UniFi PPSK : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans cette fiche technique de Purple. Aujourd'hui, nous abordons le sujet de UniFi PPSK : de quoi s'agit-il, quelle est sa place dans votre boîte à outils de conception réseau, et surtout, quand devez-vous l'utiliser par rapport aux autres options. Plantons le décor. Vous êtes un promoteur immobilier, un exploitant de logements locatifs ou un responsable informatique gérant un bâtiment comptant des centaines de résidents ou de locataires. Vous avez besoin d'un réseau WiFi qui isole chaque foyer des autres, qui prend en charge les appareils domestiques intelligents, et qui ne vous oblige pas à modifier un mot de passe partagé à chaque déménagement. C'est précisément le problème que PPSK a été conçu pour résoudre - et il est essentiel de comprendre à la fois ses points forts et ses limites techniques avant de vous engager. Alors, qu'est-ce que PPSK exactement ? PPSK signifie Private Pre-Shared Key (clé privée pré-partagée). C'est une fonctionnalité intégrée à UniFi Network qui vous permet de diffuser un seul SSID WiFi avec plusieurs mots de passe différents, où chaque mot de passe est associé à un VLAN spécifique. Le concept est simple. Au lieu d'un seul mot de passe partagé pour tout le monde, vous attribuez un mot de passe différent à chaque locataire, à chaque groupe d'appareils ou à chaque cas d'usage. Lorsqu'un appareil se connecte avec ce mot de passe, le contrôleur UniFi le place automatiquement sur le VLAN correspondant. Aucun serveur RADIUS requis. Aucun certificat. Aucune infrastructure 802.1X complexe. Selon le constructeur, cette technologie porte des noms différents. Aruba l'appelle MPSK. Cisco Meraki l'appelle iPSK. Ruckus l'appelle DPSK. Le concept sous-jacent reste le même pour tous : un seul SSID, plusieurs clés, et chaque clé liée à un segment de réseau. L'implémentation de UniFi s'appelle PPSK, et elle est intégrée nativement dans le contrôleur UniFi Network sans coût de licence supplémentaire. Passons à l'architecture technique. Lorsque vous activez PPSK sur un SSID UniFi, vous créez un réseau WPA2-Personal avec plusieurs clés pré-partagées. Chaque clé est associée à un ID de VLAN spécifique que vous avez préalablement configuré dans votre switch et votre contrôleur UniFi. Lorsqu'un appareil client s'authentifie à l'aide de l'une de ces clés, le point d'accès marque le trafic du client avec l'ID du VLAN correspondant avant de le transmettre en amont. Le client se comporte exactement comme s'il se trouvait sur un VLAN dédié - isolé des clients des autres VLAN, avec sa propre plage DHCP et ses propres règles de pare-feu. C'est particulièrement utile dans plusieurs scénarios. Dans un immeuble résidentiel, vous attribuez à chaque appartement son propre PPSK. Tous les appareils de cet appartement - téléphones, ordinateurs portables, enceintes connectées, consoles de jeux - se connectent avec la même clé et se retrouvent sur le même VLAN. Ils peuvent se détecter mutuellement, diffuser du contenu de l'un à l'autre et s'associer, exactement comme sur un réseau domestique. Mais ils sont complètement invisibles pour l'appartement d'à côté. Dans un hôtel, vous pouvez utiliser PPSK pour séparer le trafic des clients de celui du personnel et des appareils IoT comme les téléviseurs connectés et les serrures de porte - le tout sur un seul SSID. Dans un environnement de vente au détail, vous pouvez isoler les terminaux de paiement sur leur propre VLAN pour simplifier la conformité PCI-DSS, tout en maintenant les appareils du personnel et le WiFi des clients sur des segments distincts. Voici maintenant la limitation critique que vous devez comprendre avant d'aller plus loin. Le PPSK est une fonctionnalité exclusivement réservée au WPA2. Il ne fonctionne pas avec le WPA3. Et comme la bande de fréquences de 6 GHz - utilisée par le WiFi 6E et le WiFi 7 - impose le WPA3, vous ne pouvez pas utiliser le PPSK sur les radios 6 GHz. Il ne s'agit pas d'une limitation spécifique à UniFi. C'est une contrainte fondamentale de la norme 802.11. Le WPA3 ne permet actuellement qu'une seule clé prépartagée par SSID, de sorte que l'architecture multi-clés sur laquelle repose le PPSK est tout simplement incompatible avec le WPA3. Qu'est-ce que cela signifie en pratique ? Si vous activez le PPSK sur un SSID, ce SSID ne sera diffusé que sur les bandes de 2,4 GHz et 5 GHz. Vos points d'accès WiFi 6E et WiFi 7 plus récents n'utiliseront pas leurs radios 6 GHz pour ce réseau. Pour la plupart des déploiements résidentiels actuels, c'est acceptable. Mais c'est une contrainte que vous devez prendre en compte dans votre plan réseau à cinq ans, d'autant plus que l'adoption du WiFi 7 s'accélère. Comparons directement le PPSK aux deux principales alternatives : RADIUS avec 802.1X, et une solution iPSK gérée dans le cloud comme Purple. RADIUS avec 802.1X - également appelé WPA2-Enterprise ou WPA3-Enterprise - est la référence absolue pour l'authentification d'entreprise. Chaque utilisateur ou appareil possède des identifiants uniques. Le serveur RADIUS valide ces identifiants et affecte dynamiquement le client à un VLAN. Il prend en charge le WPA3, fonctionne sur la bande 6 GHz et s'adapte à un nombre illimité d'utilisateurs. Le seul inconvénient est sa complexité. Vous avez besoin d'un serveur RADIUS, qu'il soit sur site ou hébergé dans le cloud. Vous devez gérer des certificats si vous utilisez EAP-TLS. De plus, de nombreux appareils IoT - enceintes connectées, consoles de jeux, capteurs domestiques intelligents - ne peuvent pas du tout se connecter aux réseaux 802.1X. Le PPSK de UniFi se situe au milieu. Il est plus simple que RADIUS - aucune infrastructure de serveur requise, aucun certificat, et il fonctionne avec tous les appareils. En revanche, il est moins évolutif. L'implémentation native du PPSK de UniFi stocke les clés localement sur le contrôleur. La limite pratique pour la plupart des déploiements se situe dans les quelques centaines de clés. Pour un bâtiment BTR de 50 unités, c'est parfait. Pour un complexe de 500 unités, vous rencontrerez rapidement des difficultés de gestion. C'est là qu'une interface cloud comme Purple change la donne. La solution de WiFi Multi-Tenant de Purple fonctionne au-dessus de votre matériel UniFi existant. Elle gère le cycle de vie des clés de manière centralisée dans le cloud. Lorsqu'un nouveau résident emménage, Purple génère sa clé automatiquement. Lorsqu'il déménage, Purple la révoque. Les appareils du résident perdent immédiatement l'accès, sans affecter les autres résidents. Purple s'intègre à Microsoft Entra ID et Okta pour automatiser entièrement ce cycle de vie. Voyons maintenant deux scénarios de déploiement réels. Premier scénario : un développement Build to Rent de 120 unités. L'opérateur souhaite que les résidents bénéficient d'une expérience WiFi comme à la maison dès le premier jour - pas d'attente pour un technicien haut débit, pas de mots de passe partagés, et une prise en charge complète de la maison intelligente. Le matériel est entièrement composé d'équipements UniFi. Chaque résident reçoit une clé unique fournie via la plateforme Purple, liée à son dossier de location. Leurs appareils sont orientés vers un VLAN dédié. Chromecast fonctionne. Les consoles de jeux bénéficient d'un NAT ouvert. Les enceintes intelligentes s'associent correctement. Lorsqu'un résident déménage, la clé est révoquée en quelques secondes. L'opérateur signale une réduction de 40 % des tickets d'assistance liés au WiFi au cours des trois premiers mois. Deuxième scénario : un hôtel de 200 chambres équipé de points d'accès UniFi. L'équipe informatique doit segmenter le WiFi des clients, le WiFi du personnel et les appareils IoT - téléviseurs intelligents, serrures de porte, capteurs CVC - sans avoir à gérer des SSID distincts pour chacun. Ils activent le PPSK de manière native dans UniFi. Trois clés : une pour les clients, une pour le personnel, une pour l'IoT. Trois VLANs. Un seul SSID. Résultat : un environnement RF épuré avec moins de SSID, une segmentation claire du trafic et la conformité PCI DSS pour les systèmes de paiement sur le VLAN du personnel. Voici les pièges de mise en œuvre à surveiller. Premièrement : la configuration du VLAN avant le PPSK. Vous devez configurer vos VLANs dans le commutateur et le contrôleur UniFi avant de créer des entrées PPSK. Construisez toujours votre segmentation réseau en premier. Deuxièmement : le piège du 6 GHz. Si vous déployez des points d'accès WiFi 6E ou WiFi 7 et que vous souhaitez utiliser la bande 6 GHz pour les zones à haute densité, vous ne pouvez pas utiliser le PPSK sur ces réseaux. Planifiez votre architecture SSID en conséquence. Troisièmement : la gestion des clés à grande échelle. Si vous gérez plus de 100 unités de manière native dans UniFi sans superposition de cloud, vous ressentirez rapidement la complexité de l'attribution manuelle des clés. Quatrièmement : le mDNS et la détection d'appareils. Par défaut, les appareils situés sur différents VLANs ne peuvent pas se détecter mutuellement. Si vous souhaitez que Chromecast ou AirPlay fonctionne au sein du VLAN d'un résident, vous devez activer la réflexion mDNS. UniFi prend cela en charge, mais cela doit être configuré explicitement par VLAN. Questions rapides. Puis-je utiliser le PPSK et RADIUS sur le même contrôleur UniFi ? Oui. Vous pouvez faire fonctionner simultanément un SSID PPSK et un SSID WPA2-Enterprise. Le PPSK prend-il en charge le mode de transition WPA3 ? Non. Le PPSK est uniquement WPA2. Quel est le nombre maximum de clés PPSK dans UniFi ? L'expérience de la communauté suggère que les performances se dégradent au-delà de quelques centaines de clés sur un seul SSID. Pour les déploiements de grande envergure, une couche de gestion cloud est la bonne réponse. Pour conclure : le PPSK de UniFi est un outil véritablement utile pour les déploiements de petite à moyenne taille où vous avez besoin d'une segmentation VLAN sans infrastructure RADIUS. C'est le bon choix pour un immeuble de 50 unités, un hôtel de charme ou un petit bureau avec des types d'appareils mixtes. Pour les déploiements plus importants - tout ce qui dépasse 100 unités ou là où vous avez besoin d'une gestion automatisée du cycle de vie - vous avez besoin d'une solution cloud comme Purple pour le rendre viable sur le plan opérationnel. Le cadre de décision clé est simple. Posez-vous trois questions. De combien de clés uniques ai-je besoin ? S'il y en a moins de 100, le PPSK natif fonctionne. S'il y en a plus de 100, vous avez besoin d'une couche de gestion. Ai-je besoin du 6 GHz ? Si oui, le PPSK n'est pas la solution. Et ai-je besoin d'un provisionnement automatisé lié à un système de location ou de ressources humaines ? Si oui, une superposition cloud comme Purple est le bon choix. Pour en savoir plus sur la solution WiFi multi-locataire de Purple et son déploiement sur le matériel UniFi, visitez purple.ai. Merci d'avoir écouté le Briefing Technique Purple.