Vai al contenuto principale
Italiano

Directory PPSK: confronto tra funzionalità e modelli di implementazione

Questa guida analizza in dettaglio l'architettura delle directory PPSK (Private Pre-Shared Key) per reti multi-tenant, confrontandola con 802.1X e lo standard PSK. Fornisce ad architetti di rete e IT manager modelli di implementazione indipendenti dai vendor per ambienti Build to Rent, alloggi per studenti e MDU, coprendo controller cloud, backend RADIUS e modelli di autenticazione ibrida.

📖 8 minuti di lettura📝 1,990 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
[00:00:00] Benvenuti al Purple Technical Briefing. Oggi ci occuperemo della gestione della directory PPSK. Si tratta della gestione della directory Private Pre-Shared Key. Che cos'è, come si confronta con le alternative e come distribuirla correttamente in ambienti multi-tenant. [00:00:20] Iniziamo con il problema che risolve. Gestite una proprietà Build to Rent di 200 unità. Se utilizzate una rete WPA2-Personal standard, ogni residente condivide un'unica password. Quando l'appartamento 12 si trasferisce, avete due opzioni. Cambiate la password, il che interrompe il WiFi per tutti gli altri residenti. Oppure lasciate l'accesso al vecchio residente. Nessuna delle due soluzioni è accettabile. [00:00:45] PPSK risolve questo problema. Trasmettete un unico nome di rete - un unico SSID. Ma la rete assegna una password univoca a ciascun appartamento. Quando un residente si connette, l'access point controlla la directory PPSK, convalida la chiave e inserisce il residente nella sua VLAN isolata. Il suo telefono vede la sua smart TV. Il suo Chromecast funziona. Non può vedere la TV dell'appartamento accanto. [00:01:10] Ora, perché non usare semplicemente l'802.1X? L'802.1X è eccellente per gli ambienti aziendali. Utilizza RADIUS e identity provider come Microsoft Entra ID o Okta. Ma richiede un supplicant sul dispositivo. Un supplicant è il componente software che gestisce lo scambio di autenticazione. Lo smart speaker del vostro residente non ha un supplicant 802.1X. Nemmeno il suo termostato intelligente, la sua stampante wireless o la sua console di gioco. PPSK offre un isolamento di livello enterprise con la compatibilità dei dispositivi consumer. Questa è la proposta di valore fondamentale. [00:02:00] Diamo un'occhiata alla terminologia, perché varia a seconda del vendor e questo genera una reale confusione. Aruba lo chiama PPSK - Private Pre-Shared Key. Cisco Meraki lo chiama iPSK - Identity PSK. Juniper Mist utilizza ePSK. Extreme Networks, che originariamente ha sviluppato il concetto con il marchio Aerohive, lo chiama Private PSK. Ubiquiti UniFi lo chiama semplicemente PPSK. Il meccanismo sottostante è identico per tutti. Un unico SSID, più chiavi univoche, ciascuna chiave associata a una VLAN o a un gruppo di policy. [00:02:40] Tecnicamente, ecco cosa succede a livello di associazione. Quando un dispositivo si connette, presenta la sua chiave pre-condivisa durante l'handshake a quattro vie WPA2. L'access point interroga la directory PPSK - ospitata nel controller cloud o in un backend RADIUS - per convalidare la chiave e recuperare la VLAN assegnata. Il dispositivo percepisce una rete domestica standard. Non ha idea di essere stato inserito in un segmento isolato. Tutto si comporta esattamente come su una connessione a banda larga domestica. [00:03:20] Diamo un'occhiata ai modelli di distribuzione. Oggi esistono tre pattern principali in produzione. Il primo è il modello con controller cloud. Questo è il più comune per le nuove implementazioni. I punti di accesso si collegano a una piattaforma di gestione cloud. Il keystore PPSK risiede nel controller cloud. Quando registri un nuovo residente, crei una chiave nel portale, la assegni a una VLAN e il controller invia il criterio a ogni punto di accesso nell'edificio. Il residente riceve la chiave via email, SMS o tramite un codice QR in un pacchetto di benvenuto. Lo scansiona, tutti i suoi dispositivi si connettono e Chromecast, smart speaker e console funzionano immediatamente. Quando il residente si trasferisce, elimini la chiave. I suoi dispositivi smettono di connettersi. Nessun altro viene influenzato. [00:04:30] Il secondo modello è PPSK con un backend RADIUS locale. Alcune distribuzioni aziendali utilizzano un server RADIUS per memorizzare e convalidare le credenziali PPSK. Questo offre logging centralizzato, audit trail e integrazione con la piattaforma di gestione delle identità. Aggiunge un sovraccarico infrastrutturale ma offre la tracciabilità dello standard 802.1X con la compatibilità dei dispositivi di PPSK. È il modello giusto per ambienti misti - ad esempio, uno spazio di coworking in cui sono presenti sia dispositivi aziendali gestiti che apparecchiature IoT di proprietà dei membri. [00:05:15] Il terzo modello è l'autenticazione ibrida. I residenti utilizzano PPSK per i loro laptop e dispositivi IoT. Il personale dell'edificio utilizza il protocollo 802.1X per i dispositivi aziendali. Entrambi i gruppi si collegano alla stessa infrastruttura fisica ma mappano su segmenti logici diversi. Purple consiglia questa architettura per implementazioni complete Build to Rent e unità abitative plurifamiliari. Tre modelli di autenticazione distinti, tre VLAN distinte, un'unica infrastruttura fisica. [00:06:00] Parliamo ora delle insidie dell'implementazione. Questi sono i casi di errore che vedo ripetutamente nelle implementazioni in produzione. Prima insidia: proliferazione di SSID. Ogni SSID trasmesso consuma tempo di trasmissione per i beacon frame. In un edificio residenziale denso, se trasmetti sei o otto SSID per punto di accesso, riduci le prestazioni per tutti. Mantieni un massimo di quattro SSID per radio. Utilizza PPSK per servire più segmenti di residenti da un unico SSID anziché creare un SSID separato per appartamento o per piano. [00:06:45] Seconda insidia: configurazione insufficiente delle porte trunk. Progetti uno schema VLAN pulito, distribuisci i punti di accesso e poi il traffico cade silenziosamente perché qualcuno ha dimenticato di consentire le VLAN pertinenti su un collegamento trunk tra lo switch di distribuzione e il livello di accesso. Convalida ogni porta trunk durante la messa in servizio. Documentala. Testala con un dispositivo su ciascuna VLAN prima che i residenti si trasferiscano. [00:07:20] Terza insidia: distribuzione delle chiavi. Generare le chiavi è facile. Fornirle ai residenti in modo sicuro e operativamente gestibile è più difficile. Un codice QR nel pacchetto di benvenuto funziona bene per il giorno del trasloco. Un portale residenti in cui possono recuperare la propria chiave e aggiungere nuovi dispositivi è migliore per le operazioni quotidiane. Definisci il flusso di lavoro di distribuzione delle chiavi prima della distribuzione, non dopo. Quarto ostacolo: compatibilità WPA3. La maggior parte delle piattaforme enterprise supporta PPSK su WPA3, che protegge dagli attacchi di dizionario offline. Tuttavia, Ubiquiti UniFi limita attualmente il PPSK a WPA2. Se hai bisogno della banda a 6 gigahertz, ti serve il WPA3. Pianifica il tuo hardware di conseguenza. [00:08:00] Vediamo due scenari di implementazione reali. Scenario uno: uno sviluppo Build to Rent di 180 unità in un centro città. L'operatore voleva che il WiFi fosse incluso nell'affitto come servizio, con attivazione il giorno del trasloco e supporto completo per la smart home. Hanno distribuito access point HPE Aruba gestiti tramite Aruba Central. Ogni appartamento riceve una chiave PPSK unica generata al momento della firma del contratto di locazione. La chiave viene inviata via email al residente con un codice QR. L'operatore ha registrato una riduzione del 30% dei ticket di supporto relativi al WiFi rispetto alla precedente implementazione con password condivisa. [00:08:45] Scenario due: uno studentato appositamente costruito da 400 posti letto. La sfida qui è la settimana di arrivo dei nuovi studenti, con centinaia di ragazzi che arrivano contemporaneamente. L'operatore ha utilizzato access point Ruckus con SmartZone, implementando PPSK con una chiave per camera. Le chiavi sono state generate in anticipo e incluse nel pacchetto di benvenuto inviato prima dell'arrivo. Gli studenti hanno scansionato il codice QR all'arrivo e si sono connessi in pochi secondi. [00:09:20] Domande a raffica. Quante chiavi PPSK può gestire un singolo access point? Cisco Meraki supporta fino a 5.000 voci iPSK per rete. Aruba scala in modo simile. UniFi supporta fino a 1.000. Posso integrare PPSK con il mio sistema di gestione immobiliare? Sì, tramite l'API REST del fornitore. Il PPSK funziona con WPA3? Sì, sulla maggior parte delle piattaforme enterprise. L'eccezione è UniFi, che attualmente supporta solo il WPA2. [00:09:50] Per riassumere. La gestione delle directory PPSK è l'architettura corretta per il WiFi multi-tenant. Progetta attentamente le tue VLAN prima di toccare l'hardware. Metti in sicurezza i tuoi trunk link. Automatizza la distribuzione delle chiavi. E verifica il supporto WPA3 del tuo fornitore se stai distribuendo il WiFi 6E. Grazie per aver ascoltato il Purple Technical Briefing.

header_image.png

Executive summary

Le reti WPA2-Personal tradizionali condividono un'unica password su tutti i dispositivi. In un complesso Build to Rent (BTR) di 200 unità, ciò significa una sola password per ogni residente, ogni smart TV, ogni termostato e ogni console di gioco dell'edificio. Quando un residente si trasferisce, o si cambia la password per tutti - interrompendo la connettività per gli altri 199 appartamenti - o si lascia l'accesso al precedente residente. Nessuna delle due opzioni è accettabile.

L'integrazione delle directory Private Pre-Shared Key (PPSK) risolve questo problema. PPSK assegna una password WiFi unica a ciascun residente o unità, legando tale chiave a una Virtual Local Area Network (VLAN) specifica. I dispositivi si connettono allo stesso Service Set Identifier (SSID), ma la rete li isola in segmenti privati. I dispositivi di ciascun residente si rilevano a vicenda. Nessun residente può vedere i dispositivi di un altro. Al termine di un contratto di locazione, si revoca una sola chiave senza compromettere la connessione di tutti gli altri.

Questa guida confronta l'implementazione della directory PPSK con le soluzioni PSK standard e IEEE 802.1X, descrive in dettaglio le tre principali architetture di implementazione e fornisce indicazioni pratiche per gli sviluppatori immobiliari, gli operatori BTR e i team IT che li supportano. Purple opera in oltre 80.000 sedi attive e si integra come overlay cloud con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.

Technical deep-dive: PPSK vs 802.1X vs standard PSK

Per comprendere il motivo per cui la tecnologia PPSK domina le implementazioni multi-tenant, è necessario confrontarla con le alternative a livello di associazione.

Standard PSK: il modello di rete domestica

In una configurazione WPA2-Personal standard, l'Access Point (AP) trasmette un SSID e richiede una singola Pre-Shared Key. Ogni dispositivo utilizza questa chiave. L'AP inserisce tutti i dispositivi sulla stessa VLAN. I dispositivi possono rilevarsi a vicenda - una soluzione ideale per un singolo nucleo familiare, ma inaccettabile per un complesso BTR di 200 unità. La PSK standard è priva di qualsiasi meccanismo di revoca per singolo utente. Revocare l'accesso a un utente richiede la modifica della chiave per tutti gli altri.

802.1X: lo standard enterprise

Lo standard IEEE 802.1X (WPA-Enterprise) richiede un server RADIUS, un identity provider come Microsoft Entra ID, Okta o Google Workspace e un supplicant su ogni dispositivo. Il supplicant gestisce lo scambio EAP (Extensible Authentication Protocol). Questo garantisce una sicurezza solida e basata sull'identità, con una tracciabilità per singolo utente. Tuttavia, lo standard 802.1X non è adatto agli ambienti residenziali perché i dispositivi IoT - smart TV, console di gioco, altoparlanti wireless e sensori domotici - sono privi di supplicant 802.1X. Implementare l'802.1X in un edificio BTR significa lasciare tutti i dispositivi IoT non autenticati o su una rete separata non gestita.

PPSK directory: la soluzione multi-tenant

La tecnologia PPSK (chiamata iPSK da Cisco Meraki, Personal Private Network da Cisco ed ePSK da Juniper Mist e Cambium) colma questa lacuna. L'AP trasmette un singolo SSID. Quando un dispositivo si connette, presenta la sua chiave univoca durante l'handshake a quattro vie WPA2. L'AP interroga la directory PPSK - ospitata nel controller cloud o in un backend RADIUS - per convalidare la chiave e recuperare la VLAN assegnata. Il dispositivo percepisce una rete domestica standard. L'operatore ottiene un isolamento completo per singola unità.

comparison_chart.png

La tabella seguente riassume le principali differenze di funzionalità tra i tre modelli di autenticazione.

Funzionalità PSK Standard PPSK directory 802.1X / WPA-Enterprise
Compatibilità dispositivi Universale Ampia (tutti i dispositivi WPA2) Limitata (richiede supplicant)
Integrazione directory Nessuna Nativa (cloud o RADIUS) Nativa (RADIUS + IdP)
Revoca per singolo utente Impossibile Istantanea Istantanea
Supporto dispositivi IoT No (nessun supplicant)
Assegnazione dinamica VLAN No
Complessità di implementazione Molto bassa Moderata Elevata
Supporto WPA3 Sì (maggior parte dei vendor)

Guida all'implementazione: architettura e modelli di distribuzione

La distribuzione di una directory PPSK richiede un approccio strutturato alla progettazione logica prima di iniziare qualsiasi configurazione hardware.

Passo 1: progettazione logica della rete

Mappa il numero di residenti e le categorie di dispositivi IoT prima di toccare l'hardware. Una tipica implementazione BTR isola il traffico come segue. Le VLAN dei residenti vanno dalla VLAN 10 fino a coprire il numero totale di unità - una VLAN per appartamento è l'approccio standard. Una VLAN IoT dedicata (solitamente VLAN 99) serve i sistemi di gestione dell'edificio, la videosorveglianza e i sensori intelligenti. Una VLAN di gestione (VLAN 100) trasporta il traffico dei dispositivi del personale, autenticato tramite 802.1X. Una VLAN ospiti (VLAN 200) serve i visitatori temporanei nelle aree comuni tramite un Captive Portal.

Calcola attentamente i requisiti di indirizzamento IP. Le ricerche della British Property Federation indicano da 15 a 25 dispositivi per nucleo familiare. Un edificio di 200 unità ospita fino a 5.000 dispositivi contemporaneamente. Utilizza l'indirizzamento privato RFC 1918 con una sottorete /24 (254 indirizzi utilizzabili) per ciascuna VLAN residente per garantire una capacità sufficiente. Una /23 (510 indirizzi) offre un margine di sicurezza per le unità ad alta densità.

Passaggio 2: scelta del modello di distribuzione

Tre architetture PPSK principali sono attualmente in produzione.

Modello cloud controller. La directory PPSK risiede nella piattaforma cloud del vendor - Aruba Central, Meraki Dashboard, Ruckus Cloud o Juniper Mist. Il controller invia i criteri agli AP. Quando un residente si trasferisce, si genera una chiave nel portale. Quando se ne va, la si elimina. Questo è il modello più comune per le nuove distribuzioni grazie alla sua semplicità operativa e all'assenza di infrastruttura on-premises.

Modello backend RADIUS. Gli AP inoltrano le richieste di autenticazione a un server RADIUS centrale come Cisco ISE o FreeRADIUS, che interroga un archivio di identità. Il server RADIUS restituisce l'assegnazione della VLAN tramite un attributo Cisco-AVPair. Questo modello è adatto agli ambienti che richiedono audit trail approfonditi e integrazione con le directory aziendali esistenti. Aggiunge un sovraccarico di infrastruttura ma offre la responsabilità di 802.1X con la compatibilità dei dispositivi di PPSK.

Modello di autenticazione ibrido. I residenti utilizzano PPSK per i loro laptop e dispositivi IoT. Il personale dell'edificio utilizza 802.1X per i dispositivi aziendali rispetto a Microsoft Entra ID o Okta. Entrambi i gruppi si connettono alla stessa infrastruttura fisica ma si mappano su segmenti logici diversi. Purple consiglia questa architettura per distribuzioni complete BTR e multi-dwelling unit (MDU). I residenti ottengono il PPSK. I sistemi di gestione dell'edificio ottengono una VLAN IoT dedicata con PPSK. I dispositivi del team di gestione immobiliare utilizzano 802.1X. Tre modelli di autenticazione distinti, tre VLAN distinte, un'unica infrastruttura fisica.

architecture_overview.png

Passaggio 3: integrazione hardware

Il PPSK è supportato su tutte le principali piattaforme AP aziendali, sebbene i dettagli di implementazione varino a seconda del vendor.

Vendor Termine PPSK Piattaforma di gestione Supporto WPA3 Limite di chiavi
Cisco Meraki iPSK Meraki Dashboard 5.000 per rete
HPE Aruba PPSK Aruba Central / ArubaOS Migliaia
Ruckus PPSK SmartZone / Ruckus Cloud Migliaia
Juniper Mist ePSK Mist AI Migliaia
Ubiquiti UniFi PPSK UniFi Network No (solo WPA2) 1.000 per rete
Cambium ePSK cnMaestro Migliaia
Extreme Private PSK ExtremeCloud IQ Migliaia
Fortinet PPSK FortiWLM / FortiGate Migliaia

Note the specific constraint with Ubiquiti UniFi: its current PPSK implementation is restricted to WPA2. If you deploy WiFi 6E access points and require the 6GHz band, you must use a platform that supports WPA3-SAE with PPSK. Aruba, Ruckus, and Meraki all support PPSK on WPA3 configurations.

Purple integrates as a hardware-agnostic cloud overlay across all platforms in this list, providing a unified PPSK directory and resident management interface regardless of the underlying hardware vendor. See our guide on Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi for the broader SSID architecture context.

Best practices for multi-tenant WiFi

Control SSID proliferation

Limit your broadcast to a maximum of four SSIDs per radio. Each additional SSID consumes airtime for beacon frames. In a dense residential building with 30 APs, broadcasting eight SSIDs per AP generates 240 beacon streams competing for airtime. Use PPSK to segment users logically behind a single SSID rather than creating a separate SSID per flat or per floor. See Three SSIDs to rule them all for the recommended SSID architecture.

Automate key distribution

Do not rely on manual password sheets. Integrate your PPSK directory with your property management system via the vendor REST API. Generate the unique key automatically at tenancy sign-up and deliver it via a QR code in the welcome email. Build the key distribution workflow before deployment, not after. Operators who automate key delivery report 30% fewer WiFi-related support tickets compared to manual distribution methods (Purple internal data, 2024).

The most common commissioning failure is missing VLAN tags on trunk links between distribution switches and the core network. Design your VLAN scheme, then verify that every resident VLAN is permitted on every relevant trunk link. Test with a device on each VLAN before residents move in.

Apply egress filtering to the IoT VLAN

Building infrastructure devices - HVAC controllers, CCTV cameras, access control panels - should sit on a dedicated IoT VLAN with strict egress filtering at the firewall. This prevents a compromised IoT device from reaching resident VLANs or the management network.

For more on Guest WiFi architecture and WiFi Analytics integration, see our product documentation. Operators in Hospitality should also review our guide on how to make a great first impression with your guest WiFi .

Troubleshooting and risk mitigation

Gaming consoles and NAT type

I residenti si aspettano che la loro PlayStation o Xbox riporti un tipo di NAT "Type 2" o "Open" per il multiplayer online. Un'implementazione eccessivamente aggressiva del Carrier-Grade NAT (CGNAT) produce un NAT "Strict", generando un volume elevato di ticket di supporto. Configura il tuo firewall per gestire correttamente l'UPnP per ciascun segmento di residenti. Non applicare una restrizione generica a tutte le VLAN dei residenti.

Associazione di dispositivi smart home

Chromecast, Apple TV, Amazon Echo e Sonos richiedono l'identificazione del dispositivo sulla stessa rete logica. Con PPSK, tutti i dispositivi sulla stessa chiave residente condividono una VLAN e possono trovarsi a vicenda. I dispositivi su chiavi diverse non possono farlo. Questo è il comportamento corretto. Se i residenti segnalano errori di associazione della smart home, verifica che tutti i loro dispositivi utilizzino la stessa chiave PPSK.

Esaurimento delle chiavi su UniFi

Ubiquiti UniFi supporta fino a 1.000 voci PPSK per rete. Per uno sviluppo con più di 1.000 unità, o con un numero elevato di dispositivi IoT, questo limite richiede una pianificazione attenta. Prendi in considerazione la segmentazione della rete su più siti UniFi o la migrazione a una piattaforma con limiti di chiavi più elevati come HPE Aruba o Cisco Meraki.

GDPR e dati dei residenti

I database delle chiavi PPSK contengono dati identificabili dei residenti. Assicurati che la tua piattaforma di gestione delle chiavi memorizzi i dati in una regione conforme. Purple memorizza i dati in linea con i requisiti GDPR e CCPA, con residenza dei dati selezionabile per le implementazioni nell'UE. Conserva i log WiFi identificabili dei residenti solo per il tempo necessario alla sicurezza e alle operazioni - sei mesi è un limite comune per gli ambienti BTR.

ROI e impatto aziendale

Il WiFi gestito è un servizio fondamentale nel BTR e negli alloggi per studenti appositamente costruiti. Gli operatori che distribuiscono reti PPSK vedono ritorni misurabili su tre dimensioni.

Premium sull'affitto. Gli operatori BTR di solito richiedono un supplemento mensile da £15 a £30 per unità per un WiFi di alta qualità e pronto all'uso, secondo una ricerca di settore della British Property Federation. Su uno sviluppo di 200 unità, ciò rappresenta da £36.000 a £72.000 di entrate annuali aggiuntive.

Efficienza operativa. Le chiavi uniche eliminano le rotazioni delle password a livello di edificio. Gli operatori segnalano una riduzione del 30% dei ticket di supporto relativi al WiFi dopo la migrazione da PSK condiviso a PPSK (dati interni Purple, 2024). La connettività immediata al momento del trasloco riduce anche i periodi di sfitto da cinque a dieci giorni.

Implementazione indipendente dall'hardware. Distribuendo la soluzione Multi-Tenant WiFi di Purple come overlay software sul tuo hardware esistente o scelto, mantieni il controllo della rete e dell'aumento del NOI. Eviti di cedere le entrate a un fornitore di banda larga terzo che include la connettività in un contratto che si appropria del premium del servizio.

Purple opera in oltre 80.000 sedi attive dal 2012, con un uptime del 99,999% e certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. Per le installazioni in ambito Retail e Healthcare che richiedono una segmentazione della rete simile, si applica la stessa architettura di directory PPSK con overlay di conformità specifici per il settore.

Per la variante iPSK di questa architettura, consulta la nostra guida correlata: Logo guild iPSK: una guida completa per le aziende .

Definizioni chiave

PPSK (Private Pre-Shared Key)

Un metodo di autenticazione che rilascia password WiFi univoche a singoli utenti, dispositivi o unità su un unico SSID, associando ciascuna chiave a una specifica policy di rete o VLAN. Chiamato anche iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) o Private PSK (Extreme Networks).

Essenziale per ambienti multi-tenant in cui i residenti richiedono l'isolamento per unità ma i loro dispositivi IoT non supportano 802.1X.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un accesso autenticato utilizzando un server RADIUS e un provider di identità. Richiede un supplicant software sul dispositivo client.

Utilizzato per le reti del personale e di gestione nelle installazioni BTR. Non può essere utilizzato per i dispositivi IoT che non dispongono di supplicant.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa un insieme di dispositivi, isolando il loro traffico di broadcast dagli altri dispositivi sulla stessa infrastruttura fisica.

PPSK utilizza le VLAN per creare bolle WiFi private per ogni appartamento. La chiave di ogni residente si associa a una VLAN univoca.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorisation, and Accounting per gli utenti che si connettono a un servizio di rete.

Utilizzato nel modello di implementazione del backend RADIUS per convalidare le credenziali PPSK rispetto a un archivio di identità e restituire le assegnazioni VLAN tramite gli attributi Cisco-AVPair.

Supplicant

Un client software su un dispositivo dell'utente finale che comunica con un autenticatore per ottenere l'accesso alla rete tramite 802.1X. Gestisce lo scambio di autenticazione EAP.

L'assenza di supplicant sui dispositivi IoT è la ragione principale per cui il PPSK è richiesto nelle reti residenziali. I laptop e i telefoni hanno supplicant; gli smart speaker e i termostati no.

WPA3-SAE (Simultaneous Authentication of Equals)

Il più recente standard di sicurezza WiFi che utilizza uno scambio di chiavi Dragonfly per proteggersi dagli attacchi dizionario offline, sostituendo l'handshake a quattro vie WPA2 per l'autenticazione PSK.

Richiesto per il funzionamento della rete a 6GHz sugli access point WiFi 6E. I progettisti devono verificare che il fornitore di AP scelto supporti il PPSK su WPA3 prima di specificare l'hardware.

CGNAT (Carrier-Grade NAT)

Un metodo per condividere un singolo indirizzo IP pubblico tra più indirizzi IP privati, comunemente usato dagli ISP e dai grandi operatori di rete per conservare lo spazio di indirizzamento IPv4.

Una configurazione CGNAT errata nelle reti BTR limita la connettività multiplayer delle console di gioco, producendo un tipo di NAT 'Strict' invece di quello richiesto 'Open' o 'Type 2'.

SSID (Service Set Identifier)

Il nome di una rete WiFi trasmesso da un access point. I dispositivi eseguono la scansione degli SSID per identificare le reti disponibili.

Il PPSK consente a più segmenti di residenti di condividere un unico SSID, evitando il degrado del tempo di trasmissione (airtime) causato dalla trasmissione di SSID separati per unità.

Esempi pratici

Un complesso Build to Rent da 180 unità richiede una connessione WiFi attiva dal giorno del trasloco con supporto completo per la smart home. L'operatore vuole eliminare la rotazione delle password al termine dei contratti di locazione e ridurre i ticket di assistenza da parte dei residenti che non riescono a connettere il proprio Chromecast o smart speaker.

Implementare access point HPE Aruba gestiti tramite Aruba Central. Configurare un unico SSID con PPSK abilitato. Associare le VLAN da 10 a 190 ai singoli appartamenti (una VLAN per unità). Integrare il sistema di gestione della proprietà tramite l'API REST di Aruba Central per generare automaticamente una chiave PPSK univoca alla firma del contratto di locazione. Consegnare la chiave al residente tramite un codice QR nell'e-mail di benvenuto. Al termine di una locazione, eliminare la chiave nel portale. Configurare il DHCP con subnet /24 per VLAN per ospitare fino a 25 dispositivi per appartamento. Impostare una VLAN IoT dedicata (VLAN 99) per i sistemi di gestione dell'edificio con filtraggio in uscita.

Commento dell'esaminatore: Questo approccio elimina le vulnerabilità delle password condivise. La revoca di una chiave al momento del trasloco influisce solo su quella specifica VLAN, lasciando operative le altre 179 unità. L'attivazione tramite codice QR riduce i ticket di assistenza del primo giorno. HPE Aruba è stata scelta perché supporta PPSK su WPA3, consentendo la futura implementazione di WiFi 6E sulla banda a 6GHz.

Un blocco di alloggi per studenti da 400 posti letto deve gestire la settimana di arrivo dei nuovi studenti, con centinaia di persone che arrivano contemporaneamente e collegano più dispositivi ciascuna. La configurazione precedente utilizzava una password condivisa che veniva ruotata annualmente, causando il caos all'inizio di ogni anno accademico.

Implementare access point Ruckus gestiti tramite SmartZone. Configurare PPSK con una chiave univoca per camera. Pre-generare tutte le chiavi prima dell'inizio dell'anno accademico. Includere il codice QR di ogni camera nel pacchetto di benvenuto inviato agli studenti prima dell'arrivo. Configurare VLAN per camera con subnet /23 per ospitare laptop, telefoni, console e smart TV. Abilitare WPA3-SAE sull'SSID PPSK per una maggiore sicurezza. Configurare un portale self-service per i residenti dove gli studenti possono recuperare la propria chiave e aggiungere nuovi dispositivi a metà anno senza contattare il reparto IT.

Commento dell'esaminatore: La pre-generazione e la distribuzione delle chiavi prima dell'arrivo eliminano il picco di autenticazione nel giorno del trasloco. L'isolamento della VLAN per camera significa che il traffico di ogni studente è indipendente, quindi l'uso intensivo della banda da parte di uno studente non rallenta i vicini. Il portale self-service riduce il carico di lavoro del reparto IT durante tutto l'anno accademico.

Domande di esercitazione

Q1. Stai fornendo consulenza a un operatore BTR sull'aggiornamento di uno sviluppo da 400 unità. Attualmente trasmettono un SSID separato per ogni piano (otto piani, otto SSID). I residenti segnalano un WiFi lento, soprattutto nelle ore serali. Qual è la causa probabile e cosa consigli?

Suggerimento: Considera la relazione tra il numero di SSID, i beacon frame e l'utilizzo del tempo di trasmissione (airtime).

Visualizza risposta modello

La causa probabile è la saturazione del tempo di trasmissione dovuta a un numero eccessivo di beacon frame. Ogni SSID trasmette beacon più volte al secondo. Otto SSID su 30 access point generano 240 flussi di beacon concorrenti, consumando una percentuale significativa del tempo di trasmissione disponibile prima ancora che vengano trasmessi i dati dei residenti. La raccomandazione è di consolidare in un unico SSID e distribuire il PPSK per ottenere l'isolamento necessario per piano o per unità. Ciò elimina il sovraccarico dei beacon mantenendo la sicurezza.

Q2. Un operatore BTR riferisce che le smart TV, i Chromecast e gli smart speaker dei residenti smettono frequentemente di funzionare dopo il trasloco di altri residenti. Il team IT ruota la password dell'edificio a ogni trasloco. Qual è il difetto di progettazione e qual è la soluzione corretta?

Suggerimento: Analizza l'impatto di una PSK condivisa su tutti i dispositivi connessi quando la chiave viene ruotata.

Visualizza risposta modello

La rete utilizza una PSK condivisa standard per tutti i residenti. Quando la chiave viene ruotata al momento del trasloco, ogni dispositivo nell'edificio perde la connessione e deve essere riconnesso manualmente. La soluzione corretta consiste nel migrare a una directory PPSK, emettendo una chiave univoca per appartamento. Quando un residente si trasferisce, l'operatore elimina solo la chiave di quell'appartamento. Gli altri 399 appartamenti non subiscono conseguenze. Le smart TV, i Chromecast e gli smart speaker si riconnettono automaticamente perché le loro credenziali non sono cambiate.

Q3. Stai specificando gli access point WiFi 6E per un nuovo sviluppo BTR da 200 unità. Il cliente richiede chiavi PPSK univoche per appartamento e desidera utilizzare la banda a 6GHz per applicazioni ad alta larghezza di banda. Stai valutando Ubiquiti UniFi rispetto a HPE Aruba. Quale problema di compatibilità devi identificare e in che modo influisce sulla tua raccomandazione hardware?

Suggerimento: Verifica la relazione tra la banda a 6GHz, i requisiti WPA3 e i vincoli di implementazione PPSK dei singoli fornitori.

Visualizza risposta modello

La banda a 6GHz richiede obbligatoriamente WPA3-SAE. Ubiquiti UniFi attualmente limita PPSK a WPA2, il che significa che i client PPSK non possono utilizzare la banda a 6GHz sull'hardware UniFi. HPE Aruba supporta PPSK su WPA3-SAE, consentendo il pieno utilizzo della banda a 6GHz per i client PPSK. La raccomandazione per questa implementazione è HPE Aruba. Se il cliente ha già investito in UniFi, i client PPSK devono essere limitati alle bande a 2.4GHz e 5GHz finché Ubiquiti non aggiungerà il supporto WPA3 per PPSK.

Continua a leggere questa serie

Uu PPSK pdf: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnico confronta l'architettura WiFi Private Pre-Shared Key (PPSK) con le distribuzioni tradizionali 802.1X e PSK standard. Fornisce ad architetti di rete e IT manager strategie di implementazione indipendenti dai vendor per ambienti residenziali multi-tenant, IoT e BTR.

Leggi la guida →

UU PPSK 2023: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnica confronta l'architettura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) con le tradizionali implementazioni PSK condivise e 802.1X, con un focus specifico sul panorama del 2023 relativo alle implementazioni dei vendor e alle funzionalità delle piattaforme. Fornisce a sviluppatori immobiliari, operatori BTR e proprietari di MDU strategie di implementazione pratiche, linee guida sull'architettura VLAN e workflow automatizzati per la gestione del ciclo di vita. La guida copre tre modelli di implementazione, casi di studio reali e le implicazioni di conformità di ciascun approccio di autenticazione.

Leggi la guida →

PPSK xaverius: confronto tra funzionalità e modelli di implementazione

Questa guida autorevole esamina l'architettura PPSK xaverius per ambienti multi-tenant come il Build to Rent e gli alloggi per studenti. Confronta i modelli di implementazione, dettaglia le strategie di applicazione e spiega come l'isolamento VLAN per unità offra un'esperienza WiFi simile a quella domestica mantenendo la sicurezza aziendale.

Leggi la guida →