Passer au contenu principal
Français

Meraki iPSK : un guide complet pour les entreprises

Ce guide détaille l'architecture technique et le déploiement de Cisco Meraki iPSK (Identity Pre-Shared Key) pour les réseaux d'entreprise. Il couvre l'intégration RADIUS, la conception de réseaux privés virtuels et les arguments commerciaux en faveur du remplacement du WPA2-Personal hérité par une segmentation basée sur l'identité. Destiné aux promoteurs immobiliers, aux opérateurs de BTR et aux architectes informatiques gérant une infrastructure WiFi multi-locataires ou multi-sites.

📖 8 min de lecture📝 1,894 mots🔧 2 exemples concrets4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous analysons la solution Meraki iPSK (Identity Pre-Shared Key). Il s'agit d'un changement d'architecture essentiel pour tout responsable informatique gérant des bâtiments multi-locataires, des chaînes de vente au détail ou des établissements hôteliers de grande envergure. Analysons le contexte. Pendant des années, les architectes réseau ont dû faire face à un compromis frustrant. Vous pouviez déployer la norme WPA2-Personal, simple pour les utilisateurs mais catastrophique pour la sécurité. Tout le monde partage le même mot de passe. En cas de fuite, votre réseau est compromis. L'autre option consistait à déployer la norme 802.1X Enterprise. Celle-ci nécessite des certificats ou des connexions complexes. Elle est hautement sécurisée, mais elle est totalement incompatible avec les appareils sans écran. Vos téléviseurs connectés, capteurs IoT et consoles de jeux ne peuvent tout simplement pas se connecter à un réseau 802.1X. La technologie Identity PSK résout ce problème. C'est la solution idéale. L'iPSK vous permet de diffuser un nom de réseau unique, un seul SSID, tout en attribuant un mot de passe unique à chaque utilisateur ou appareil individuel. Un seul réseau. Des milliers de clés. Chacune d'elles étant liée à une politique de sécurité spécifique. Penchons-nous maintenant sur l'architecture technique. Lorsqu'un appareil tente de se connecter à l'aide de sa clé unique, le point d'accès Meraki intercepte cette demande. Il ne se contente pas de vérifier le mot de passe localement. Il transmet la demande d'authentification à un serveur RADIUS central. Le serveur RADIUS valide la clé et, surtout, renvoie des attributs de politique spécifiques. Il indique précisément au point d'accès dans quel VLAN placer cet appareil. Cela signifie que vous pouvez utiliser un seul SSID pour segmenter l'ensemble de votre réseau. Un collaborateur saisit sa clé et accède au VLAN d'entreprise sécurisé. Un terminal de point de vente utilise sa clé et accède à un VLAN de paiement restreint. Un résident d'un appartement en Build-to-Rent utilise sa clé et accède à son propre réseau privé local (Private Area Network). Ce concept de réseau privé local, ou PAN, est essentiel pour les promoteurs immobiliers et les bailleurs. L'iPSK crée une bulle virtuelle autour d'un résident. À l'intérieur de cette bulle, son smartphone peut détecter son Chromecast et son imprimante sans fil. L'expérience est exactement la même qu'à la maison. Mais en dehors de cette bulle, il est totalement isolé. Il ne peut pas voir les appareils de l'appartement d'à côté. Cette isolation de couche 2 est une exigence de confidentialité obligatoire dans les environnements multi-locataires, et c'est la raison principale pour laquelle l'iPSK est devenu la norme pour le Build-to-Rent et les résidences étudiantes spécialisées. Alors, comment mettre cela en œuvre efficacement ? Laissez-moi vous guider à travers les étapes clés. Tout d'abord, vous devez concevoir vos sous-réseaux de manière généreuse. Dans un projet BTR moderne, il faut compter entre quinze et vingt-cinq appareils par foyer. Un bâtiment de 200 logements aura besoin d'adresses IP pour près de cinq mille appareils. Planifiez vos plages DHCP en conséquence. C'est l'étape que la plupart des opérateurs sous-estiment, et c'est celle qui cause le plus de problèmes six mois après la mise en service. Deuxièmement, n'essayez pas de gérer ces clés manuellement. Intégrer votre tableau de bord Meraki avec un serveur RADIUS n'est que la moitié du chemin. Vous devez connecter ce serveur RADIUS à un fournisseur d'identité, tel que Microsoft Entra ID ou Okta. Lorsqu'un nouveau résident signe un bail ou qu'un nouvel employé rejoint l'entreprise, le système doit générer automatiquement sa clé unique. Lorsqu'il part, le système la révoque instantanément. Purple fournit la couche d'orchestration pour automatiser l'intégralité de ce cycle de vie, éliminant complètement la charge administrative de votre équipe informatique. Troisièmement, configurez correctement votre tableau de bord Meraki. Accédez à Sans fil, puis Configurer, puis Contrôle d'accès. Sélectionnez votre SSID cible. Dans la section Sécurité, sélectionnez Identity PSK avec RADIUS. Ensuite, sous IP client et VLAN, activez le balisage VLAN et définissez la dérogation RADIUS sur Outrepasser la balise VLAN. C'est l'étape cruciale qui permet au serveur RADIUS d'imposer le segment réseau en fonction de la clé authentifiée. Sans cela, tous vos utilisateurs se retrouvent sur le même réseau plat, quelle que soit la clé qu'ils ont utilisée. Discutons maintenant des pièges et de l'atténuation des risques. Il y a deux problèmes que je vois constamment sur le terrain. Le premier est le dépassement de délai (timeout) de la liaison EAPOL. Lors de l'utilisation d'iPSK avec RADIUS, le serveur doit valider les paramètres EAPOL par rapport à la base de données des clés connues. Si la base de données est volumineuse et que le serveur manque de ressources, la recherche d'une correspondance peut prendre trop de temps. Le point d'accès interrompt la connexion. L'utilisateur constate un échec d'authentification. Pour atténuer cela, assurez-vous que votre infrastructure RADIUS dispose de ressources suffisantes et surveillez la latence entre vos points d'accès Meraki et les serveurs d'authentification. Le second problème est la randomisation des adresses MAC. Les appareils iOS et Android modernes modifient régulièrement leurs adresses MAC pour protéger la confidentialité des utilisateurs. Si votre déploiement RADIUS repose strictement sur le contournement de l'authentification MAC (MAC Authentication Bypass), lié à un iPSK spécifique, ces appareils ne parviendront pas à se connecter lorsque leur adresse changera. La solution consiste à utiliser la fonctionnalité Easy PSK disponible dans le firmware Meraki MR 32.1.3 et versions ultérieures, qui valide les paramètres EAPOL plutôt que de s'appuyer sur une association MAC statique. Il s'agit d'une mise à niveau de firmware que tout déploiement Meraki d'entreprise devrait prioriser. Passons maintenant à une session rapide de questions - réponses. Je reçois régulièrement ces questions de la part de mes clients. Est-ce que l'iPSK prend en charge le WPA3 ? Pas actuellement sur Meraki. La fonctionnalité iPSK sur Meraki est uniquement compatible avec le WPA2. C'est une limitation connue et un élément à prendre en compte dans votre feuille de route à long terme. Combien de clés puis-je avoir par SSID ? Sur le firmware Meraki MR 30.1 et versions ultérieures, vous pouvez avoir jusqu'à cinq mille iPSK uniques par SSID. Sur les versions antérieures, la limite est de cinquante. Si vous gérez un grand ensemble résidentiel, assurez-vous de disposer d'un firmware récent. Puis-je utiliser l'iPSK sans serveur RADIUS ? Oui. Meraki prend en charge l'iPSK sans RADIUS pour les déploiements de plus petite taille. Vous gérez les clés directement dans le tableau de bord. Cependant, cette approche ne prend pas en charge l'attribution dynamique de VLAN et vous êtes limité à cinquante clés. Pour tout déploiement en entreprise ou multi-locataire, l'intégration RADIUS est essentielle. Enfin, examinons l'impact commercial. Pourquoi investir dans cette architecture ? Pour les opérateurs de BTR et les fournisseurs de logements étudiants, le WiFi n'est plus seulement un service public. C'est un équipement de base. Les recherches de la British Property Federation montrent qu'un WiFi fluide et de haute qualité permet d'obtenir un supplément de loyer de quinze à trente livres par unité et par mois. En déployant l'iPSK sur votre propre matériel, plutôt qu'en regroupant des contrats haut débit grand public, vous captez directement ce NOI. Le modèle de superposition logicielle, fonctionnant sur le matériel que vous possédez déjà, est systématiquement positif pour le NOI. De plus, en éliminant les portails captifs et en prenant en charge tous les appareils intelligents de manière transparente, vous réduisez considérablement les tickets de support et améliorez la satisfaction des résidents. Le ticket de support multi-locataire le plus courant, "le Chromecast ne se connecte pas", disparaît complètement avec un déploiement iPSK correctement configuré. Pour résumer les points clés de la présentation d'aujourd'hui. L'iPSK vous offre la sécurité d'un réseau d'entreprise avec la simplicité d'un mot de passe domestique. Il segmente votre trafic de manière dynamique, sécurise vos appareils IoT et transforme l'expérience utilisateur. Intégrez-le à votre fournisseur d'identité pour automatiser le cycle de vie des identifiants. Mettez à niveau vers le micrologiciel Meraki actuel pour gérer correctement la randomisation MAC. Et concevez vos sous-réseaux de manière généreuse dès le premier jour. Merci d'avoir écouté ce Purple Technical Briefing. Pour découvrir comment Purple peut automatiser votre déploiement Meraki iPSK, visitez purple.ai.

header_image.png

Résumé exécutif

La sécurité WiFi traditionnelle impose un compromis. Soit vous choisissez la simplicité d'un mot de passe partagé, ce qui crée de graves risques de sécurité, soit la complexité des certificats 802.1X, qui perturbent les appareils intelligents. Identity Pre-Shared Key (iPSK) résout cette tension. Il offre la sécurité individuelle et la visibilité d'un réseau d'entreprise avec la simplicité d'un mot de passe standard.

Ce guide détaille l'architecture technique de Cisco Meraki iPSK. Nous couvrons les stratégies de déploiement, l'intégration RADIUS et les arguments commerciaux en faveur du remplacement du WPA2-Personal hérité par une segmentation basée sur l'identité. Pour les promoteurs immobiliers, les bailleurs et les opérateurs de BTR, iPSK transforme le WiFi d'un simple service de base en un équipement sécurisé et géré qui justifie un supplément de loyer mesurable.

Faits clés : Meraki prend en charge jusqu'à 5 000 iPSK uniques par SSID sur le firmware MR 30.1+. Un seul SSID peut desservir plusieurs VLAN isolés. L'intégration avec Microsoft Entra ID, Okta ou Google Workspace automatise l'ensemble du cycle de vie des identifiants. Purple gère cette couche d'orchestration sur plus de 80 000 sites dans le monde.

Analyse technique approfondie : comprendre l'architecture iPSK

Identity PSK attribue un mot de passe WiFi unique à chaque utilisateur ou appareil individuel sur un seul Service Set Identifier (SSID). Bien que tout le monde se connecte au même nom de réseau, leur clé unique dicte leurs autorisations de sécurité spécifiques, leurs limites de bande passante et leur attribution de Virtual Local Area Network (VLAN).

architecture_overview.png

Lorsqu'un appareil s'associe au point d'accès, le matériel Meraki intercepte la demande d'authentification. Le point d'accès interroge un serveur RADIUS central - ou directement le cloud Meraki dans un déploiement sans contrôleur. Le serveur RADIUS valide le mot de passe spécifique fourni par l'appareil par rapport aux identifiants stockés. Une fois la validation réussie, le serveur renvoie un message Access-Accept contenant des attributs spécifiques, y compris le VLAN attribué et la politique de groupe.

Cette architecture modifie fondamentalement le contrôle d'accès au réseau. Au lieu d'authentifier l'appareil sur la base d'un échange de certificats complexe (EAP-TLS ou PEAP), le réseau authentifie l'utilisateur sur la base de sa clé unique. Cette approche prend en charge 100 % des appareils sans fil, y compris les capteurs de l'Internet des objets (IoT) sans écran, les consoles de jeux et les appareils électroménagers intelligents qui ne disposent pas de suppléants 802.1X.

comparison_chart.png

Le rôle de RADIUS dans les déploiements iPSK

Bien que Meraki prenne en charge l'iPSK sans RADIUS - en gérant les clés directement dans le tableau de bord, avec une limite de 50 clés par SSID - les déploiements d'entreprise nécessitent un serveur d'authentification central. L'intégration de l'iPSK avec RADIUS (tel que Microsoft NPS, Cisco ISE ou FreeRADIUS) déverrouille l'attribution dynamique de VLAN et la gestion centralisée des identités, permettant d'évoluer jusqu'à 5 000 clés par SSID sur le firmware MR 30.1+.

Lors de la configuration de l'iPSK avec RADIUS sur le matériel Meraki, le point d'accès agit comme authentificateur. Il transmet au serveur RADIUS les paramètres EAPOL (Extensible Authentication Protocol over LAN) échangés lors de la liaison. Le serveur RADIUS utilise ces attributs pour valider le client. Si une correspondance est trouvée, le serveur répond avec l'attribut Tunnel-Password, associant l'adresse MAC et la clé pré-partagée spécifique.

Ce mécanisme permet aux architectes réseau de segmenter le trafic au niveau de la couche 2. Un seul SSID peut diriger un membre du personnel vers un VLAN interne sécurisé, un invité vers un VLAN isolé réservé à Internet et un capteur IoT vers un réseau d'appareils restreint - le tout à partir d'une seule diffusion.

Pour une comparaison plus large des implémentations iPSK et PPSK entre différents fournisseurs, notamment HPE Aruba, Ruckus et Juniper Mist, consultez notre guide sur le PPSK comparant les fonctionnalités et les modèles de déploiement .

Guide d'implémentation : déploiement de Meraki iPSK

Le déploiement de l'iPSK nécessite une planification minutieuse de votre architecture de sous-réseau et de l'intégration de votre fournisseur d'identité. Suivez ces meilleures pratiques indépendantes des fournisseurs pour une implémentation résiliente.

Étape 1 : conception du sous-réseau et du VLAN

Avant de configurer le tableau de bord Meraki, définissez votre topologie réseau. Associez vos groupes d'utilisateurs à des VLAN spécifiques. Dans un environnement multi-locataire, tel qu'un développement BTR (Build-to-Rent), vous devez concevoir une architecture PAN (Private Area Network).

Un PAN crée une bulle virtuelle autour des appareils spécifiques d'un utilisateur. L'iPSK garantit l'isolation de couche 2 entre les locataires tout en activant la réflexion mDNS au sein du VLAN spécifique. Cela permet au smartphone d'un résident de découvrir son propre Chromecast, tout en restant complètement invisible pour le résident de l'appartement adjacent.

Calculez généreusement vos plages DHCP. Un foyer moderne connecte entre 15 et 25 appareils. Un bâtiment de 200 unités nécessitera des adresses IP pour jusqu'à 5 000 appareils simultanément. Le sous-dimensionnement des sous-réseaux est la cause la plus fréquente d'échecs après déploiement dans les réseaux BTR et de résidences étudiantes.

Étape 2 : configuration du tableau de bord Meraki

Pour activer l'iPSK avec RADIUS sur votre réseau Meraki :

  1. Naviguez vers Sans fil > Configurer > Contrôle d'accès.
  2. Sélectionnez le SSID cible dans le menu déroulant.
  3. Dans la section Sécurité, sélectionnez Identity PSK with RADIUS.
  4. Configurez les adresses IP, les ports et les secrets partagés de votre serveur RADIUS.
  5. Dans la section IP client et VLAN, activez le marquage VLAN (VLAN tagging).
  6. Définissez l'option Ignorer RADIUS (RADIUS override) sur Ignorer le tag VLAN (Override VLAN tag). Cette étape permet au serveur RADIUS de dicter le segment de réseau en fonction de la clé authentifiée.

Note : l'iPSK avec RADIUS nécessite le firmware MR 26.5 ou supérieur. L'Easy PSK (qui valide les paramètres EAPOL plutôt que les adresses MAC) nécessite le firmware MR 32.1.3 ou plus récent. Confirmez votre version de firmware avant le déploiement.

Étape 3 : intégration du fournisseur d'identité

La gestion manuelle des clés échoue à grande échelle. Intégrez votre serveur RADIUS avec un fournisseur d'identité (IdP) tel que Microsoft Entra ID, Okta ou Google Workspace. Utilisez le protocole SCIM pour automatiser le cycle de vie des clés prépartagées. Lorsque les RH ajoutent un nouvel employé dans l'annuaire, le système génère automatiquement une clé WiFi unique. Lorsque l'employé s'en va, le système révoque instantanément la clé, coupant l'accès au réseau sans affecter les autres utilisateurs.

Purple automatise l'ensemble de ce cycle de vie. La plateforme Purple agit comme la couche d'orchestration, connectant votre infrastructure Meraki à votre annuaire centralisé pour gérer les clés de manière dynamique sur plus de 80 000 sites.

Bonnes pratiques pour la sécurité d'entreprise

Implémentez ces recommandations conformes aux standards de l'industrie pour sécuriser votre déploiement iPSK.

Imposer une isolation stricte des appareils

Dans les environnements du secteur public et les chaînes de vente au détail, l'isolation des appareils est une exigence de sécurité obligatoire. Utilisez le tableau de bord Meraki pour activer l'isolation de Couche 2 sur les VLAN invités et IoT. Cela empêche les mouvements latéraux sur le réseau si un seul appareil est compromis. Cette configuration s'aligne sur les exigences de la norme ISO 27001 en matière de ségrégation réseau.

Segmenter le trafic IoT

Ne placez jamais les appareils IoT sur le même segment réseau que les données d'entreprise. L'iPSK simplifie cette segmentation. Attribuez une clé spécifique à vos systèmes de gestion technique de bâtiment, contrôleurs CVC et caméras de sécurité. Associez cette clé à un VLAN restreint avec des règles de pare-feu strictes qui n'autorisent que le trafic sortant vers les domaines spécifiques des fournisseurs.

Automatiser la rotation des clés

Bien que les clés individuelles limitent la portée de l'impact d'un mot de passe compromis, la rotation régulière reste une bonne pratique. Automatisez la génération de nouvelles clés pour les prestataires à long terme et le personnel temporaire. Utilisez l'API Meraki ou une plateforme comme Purple pour distribuer ces clés de manière sécurisée par SMS ou e-mail, éliminant ainsi la charge de travail manuelle pour le support technique.

Conformité PCI-DSS dans les environnements de vente au détail

Pour les commerçants, l'iPSK prend directement en charge les exigences de segmentation réseau de la norme PCI-DSS. En attribuant une clé dédiée aux terminaux de point de vente et en l'associant à un VLAN isolé qui ne communique qu'avec le processeur de paiement, vous réduisez la portée de votre environnement de données de cartes de paiement (CDE). Meraki détient la certification PCI-DSS Level 1 Service Provider, offrant une base de conformité supplémentaire. Consultez notre page sectorielle Commerce de détail pour un guide de conformité détaillé.

Dépannage et atténuation des risques

Même avec une planification rigoureuse, les déploiements iPSK rencontrent certains types de pannes.

Le dépassement de délai (timeout) de la liaison EAPOL

Lors de l'utilisation d'iPSK avec RADIUS, le serveur RADIUS doit valider les paramètres EAPOL par rapport à la base de données de clés connues. Si la base de données est volumineuse et que le serveur manque de ressources, la recherche d'une correspondance peut prendre trop de temps, ce qui entraîne un dépassement de délai pour la liaison EAPOL (handshake). Le point d'accès interrompt alors la connexion.

Pour atténuer ce risque, assurez-vous que votre infrastructure RADIUS est correctement dimensionnée. Si vous utilisez un serveur RADIUS hébergé dans le cloud, surveillez la latence entre les points d'accès Meraki et les serveurs d'authentification. Une latence élevée entraînera systématiquement des échecs de liaison à grande échelle.

Les défis de la randomisation des adresses MAC

Les systèmes d'exploitation modernes (iOS 14+, Android 10+, Windows 11) utilisent des adresses MAC aléatoires pour protéger la vie privée des utilisateurs. Si votre déploiement RADIUS repose strictement sur le MAC Authentication Bypass (MAB) lié à un iPSK spécifique, ces appareils ne parviendront pas à se connecter lorsque leur adresse MAC changera.

Pour résoudre ce problème, vous devez soit demander aux utilisateurs de désactiver la fonctionnalité "Adresse WiFi privée" pour votre SSID d'entreprise ou résidentiel spécifique, soit passer à la fonctionnalité Easy PSK du firmware Meraki MR 32.1.3+, qui s'appuie sur les paramètres EAPOL plutôt que sur une liaison d'adresse MAC statique.

Compatibilité WPA3

L'iPSK de Meraki ne prend pas en charge le chiffrement WPA3 pour le moment. Si votre feuille de route à long terme inclut le déploiement de WPA3 ou du WiFi 6E, intégrez cette limitation dans votre planification. Surveillez les notes de version de Cisco Meraki pour connaître les mises à jour concernant cette contrainte.

Étude de cas : promotion BTR de 250 logements

Un opérateur majeur de Build-to-Rent (BTR) à Londres a déployé l'iPSK Meraki sur un ensemble de 250 logements en utilisant la plateforme Multi-Tenant WiFi de Purple. L'opérateur a remplacé un système hérité de routeurs individuels par appartement, qui générait en moyenne 12 tickets d'assistance par mois liés à des échecs d'association Chromecast et à des réinitialisations de mots de passe.

Après le déploiement, chaque résident a reçu une clé unique avant sa date d'emménagement. Les 250 résidents ont connecté leurs appareils - y compris des téléviseurs connectés, des imprimantes sans fil et des appareils Amazon Echo - sans aucune intervention informatique manuelle. Les tickets d'assistance liés au WiFi sont tombés à moins de deux par mois. L'opérateur a attribué un supplément de loyer mensuel de 20 £ par logement à l'avantage du WiFi "Instant-On", générant un revenu supplémentaire de 60 000 £ par an pour cette seule promotion.

Pour en savoir plus sur le cas d'usage Hospitality et sur la façon dont l'iPSK élimine les frictions pour les clients, consultez notre guide sur la création d'une excellente première impression avec votre WiFi invité .

Étude de cas : chaîne de distribution nationale

Une chaîne de distribution nationale comptant 400 points de vente avait besoin de segmenter ses terminaux de point de vente, sa signalisation numérique et les tablettes du personnel sur l'ensemble de son parc, tout en maintenant la conformité PCI-DSS. Elle exploitait trois SSIDs distincts par site, ce qui créait une surcharge RF importante et dégradait le débit.

En déployant Meraki iPSK, ils ont consolidé leur infrastructure vers un seul SSID par site. Trois clés distinctes ont été créées : une pour les terminaux de point de vente (associée à un VLAN de paiement restreint), une pour l'affichage dynamique (VLAN uniquement internet) et une pour les tablettes du personnel (VLAN d'entreprise). L'API du tableau de bord Meraki a poussé ces configurations sur l'ensemble des 400 sites simultanément. L'environnement RF s'est nettement amélioré, et la portée de l'audit PCI-DSS a été réduite en isolant l'environnement des données des titulaires de cartes à la périphérie du réseau sans fil.

Pour en savoir plus sur le WiFi Analytics et sur la manière dont les données de ces réseaux alimentent l'intelligence d'affaires, consultez notre présentation de la plateforme d'analyse.

ROI et impact commercial

La transition vers l'iPSK nécessite un investissement dans l'infrastructure RADIUS et son intégration. Les retours opérationnels justifient les dépenses d'investissement sur trois dimensions.

Prime sur les loyers. Les recherches de la British Property Federation indiquent qu'un WiFi de haute qualité et sans friction permet d'obtenir une prime sur les loyers de £15 à £30 par unité et par mois dans les développements BTR. En déployant l'iPSK sur du matériel propre plutôt qu'en regroupant des contrats haut débit grand public, les opérateurs captent directement ce résultat opérationnel net.

Réduction des coûts de support. L'iPSK élimine les tickets de support multi-locataires les plus courants : échecs d'association Chromecast, réinitialisations de mots de passe et problèmes d'intégration des appareils. Les opérateurs signalent systématiquement une réduction de 80 % ou plus des contacts de support liés au WiFi après le déploiement.

Réduction des périodes de vacance. La disponibilité du WiFi dès le jour du déménagement réduit les périodes de vacance de cinq à dix jours en moyenne, selon les références du secteur BTR. Les résidents qui peuvent se connecter immédiatement sont moins enclins à retarder leur emménagement ou à demander une résiliation anticipée.

Pour une présentation complète de l'architecture et de la manière dont la plateforme Multi-Tenant WiFi de Purple s'intègre au matériel Meraki, Ruckus, HPE Aruba, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet, contactez notre équipe .

Pour une comparaison de l'iPSK avec le PPSK et d'autres implémentations spécifiques aux constructeurs, consultez notre guide Three SSIDs to rule them all .

Définitions clés

iPSK (Identity Pre-Shared Key)

Un mécanisme de sécurité sans fil qui attribue un mot de passe unique à des utilisateurs ou appareils individuels sur un seul SSID, permettant une application granulaire des politiques et une attribution de VLAN sans nécessiter de certificats 802.1X.

Utilisé lorsque les équipes informatiques doivent sécuriser des appareils IoT sans écran ou fournir des réseaux privés dans des environnements multi-locataires sans la complexité de l'802.1X. Implémentation de Cisco Meraki ; équivalent à Ruckus DPSK et HPE Aruba MPSK.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs se connectant à un service réseau.

Le moteur central qui valide les mots de passe iPSK et indique au point d'accès Meraki quel VLAN attribuer à l'appareil connecté. Les implémentations courantes incluent Microsoft NPS, Cisco ISE et FreeRADIUS.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe une collection d'appareils de différents LAN physiques, isolant leur trafic au niveau de la couche 2.

Crucial pour la segmentation du réseau dans les déploiements iPSK. Le serveur RADIUS attribue dynamiquement les utilisateurs à des VLAN spécifiques en fonction du mot de passe qu'ils utilisent pour se connecter, permettant à un seul SSID de desservir plusieurs segments de réseau isolés.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, exigeant que les appareils s'authentifient via un serveur central à l'aide d'identifiants ou de certificats numériques avant d'accéder au réseau.

La norme de sécurité d'entreprise traditionnelle. L'iPSK est souvent déployé comme alternative à l'802.1X pour prendre en charge les appareils intelligents qui ne disposent pas du logiciel demandeur (supplicant) nécessaire, notamment les capteurs IoT et les consoles de jeux.

EAPOL (Extensible Authentication Protocol over LAN)

Un protocole d'authentification de port réseau utilisé dans l'IEEE 802.1X pour encapsuler les messages EAP entre le demandeur (appareil client) et l'authentificateur (point d'accès).

Dans les déploiements Meraki Easy PSK (firmware MR 32.1.3+), le point d'accès transmet les paramètres EAPOL au serveur RADIUS pour valider la clé pré-partagée du client sans dépendre de l'adresse MAC, résolvant ainsi les problèmes de randomisation MAC.

mDNS (Multicast DNS)

Un protocole qui résout les noms d'hôtes en adresses IP au sein de petits réseaux qui ne comprennent pas de serveur de noms local, permettant la découverte d'appareils sur les segments locaux.

La technologie qui permet de découvrir des appareils tels que les Apple TV, les Chromecasts et les imprimantes sans fil sur un réseau local. Les déploiements iPSK doivent configurer la réflexion mDNS pour s'assurer que les résidents peuvent voir leurs propres appareils mais pas ceux de leurs voisins.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Une source courante de friction dans le WiFi hôtelier et résidentiel. L'iPSK élimine le besoin de Captive Portals en authentifiant l'utilisateur de manière transparente via sa clé unique. Pour les cas d'utilisation du WiFi invité nécessitant la capture de données, Purple prend en charge les options de consentement explicite en parallèle de l'iPSK.

MAC Authentication Bypass (MAB)

Une technique qui utilise l'adresse MAC d'un appareil comme identité pour accorder l'accès au réseau, généralement utilisée pour les appareils qui ne prennent pas en charge l'802.1X.

Historiquement utilisé aux côtés de l'iPSK pour lier une clé spécifique à un appareil spécifique. Cette approche devient peu fiable en raison de la randomisation des adresses MAC dans iOS 14+, Android 10+ et Windows 11. Easy PSK résout ce problème en utilisant à la place les paramètres EAPOL.

Private Area Network (PAN)

Un segment de réseau virtuel créé autour des appareils d'un utilisateur spécifique au sein d'une infrastructure partagée, permettant la découverte d'appareils au sein du segment tout en maintenant l'isolation par rapport à tous les autres utilisateurs.

La caractéristique clé du WiFi multi-locataires. Dans un immeuble résidentiel (BTR), le PAN de chaque résident permet à ses appareils domestiques intelligents de communiquer entre eux tout en restant invisibles pour les voisins connectés aux mêmes points d'accès physiques.

Exemples concrets

Un développement de 250 logements en Build-to-Rent doit fournir un WiFi sécurisé et de type domestique à tous les résidents. L'opérateur souhaite utiliser un seul SSID à l'échelle du bâtiment pour réduire les interférences RF, mais les résidents doivent pouvoir connecter des téléviseurs connectés et des imprimantes sans fil en toute sécurité sans que les autres appartements ne voient leurs appareils.

Déployer des points d'accès Meraki diffusant un seul SSID configuré pour Identity PSK avec RADIUS. Intégrer le réseau Meraki à un serveur RADIUS central géré par la plateforme Purple. Lorsqu'un résident signe son bail, le système génère automatiquement une clé PSK unique et l'attribue à un VLAN dédié spécifique à son appartement. Le résident utilise cette clé unique pour tous ses appareils (téléphones, ordinateurs portables, enceintes connectées). Le réseau applique une isolation de niveau 2 entre les différents VLANs, garantissant une confidentialité totale entre les appartements, tout en activant la réflexion mDNS au sein du VLAN spécifique du résident afin que ses appareils puissent se découvrir mutuellement. Configurer des plages DHCP pour un minimum de 25 adresses par logement afin de s'adapter à la densité des appareils IoT.

Commentaire de l'examinateur : Cette architecture résout directement le défi de la connectivité multi-locataires. Le WPA2-Personal standard exposerait tous les appareils à tout le monde dans le bâtiment. Le 802.1X sécuriserait les ordinateurs portables mais bloquerait les téléviseurs connectés. L'iPSK offre le niveau de sécurité requis tout en maintenant l'expérience utilisateur fluide nécessaire à un service résidentiel. La configuration de la réflexion mDNS est le détail que la plupart des implémentations oublient - sans elle, Chromecast et AirPlay ne fonctionneront pas dans la bulle du résident.

Une chaîne nationale de vente au détail doit déployer de nouveaux terminaux de point de vente (POS), des écrans d'affichage dynamique et des tablettes pour le personnel sur 400 sites. Elle doit maintenir la conformité PCI-DSS tout en réduisant la surcharge RF liée à la multiplication des SSIDs.

Implémenter Meraki iPSK pour segmenter les appareils à la périphérie du réseau sans fil. Créer trois clés distinctes pour chaque site : une pour les terminaux POS mappée sur un VLAN restreint qui ne route que vers le processeur de paiement, une pour l'affichage dynamique sur un VLAN uniquement Internet, et une pour les tablettes du personnel sur un VLAN d'entreprise avec accès aux systèmes d'inventaire. Utiliser l'API du tableau de bord Meraki pour pousser ces configurations vers les 400 sites simultanément. Cela permet de consolider trois SSIDs en un seul, réduisant ainsi la surcharge RF et améliorant le débit. L'environnement des données de titulaires de cartes PCI-DSS est isolé à la périphérie sans fil, ce qui réduit la portée de l'audit.

Commentaire de l'examinateur : Cette approche répond aux exigences PCI-DSS en matière de segmentation du réseau sans nécessiter de configurations complexes de ports de commutateurs ou de multiples SSIDs. En isolant l'environnement de données à la périphérie sans fil à l'aide de clés spécifiques, le détaillant réduit sa portée de conformité et sécurise le réseau contre les mouvements latéraux. Le déploiement piloté par API est le principal gain d'efficacité - une configuration manuelle sur 400 sites serait impossible à maintenir sur le plan opérationnel.

Questions d'entraînement

Q1. Vous concevez le réseau pour une résidence étudiante de 500 lits. Le client souhaite utiliser l'802.1X pour la sécurité, mais exige également la prise en charge des consoles PlayStation 5 et des enceintes Amazon Echo. Comment résolvez-vous ce conflit ?

Conseil : Tenez compte des limites des demandeurs (supplicants) 802.1X sur le matériel grand public et des exigences de densité d'appareils dans un environnement étudiant.

Voir la réponse type

Déployez Meraki iPSK au lieu de 802.1X. Générez une clé pré-partagée unique pour chaque étudiant lors de son inscription. Cela offre une imputabilité individuelle et une sécurité équivalente à un réseau d'entreprise, tout en utilisant un mécanisme de mot de passe standard entièrement compatible avec les consoles de jeux et les enceintes connectées. Configurez le réseau pour isoler les appareils de chaque étudiant dans leur propre réseau local privé (PAN) à l'aide de l'attribution de VLAN via RADIUS. Assurez-vous que le firmware est en version MR 32.1.3 ou supérieure pour gérer la randomisation MAC via Easy PSK. Concevez des plages DHCP d'au moins 25 appareils par étudiant pour s'adapter à l'ensemble de leurs équipements.

Q2. Un client du secteur de la vente utilisant Meraki iPSK avec un serveur RADIUS central signale que certains appareils récents Android et iOS ne parviennent pas à se connecter, même en utilisant le mot de passe correct. Les appareils plus anciens se connectent sans problème. Quels sont la cause et la solution probables ?

Conseil : Pensez aux fonctionnalités de confidentialité introduites dans les systèmes d'exploitation mobiles depuis 2020 et à la manière dont elles affectent l'authentification basée sur l'adresse MAC.

Voir la réponse type

Le problème est causé par la randomisation de l'adresse MAC (Adresse WiFi privée) sur les appareils les plus récents. Si le serveur RADIUS est configuré pour lier l'iPSK à une adresse MAC spécifique via MAC Authentication Bypass, l'authentification échouera lorsque l'appareil modifiera son adresse MAC. La solution consiste à mettre à jour le firmware Meraki vers la version MR 32.1.3 ou plus récente et à activer Easy PSK, qui valide les paramètres EAPOL au lieu de s'appuyer sur une liaison MAC statique. À titre temporaire, demandez aux utilisateurs de désactiver la fonctionnalité d'adresse privée pour cet SSID de réseau spécifique.

Q3. Un opérateur BTR souhaite proposer un WiFi Instant-On où les résidents ont un accès réseau dès leur emménagement. Ils s'appuient actuellement sur la génération manuelle de mots de passe par le gestionnaire de l'immeuble, ce qui entraîne des délais d'un à trois jours. Comment ce processus peut-il être amélioré ?

Conseil : Réfléchissez à la manière dont les fournisseurs d'identité et les API peuvent automatiser la fourniture d'accès réseau et la lier au flux de gestion des baux.

Voir la réponse type

Automatisez le cycle de vie des clés en intégrant le système de gestion immobilière au serveur RADIUS via SCIM ou API. Lorsqu'un bail est signé et que le résident est ajouté au système, un script génère automatiquement l'iPSK unique, l'attribue au VLAN d'appartement correspondant et envoie les identifiants par e-mail au résident avant sa date d'emménagement. La plateforme de Purple orchestre l'ensemble de ce flux de travail, connectant l'infrastructure Meraki au fournisseur d'identité pour éliminer toute intervention manuelle. Le résident reçoit sa clé avant son arrivée, permettant une véritable connectivité Instant-On le jour de son emménagement.

Q4. Un centre de conférences souhaite fournir un WiFi sécurisé et isolé à dix événements d'entreprise simultanés, chacun nécessitant son propre segment de réseau privé. Ils veulent éviter de diffuser dix SSID distincts. Quelle est l'architecture appropriée ?

Conseil : Considérez comment l'attribution de VLAN par iPSK peut créer une séparation logique sans nécessiter plusieurs SSID.

Voir la réponse type

Déployez un seul SSID configuré pour iPSK avec RADIUS. Créez dix clés uniques, une par événement. Associez chaque clé à un VLAN dédié dans la configuration du serveur RADIUS. Lorsque les organisateurs d'événements distribuent leur clé unique aux participants, tous les appareils de cet événement se retrouvent sur le même VLAN isolé, sans aucune visibilité sur les autres événements. Cela élimine la surcharge RF de dix SSID, ce qui dégraderait considérablement le débit dans un environnement à forte densité. Après chaque événement, révoquez la clé et réutilisez le VLAN pour la réservation suivante.

Continuer la lecture de cette série

Uu PPSK pdf : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Private Pre-Shared Key (PPSK) aux déploiements 802.1X traditionnels et PSK standards. Il fournit aux architectes réseau et aux responsables informatiques des stratégies de mise en œuvre neutres vis-à-vis des fournisseurs pour les environnements résidentiels multi-locataires, l'IoT et le secteur BTR.

Lire le guide →

Uu PPSK 2023 : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Unique per-User Private Pre-Shared Key (UU PPSK) aux déploiements traditionnels basés sur des PSK partagées et 802.1X, avec un accent particulier sur le paysage 2023 des implémentations constructeurs et des capacités de plateforme. Il fournit aux promoteurs immobiliers, aux opérateurs de BTR et aux syndics de copropriété (MDU) des stratégies de déploiement exploitables, des conseils sur l'architecture VLAN et des flux de gestion automatisée du cycle de vie. Le guide couvre trois modèles de déploiement, des études de cas réels et les implications de conformité de chaque approche d'authentification.

Lire le guide →

PPSK xaverius : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence examine l'architecture PPSK xaverius pour les environnements multi-locataires tels que le secteur Build to Rent et les résidences étudiantes. Il compare les modèles de déploiement, détaille les stratégies d'implémentation et explique comment l'isolation VLAN par logement offre une expérience WiFi comme à la maison tout en maintenant la sécurité d'entreprise.

Lire le guide →