PPSK UniFi: comparaison des fonctionnalités et des modèles de déploiement

Ce guide traite du déploiement de la technologie PPSK (Private Pre-Shared Key) sur l'infrastructure Ubiquiti UniFi pour les environnements multi-locataires, notamment le logement locatif privé (Build to Rent), les résidences étudiantes et l'hôtellerie. Il compare la technologie PPSK au standard 802.1X et au PSK classique, détaille deux modèles de déploiement - UniFi natif et superposition de RADIUS dans le cloud - et explique comment Purple automatise la gestion des identifiants à grande échelle. Les promoteurs immobiliers, les propriétaires et les opérateurs de logement locatif privé y trouveront des conseils d'architecture concrets, des études de cas réelles et un argumentaire commercial clair pour traiter le WiFi comme un service managé.

📖 8 min de lecture📝 1,923 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

PARTIE 1 :

Bienvenue dans ce briefing technique de Purple. Aujourd'hui, nous abordons le PPSK sur l'infrastructure UniFi - de quoi il s'agit, quand l'utiliser et comment le déployer correctement dans des environnements multi-locataires. Si vous êtes un promoteur immobilier, un bailleur ou un opérateur de BTR cherchant à offrir aux résidents une expérience WiFi comme à la maison sans le chaos des routeurs individuels, c'est exactement par là que vous devez commencer.

Commençons par le problème de base. Vous avez un bâtiment. Il peut s'agir de 50 appartements ou de 500. Vous souhaitez proposer le WiFi comme un service inclus. L'approche naïve consiste à installer un routeur dans chaque appartement. Cela crée un désastre. Vous vous retrouvez avec des centaines de SSID diffusant sur les mêmes canaux, ce qui provoque des interférences et dégrade les performances pour tout le monde. L'environnement RF devient un véritable chaos.

La suite logique est donc de centraliser. Vous déployez des points d'accès de classe entreprise - de la gamme UniFi U6 ou U7, par exemple - et gérez un réseau unique dans tout le bâtiment. Vous disposez désormais d'un environnement RF propre. Mais vous faites face à un nouveau problème : comment isoler les résidents les uns des autres ? Vous ne pouvez pas permettre au Résident A de voir les appareils du Résident B. Et vous ne pouvez pas utiliser un mot de passe unique partagé, car lorsque quelqu'un déménage, vous devez changer le mot de passe pour tout le bâtiment.

C'est là qu'intervient le PPSK. PPSK signifie Private Pre-Shared Key. Le concept est simple. Vous diffusez un seul SSID - un seul nom de réseau. Mais au lieu d'un mot de passe unique pour tout le monde, vous attribuez un mot de passe unique à chaque résident. Lorsque leur appareil se connecte à l'aide de ce mot de passe, le réseau l'associe à un VLAN dédié. Un VLAN est un réseau local virtuel - essentiellement un réseau logique distinct fonctionnant sur la même infrastructure physique.

Le résultat est ce que nous appelons une bulle WiFi. Chaque appareil que le Résident A connecte avec son mot de passe arrive dans son VLAN. Son téléphone, son ordinateur portable, sa smart TV, son Chromecast - ils se voient tous et peuvent communiquer. Mais ils sont complètement invisibles pour le Résident B, qui se trouve sur un VLAN différent avec un mot de passe différent. Même point d'accès. Même SSID. Trafic complètement isolé.

Maintenant, vous vous demandez peut-être pourquoi ne pas simplement utiliser la norme 802.1X - la norme d'authentification d'entreprise. C'est une excellente question. La norme 802.1X est parfaite pour les environnements d'entreprise. Elle utilise un serveur RADIUS pour authentifier les utilisateurs via des identifiants uniques ou des certificats, et attribue dynamiquement les VLAN. C'est très sécurisé. Mais voici le problème pour un usage résidentiel : la norme 802.1X exige que l'appareil connecté dispose de ce que l'on appelle un suppliant - un logiciel capable de négocier la phase d'authentification. La plupart des appareils IoT grand public n'en disposent pas. Les smart TV, les consoles de jeux, les imprimantes sans fil, les enceintes connectées - aucun d'entre eux ne prend en charge la norme 802.1X. Ils n'acceptent qu'un simple mot de passe. Donc, si vous imposez la norme 802.1X, vous bloquez immédiatement une grande partie des appareils que vos résidents souhaitent connecter.

PPSK résout ce problème. Il utilise le chiffrement WPA2 - que tous les appareils prennent en charge - mais avec l'isolation par utilisateur qui n'était auparavant possible qu'avec 802.1X.

Parlons spécifiquement de UniFi. Ubiquiti a ajouté le support natif de PPSK à l'application UniFi Network relativement récemment. La configuration est simple : vous créez vos VLANs dans le contrôleur, créez un réseau sans fil, activez l'option Private Pre-Shared Keys, puis attribuez manuellement un mot de passe unique à chaque VLAN. Pour un petit déploiement - par exemple, un espace de coworking de dix unités ou un immeuble d'appartements de standing - cela fonctionne bien.

Mais il y a une limite critique que vous devez connaître. Le PPSK natif de UniFi ne fonctionne qu'avec WPA2. Il ne prend pas en charge WPA3. Ce n'est pas un défaut spécifique à UniFi - c'est une contrainte fondamentale du protocole. WPA3 utilise un mécanisme de handshake appelé Simultaneous Authentication of Equals, ou SAE. Le SAE exige que le point d'accès connaisse la clé pré-partagée avant que le processus d'authentification ne commence. Avec PPSK, tout l'intérêt est que le point d'accès détermine quelle clé est utilisée pendant l'authentification. Ces deux exigences s'excluent mutuellement. Donc, si vous déployez PPSK sur UniFi, vous êtes sur WPA2, et vous ne pouvez pas utiliser la bande 6 GHz.

PARTIE 2 :

Pour les déploiements à l'échelle de l'entreprise, le PPSK natif de UniFi se heurte à un autre obstacle : la gestion manuelle. Imaginez provisionner 500 mots de passe uniques, associer chacun à un VLAN, puis les révoquer un par un au fur et à mesure que les résidents déménagent. Ce n'est pas une architecture réseau. C'est un travail à plein temps.

C'est là qu'une superposition RADIUS cloud comme Purple devient essentielle. Purple s'intègre directement à vos points d'accès UniFi via RADIUS. Lorsqu'un nouveau résident emménage, Purple génère automatiquement un PPSK unique et provisionne son VLAN. Le résident reçoit ses identifiants via l'application Purple. Il connecte ses appareils. Lorsqu'il déménage, Purple révoque la clé instantanément. Le reste du bâtiment n'est pas affecté.

Purple fonctionne sur 80 000 sites dans le monde et a géré plus de 440 millions de connexions en 2024 uniquement. L'infrastructure cloud RADIUS-as-a-Service est certifiée ISO 27001 et maintient un temps de fonctionnement de 99,999 %. Elle est indépendante du matériel, fonctionnant aussi bien sur les points d'accès Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, UniFi, Cambium, Extreme Networks et Fortinet.

Laissez-moi vous donner deux scénarios réels pour rendre cela concret.

Premier scénario : un immeuble résidentiel Build to Rent de 250 logements à Manchester. Le promoteur souhaite remplacer les routeurs haut débit individuels par un réseau UniFi centralisé. Le directeur informatique a besoin d'une isolation sécurisée entre les résidents, d'un support pour les appareils connectés de la maison (smart home) et d'un processus de départ automatisé. La solution : des points d'accès UniFi U6-Enterprise dans les couloirs, la superposition cloud RADIUS de Purple, un SSID unique avec PPSK. Purple s'intègre au système de gestion immobilière. L'emménagement déclenche le provisionnement automatique des clés. Le départ déclenche la révocation automatique. Le résident connecte son téléphone, son ordinateur portable et sa smart TV avec un seul mot de passe. Leurs appareils se découvrent entre eux. Leurs voisins restent invisibles.
Deuxièmement : un hôtel de 150 chambres qui utilise actuellement un réseau ouvert avec un Captive Portal. Les clients se plaignent du fait que les Apple TV et les consoles de jeux ne fonctionnent pas - ce qui est normal, car ces appareils ne peuvent pas naviguer sur un Captive Portal. La solution : migrer vers un SSID sécurisé par PPSK. Le système de gestion de l'établissement hôtelier déclenche Purple pour générer une clé unique par chambre et par séjour. Le client reçoit le mot de passe lors de l'enregistrement. Il connecte tous ses appareils. La clé expire automatiquement au moment du départ.

Maintenant, voici quelques pièges de mise en œuvre à éviter.

Le ticket d'assistance le plus courant dans le WiFi multi-locataires est le problème lié à Chromecast. Un résident ne peut pas diffuser de contenu depuis son téléphone vers son téléviseur. Cela signifie presque toujours que les deux appareils se trouvent sur des sous-réseaux différents, ou que le trafic mDNS est abandonné à la limite du VLAN. Vérifiez que les deux appareils utilisent exactement la même PPSK. Confirmez que l'attribution du VLAN est correcte. Et assurez-vous que votre configuration réseau permet au mDNS de se propager au sein du VLAN d'un résident tout en l'empêchant de passer à d'autres VLANs.

Le deuxième piège est le dimensionnement de la plage DHCP. Prévoyez de 15 à 25 appareils par foyer. Un bâtiment de 200 logements peut facilement compter 4 000 appareils connectés simultanément. Un sous-réseau slash-24 par résident vous donne 254 adresses IP utilisables - ce qui est plus que suffisant par logement. Mais assurez-vous que votre infrastructure de routage central peut gérer des centaines de sous-réseaux simultanément.

Troisièmement : ne diffusez pas trop de SSIDs. Chaque SSID supplémentaire consomme du temps d'antenne avec des trames de gestion. Le but même du PPSK est de se consolider sur un ou deux SSIDs.

L'analyse de rentabilisation pour les opérateurs BTR est claire. Le WiFi en tant que service génère systématiquement une prime de loyer de quinze à trente livres par logement et par mois. Le WiFi prêt à l'emploi réduit les périodes de vacance de cinq à dix jours. Et le déploiement d'une superposition logicielle sur du matériel propriétaire réduit les coûts par porte de trente à cinquante pour cent par rapport aux contrats haut débit groupés.

Trois questions rapides pour terminer.

Puis-je utiliser le PPSK avec le WPA3 ? Non. Le PPSK nécessite le WPA2. Il s'agit d'une contrainte de protocole, et non d'une limitation de fournisseur.

Le PPSK fonctionne-t-il avec les bandes 6 GHz ? Non. Le 6 GHz nécessite le WPA3 ou le mode de transition WPA3. Comme le PPSK est uniquement WPA2, il est limité aux bandes 2,4 GHz et 5 GHz.

Que se passe-t-il lorsqu'un résident oublie son mot de passe ? Il contacte le gestionnaire de la propriété, qui peut récupérer ou régénérer sa PPSK depuis le tableau de bord Purple. La nouvelle clé est délivrée au résident. Ses appareils connectés existants devront être reconnectés, mais aucun autre résident n'est affecté.

Pour résumer. Le PPSK sur UniFi vous offre un seul SSID, des mots de passe uniques par résident et une isolation VLAN automatique. Il résout le problème des appareils IoT qui rend le 802.1X peu pratique pour un usage résidentiel. Le PPSK natif de UniFi convient aux petits déploiements. La superposition cloud RADIUS de Purple gère l'échelle de l'entreprise avec un provisionnement et une révocation automatisés.

Si vous souhaitez voir comment cela fonctionne en pratique, visitez purple.ai et contactez l'un de nos architectes réseau. Nous avons déployé cette architecture au sein de milliers de logements résidentiels, et nous pouvons vous accompagner dans la configuration de votre matériel et de votre type de propriété spécifiques.

Merci pour votre écoute.

Points clés à retenir

✓Le PPSK diffuse un seul SSID tout en attribuant des mots de passe uniques par résident, associant chacun d'eux à un VLAN dédié pour une isolation complète.
✓Contrairement à la norme 802.1X, le PPSK prend en charge les appareils IoT sans écran, les téléviseurs intelligents et les consoles de jeux qui acceptent uniquement un mot de passe simple.
✓Le PPSK natif d'UniFi fonctionne pour les petits déploiements mais nécessite une gestion manuelle des clés - ce qui ne convient pas pour plus de 50 logements.
✓La superposition de notre RADIUS cloud Purple automatise le provisionnement PPSK, l'attribution des VLAN et la révocation à l'échelle de l'entreprise grâce à l'intégration PMS.
✓Le PPSK est limité au WPA2 et s'avère incompatible avec le WPA3 et les bandes 6 GHz en raison des contraintes du protocole de handshake SAE.
✓Les opérateurs BTR qui déploient du WiFi géré via une superposition logicielle sur du matériel propre obtiennent un supplément de loyer de 15 à 30 £ par logement et par mois et des coûts par porte inférieurs de 30 à 50 % par rapport au haut débit groupé.
✓La gestion mDNS constitue le défi opérationnel le plus courant - configurez la réflexion au sein des VLAN et le blocage entre les VLAN pour garantir le bon fonctionnement des appareils domotiques.

Résumé exécutif

Pour les promoteurs immobiliers et les responsables informatiques gérant des bâtiments multi-locataires, le principal défi WiFi est le suivant : les résidents attendent une expérience réseau domestique - des appareils qui se découvrent, des téléviseurs intelligents qui diffusent, des consoles qui se connectent - mais sur une infrastructure partagée qui doit maintenir chaque foyer isolé des autres. Le PSK standard échoue sur l'isolation. Le 802.1X échoue sur la compatibilité des appareils IoT. Le PPSK, ou Private Pre-Shared Key, résout ces deux problèmes.

Le PPSK diffuse un seul SSID dans tout le bâtiment tout en attribuant un mot de passe unique à chaque résident. Le réseau utilise ce mot de passe pour attribuer chaque appareil connecté à un VLAN dédié, créant ainsi un micro-réseau isolé par foyer. Les appareils au sein du même VLAN d'un résident communiquent librement ; les appareils sur des VLAN différents restent invisibles les uns pour les autres.

Sur le matériel Ubiquiti UniFi, le PPSK est disponible nativement pour les petits déploiements, et via la superposition cloud RADIUS de Purple pour l'échelle entreprise. Ce guide couvre ces deux modèles, les contraintes de protocole que vous devez connaître, et l'opportunité commerciale de déployer un WiFi géré comme un service générateur de revenus.

Analyse technique approfondie : PPSK vs 802.1X vs PSK

Comprendre la place du PPSK nécessite une comparaison directe avec les deux normes d'authentification d'entreprise dominantes.

PSK Standard

Le WPA2/WPA3-Personal utilise un seul mot de passe pour tous les clients sur un SSID. Chaque appareil partage le même domaine de diffusion. Dans un immeuble multi-locataires, cela signifie que le Résident A peut voir les appareils du Résident B. Vous pouvez activer l'isolation des clients sur le point d'accès pour empêcher la communication directe d'appareil à appareil, mais cela détruit complètement les fonctionnalités du réseau local - les enceintes intelligentes ne peuvent pas contrôler les lumières intelligentes, les téléphones ne peuvent pas diffuser sur les téléviseurs et les consoles de jeux ne peuvent pas découvrir les services locaux. Le PSK standard n'est pas viable pour un usage résidentiel multi-locataires.

802.1X (WPA-Enterprise)

Le 802.1X authentifie les utilisateurs via un serveur RADIUS à l'aide d'identifiants uniques (nom d'utilisateur et mot de passe) ou de certificats, avec EAP-TLS ou PEAP comme méthodes d'authentification courantes. Il offre une sécurité robuste et prend en charge l'affectation dynamique de VLAN via des attributs RADIUS (spécifiquement, Tunnel-Private-Group-ID). Cependant, le 802.1X nécessite que l'appareil connecté exécute un supplicant - un logiciel qui négocie l'échange d'authentification. La plupart des appareils IoT grand public, des téléviseurs intelligents et des consoles de jeux n'incluent pas de supplicant. Ils n'acceptent qu'un simple mot de passe. Imposer le 802.1X dans un environnement résidentiel exclut immédiatement une partie importante des appareils que les résidents souhaitent connecter.

PPSK (Private Pre-Shared Key)

Le PPSK - également appelé iPSK (Identity Pre-Shared Key) par Cisco Meraki et Purple, et Personal Private Network par certains constructeurs - comble cette lacune. Il utilise le chiffrement WPA2, pris en charge par tous les appareils, mais associe chaque mot de passe unique à un VLAN spécifique. Le point d'accès (ou un serveur RADIUS externe) effectue cette association au moment de la connexion. Le résultat est une isolation par résident sans nécessiter de logiciel client spécial.

Dimension	PSK standard	802.1X (WPA-Enterprise)	PPSK
Modèle de sécurité	Clé partagée, pas d'isolation	Identifiants par utilisateur, fort	Clé par utilisateur, fort
Support des objets connectés (IoT)	Oui	Non (nécessite un suppliant)	Oui
Assignation de VLAN	Statique, un seul VLAN	Dynamique via RADIUS	Dynamique via association de clé
Compatible WPA3	Oui	Oui	Non (WPA2 uniquement)
Support de la bande 6 GHz	Oui	Oui	Non
Surcharge de gestion	Faible (une seule clé)	Élevée (infrastructure RADIUS requise)	Moyenne (une clé par utilisateur)
Évolutivité	Faible (clé partagée)	Élevée	Élevée (avec RADIUS dans le cloud)

La contrainte du WPA3. Le PPSK est fondamentalement incompatible avec le WPA3. Le WPA3 utilise le protocole SAE (Simultaneous Authentication of Equals), qui exige que le point d'accès connaisse la clé pré-partagée avant le début de la phase d'authentification. Le PPSK, quant à lui, détermine quelle clé est utilisée pendant l'authentification. Ces exigences sont mutuellement exclusives. Si vous déployez le PPSK sur UniFi, vous utilisez le WPA2 et vous ne pouvez pas utiliser les bandes de fréquences 6 GHz.

Guide d'implémentation : 2 modèles de déploiement

Modèle 1 : PPSK natif de UniFi (déploiements à petite échelle)

Ubiquiti a ajouté le support natif du PPSK à l'application UniFi Network dans ses récentes versions de firmware. Ce modèle convient aux petits espaces de coworking, aux petits immeubles résidentiels collectifs (MDU) ou aux déploiements pilotes.

Étape 1 : Configuration des VLAN. Dans le contrôleur UniFi, accédez à Settings > Networks et créez un VLAN dédié pour chaque locataire. Attribuez à chaque VLAN un identifiant unique (par exemple, VLAN 101 pour l'appartement 1, VLAN 102 pour l'appartement 2).

Étape 2 : Création du réseau. Accédez à Settings > WiFi et ajoutez un nouveau réseau sans fil. Définissez le protocole de sécurité sur WPA2 Personal.

Étape 3 : Activer le PPSK. Dans les paramètres WiFi, activez l'option Private Pre-Shared Keys. Le contrôleur vous invitera à créer des mots de passe individuels.

Étape 4 : Association Clé-VLAN. Pour chaque mot de passe créé, associez-le au VLAN correspondant. Le point d'accès utilisera le mot de passe pour déterminer l'attribution du VLAN au moment de la connexion.

Étape 5 : Configuration mDNS. Assurez-vous que votre passerelle UniFi ou USG est configurée pour autoriser la réflexion mDNS au sein de chaque VLAN tout en bloquant le multicast entre les différents VLAN. Cela est essentiel pour la détection des appareils (Chromecast, Apple Bonjour, Sonos).Limitations of native PPSK. Manual key management becomes operationally unviable beyond a few dozen units. There is no automated provisioning or revocation. When a tenant moves out, you must manually delete their key from the controller. There is no integration with property management systems.

Model 2: Cloud RADIUS overlay with Purple (enterprise scale)

For large BTR or student accommodation properties, Purple provides a hardware-agnostic software overlay that integrates with UniFi access points via RADIUS. This model automates the entire credential lifecycle.

Step 1: RADIUS profile configuration. In the UniFi controller, navigate to Settings > Profiles > RADIUS and create a new profile. Enter Purple's cloud RADIUS server addresses and the shared secret provided during Purple onboarding.

Step 2: SSID configuration. Create a wireless network using WPA2 Enterprise. Select the RADIUS profile created in Step 1. Purple's RADIUS server handles authentication and returns the VLAN assignment via the Tunnel-Private-Group-ID attribute.

Step 3: Property management integration. Connect Purple to your property management system (PMS) via API or webhook. When a new tenancy is created in the PMS, Purple automatically generates a unique PPSK and provisions the corresponding VLAN.

Step 4: Resident onboarding. The resident receives their credentials via the Purple app or a welcome email. They use this single password for all their devices - phones, laptops, smart TVs, consoles, and IoT sensors.

Step 5: Automated offboarding. When the tenancy ends, the PMS triggers Purple to revoke the key. Access is terminated instantly. No other resident is affected.

This model runs on Purple's cloud RADIUS infrastructure, which supports 80,000+ venues and maintained 99.999% uptime in 2024 (Purple internal data). It is compatible with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet access points.

For related network design strategies, see Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi and our comprehensive iPSK: una guía completa para empresas .

Best practices for multi-tenant WiFi design

Design for density. Plan for 15-25 devices per household (Purple internal data from 80,000+ venues). A 200-unit BTR property will see 3,000-5,000 concurrent devices. Select UniFi access points - U6-Enterprise or U7-Pro - with sufficient CPU and memory for high client counts. Place APs in corridors rather than inside units to reduce the number of APs required while maintaining coverage.

Gérez le mDNS avec soin. Le Multicast DNS est essentiel pour la découverte d'appareils (Apple Bonjour, Google Cast, Sonos). Configurez votre réseau pour refléter le trafic mDNS au sein du VLAN de chaque résident tout en bloquant strictement son franchissement des limites du VLAN. La fonctionnalité de répéteur mDNS de UniFi gère cela lorsqu'elle est configurée correctement.

Dimensionnez correctement les plages DHCP. Un sous-réseau /24 (254 adresses IP utilisables) par résident est suffisant pour la plupart des foyers. Assurez-vous que votre infrastructure de routage centrale - généralement une UniFi Dream Machine Pro ou UDM-SE - peut gérer des centaines de sous-réseaux simultanés sans dégradation des performances.

Minimisez le nombre de SSID. Chaque SSID supplémentaire que vous diffusez consomme du temps d'antenne avec des trames de gestion, réduisant la bande passante disponible pour le trafic de données. Le PPSK vous permet de consolider le tout en un seul SSID pour les résidents. Ajoutez un SSID Guest WiFi distinct pour les visiteurs dans les espaces communs, et un SSID Staff WiFi pour la gestion du bâtiment. Trois SSIDs constituent le maximum pratique pour la plupart des déploiements.

Implémentez l'isolation des clients entre les VLANs au niveau de la couche de routage. Ne vous fiez pas uniquement au marquage VLAN. Configurez des ACL explicites sur votre routeur central pour empêcher le routage inter-VLAN entre les réseaux des résidents. Autorisez le routage uniquement vers et depuis la passerelle Internet.

Dépannage et atténuation des risques

Le problème Chromecast

Le ticket de support le plus fréquent dans les environnements multi-locataires est l'échec de la diffusion sur appareil. Le téléphone d'un résident ne parvient pas à découvrir sa Chromecast ou son Apple TV. Cela se produit lorsque l'appareil émetteur et le récepteur sont sur des sous-réseaux différents, ou lorsque le trafic mDNS est abandonné à la limite du VLAN.

Diagnostic : Confirmez que les deux appareils utilisent le même PPSK. Dans le contrôleur UniFi, vérifiez la liste des clients et assurez-vous que les deux appareils sont attribués au même VLAN. S'ils sont sur des VLANs différents, le mappage PPSK est incorrect.

Résolution : Corrigez le mappage PPSK-vers-VLAN dans le contrôleur ou le tableau de bord Purple. Vérifiez que le répéteur mDNS UniFi est activé et appliqué aux bons VLANs.

Le chaos de la rotation des mots de passe

Dans les déploiements PSK standard, lorsqu'un résident déménage, le mot de passe de l'ensemble du bâtiment doit être modifié, ce qui oblige tous les autres résidents à mettre à jour tous leurs appareils. C'est une catastrophe opérationnelle à grande échelle.

Résolution : Le PPSK élimine entièrement ce risque. La révocation de la clé d'un résident n'affecte que ce résident. Purple automatise la révocation via l'intégration PMS, de sorte qu'aucune intervention manuelle n'est requise.

Épuisement du DHCP

Dans les bâtiments à forte densité, les pools DHCP peuvent s'épuiser s'ils sont dimensionnés de manière trop restreinte. Un sous-réseau /24 fournit 254 adresses IP. Avec plus de 20 appareils par foyer, cela est suffisant pour les logements individuels, mais veillez à ce que vos durées de bail DHCP soient définies de manière appropriée (quatre à huit heures pour un usage résidentiel) afin de récupérer les adresses des appareils déconnectés.

Planification de la migration vers WPA3

À mesure que le WPA3 devient la norme sur les nouveaux appareils, la contrainte WPA2 de la technologie PPSK deviendra de plus en plus pertinente. Planifiez votre transition dès maintenant. Pour les établissements où le WPA3 est une priorité, évaluez la solution 802.1X avec une superposition RADIUS dans le cloud qui gère l'enregistrement des appareils IoT séparément via une authentification basée sur les adresses MAC ou un SSID IoT dédié.

ROI et impact commercial

Considérer le WiFi comme un service managé offre des rendements commerciaux mesurables pour les exploitants de BTR (logements locatifs gérés). Les propriétés proposant un WiFi haute performance et prêt à l'emploi dès l'emménagement bénéficient d'une prime de loyer de 15 à 30 £ par unité et par mois, selon les critères de référence du secteur de la British Property Federation. Le WiFi prêt à l'emploi réduit les périodes de vacance locative de cinq à dix jours. Le déploiement de la superposition logicielle de Purple sur du matériel UniFi existant réduit les coûts par logement de 30 à 50 % par rapport à la négociation de contrats haut débit individuels avec des FAI traditionnels (modélisation interne Purple).

Pour une propriété BTR de 200 unités, le calcul est simple. Une prime de 20 £ par unité et par mois génère 48 000 £ de revenus annuels supplémentaires. Face au coût d'une superposition logicielle qui s'adapte par unité, la période d'amortissement est généralement inférieure à 12 mois.

Pour les exploitants de l' hospitalité , l'avantage est différent mais tout aussi mesurable. Remplacer un réseau ouvert par un SSID sécurisé par PPSK élimine les dysfonctionnements de l'expérience client causés par les portails captifs bloquant les appareils IoT, réduit les appels d'assistance à la réception et permet d'accéder à WiFi Analytics qui génèrent des données de première main pour les programmes de fidélité et de marketing.

Pour les exploitants du commerce de détail et des transports , la technologie PPSK permet une segmentation sécurisée du réseau du personnel sur la même infrastructure que le WiFi invité, réduisant ainsi les coûts de matériel et simplifiant la gestion du réseau. Pour les environnements de santé , la solution PPSK assure l'isolation des patients et des visiteurs requise par le GDPR et les normes de sécurité réseau du NHS.

Purple a déployé cette architecture dans plus de 80 000 sites à travers le monde, notamment pour Premier Inn, Whitbread et Manchester Airports Group (MAG). La plateforme a traité 440 millions de connexions en 2024 et détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials.

Pour en savoir plus sur l'architecture et le déploiement de l'iPSK, consultez Nama ff keren iPSK: a comprehensive guide for businesses et Três SSIDs para a todos governar: o design de WiFi para convidados, funcionários e IoT .

Définitions clés

PPSK (Private Pre-Shared Key)

Une méthode de sécurité sans fil qui permet à plusieurs mots de passe uniques de fonctionner sur un seul SSID, chaque mot de passe associant l'appareil connecté à un VLAN spécifique. Également appelée iPSK (Identity Pre-Shared Key) par Cisco Meraki et Purple.

Utilisé dans les environnements multi-locataires pour fournir des réseaux sécurisés et isolés par résident sans la complexité du protocole 802.1X ni la surcharge RF liée à la multiplication des SSID.

iPSK (Identity Pre-Shared Key)

Le terme neutre utilisé par Purple et Cisco Meraki pour désigner la technologie PPSK. La technologie et le résultat sont identiques à la technologie PPSK. Ubiquiti utilise le terme PPSK ; HPE Aruba utilise ce même terme.

Vous rencontrerez le terme iPSK dans la documentation Purple et les configurations Cisco Meraki. Il fait référence au même mécanisme d'association clé-par-utilisateur à un VLAN.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe des appareils provenant de différents segments de réseau physique. Les VLAN isolent les domaines de diffusion et, lorsqu'ils sont combinés à des ACL de routage, empêchent le trafic inter-réseaux.

Dans un réseau WiFi multi-locataires, chaque résident se voit attribuer un VLAN dédié. Leurs appareils communiquent librement au sein du VLAN mais ne peuvent pas atteindre les appareils situés sur les VLAN des autres résidents.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour l'accès au réseau. Dans les déploiements PPSK, le serveur RADIUS associe les identifiants aux attributions de VLAN via l'attribut Tunnel-Private-Group-ID.

Purple agit comme un serveur RADIUS cloud. Les points d'accès UniFi envoient des demandes d'authentification aux serveurs RADIUS de Purple, qui renvoient l'attribution de VLAN correcte pour chaque PPSK unique.

mDNS (Multicast DNS)

Un protocole qui résout les noms d'hôtes en adresses IP au sein des réseaux locaux sans serveur DNS central. Utilisé par Apple Bonjour, Google Cast, Sonos et d'autres protocoles de découverte d'appareils similaires.

La gestion du mDNS est essentielle dans les réseaux multi-locataires. Il doit être répercuté au sein du VLAN de chaque résident pour permettre la découverte d'appareils, mais ne doit pas franchir les limites du VLAN pour atteindre d'autres résidents.

SAE (Simultaneous Authentication of Equals)

Le mécanisme de poignée de main WPA3 qui remplace la poignée de main à quatre voies du WPA2. Le protocole SAE exige que les deux parties connaissent la clé pré-partagée avant le début de la poignée de main, ce qui le rend incompatible avec la technologie PPSK.

C'est la raison technique pour laquelle la technologie PPSK ne peut pas fonctionner sur les bandes WPA3 ou 6 GHz. Comprendre le protocole SAE explique pourquoi la contrainte liée au WPA2 est une limitation de protocole, et non un choix de fournisseur.

BTR (Build to Rent)

Immeubles résidentiels construits spécifiquement pour le marché locatif plutôt que pour la vente. Un secteur de déploiement privilégié pour le WiFi multi-locataires, où un accès internet de haute qualité figure parmi les cinq services les plus importants.

Les opérateurs BTR sont le public principal du WiFi géré basé sur PPSK. La combinaison d'une forte densité d'appareils, des exigences liées à l'IoT et d'une rotation fréquente des locataires fait de PPSK l'architecture idéale.

Headless device

Un appareil connecté au réseau qui ne dispose pas d'une interface classique avec écran ou clavier, tel qu'une prise connectée, une enceinte sans fil, un capteur environnemental ou une console de jeux. Ces appareils ne peuvent pas naviguer sur les portails captifs ni négocier l'authentification 802.1X.

La prévalence des appareils sans écran (headless devices) dans les environnements résidentiels - entre 15 et 25 par foyer en moyenne - est la principale raison pour laquelle le protocole 802.1X n'est pas viable pour les déploiements dans le BTR et les résidences étudiantes.

Cloud RADIUS overlay

Une architecture SaaS (software-as-a-service) dans laquelle un serveur RADIUS hébergé dans le cloud gère l'authentification et l'attribution des VLAN pour les points d'accès sur site. Les points d'accès ne nécessitent pas d'infrastructure RADIUS locale.

La superposition cloud RADIUS de Purple est le mécanisme qui permet la gestion de la technologie PPSK à l'échelle de l'entreprise sur du matériel UniFi sans serveurs sur site. Elle s'intègre aux systèmes de gestion immobilière pour un provisionnement automatisé.

Exemples concrets

Une propriété de 250 logements en Build to Rent à Manchester remplace les routeurs haut débit individuels par un réseau UniFi centralisé. Le directeur informatique doit fournir un WiFi sécurisé aux résidents, en veillant à ce que les appareils de maison connectée fonctionnent dans les appartements tout en empêchant les résidents d'accéder aux réseaux des autres. Ils doivent également automatiser la révocation des accès à la fin des baux et intégrer le système à l'outil de gestion immobilière existant.

Déployez des points d'accès UniFi U6-Enterprise dans les couloirs pour assurer la couverture des appartements. Configurez un SSID unique pour les résidents utilisant le chiffrement WPA2 avec la superposition du service RADIUS dans le cloud de Purple. Intégrez Purple au système de gestion immobilière via API. Lorsqu'un résident emménage, Purple génère automatiquement une clé PPSK unique et lui attribue un VLAN dédié (par exemple, VLAN 101 pour le logement 1, VLAN 102 pour le logement 2). Le résident connecte son téléphone, son ordinateur portable et sa Smart TV à l'aide de sa clé unique. Tous ses appareils sont basculés sur son VLAN spécifique. La réflexion mDNS est activée au sein de chaque VLAN afin que Chromecast et les enceintes connectées fonctionnent correctement. Lorsque le résident déménage, le logiciel de gestion immobilière en informe Purple, qui révoque instantanément la clé sans affecter les 249 autres logements.

Commentaire de l'examinateur : Cette approche élimine les interférences RF causées par 250 routeurs individuels diffusant des SSID distincts. En utilisant le RADIUS dans le cloud de Purple, le directeur informatique s'évite de configurer manuellement 250 VLAN et mots de passe dans le contrôleur UniFi. L'intégration avec le logiciel de gestion immobilière garantit un provisionnement automatique et un départ sécurisé. Le choix architectural clé réside dans l'utilisation de WPA2 Enterprise avec RADIUS plutôt que du protocole PPSK natif de UniFi, qui nécessiterait une gestion manuelle à cette échelle.

Un hôtel de 150 chambres utilise actuellement un réseau ouvert avec un Captive Portal pour le WiFi des clients. Les clients se plaignent que les Apple TV et les consoles de jeux dans les chambres ne se connectent pas. Le responsable informatique de l'hôtel souhaite offrir une expérience WiFi sécurisée, comme à la maison, tout en conservant la possibilité de désactiver l'accès au moment du départ. L'hôtel utilise un logiciel de gestion hôtelière classique.

Migrez du réseau ouvert avec Captive Portal vers un SSID sécurisé par PPSK. Intégrez le réseau UniFi à Purple et au logiciel de gestion hôtelière de l'hôtel. Lors de l'enregistrement, le logiciel de gestion hôtelière déclenche la génération par Purple d'une clé PPSK unique associée au numéro de chambre du client et à sa date de départ. Le client reçoit le mot de passe sur l'étui de sa carte magnétique ou via l'application Purple. Il utilise ce mot de passe pour connecter son téléphone, son ordinateur portable et son Apple TV. Tous les appareils se connectent dans un micro-segment sécurisé. L'Apple TV et les consoles de jeux se connectent en utilisant ce mot de passe simple - aucune navigation sur un Captive Portal n'est requise. Lors du départ, la clé expire automatiquement. L'hôtel conserve un SSID ouvert distinct avec un Captive Portal pour l'accès des visiteurs dans le hall et les parties communes.

Commentaire de l'examinateur : L'élément crucial ici est que les portails captifs sont fondamentalement incompatibles avec les appareils sans écran ou sans navigateur. Les Apple TV et les consoles de jeux ne peuvent pas ouvrir de navigateur pour accepter les conditions d'utilisation. Le PPSK résout ce problème en offrant la sécurité WPA2 avec un mot de passe simple que n'importe quel appareil peut utiliser. L'expiration automatique via l'intégration au logiciel de gestion hôtelière empêche tout accès non autorisé après le départ, sans nécessiter d'intervention manuelle de la part de la réception ou de l'équipe informatique.

Questions d'entraînement

Q1. Vous déployez le WiFi dans une résidence étudiante de 500 lits. Le client souhaite utiliser le protocole 802.1X pour garantir une sécurité de niveau entreprise. Cependant, les étudiants apporteront des consoles de jeux, des téléviseurs connectés et des imprimantes sans fil. Quelle est l'approche architecturale recommandée et quels sont les principaux compromis ?

Conseil : Prenez en compte les capacités des appareils IoT grand public concernant les protocoles d'authentification d'entreprise, et déterminez si une approche hybride est envisageable.

Voir la réponse type

Déconseillez l'utilisation de 802.1X comme unique méthode d'authentification. Les appareils grand public tels que les consoles de jeux et les télévisions connectées ne disposent pas du suppliant 802.1X requis pour s'authentifier. Recommandez une architecture PPSK utilisant le cloud RADIUS de Purple. Cela offre une sécurité WPA2 avec une isolation VLAN par étudiant tout en permettant aux appareils sans écran de se connecter à l'aide d'un mot de passe simple et unique. Si le client insiste sur le 802.1X pour les ordinateurs portables et les téléphones, mettez en œuvre une solution hybride : le 802.1X pour les appareils gérés et un SSID PPSK distinct pour les appareils IoT, les deux étant mappés sur le même VLAN par étudiant. Cela augmente le nombre de SSID mais maintient le niveau de sécurité exigé par le client.

Q2. Un gestionnaire d'espace de coworking signale que les membres ne peuvent pas diffuser de présentations depuis leurs ordinateurs portables vers les télévisions connectées des salles de réunion. Ils utilisent actuellement un seul réseau PSK standard avec l'isolation des clients activée pour protéger la vie privée des membres. Comment résoudre ce problème sans compromettre la confidentialité des membres ?

Conseil : L'isolation des clients empêche toute communication d'appareil à appareil sur l'AP, y compris entre les appareils d'une même entreprise.

Voir la réponse type

La configuration actuelle bloque le mDNS, qui est requis pour la diffusion. Migrez le réseau vers un modèle PPSK. Attribuez un mot de passe unique à chaque entreprise membre, en associant chacune à un VLAN dédié. Désactivez l'isolation des clients au niveau de l'AP - elle n'est plus nécessaire car les limites du VLAN assurent l'isolation. Configurez des ACL de routage pour empêcher le trafic inter-VLAN. Activez la réflexion mDNS au sein de chaque VLAN. Les ordinateurs portables de chaque entreprise peuvent désormais détecter et diffuser vers les télévisions de leur VLAN, tout en restant isolés des autres entreprises. Si des télévisions doivent être partagées entre plusieurs entreprises, placez-les dans un VLAN partagé et configurez les règles de proxy mDNS en conséquence.

Q3. Vous configurez un PPSK UniFi natif pour un petit immeuble de 10 appartements. Vous sélectionnez le WPA3 pour le réseau sans fil afin de fournir la sécurité la plus forte possible. La configuration ne s'applique pas. Pourquoi cela se produit-il et quelle est la bonne approche ?

Conseil : Examinez les exigences du protocole pour le handshake SAE du WPA3 et la manière dont elles interagissent avec le mécanisme d'authentification du PPSK.

Voir la réponse type

Le PPSK est incompatible avec le WPA3. Le WPA3 utilise le protocole Simultaneous Authentication of Equals (SAE), qui exige que le point d'accès connaisse la clé pré-partagée avant le début du processus d'authentification. Avec le PPSK, le point d'accès détermine quelle clé est utilisée pendant l'authentification - ces exigences s'excluent mutuellement. La bonne approche consiste à configurer le réseau en utilisant le WPA2 Personal avec le PPSK activé. Si la sécurité WPA3 est une priorité pour la propriété, envisagez le 802.1X avec une infrastructure cloud RADIUS pour les ordinateurs portables et les téléphones, et un SSID WPA2 PPSK distinct pour les appareils IoT. Documentez clairement cette contrainte pour le client afin qu'il comprenne le compromis en matière de sécurité.

Q4. Une propriété BTR de 300 logements subit de nombreux appels au support de la part de résidents signalant que leurs appareils Chromecast ne fonctionnent pas. Le réseau utilise le PPSK avec l'infrastructure cloud RADIUS de Purple sur du matériel UniFi. Quelles sont les trois causes les plus probables et comment diagnostiquer chacune d'elles ?

Conseil : Chromecast nécessite que l'appareil émetteur et le récepteur soient sur le même réseau logique et capables d'échanger du trafic mDNS.

Voir la réponse type

Les trois causes les plus probables sont : Premièrement, un mauvais mappage PPSK-vers-VLAN - le téléphone du résident et le Chromecast utilisent peut-être des mots de passe différents et se retrouvent sur des VLAN différents. Diagnostiquez cela en vérifiant la liste des clients dans le contrôleur UniFi et en confirmant que les deux appareils sont sur le même VLAN. Deuxièmement, le mDNS n'est pas reflété au sein du VLAN - même si les deux appareils sont sur le même VLAN, le trafic mDNS peut être rejeté. Diagnostiquez cela en vérifiant la configuration du répéteur mDNS UniFi et en confirmant qu'il est appliqué aux VLAN des résidents. Troisièmement, le routage inter-VLAN est activé par erreur - si les ACL de routage sont mal configurées, des appareils sur des VLAN différents peuvent communiquer partiellement, entraînant un comportement instable. Diagnostiquez cela en testant la connectivité entre deux appareils situés sur des VLAN différents et en confirmant qu'ils ne peuvent pas s'atteindre.

Continuer la lecture de cette série

Staff WiFi vs. Guest WiFi : meilleures pratiques pour la segmentation des réseaux d'entreprise

Un guide technique complet destiné aux leaders de l'informatique sur la segmentation des réseaux WiFi pour le personnel et les invités. Il couvre l'architecture VLAN, l'authentification 802.1X, les politiques de pare-feu et l'impact commercial d'une conception de réseau sécurisée.

Guide complet de l'iPSK : un guide complet pour les entreprises

Ce guide explique l'architecture Identity Pre-Shared Key (iPSK) pour les promoteurs immobiliers, les exploitants de BTR et les propriétaires bailleurs déployant du WiFi multi-locataires. Il couvre l'intégration RADIUS, l'attribution dynamique de VLAN, l'isolation de Couche 2 et la gestion automatisée du cycle de vie des identifiants afin d'offrir une expérience de connexion instantanée aux résidents, à grande échelle. Il détaille également les arguments commerciaux en faveur de l'élimination des routeurs grand public par logement et les avantages opérationnels de l'intégration de l'iPSK avec des fournisseurs d'identité tels que Microsoft Entra ID, Okta et Google Workspace.

Uu PPSK pdf : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Private Pre-Shared Key (PPSK) aux déploiements 802.1X traditionnels et PSK standards. Il fournit aux architectes réseau et aux responsables informatiques des stratégies de mise en œuvre neutres vis-à-vis des fournisseurs pour les environnements résidentiels multi-locataires, l'IoT et le secteur BTR.