iPSK : un guide complet pour les entreprises

Ce guide explique comment déployer l'iPSK (Identity Pre-Shared Key) dans des environnements multi-locataires tels que les développements résidentiels Build to Rent, les résidences étudiantes et les propriétés MDU. Il couvre l'architecture basée sur RADIUS qui offre à chaque résident une bulle WiFi privée et isolée sur un seul SSID partagé, et détaille les étapes de mise en œuvre, les intégrations matérielles et les arguments commerciaux pour traiter le WiFi comme un service managé.

📖 7 min de lecture📝 1,663 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans cette présentation technique de Purple. Aujourd'hui, nous allons aborder la clé pré-partagée d'identité, ou iPSK, et expliquer pourquoi il s'agit de l'architecture définitive pour le WiFi multi-locataires dans les projets immobiliers résidentiels et locatifs.

Commençons par le problème. Si vous gérez une propriété locative, une résidence étudiante ou un grand espace de coworking, vous êtes confronté à un défi réseau spécifique. Vous devez offrir à des centaines de personnes une expérience WiFi qui ressemble exactement à celle de leur domicile. Le téléphone d'un résident doit pouvoir détecter son Chromecast. Son enceinte connectée doit contrôler ses lumières. Mais surtout, le résident A doit être totalement isolé du résident B. Ils ne doivent pas voir les appareils de l'autre, et ils ne peuvent certainement pas intercepter le trafic de l'autre.

Le WiFi invité standard ne permet pas cela. Le WiFi invité isole chaque appareil individuellement. Il est conçu pour un café, pas pour un salon. Et le protocole 802.1X EAP-TLS, bien que hautement sécurisé, est un cauchemar pour les déploiements résidentiels, car il nécessite la gestion de certificats, et les appareils IoT sans interface comme une console de jeux ou une enceinte connectée ne le prennent tout simplement pas en charge.

C'est là qu'intervient la clé pré-partagée d'identité, ou iPSK.

L'architecture technique est élégante. Vous diffusez un seul SSID sur l'ensemble de la propriété. Appelons-le WiFi Immeuble. Mais au lieu de donner le même mot de passe à tout le monde, vous attribuez une clé pré-partagée unique à chaque résident.

Lorsqu'un appareil se connecte, le point d'accès sans fil - qu'il s'agisse de Cisco Meraki, HPE Aruba ou Ruckus - envoie une requête RADIUS au cloud Purple. Le serveur RADIUS examine le mot de passe utilisé, identifie le résident et renvoie un message Access-Accept. Ce message contient des attributs spécifiques au fournisseur, plus précisément un identifiant VLAN.

Le point d'accès place ensuite ce client sur son VLAN dédié. Le résident A est dirigé vers le VLAN 10. Le résident B est dirigé vers le VLAN 20. On obtient ainsi une isolation de couche 2. Le domaine de diffusion est confiné. Le trafic mDNS et Bonjour reste à l'intérieur de l'appartement, de sorte que la diffusion de contenu fonctionne parfaitement, sans déborder dans le couloir. Et lorsqu'un résident déménage, il vous suffit de révoquer sa clé unique via l'API de Purple. Le reste du bâtiment ne s'en aperçoit même pas.

Parlons maintenant de la mise en œuvre et des pièges que nous rencontrons le plus souvent.

La première erreur, et la plus courante, consiste à sous-dimensionner la plage DHCP. Les ingénieurs réseau attribuent parfois un sous-réseau /28 à un appartement pour économiser de l'espace d'adressage IP. Cela représente 14 adresses utilisables. En 2026, un couple vivant dans un appartement locatif aura épuisé ces 14 adresses IP dès le mardi. Un téléphone, un ordinateur portable, une tablette, une smart TV, une console de jeux, une enceinte connectée, quelques ampoules connectées. Vous en êtes déjà à huit appareils avant même qu'ils n'invitent un ami. Configurez toujours par défaut un sous-réseau /24 par résident. Cela vous donne 254 adresses utilisables et une grande marge de manœuvre.

Le deuxième détail de configuration critique est l'isolation des clients. Vous devez vous assurer que l'isolation des clients est désactivée au sein du VLAN du résident. Si vous laissez l'isolation des clients activée, vous bloquez la fonctionnalité de maison intelligente pour laquelle l'iPSK est conçu. Les appareils partageant la même clé ne pourront pas communiquer entre eux, et vous passerez la semaine à gérer des tickets d'assistance concernant Chromecast.

La troisième considération est l'itinérance. Si un résident se déplace de son appartement du quatrième étage vers la salle de sport au rez-de-chaussée, sa connexion doit persister. Cela signifie que son VLAN spécifique doit être acheminé par trunk vers le point d'accès de la salle de sport, ou que vous devez acheminer le trafic via un tunnel vers un contrôleur central. C'est un oubli fréquent lors des premiers déploiements, qui se traduit par des pertes de connexion dans les parties communes.

Penchons-nous maintenant sur le sujet sensible : le WPA3 et la bande des 6 gigahertz.

Le WiFi 6E et le WiFi 7 imposent la sécurité WPA3 sur la bande des 6 gigahertz. Le WPA3 remplace l'ancienne authentification en quatre étapes par le protocole Simultaneous Authentication of Equals, ou SAE. Le problème est que la norme IEEE pour le SAE ne prend pas en charge actuellement plusieurs mots de passe par SSID de la même manière que le WPA2.

Cela signifie que vous ne pouvez pas simplement activer le WPA3 et vous attendre à ce que votre déploiement iPSK continue de fonctionner. Ce n'est pas un problème spécifique à Cisco Meraki ou Aruba. Il s'agit d'une limitation sectorielle globale qui découle de la manière dont la norme IEEE 802.11 définit le SAE. Tous les grands constructeurs, y compris Ruckus, Juniper Mist, Ubiquiti UniFi et Extreme Networks, sont confrontés à cette même contrainte.

La bonne pratique actuelle consiste à adopter une approche hybride. Vous maintenez un SSID iPSK WPA2 sur les bandes 2,4 et 5 gigahertz. Cela permet de gérer tous les appareils plus anciens et le matériel IoT. Pour la bande des 6 gigahertz, vous déployez un SSID distinct utilisant le 802.1X pour les appareils de l'entreprise, ou vous attendez que les implémentations SAE propres aux constructeurs arrivent à maturité.

Passons maintenant aux questions les plus fréquentes.

Question un : Puis-je utiliser l'iPSK pour des appareils IoT sans écran ? Oui. C'est l'un de ses principaux avantages par rapport au 802.1X. Tout appareil capable de se connecter à un routeur domestique à l'aide d'un mot de passe peut utiliser l'iPSK. Les prises connectées, les imprimantes sans fil, les caméras IP - tous ces équipements fonctionnent.

Question deux : Que se passe-t-il si un résident partage son mot de passe avec un ami ? L'appareil de l'ami rejoint le VLAN du résident. C'est le principe même du système. La clé identifie le logement, pas l'appareil individuel. Si vous souhaitez un contrôle par appareil, vous devez utiliser le 802.1X.

Question trois : Combien de VLAN puis-je gérer de manière réaliste ? Les commutateurs d'entreprise modernes gèrent des milliers de VLAN. Un bâtiment de 500 unités avec un VLAN par appartement s'inscrit parfaitement dans les capacités de n'importe quelle plateforme de commutation d'entreprise. La charge administrative est gérée par la plateforme cloud de Purple, et non par votre équipe manuellement.

Enfin, examinons l'impact commercial.

Déployer un WiFi géré via iPSK n'est pas seulement une mise à niveau informatique. C'est une stratégie commerciale. En offrant une connectivité dès le premier jour, vous éliminez la période de vacance de cinq à dix jours pendant qu'un résident attend un ingénieur ISP. Des recherches de la British Property Federation indiquent que le WiFi géré permet de facturer un supplément de loyer de 15 à 30 livres par unité et par mois dans les développements Build to Rent au Royaume-Uni.

Vous améliorez également considérablement l'environnement RF. Au lieu de 200 routeurs grand public en concurrence sur des canaux qui se chevauchent, vous disposez d'un seul SSID propre, géré par des points d'accès d'entreprise. Moins de tickets de support. Des scores de satisfaction des résidents plus élevés. Et avec Purple qui gère la gestion des identités, vous automatisez l'ensemble du cycle de vie d'intégration et de désinscription, réduisant ainsi les coûts opérationnels pour l'équipe de gestion immobilière.

En résumé : iPSK est l'architecture définitive pour le WiFi multi-locataires. Un seul SSID, de nombreuses clés uniques, une isolation VLAN absolue. Elle offre la sécurité d'un réseau d'entreprise avec la simplicité d'un routeur domestique. Elle prend en charge tous les appareils IoT de vos résidents. Et elle transforme le WiFi d'un centre de coûts en un moteur de revenus mesurable.

Merci d'avoir écouté ce briefing technique Purple. Si vous planifiez un déploiement multi-locataires, contactez notre équipe d'ingénierie pour discuter de l'intégration avec votre matériel existant.

Points clés à retenir

✓iPSK attribue un mot de passe WiFi unique par résident, associant chaque clé à un VLAN dédié via un serveur RADIUS.
✓La limite du VLAN isole les résidents les uns des autres au niveau de la Couche 2 tout en permettant aux appareils domotiques de fonctionner au sein de l'appartement.
✓Contrairement à 802.1X, iPSK prend en charge tous les appareils IoT d'un résident - aucun certificat ni supplicant requis.
✓Les déploiements WPA3 et 6 GHz nécessitent une approche hybride : WPA2 iPSK sur 2.4/5 GHz, 802.1X sur 6 GHz.
✓Attribuez toujours un sous-réseau /24 par résident et désactivez l'isolation des clients au sein du VLAN.
✓Le WiFi géré en tant que service de commodité BTR génère un supplément de loyer mensuel de 15 £ à 30 £ par logement et réduit les périodes de vacance de 5 à 10 jours.
✓Purple se déploie comme une surcouche cloud sur le matériel Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.

Résumé exécutif

L'iPSK (Identity Pre-Shared Key) est la technologie clé du WiFi multi-locataire. Elle vous permet de diffuser un SSID unique sur l'ensemble d'une propriété tout en attribuant un mot de passe unique à chaque résident. Lorsqu'un appareil se connecte, un serveur RADIUS associe ce mot de passe à un VLAN dédié, créant ainsi une bulle de réseau privé par appartement. Le téléphone du résident détecte son Chromecast. Sa bande son connectée contrôle ses lumières. Le résident B ne voit rien de tout cela.

Le WiFi invité standard isole chaque appareil des autres - il ne peut pas prendre en charge les objets connectés de la maison. L'802.1X EAP-TLS offre une sécurité renforcée mais nécessite une gestion des certificats et échoue sur les objets connectés sans écran. L'iPSK se positionne entre les deux : il est plus simple que l'802.1X, bien plus sécurisé qu'un mot de passe partagé, et entièrement compatible avec tous les appareils appartenant aux résidents.

Purple déploie l'iPSK sous forme de superposition cloud sur le matériel Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, et Fortinet. Vous n'avez pas besoin de remplacer vos points d'accès. Purple agit comme le serveur RADIUS, gère le cycle de vie des clés et automatise l'intégration et le départ des résidents via API. Ce guide couvre l'architecture, les étapes de déploiement, les pièges à éviter et les arguments commerciaux pour traiter le WiFi comme un service managé dans les résidences services et l'immobilier résidentiel collectif.

Analyse technique approfondie

Fonctionnement de l'iPSK

Le WPA2-Personal traditionnel utilise un seul mot de passe pour tous les utilisateurs d'un même SSID. N'importe quel résident peut voir les appareils des autres résidents sur le même domaine de diffusion. Modifier le mot de passe lors du départ d'un résident impacte tous les autres résidents. L'iPSK modifie entièrement ce modèle d'authentification.

Lorsqu'un appareil tente de s'associer au point d'accès en utilisant une PSK spécifique, le contrôleur sans fil envoie une requête RADIUS Access-Request au cloud Purple. Le serveur RADIUS associe le mot de passe au profil du résident et renvoie un message RADIUS Access-Accept contenant un attribut spécifique au constructeur : l'identifiant VLAN attribué à ce résident. Le contrôleur place alors le client sur ce VLAN. L'ensemble de cet échange prend quelques millisecondes et est invisible pour le résident.

Cette architecture offre trois résultats. Premièrement, la segmentation VLAN : le trafic est isolé au niveau de la couche 2, de sorte que le résident A sur le VLAN 10 ne peut pas acheminer de trafic vers le résident B sur le VLAN 20. Deuxièmement, la limitation de la diffusion : le trafic de découverte mDNS et Bonjour reste au sein du VLAN du résident, de sorte que Chromecast et Sonos fonctionnent dans l'appartement sans déborder dans le couloir. Troisièmement, un cycle de vie des clés propre : la révocation d'une clé lors d'un déménagement n'affecte que ce résident ; le reste de l'immeuble reste connecté.La terminologie des fournisseurs varie. HPE Aruba appelle cela PPSK (Private Pre-Shared Key). Cisco Meraki l'appelle Personal Private Network. Ruckus et Juniper Mist utilisent DPSK (Dynamic Pre-Shared Key). Le concept est identique sur toutes les plateformes.

Comparaison des méthodes d'authentification

Le tableau ci-dessous résume les compromis entre les trois principales méthodes d'authentification WiFi utilisées dans les environnements multi-locataires.

Dimension	PSK Partagé	iPSK	802.1X EAP-TLS
Niveau de sécurité	Faible - une seule clé pour tous	Moyen - clé unique par résident	Élevé - certificat par appareil
Complexité de déploiement	Faible	Moyen	Élevé
Prise en charge des appareils IoT	Oui	Oui	Non - certificats requis
Isolation des résidents	Non	Oui - par VLAN	Oui - par VLAN
Révocation des clés	Affecte tous les résidents	Affecte un seul résident	Révocation de certificat par appareil
Compatibilité maison connectée	Non	Oui	Non

Pour les déploiements BTR et MDU, l'iPSK est le choix idéal. Il offre l'isolation et la sécurité dont vous avez besoin sans la charge opérationnelle d'une autorité de certification.

Le défi du WPA3 et de la bande 6 GHz

Le WPA3 introduit le protocole SAE (Simultaneous Authentication of Equals) pour remplacer le handshake à 4 voies du WPA2. Le protocole SAE est plus résistant aux attaques par dictionnaire hors ligne. Cependant, la norme IEEE 802.11 pour le SAE ne prend actuellement pas en charge plusieurs clés pré-partagées par SSID.

Comme le WiFi 6E et le WiFi 7 imposent le WPA3 sur la bande 6 GHz, vous ne pouvez pas utiliser d'iPSK standard sur un SSID 6 GHz aujourd'hui. Il ne s'agit pas d'une limitation propre à un fournisseur. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Extreme Networks et Fortinet sont tous confrontés à la même contrainte car elle découle de la norme IEEE elle-même.

La meilleure pratique actuelle consiste à opter pour un déploiement hybride. Maintenez un SSID WPA2 iPSK sur les bandes 2.4 GHz et 5 GHz pour prendre en charge les anciens appareils et le matériel IoT. Pour les appareils compatibles 6 GHz, déployez un SSID distinct utilisant le protocole 802.1X EAP-TLS, ou attendez que les implémentations SAE propres aux fournisseurs arrivent à maturité. Certains fournisseurs développent des solutions SAE multi-clés propriétaires, mais il n'existe pas encore d'approche standardisée universelle.

Guide de mise en œuvre

Étape 1 : Planification des VLAN

Attribuez un VLAN dédié par appartement ou résident. Assurez-vous que vos commutateurs principaux et vos pare-feu prennent en charge le nombre requis d'interfaces VLAN. Une propriété BTR de 200 unités nécessite 200 VLAN distincts. Les plateformes de commutation d'entreprise modernes gèrent des milliers de VLAN sans impact sur les performances.

Étape 2 : Configuration DHCP et adressage IP

Configurez une plage DHCP pour chaque VLAN. Attribuez un sous-réseau /24 (254 adresses utilisables) par résident. Un foyer moderne connecte 15 à 25 appareils. Un sous-réseau /28 (14 adresses utilisables) sera épuisé en quelques jours. Ne sous-dimensionnez jamais la plage DHCP.

Étape 3 : Configuration RADIUS

Pointez vos contrôleurs sans fil vers les serveurs RADIUS de Purple. Configurez les contrôleurs pour accepter les attributs de surcharge RADIUS pour l'assignation de VLAN. Purple fournit les adresses IP du serveur RADIUS, les secrets partagés et les mappages d'attributs pour chaque plateforme matérielle prise en charge.

Étape 4 : Provisionnement du SSID

Diffusez un seul SSID à l'échelle du bâtiment. Activez le contournement d'authentification MAC (MAB) sur le SSID. Le MAB est le mécanisme par lequel le contrôleur lance la requête RADIUS lorsqu'un appareil se connecte à l'aide d'un iPSK plutôt que d'un certificat.

Étape 5 : Intégration des résidents

Intégrez le provisionnement du WiFi dans le flux de travail d'emménagement des résidents. L'API de Purple génère l'iPSK unique et le transmet au résident par e-mail ou via un portail résident. Lors du départ, le système de gestion immobilière déclenche l'API de Purple pour révoquer la clé. Aucune intervention manuelle n'est requise.

Bonnes pratiques

Désactiver l'isolation des clients au sein des VLAN des résidents

L'isolation des clients empêche les appareils d'un même sous-réseau de communiquer entre eux. Si vous l'activez, vous interrompez la fonctionnalité de maison intelligente que l'iPSK est conçu pour prendre en charge. Désactivez l'isolation des clients au sein du VLAN de chaque résident. La limite du VLAN elle-même assure l'isolation entre les résidents.

Configurer le NAT pour les jeux vidéo

Les jeux en ligne nécessitent des configurations NAT spécifiques. La PlayStation 5 et la Xbox Series X ont besoin d'un NAT de type 2 (modéré) ou de type 1 (ouvert) pour le matchmaking. Implémentez le NAT de classe opérateur (CGNAT) avec prudence. Configurez l'UPnP ou la redirection de port statique par VLAN de résident plutôt que d'appliquer une politique NAT stricte globale.

Acheminer en trunk tous les VLAN des résidents vers tous les points d'accès

Un résident qui se connecte dans son appartement au 4ème étage doit maintenir sa connexion lorsqu'il se rend à la salle de sport au rez-de-chaussée. Tous les VLAN des résidents doivent être acheminés en trunk vers tous les points d'accès de la propriété, ou vous devez implémenter un protocole de tunnelisation tel que CAPWAP ou GRE pour ancrer le trafic client à un contrôleur central.

Planifier les événements d'emménagement de cohortes

Les gestionnaires de logements étudiants sont confrontés à un défi spécifique : des centaines de résidents se connectant simultanément pendant la semaine d'emménagement. Pré-provisionnez tous les iPSK avant le jour de l'emménagement. Testez la capacité du serveur RADIUS sous charge. L'infrastructure cloud de Purple est évaluée à un taux de disponibilité de 99,999 % et gère les pics d'authentification simultanés sans dégradation.

Dépannage et atténuation des risques

Échecs de Chromecast et d'enceintes intelligentes

Le ticket d'assistance le plus courant dans le WiFi multi-locataires. Si un résident ne peut pas diffuser sur son Chromecast ou associer son enceinte intelligente, vérifiez deux points. Tout d'abord, confirmez que l'isolation des clients est désactivée au sein de son VLAN. Deuxièmement, confirmez que le proxy mDNS ou la passerelle Bonjour ne filtre pas le trafic de découverte au sein du VLAN.

Épuisement des adresses IP

Si des résidents signalent que de nouveaux appareils ne peuvent pas se connecter, vérifiez la table des baux DHCP pour leur VLAN. Un sous-réseau /28 s'épuisera en quelques jours dans un foyer moderne. Élargissez immédiatement la plage à un /24.

Connexions interrompues dans les parties communes

Si les résidents perdent la connectivité lorsqu'ils se déplacent entre les étages ou les zones, c'est que le VLAN du résident n'est pas trunké sur le point d'accès de cette zone. Inspectez la configuration du trunk VLAN sur chaque port de commutateur connecté à un point d'accès.

Échecs d'authentification après la révocation d'une clé

Si un appareil continue de se connecter après la révocation d'une clé, vérifiez le cache du serveur RADIUS. Certains contrôleurs mettent en cache les décisions d'authentification pendant une période configurable. Définissez le délai d'expiration de la session et l'intervalle de réauthentification sur une valeur courte (15 à 30 minutes) pour garantir que les révocations prennent effet rapidement.

ROI et impact commercial

Le cas de la prime sur le loyer

Une étude de la British Property Federation indique que le WiFi géré permet d'obtenir une prime de loyer de 15 £ à 30 £ par unité et par mois dans les projets immobiliers BTR au Royaume-Uni. Pour une propriété de 200 unités, cela représente 3 000 £ à 6 000 £ de revenus mensuels supplémentaires. Le coût en capital du déploiement de points d'accès d'entreprise et de la solution logicielle Purple est généralement récupéré en l'espace de 12 à 18 mois.

Réduction de la période de vacance

Fournir une connectivité dès le premier jour élimine la période de vacance de 5 à 10 jours pendant laquelle un résident attend un technicien de son fournisseur d'accès. Les résidents emménagent et se connectent immédiatement. Cela réduit les coûts de vacance et améliore la satisfaction des résidents dès le premier jour de leur location.

Amélioration de l'environnement RF

Un bâtiment de 200 unités où chaque résident utilise son propre routeur grand public génère de graves interférences co-canal. 200 routeurs en concurrence sur des canaux 2.4 GHz et 5 GHz qui se chevauchent dégradent les performances pour tout le monde. Remplacer cela par un seul SSID géré sur des points d'accès d'entreprise élimine les interférences et offre une connectivité haut débit constante dans tout le bâtiment.

Efficacité opérationnelle

Purple automatise l'ensemble du cycle de vie des clés via une intégration API avec les systèmes de gestion immobilière. L'attribution à l'arrivée et la révocation au départ ne nécessitent aucune intervention manuelle de la part de l'équipe informatique ou de gestion immobilière. Cela se mesure directement à travers le volume de tickets d'assistance et le temps de travail du personnel.

Pour en savoir plus sur la manière dont Purple prend en charge le Guest WiFi et le WiFi Analytics dans plus de 80 000 sites, consultez les guides associés. Si vous évaluez le WiFi multi-locataire pour un contexte de vente au détail ou d'hôtellerie, consultez nos pages sectorielles Retail et Hospitality . Pour une discussion plus large sur la stratégie de conception des SSID, lisez Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Définitions clés

iPSK (Identity Pre-Shared Key)

Une méthode d'authentification qui permet d'utiliser plusieurs mots de passe uniques sur un seul SSID. Un serveur RADIUS associe chaque mot de passe à un VLAN spécifique et à une politique réseau.

La technologie de base pour le WiFi multi-locataire. Également appelée PPSK (Aruba), Personal Private Network (Cisco Meraki) ou DPSK (Ruckus, Juniper Mist).

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité (AAA) pour les utilisateurs se connectant à un réseau.

Le moteur derrière l'iPSK. Lorsqu'un appareil se connecte, le point d'accès interroge le serveur RADIUS pour vérifier la clé et récupérer l'attribution du VLAN.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe des appareils de différents emplacements physiques dans un domaine de diffusion isolé.

Chaque résident dans un déploiement iPSK se voit attribuer son propre VLAN. C'est le mécanisme qui empêche un résident de voir les appareils d'un autre.

BTR (Build to Rent)

Logement résidentiel construit spécialement pour la location à long terme plutôt que pour l'accession à la propriété.

Le principal contexte commercial pour les déploiements iPSK multi-locataires. Le WiFi est traité comme un service managé, générant un supplément de loyer mensuel de 15 £ à 30 £ par logement.

MDU (Multi-Dwelling Unit)

Une classification de bâtiment contenant plusieurs unités résidentielles distinctes, y compris les immeubles d'appartements, les logements étudiants et les logements sociaux.

L'environnement physique où le WiFi multi-locataires est déployé. Une infrastructure partagée dessert de nombreux foyers indépendants.

SAE (Simultaneous Authentication of Equals)

Le protocole d'établissement de clé utilisé dans WPA3, remplaçant la poignée de main à 4 voies WPA2. Le SAE est résistant aux attaques par dictionnaire hors ligne.

La limitation actuelle pour iPSK sur les réseaux 6 GHz. La norme IEEE 802.11 SAE ne prend pas en charge plusieurs PSK par SSID, ce qui nécessite une approche de déploiement hybride.

MAB (MAC Authentication Bypass)

Une méthode pour déclencher une demande d'authentification RADIUS basée sur l'adresse MAC d'un appareil lorsque celui-ci n'initie pas de 802.1X.

Utilisé dans les déploiements iPSK pour initier la requête RADIUS à partir du contrôleur sans fil lorsqu'un appareil se connecte à l'aide d'un PSK.

CGNAT (Carrier-Grade NAT)

Une méthode de partage d'une seule adresse IP publique entre plusieurs adresses IP privées, utilisée par les opérateurs gérant un grand nombre d'appareils connectés.

Requis dans les grands déploiements résidentiels pour conserver les adresses IPv4. Doit être configuré avec soin pour prendre en charge les exigences NAT des jeux en ligne.

mDNS (Multicast DNS)

Un protocole qui résout les noms d'hôte en adresses IP au sein d'un réseau local sans nécessiter de serveur DNS, utilisé par Chromecast, AirPlay et Bonjour.

Le mDNS doit être contenu dans le VLAN du résident pour que les appareils domestiques intelligents fonctionnent. Si le mDNS déborde sur d'autres VLAN, les résidents peuvent découvrir les appareils des uns des autres.

Exemples concrets

Un opérateur de Build to Rent de 250 logements prévoit actuellement d'installer des lignes haut débit individuelles et des routeurs grand public dans chaque appartement. Le gestionnaire de la propriété s'inquiète de la qualité du WiFi et des coûts d'assistance. Comment un déploiement iPSK modifie-t-il cette architecture et quels en sont les résultats mesurables ?

Remplacez les 250 lignes FAI individuelles et les routeurs grand public par des points d'accès d'entreprise (Cisco Meraki MR57 ou HPE Aruba AP-635) déployés dans les couloirs et les appartements, tous câblés vers des commutateurs managés centraux. Une liaison montante unique entre le bâtiment et un FAI de classe entreprise fournit la connexion internet. Diffusez un seul SSID ('NomDuBatiment_WiFi'). Configurez Purple comme serveur RADIUS. Émettez 250 iPSK uniques lors de l'emménagement via l'API de Purple. Chaque résident se voit attribuer un VLAN /24. Désactivez l'isolation des clients au sein de chaque VLAN. Trunkisez tous les VLAN vers tous les points d'accès. Intégrez l'API de Purple au système de gestion immobilière pour automatiser l'activation à l'arrivée et la révocation au départ.

Commentaire de l'examinateur : Cela élimine les interférences de canaux adjacents provenant de 250 routeurs concurrents, offre un roaming transparent dans tout le bâtiment et réduit le coût du FAI en passant de 250 lignes individuelles à une seule connexion professionnelle. L'opérateur bénéficie d'une visibilité complète sur les performances du réseau via le tableau de bord de Purple. Le supplément de loyer mensuel de 15 £ à 30 £ par logement couvre largement les coûts d'infrastructure et de logiciel en l'espace de 12 à 18 mois.

Un opérateur de résidences étudiantes (PBSA) de 500 lits doit fournir du WiFi à l'ensemble de la promotion pendant la semaine d'emménagement. L'année dernière, le réseau s'est effondré sous la charge durant les premières 48 heures. Comment concevoir le déploiement iPSK pour gérer cette situation ?

Pré-configurez les 500 iPSK avant le jour de l'emménagement. Envoyez la clé unique à chaque étudiant via le pack d'accueil par e-mail envoyé deux semaines avant l'arrivée. Le jour de l'emménagement, les étudiants saisissent simplement leur clé - pas de Captive Portal, pas de file d'attente, pas de goulot d'étranglement RADIUS dû à des premières authentifications simultanées. Configurez le serveur RADIUS avec une capacité de sessions simultanées suffisante. L'infrastructure RADIUS cloud de Purple gère les pics d'authentification sans dégradation. Définissez des baux DHCP de 24 heures pour éviter l'épuisement des adresses pendant la période d'emménagement à forte densité. Assurez-vous que tous les VLAN sont trunkés vers tous les points d'accès, y compris dans les zones communes, les salles d'étude et la salle de sport.

Commentaire de l'examinateur : L'élément clé est la pré-configuration. L'effondrement du réseau l'année précédente était causé par des centaines d'authentifications initiales et d'interactions avec le Captive Portal simultanées. En fournissant la clé avant l'arrivée, vous répartissez la charge d'authentification sur les jours précédant l'emménagement. Le SLA de disponibilité de 99,999 % de Purple couvre parfaitement ce scénario de charge de pointe.

Questions d'entraînement

Q1. Un résident signale qu'il ne peut pas diffuser Netflix depuis son téléphone sur son Chromecast. Les deux appareils sont connectés au WiFi de l'immeuble à l'aide de l'iPSK unique du résident. Les autres résidents ne sont pas concernés. Quelle est l'erreur de configuration la plus probable, et comment la corriger ?

Conseil : Chromecast utilise mDNS pour la découverte d'appareils. Pensez au paramètre réseau qui empêche les appareils d'un même sous-réseau de communiquer.

Voir la réponse type

L'isolation client (également appelée isolation de niveau 2) est activée sur le SSID ou au sein du VLAN du résident. Cela empêche les appareils d'un même sous-réseau de communiquer entre eux, ce qui bloque la découverte mDNS et Bonjour. La solution consiste à désactiver l'isolation client au sein du VLAN du résident. La limite du VLAN elle-même assure l'isolation par rapport aux autres résidents. Vous n'avez pas besoin de l'isolation client pour assurer la sécurité entre résidents.

Q2. Vous déployez le WiFi dans une résidence étudiante de 500 logements. Un collègue suggère d'attribuer un sous-réseau /28 à chaque chambre pour conserver l'espace d'adressage IP. Pourquoi est-ce un problème, et que devriez-vous attribuer à la place ?

Conseil : Calculez le nombre d'adresses utilisables dans un sous-réseau /28, puis comptez les appareils qu'un étudiant type connecte.

Voir la réponse type

Un sous-réseau /28 ne fournit que 14 adresses IP utilisables. Un étudiant type connecte un téléphone, un ordinateur portable, une tablette, une console de jeux, une TV connectée et une enceinte connectée - cela représente déjà six appareils. Ajoutez à cela quelques appareils IoT et un ami en visite, et vous épuisez le pool en quelques jours. Attribuez un sous-réseau /24 (254 adresses utilisables) par chambre. L'espace IP supplémentaire ne coûte rien et évite un mode de défaillance courant et perturbateur.

Q3. Un opérateur BTR souhaite mettre à niveau l'ensemble de son réseau vers le Wi-Fi 7 et imposer la sécurité WPA3 sur toutes les bandes, y compris le 6 GHz. Il utilise actuellement iPSK sur un SSID WPA2. Quel est l'impact sur son déploiement iPSK, et quelle est la trajectoire de migration recommandée ?

Conseil : Prenez en compte la poignée de main d'authentification utilisée dans WPA3 et si elle prend en charge plusieurs PSK par SSID.

Voir la réponse type

WPA3 utilise SAE, qui ne prend actuellement pas en charge plusieurs PSK par SSID selon la norme IEEE 802.11. Imposer WPA3 sur toutes les bandes brisera le déploiement iPSK. L'approche recommandée est un modèle hybride : conserver le SSID WPA2 iPSK sur 2.4 GHz et 5 GHz pour les appareils IoT et le matériel hérité. Déployer un SSID WPA3 distinct utilisant 802.1X EAP-TLS sur la bande 6 GHz pour les appareils compatibles WiFi 7. Ce n'est pas un compromis - c'est la meilleure pratique actuelle, indépendante des fournisseurs, sur Cisco Meraki, HPE Aruba, Ruckus et toutes les autres plateformes majeures.

Continuer la lecture de cette série

Service client pour le WiFi géré par spectre : un guide complet pour les entreprises

Ce guide complet explique comment les gestionnaires de logements locatifs à l'année (BTR) et les promoteurs immobiliers peuvent déployer un WiFi géré par spectre afin d'offrir des expériences réseau sécurisées et isolées aux résidents. Il couvre l'architecture technique de cloud RADIUS, l'isolation VLAN et l'iPSK, ainsi que des stratégies de mise en œuvre pratiques pour réduire les coûts de support.

Le comparatif des fonctionnalités et modèles de déploiement PPSK

Un guide technique de référence comparant les modèles d'authentification PPSK (Private Pre-Shared Key) pour les bâtiments intelligents et les environnements multi-locataires. Il couvre l'architecture, la segmentation de l'IoT, les implémentations des constructeurs et l'analyse de rentabilisation du WiFi basé sur l'identité dans le secteur du Build-to-Rent.

Qu'est-ce que PPSK : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique complet analyse l'architecture PPSK (Private Pre-Shared Key) en la comparant à iPSK et 802.1X afin d'aider les exploitants de sites et les équipes informatiques à sélectionner le bon modèle d'authentification. Il fournit des stratégies de déploiement concrètes pour les environnements multi-locataires, garantissant des réseaux WiFi sécurisés, isolés et faciles à gérer.