage le même mot de passe. Lorsque l'appartement 12 déménage, vous avez deux options. Soit vous changez le mot de passe, ce qui coupe le WiFi de tous les autres résidents. Soit vous laissez l'ancien résident avec son accès. Aucune de ces solutions n'est acceptable. [00:00:45] Le PPSK résout ce problème. Vous diffusez un seul nom de réseau - un seul SSID. Mais le réseau attribue un mot de passe unique à chaque appartement. Lorsqu'un résident se connecte, le point d'accès interroge l'annuaire PPSK, valide la clé et place ce résident dans son propre VLAN isolé. Son téléphone voit sa smart TV. Son Chromecast fonctionne. Il ne peut pas voir la télévision de l'appartement d'à côté. [00:01:10] Alors, pourquoi ne pas simplement utiliser le 802.1X ? Le 802.1X est excellent pour les environnements d'entreprise. Il utilise RADIUS et des fournisseurs d'identité comme Microsoft Entra ID ou Okta. Mais il nécessite un suppliant sur l'appareil. Un suppliant est le composant logiciel qui gère l'échange d'authentification. L'enceinte connectée de votre résident ne dispose pas d'un suppliant 802.1X. Son thermostat intelligent, son imprimante sans fil ou sa console de jeux non plus. Le PPSK vous offre une isolation de niveau entreprise avec la compatibilité des appareils grand public. C'est là sa proposition de valeur fondamentale. [00:02:00] Examinons la terminologie, car elle varie selon les constructeurs et cela génère une réelle confusion. Aruba l'appelle PPSK - Private Pre-Shared Key. Cisco Meraki l'appelle iPSK - Identity PSK. Juniper Mist utilise ePSK. Extreme Networks, qui a initialement développé le concept sous la marque Aerohive, l'appelle Private PSK. Ubiquiti UniFi l'appelle simplement PPSK. Le mécanisme sous-jacent est identique pour tous. Un seul SSID, plusieurs clés uniques, chaque clé étant liée à un VLAN ou à un groupe de politiques. [00:02:40] Techniquement, voici ce qui se passe au niveau de la couche d'association. Lorsqu'un appareil se connecte, il présente sa clé pré-partagée lors de la poignée de main en quatre étapes WPA2. Le point d'accès interroge l'annuaire PPSK - hébergé soit dans le contrôleur cloud, soit sur un serveur RADIUS - pour valider la clé et récupérer le VLAN attribué. L'appareil perçoit un réseau domestique standard. Il n'a aucune idée qu'il a été placé dans un segment isolé. Tout se comporte exactement comme sur une connexion haut débit domestique. [00:03:20] Examinons les modèles de déploiement. Il existe aujourd'hui trois modèles principaux en production. Le premier est le modèle de contrôleur cloud. C'est le plus courant pour les nouveaux déploiements. Vos points d'accès se connectent à une plateforme de gestion cloud. Le magasin de clés PPSK réside dans le contrôleur cloud. Lorsque vous provisionnez un nouveau résident, vous créez une clé dans le portail, vous l'attribuez à un VLAN, et le contrôleur pousse la politique vers chaque point d'accès du bâtiment. Le résident reçoit sa clé par e-mail, SMS ou via un code QR dans un pack de bienvenue. Ils le scannent, tous leurs appareils se connectent, et leur Chromecast, enceinte connectée et console fonctionnent tous immédiatement. Lorsqu'ils déménagent, vous supprimez la clé. Leurs appareils cessent de se connecter. Personne d'autre n'est affecté. [00:04:30] Le deuxième modèle est le PPSK avec un backend RADIUS local. Certains déploiements d'entreprise utilisent un serveur RADIUS pour stocker et valider les identifiants PPSK. Cela vous offre une journalisation centralisée, des pistes d'audit et une intégration avec votre plateforme de gestion des identités. Cela ajoute des frais d'infrastructure mais vous apporte la responsabilité de l'802.1X avec la compatibilité des appareils du PPSK. C'est le bon modèle pour les environnements mixtes - par exemple, un espace de coworking où vous avez à la fois des appareils d'entreprise gérés et des équipements IoT appartenant aux membres. [00:05:15] Le troisième modèle est l'authentification hybride. Les résidents utilisent le PPSK pour leurs ordinateurs portables et leurs appareils IoT. Le personnel du bâtiment utilise l'802.1X pour les appareils de l'entreprise. Les deux groupes se connectent à la même infrastructure physique mais correspondent à différents segments logiques. Purple recommande cette architecture pour les déploiements complets de logements locatifs construits pour être loués (Build to Rent) et d'unités d'habitation multifamiliales. Trois modèles d'authentification distincts, trois VLANs distincts, une seule infrastructure physique. [00:06:00] Parlons maintenant des pièges de mise en œuvre. Ce sont les modes de défaillance que je vois à plusieurs reprises dans les déploiements de production. Premier piège : la prolifération des SSID. Chaque SSID que vous diffusez consomme du temps d'antenne pour les trames de balise (beacon frames). Dans un bâtiment résidentiel dense, si vous diffusez six ou huit SSIDs par point d'accès, vous dégradez les performances pour tout le monde. Limitez-vous à un maximum de quatre SSIDs par radio. Utilisez le PPSK pour desservir plusieurs segments de résidents à partir d'un seul SSID plutôt que de créer un SSID distinct par appartement ou par étage. [00:06:45] Deuxième piège : une configuration insuffisante des ports trunk. Vous concevez un schéma VLAN propre, vous déployez les points d'accès, puis le trafic s'interrompt silencieusement parce que quelqu'un a oublié d'autoriser les VLANs concernés sur une liaison trunk entre le commutateur de distribution et la couche d'accès. Validez chaque port trunk lors de la mise en service. Documentez-le. Testez-le avec un appareil sur chaque VLAN avant l'arrivée des résidents. [00:07:20] Troisième piège : la distribution des clés. Générer des clés est facile. Les distribuer aux résidents d'une manière sécurisée et gérable sur le plan opérationnel est plus difficile. Un code QR dans le pack de bienvenue fonctionne bien pour le jour du déménagement. Un portail résident où ils peuvent récupérer leur clé et ajouter de nouveaux appareils est préférable pour les opérations courantes. Créez le flux de travail de distribution des clés avant de déployer, pas après. Quatrième piège : la compatibilité WPA3. La plupart des plateformes d'entreprise prennent en charge le PPSK sur WPA3, ce qui protège contre les attaques par dictionnaire hors ligne. Mais Ubiquiti UniFi limite actuellement le PPSK au WPA2. Si vous avez besoin de la bande 6 gigahertz, vous devez utiliser le WPA3. Planifiez votre matériel en conséquence. [00:08:00] Examinons deux scénarios de déploiement réels. Premier scénario : un projet immobilier de 180 logements en Build to Rent en centre-ville. L'exploitant souhaitait que le WiFi soit inclus dans le loyer comme un service de base, avec une activation le jour de l'emménagement et une prise en charge complète de la domotique. Ils ont déployé des points d'accès HPE Aruba gérés via Aruba Central. Chaque appartement bénéficie d'une clé PPSK unique générée lors de la signature du bail. La clé est envoyée par e-mail au résident avec un code QR. L'exploitant a constaté une réduction de 30 % des tickets d'assistance liés au WiFi par rapport à leur précédent déploiement avec mot de passe partagé. [00:08:45] Second scénario : une résidence étudiante de 400 lits. Le défi ici réside dans la semaine d'emménagement de la promotion, avec des centaines d'étudiants qui arrivent simultanément. L'exploitant a utilisé des points d'accès Ruckus avec SmartZone, en déployant le PPSK à raison d'une clé par chambre. Les clés ont été prégénérées et incluses dans le pack d'accueil envoyé avant l'arrivée. Les étudiants ont scanné le code QR à leur arrivée et se sont connectés en quelques secondes. [00:09:20] Questions-réponses rapides. Combien de clés PPSK un seul point d'accès peut-il gérer ? Cisco Meraki prend en charge jusqu'à 5 000 entrées iPSK par réseau. Aruba propose une évolutivité similaire. UniFi prend en charge jusqu'à 1 000 entrées. Puis-je intégrer le PPSK à mon système de gestion immobilière ? Oui, via l'API REST du fournisseur. Le PPSK fonctionne-t-il avec le WPA3 ? Oui, sur la plupart des plateformes d'entreprise. L'exception est UniFi, qui est actuellement limitée au WPA2. [00:09:50] En résumé. La gestion des annuaires PPSK est l'architecture idéale pour le WiFi multi-locataires. Concevez soigneusement vos VLAN avant de toucher au matériel. Sécurisez vos liaisons trunk. Automatisez la distribution de vos clés. Et vérifiez la compatibilité WPA3 de votre fournisseur si vous déployez du WiFi 6E. Merci d'avoir écouté ce briefing technique de Purple.

header_image.png

Résumé opérationnel

Les réseaux WPA2-Personal traditionnels partagent un mot de passe unique entre tous les appareils. Dans un complexe résidentiel locatif (BTR) de 200 appartements, cela signifie un seul mot de passe pour chaque résident, chaque Smart TV, chaque thermostat et chaque console de jeux du bâtiment. Lorsqu'un résident déménage, soit vous modifiez le mot de passe pour tout le monde - coupant la connexion des 199 autres appartements - soit vous laissez l'ancien résident avec ses accès. Aucune de ces solutions n'est acceptable.

L'intégration d'annuaire Private Pre-Shared Key (PPSK) résout ce problème. Le PPSK attribue un mot de passe WiFi unique à chaque résident ou logement, associant cette clé à un réseau local virtuel (VLAN) spécifique. Les appareils se connectent au même identifiant de réseau (SSID), mais le réseau les isole dans des segments privés. Les appareils de chaque résident se détectent entre eux. Aucun résident ne peut voir les appareils d'un autre. Lorsqu'un bail prend fin, vous révoquez une seule clé sans impacter la connexion de qui que ce soit d'autre.

Ce guide compare le déploiement de l'annuaire PPSK au PSK standard et à la norme IEEE 802.1X, détaille les trois principales architectures de déploiement et fournit des conseils de mise en œuvre pratiques pour les promoteurs immobiliers, les exploitants de résidences services et les équipes informatiques qui les accompagnent. Purple opère sur plus de 80 000 sites actifs et s'intègre sous forme de cloud overlay avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.

Analyse technique approfondie : PPSK vs 802.1X vs PSK standard

Pour comprendre pourquoi le PPSK domine les déploiements multi-locataires, il est nécessaire de le comparer aux autres solutions au niveau de la couche d'association.

PSK standard : le modèle du réseau domestique

Dans une configuration WPA2-Personal standard, le point d'accès (AP) diffuse un SSID et requiert une clé pré-partagée unique. Chaque appareil utilise cette clé. Le point d'accès place tous les appareils sur le même VLAN. Les appareils peuvent se détecter mutuellement - ce qui est idéal pour un foyer unique, mais inacceptable pour un complexe résidentiel de 200 appartements. Le PSK standard ne dispose d'aucun mécanisme de révocation par utilisateur. Révoquer l'accès d'un utilisateur nécessite de modifier la clé pour tout le monde.

802.1X : la norme d'entreprise

IEEE 802.1X (WPA-Enterprise) nécessite un serveur RADIUS, un fournisseur d'identité tel que Microsoft Entra ID, Okta, ou Google Workspace, et un supplicant sur chaque appareil. Le supplicant gère l'échange EAP (Extensible Authentication Protocol). Cela fournit une sécurité robuste et basée sur l'identité avec une responsabilité par utilisateur. Cependant, le 802.1X échoue dans les environnements résidentiels car les appareils IoT - téléviseurs connectés, consoles de jeux, enceintes sans fil et capteurs domotiques - n'ont pas de supplicants 802.1X. Déployer le 802.1X dans un bâtiment BTR signifie laisser chaque appareil IoT soit non authentifié, soit sur un réseau non géré distinct.

Annuaire PPSK : la solution multi-locataire

Le PPSK (appelé iPSK par Cisco Meraki, Personal Private Network par Cisco, et ePSK par Juniper Mist et Cambium) comble cette lacune. L'AP diffuse un seul SSID. Lorsqu'un appareil se connecte, il présente sa clé unique lors de la liaison à quatre voies WPA2. L'AP interroge l'annuaire PPSK - hébergé dans le contrôleur cloud ou un backend RADIUS - pour valider la clé et récupérer le VLAN attribué. L'appareil perçoit un réseau domestique standard. L'opérateur obtient une isolation complète par unité.

comparison_chart.png

Le tableau ci-dessous résume les principales différences de capacités entre les trois modèles d'authentification.

Capacité PSK Standard Annuaire PPSK 802.1X / WPA-Enterprise
Compatibilité des appareils Universelle Large (tous les appareils WPA2) Limitée (requiert un supplicant)
Intégration d'annuaire Aucune Native (cloud ou RADIUS) Native (RADIUS + IdP)
Révocation par utilisateur Impossible Instantanée Instantanée
Prise en charge des appareils IoT Oui Oui Non (pas de supplicant)
Attribution dynamique de VLAN Non Oui Oui
Complexité du déploiement Très faible Modérée Élevée
Prise en charge WPA3 Oui Oui (la plupart des constructeurs) Oui

Guide de mise en œuvre : architecture et modèles de déploiement

Le déploiement d'un annuaire PPSK nécessite une approche structurée de la conception logique avant de commencer toute configuration matérielle.

Étape 1 : conception logique du réseau

Cartographiez votre nombre de résidents et vos catégories d'appareils IoT avant de toucher au matériel. Un déploiement BTR standard isole le trafic comme suit. Les VLAN des résidents vont du VLAN 10 jusqu'au nombre requis par vos unités - un VLAN par appartement est l'approche standard. Un VLAN IoT dédié (généralement le VLAN 99) dessert les systèmes de gestion technique du bâtiment, la vidéosurveillance et les capteurs intelligents. Un VLAN de gestion (VLAN 100) transporte le trafic des appareils du personnel, authentifié via 802.1X. Un VLAN invité (VLAN 200) dessert les visiteurs de passage dans les parties communes via un Captive Portal.

Calculez soigneusement vos besoins d'adressage IP. Les recherches de la British Property Federation indiquent 15 à 25 appareils par foyer. Un bâtiment de 200 unités peut héberger jusqu'à 5 000 appareils simultanément. Utilisez l'adressage privé RFC 1918 avec un sous-réseau /24 (254 adresses utilisables) par VLAN résident pour garantir une capacité suffisante. Un sous-réseau /23 (510 adresses) offre une marge de sécurité pour les unités à haute densité.

Étape 2 : choisir le modèle de déploiement

Trois architectures PPSK principales sont actuellement en production.

Modèle de contrôleur cloud. L'annuaire PPSK réside dans la plateforme cloud du fournisseur - Aruba Central, Meraki Dashboard, Ruckus Cloud ou Juniper Mist. Le contrôleur pousse les politiques vers les AP. Lorsqu'un résident emménage, vous générez une clé dans le portail. Lorsqu'il part, vous la supprimez. C'est le modèle le plus courant pour les nouveaux déploiements en raison de sa simplicité opérationnelle et de l'absence d'infrastructure requise sur site.

Modèle backend RADIUS. Les AP transfèrent les demandes d'authentification à un serveur RADIUS central tel que Cisco ISE ou FreeRADIUS, qui interroge un référentiel d'identités. Le serveur RADIUS renvoie l'attribution du VLAN via un attribut Cisco-AVPair. Ce modèle convient aux environnements nécessitant des pistes d'audit approfondies et une intégration avec les annuaires d'entreprise existants. Il ajoute une surcharge d'infrastructure mais offre la traçabilité du 802.1X avec la compatibilité d'appareil du PPSK.

Modèle d'authentification hybride. Les résidents utilisent le PPSK pour leurs ordinateurs portables et leurs appareils IoT. Le personnel de l'immeuble utilise le 802.1X pour les appareils de l'entreprise via Microsoft Entra ID ou Okta. Les deux groupes se connectent à la même infrastructure physique mais sont mappés sur des segments logiques différents. Purple recommande cette architecture pour les déploiements complets de BTR et de logements collectifs (MDU). Les résidents bénéficient du PPSK. Les systèmes de gestion technique du bâtiment disposent d'un VLAN IoT dédié avec PPSK. Les appareils de l'équipe de gestion immobilière utilisent le 802.1X. Trois modèles d'authentification distincts, trois VLAN distincts, une seule infrastructure physique.

architecture_overview.png

Étape 3 : intégration du matériel

Le PPSK est pris en charge par toutes les principales plateformes d'AP d'entreprise, bien que les détails d'implémentation varient selon le fournisseur.

Fournisseur Terme PPSK Plateforme de gestion Support WPA3 Limite de clés
Cisco Meraki iPSK Meraki Dashboard Oui 5 000 par réseau
HPE Aruba PPSK Aruba Central / ArubaOS Oui Des milliers
Ruckus PPSK SmartZone / Ruckus Cloud Oui Des milliers
Juniper Mist ePSK Mist AI Oui Des milliers
Ubiquiti UniFi PPSK UniFi Network Non (WPA2 uniquement) 1 000 par réseau
Cambium ePSK cnMaestro Oui Des milliers
Extreme Private PSK ExtremeCloud IQ Oui Des milliers
Fortinet PPSK FortiWLM / FortiGate Oui Des milliers

Notez la contrainte spécifique avec Ubiquiti UniFi : son implémentation actuelle de PPSK est limitée à WPA2. Si vous déployez des points d'accès WiFi 6E et avez besoin de la bande 6GHz, vous devez utiliser une plateforme qui prend en charge WPA3-SAE avec PPSK. Aruba, Ruckus et Meraki prennent tous en charge PPSK sur les configurations WPA3.

Purple s'intègre en tant que solution cloud overlay indépendante du matériel sur toutes les plateformes de cette liste, fournissant un annuaire PPSK unifié et une interface de gestion des résidents quel que soit le fournisseur de matériel sous-jacent. Consultez notre guide sur Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi pour un contexte d'architecture SSID plus large.

Bonnes pratiques pour le WiFi multi-locataires

Contrôler la prolifération des SSID

Limitez votre diffusion à un maximum de quatre SSIDs par radio. Chaque SSID supplémentaire consomme du temps d'antenne pour les trames de balise (beacon frames). Dans un immeuble résidentiel dense avec 30 APs, diffuser huit SSIDs par AP génère 240 flux de balises en concurrence pour le temps d'antenne. Utilisez PPSK pour segmenter logiquement les utilisateurs derrière un seul SSID plutôt que de créer un SSID distinct par appartement ou par étage. Consultez Three SSIDs to rule them all pour l'architecture SSID recommandée.

Automatiser la distribution des clés

Ne vous fiez pas à des listes de mots de passe manuelles. Intégrez votre annuaire PPSK à votre système de gestion immobilière via l'API REST du fournisseur. Générez automatiquement la clé unique lors de l'inscription du locataire et transmettez-la via un code QR dans l'e-mail de bienvenue. Créez le flux de travail de distribution des clés avant le déploiement, pas après. Les opérateurs qui automatisent la distribution des clés signalent 30 % de tickets de support liés au WiFi en moins par rapport aux méthodes de distribution manuelles (données internes Purple, 2024).

Valider les liaisons trunk avant la mise en service

La panne de mise en service la plus courante est l'absence de balises VLAN sur les liaisons trunk entre les commutateurs de distribution et le cœur de réseau. Concevez votre plan de VLAN, puis vérifiez que chaque VLAN résident est autorisé sur chaque liaison trunk concernée. Testez avec un appareil sur chaque VLAN avant l'arrivée des résidents.

Appliquer un filtrage de sortie au VLAN IoT

Les appareils d'infrastructure du bâtiment - contrôleurs CVC, caméras de vidéosurveillance, panneaux de contrôle d'accès - doivent être placés sur un VLAN IoT dédié avec un filtrage de sortie strict au niveau du pare-feu. Cela empêche un appareil IoT compromis d'accéder aux VLAN des résidents ou au réseau de gestion.

Pour en savoir plus sur l'architecture Guest WiFi et l'intégration de WiFi Analytics , consultez notre documentation produit. Les opérateurs du secteur Hospitality devraient également consulter notre guide sur how to make a great first impression with your guest WiFi .

Dépannage et atténuation des risques

Consoles de jeux et type de NAT

Les résidents s'attendent à ce que leur PlayStation ou Xbox affiche un type de NAT « Type 2 » ou « Ouvert » pour le mode multijoueur en ligne. Une implémentation trop agressive du Carrier-Grade NAT (CGNAT) produit un NAT « Strict », générant un volume élevé de tickets de support. Configurez votre pare-feu pour gérer correctement l'UPnP par segment de résident. N'appliquez pas de restriction globale à tous les VLAN de résidents.

Appairage des appareils domestiques intelligents

Chromecast, Apple TV, Amazon Echo et Sonos nécessitent la découverte d'appareils sur le même réseau logique. Avec le PPSK, tous les appareils associés à la même clé de résident partagent un VLAN et peuvent se découvrir mutuellement. Les appareils associés à des clés différentes ne le peuvent pas. C'est le comportement correct. Si les résidents signalent des échecs d'appairage d'appareils intelligents, vérifiez que tous leurs appareils utilisent la même clé PPSK.

Épuisement des clés sur UniFi

Ubiquiti UniFi prend en charge jusqu'à 1 000 clés PPSK par réseau. Pour un projet de plus de 1 000 unités, ou un projet avec un nombre élevé d'appareils IoT, cette limite nécessite une planification minutieuse. Envisagez de segmenter le réseau sur plusieurs sites UniFi, ou de migrer vers une plateforme avec des limites de clés plus élevées comme HPE Aruba ou Cisco Meraki.

GDPR et données des résidents

Les bases de données de clés PPSK contiennent des données identifiables sur les résidents. Assurez-vous que votre plateforme de gestion des clés stocke les données dans une région conforme. Purple stocke les données conformément aux exigences du GDPR et de la CCPA, avec une résidence des données sélectionnable pour les déploiements dans l'UE. Ne conservez les journaux de connexion WiFi identifiant les résidents que le temps nécessaire à la sécurité et aux opérations - six mois est une limite courante pour les environnements BTR.

ROI et impact commercial

Le WiFi géré est un service de base dans les secteurs du BTR et des résidences étudiantes dédiées. Les opérateurs qui déploient des réseaux PPSK constatent des retours mesurables sur trois dimensions.

Prime de loyer. Les opérateurs BTR obtiennent généralement une prime mensuelle de 15 £ à 30 £ par unité pour un WiFi de haute qualité, prêt à l'emploi dès l'emménagement, selon les recherches sectorielles de la British Property Federation. Sur un projet de 200 unités, cela représente 36 000 £ à 72 000 £ de revenus annuels supplémentaires.

Efficacité opérationnelle. Les clés uniques éliminent les rotations de mots de passe à l'échelle du bâtiment. Les opérateurs signalent une réduction de 30 % des tickets de support liés au WiFi après avoir migré d'un PSK partagé vers le PPSK (données internes Purple, 2024). La connectivité dès le jour de l'emménagement réduit également les périodes d'inoccupation de cinq à dix jours.

Déploiement indépendant du matériel. En déployant la solution WiFi Multi-Tenant de Purple sous forme de couche logicielle sur votre matériel existant ou choisi, vous conservez le contrôle du réseau et l'augmentation du NOI. Vous évitez de céder les revenus à un fournisseur de haut débit tiers qui regroupe la connectivité dans un contrat qui capte la prime de service.

Purple opère sur plus de 80 000 sites actifs depuis 2012, avec une disponibilité de 99,999 % et les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. Pour les déploiements dans le Commerce de détail et la Santé nécessitant une segmentation de réseau similaire, la même architecture d'annuaire PPSK s'applique avec des couches de conformité spécifiques au secteur.

Pour la variante iPSK de cette architecture, consultez notre guide connexe : Logo guild iPSK : un guide complet pour les entreprises .

Définitions clés

PPSK (Private Pre-Shared Key)

Une méthode d'authentification qui attribue des mots de passe WiFi uniques à des utilisateurs, appareils ou logements individuels sur un seul SSID, en associant chaque clé à une politique réseau ou un VLAN spécifique. Également appelée iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) ou Private PSK (Extreme Networks).

Indispensable pour les environnements multi-locataires où les résidents exigent une isolation par logement mais où leurs appareils IoT ne prennent pas en charge 802.1X.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un accès authentifié à l'aide d'un serveur RADIUS et d'un fournisseur d'identité. Nécessite un logiciel suppliant sur l'appareil client.

Utilisé pour les réseaux du personnel et de gestion dans les déploiements BTR. Ne peut pas être utilisé pour les appareils IoT dépourvus de suppliant.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils, isolant leur trafic de diffusion des autres appareils de la même infrastructure physique.

Le PPSK utilise des VLAN pour créer des bulles WiFi privées pour chaque appartement. La clé de chaque résident est associée à un VLAN unique.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs se connectant à un service réseau.

Utilisé dans le modèle de déploiement backend RADIUS pour valider les identifiants PPSK par rapport à un annuaire d'identités et renvoyer les attributions de VLAN via les attributs Cisco-AVPair.

Supplicant

Un client logiciel sur un appareil d'utilisateur final qui communique avec un authentificateur pour obtenir un accès au réseau via 802.1X. Il gère l'échange d'authentification EAP.

L'absence de supplicants sur les appareils IoT est la principale raison pour laquelle le PPSK est requis dans les réseaux résidentiels. Les ordinateurs portables et les téléphones ont des supplicants ; les enceintes connectées et les thermostats n'en ont pas.

WPA3-SAE (Simultaneous Authentication of Equals)

La dernière norme de sécurité WiFi utilisant un échange de clés Dragonfly pour se protéger contre les attaques par dictionnaire hors ligne, remplaçant la poignée de main à quatre voies WPA2 pour l'authentification PSK.

Requis pour le fonctionnement du réseau 6GHz sur les points d'accès WiFi 6E. Les architectes doivent vérifier que le fournisseur d'AP choisi prend en charge le PPSK sur WPA3 avant de spécifier le matériel.

CGNAT (Carrier-Grade NAT)

Une méthode de partage d'une seule adresse IP publique entre plusieurs adresses IP privées, couramment utilisée par les FAI et les grands opérateurs de réseau pour préserver l'espace d'adressage IPv4.

Une mauvaise configuration du CGNAT dans les réseaux BTR restreint la connectivité multijoueur des consoles de jeux, produisant un type de NAT "Strict" au lieu du type "Ouvert" ou "Type 2" requis.

SSID (Service Set Identifier)

Le nom d'un réseau WiFi tel qu'il est diffusé par un point d'accès. Les appareils recherchent les SSIDs pour identifier les réseaux disponibles.

Le PPSK permet à plusieurs segments de résidents de partager un seul SSID, évitant ainsi la dégradation du temps d'antenne causée par la diffusion de SSIDs distincts par logement.

Exemples concrets

Un programme Build to Rent de 180 logements nécessite un accès WiFi opérationnel dès le premier jour avec une prise en charge complète de la maison connectée. L'opérateur souhaite éliminer la rotation des mots de passe à la fin des baux et réduire les tickets de support des résidents qui ne parviennent pas à connecter leur Chromecast ou leur enceinte connectée.

Déployez des points d'accès HPE Aruba gérés via Aruba Central. Configurez un SSID unique avec PPSK activé. Associez les VLAN 10 à 190 aux appartements individuels (un VLAN par logement). Intégrez le système de gestion immobilière via l'API REST d'Aruba Central pour générer automatiquement une clé PPSK unique lors de la signature du bail. Transmettez la clé au résident via un code QR dans son e-mail de bienvenue. À la fin d'un bail, supprimez la clé dans le portail. Configurez le DHCP avec des sous-réseaux /24 par VLAN pour accueillir jusqu'à 25 appareils par appartement. Définissez un VLAN IoT dédié (VLAN 99) pour les systèmes de gestion technique du bâtiment avec filtrage de sortie.

Commentaire de l'examinateur : Cette approche élimine les vulnérabilités liées aux mots de passe partagés. La révocation d'une clé lors du départ d'un locataire n'affecte que ce VLAN spécifique, laissant les 179 autres logements opérationnels. L'intégration via QR code réduit les tickets de support le premier jour. Le choix s'est porté sur HPE Aruba car il prend en charge le PPSK sur WPA3, permettant un futur déploiement WiFi 6E sur la bande 6GHz.

Une résidence étudiante de 400 lits doit gérer la semaine d'emménagement de la promotion, avec des centaines d'étudiants arrivant simultanément et connectant chacun plusieurs appareils. Le déploiement précédent utilisait un mot de passe partagé renouvelé chaque année, ce qui provoquait un chaos au début de chaque année universitaire.

Déployez des points d'accès Ruckus gérés via SmartZone. Configurez le PPSK avec une clé unique par chambre. Générez à l'avance toutes les clés avant le début de l'année universitaire. Incluez le code QR de chaque chambre dans le pack de bienvenue envoyé aux étudiants avant leur arrivée. Configurez des VLAN par chambre avec des sous-réseaux /23 pour accueillir les ordinateurs portables, téléphones, consoles et Smart TV. Activez WPA3-SAE sur le SSID PPSK pour une sécurité renforcée. Mettez en place un portail résident en libre-service où les étudiants peuvent récupérer leur clé et ajouter de nouveaux appareils en cours d'année sans contacter le support IT.

Commentaire de l'examinateur : La génération et la distribution préalables des clés avant l'arrivée éliminent les pics d'authentification le jour de l'emménagement. L'isolation par VLAN par chambre signifie que le trafic de chaque étudiant est indépendant, de sorte que l'utilisation intensive de la bande passante par un étudiant ne dégrade pas celle de ses voisins. Le portail en libre-service réduit la charge de travail du support IT tout au long de l'année universitaire.

Questions d'entraînement

Q1. Vous conseillez un opérateur de BTR sur la mise à niveau d'un complexe de 400 logements. Il diffuse actuellement un SSID distinct pour chaque étage (huit étages, huit SSIDs). Les résidents signalent un WiFi lent, surtout le soir. Quelle est la cause probable et que recommandez-vous ?

Conseil : Considérez la relation entre le nombre de SSIDs, les trames de balise (beacon frames) et l'utilisation du temps d'antenne.

Voir la réponse type

La cause probable est la saturation du temps d'antenne due à un nombre excessif de trames de balise. Chaque SSID diffuse des balises plusieurs fois par seconde. Huit SSIDs sur 30 points d'accès génèrent 240 flux de balises concurrents, consommant une proportion importante du temps d'antenne disponible avant même que les données des résidents ne soient transmises. La recommandation est de regrouper le tout sur un seul SSID et de déployer le PPSK pour obtenir l'isolation requise par étage ou par logement. Cela élimine la surcharge liée aux balises tout en maintenant la sécurité.

Q2. Un opérateur de BTR signale que les téléviseurs connectés, les Chromecasts et les enceintes connectées des résidents cessent fréquemment de fonctionner après le départ d'autres résidents. L'équipe informatique change le mot de passe de l'immeuble à chaque départ. Quel est le défaut d'architecture et quelle est la solution correcte ?

Conseil : Analysez l'impact d'une clé PSK partagée sur tous les appareils connectés lors de la rotation de la clé.

Voir la réponse type

Le réseau utilise une clé PSK partagée standard pour tous les résidents. Lorsque la clé change lors d'un départ, chaque appareil de l'immeuble perd sa connexion et doit être reconnecté manuellement. La bonne solution consiste à migrer vers un annuaire PPSK, en attribuant une clé unique par appartement. Lorsqu'un résident déménage, l'opérateur supprime uniquement la clé de cet appartement. Les 399 autres appartements ne sont pas affectés. Les téléviseurs connectés, les Chromecasts et les enceintes connectées se reconnectent automatiquement car leurs identifiants n'ont pas changé.

Q3. Vous spécifiez des points d'accès WiFi 6E pour un nouveau projet BTR de 200 logements. Le client exige des clés PPSK uniques par appartement et souhaite utiliser la bande 6GHz pour les applications à large bande passante. Vous évaluez Ubiquiti UniFi par rapport à HPE Aruba. Quel problème de compatibilité devez-vous identifier et comment cela affecte-t-il votre recommandation matérielle ?

Conseil : Vérifiez la relation entre la bande 6GHz, les exigences WPA3 et les contraintes d'implémentation PPSK du fournisseur.

Voir la réponse type

La bande 6GHz impose le WPA3-SAE. Ubiquiti UniFi limite actuellement le PPSK au WPA2 uniquement, ce qui signifie que les clients PPSK ne peuvent pas utiliser la bande 6GHz sur le matériel UniFi. HPE Aruba prend en charge le PPSK sur le WPA3-SAE, permettant une utilisation complète de la bande 6GHz pour les clients PPSK. La recommandation est d'utiliser HPE Aruba pour ce déploiement. Si le client a déjà investi dans UniFi, les clients PPSK doivent être limités aux bandes 2.4GHz et 5GHz jusqu'à ce que Ubiquiti ajoute la prise en charge du WPA3 pour le PPSK.

Continuer la lecture de cette série

Uu PPSK pdf : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Private Pre-Shared Key (PPSK) aux déploiements 802.1X traditionnels et PSK standards. Il fournit aux architectes réseau et aux responsables informatiques des stratégies de mise en œuvre neutres vis-à-vis des fournisseurs pour les environnements résidentiels multi-locataires, l'IoT et le secteur BTR.

Lire le guide →

Uu PPSK 2023 : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Unique per-User Private Pre-Shared Key (UU PPSK) aux déploiements traditionnels basés sur des PSK partagées et 802.1X, avec un accent particulier sur le paysage 2023 des implémentations constructeurs et des capacités de plateforme. Il fournit aux promoteurs immobiliers, aux opérateurs de BTR et aux syndics de copropriété (MDU) des stratégies de déploiement exploitables, des conseils sur l'architecture VLAN et des flux de gestion automatisée du cycle de vie. Le guide couvre trois modèles de déploiement, des études de cas réels et les implications de conformité de chaque approche d'authentification.

Lire le guide →

PPSK xaverius : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence examine l'architecture PPSK xaverius pour les environnements multi-locataires tels que le secteur Build to Rent et les résidences étudiantes. Il compare les modèles de déploiement, détaille les stratégies d'implémentation et explique comment l'isolation VLAN par logement offre une expérience WiFi comme à la maison tout en maintenant la sécurité d'entreprise.

Lire le guide →