Vai al contenuto principale
Italiano

Meraki iPSK: una guida completa per le aziende

Questa guida descrive in dettaglio l'architettura tecnica e l'implementazione di Cisco Meraki iPSK (Identity Pre-Shared Key) per le reti aziendali. Copre l'integrazione RADIUS, la progettazione di Private Area Network e il caso d'uso aziendale per la sostituzione del legacy WPA2-Personal con la segmentazione basata sull'identità. Rivolto a sviluppatori immobiliari, operatori BTR e architetti IT che gestiscono infrastrutture WiFi multi-tenant o multi-sito.

📖 8 minuti di lettura📝 1,894 parole🔧 2 esempi pratici4 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Technical Briefing di Purple. Oggi analizzeremo Meraki iPSK (Identity Pre-Shared Key). Si tratta di un cambiamento architetturale fondamentale per qualsiasi leader IT che gestisca edifici multi-tenant, catene retail o grandi strutture ricettive. Contestualizziamo la situazione. Per anni, gli architetti di rete hanno dovuto accettare un compromesso frustrante. Si poteva implementare lo standard WPA2-Personal, facile per gli utenti ma un incubo per la sicurezza. Tutti condividono la stessa password. Se trapela, la rete è compromessa. In alternativa, si poteva implementare il protocollo 802.1X Enterprise. Questo richiede certificati o login complessi. È estremamente sicuro, ma taglia fuori completamente i dispositivi headless. Smart TV, sensori IoT e console di gioco semplicemente non possono connettersi a una rete 802.1X. Identity PSK risolve questo dilemma. È la soluzione di compromesso ideale. iPSK consente di trasmettere un singolo nome di rete, un unico SSID, ma di rilasciare una password univoca a ogni singolo utente o dispositivo. Una sola rete. Migliaia di chiavi. Ognuna legata a una specifica politica di sicurezza. Ora approfondiamo l'architettura tecnica. Quando un dispositivo tenta di connettersi utilizzando la sua chiave univoca, l'access point Meraki intercetta la richiesta. Non si limita a verificare la password localmente. Inoltra la richiesta di autenticazione a un server RADIUS centrale. Il server RADIUS convalida la chiave e, aspetto cruciale, restituisce attributi di policy specifici. Indica all'access point esattamente in quale VLAN inserire quel dispositivo. Ciò significa che è possibile utilizzare un solo SSID per segmentare l'intera rete. Un dipendente inserisce la propria chiave e accede alla VLAN aziendale sicura. Un terminale point-of-sale utilizza la sua chiave e accede a una VLAN di pagamento limitata. Un residente in un appartamento Build-to-Rent utilizza la sua chiave e accede alla propria rete d'area privata (Private Area Network). Questo concetto di Private Area Network, o PAN, è fondamentale per gli sviluppatori immobiliari e i proprietari di immobili. iPSK crea una bolla virtuale attorno al residente. All'interno di questa bolla, il suo smartphone può vedere il suo Chromecast e la sua stampante wireless. Sembra esattamente una rete domestica. Ma al di fuori di quella bolla, l'utente è completamente isolato. Non può vedere i dispositivi dell'appartamento accanto. Questo isolamento a livello Layer 2 è un requisito di privacy obbligatorio negli ambienti multi-tenant, ed è il motivo principale per cui iPSK è diventato lo standard per il settore Build-to-Rent e per gli alloggi per studenti appositamente realizzati. Quindi, come implementare tutto questo in modo efficace? Permettetemi di illustrarvi i passaggi chiave. In primo luogo, è necessario progettare le sottoreti in modo generoso. In un moderno complesso BTR, si stimano da quindici a venticinque dispositivi per nucleo familiare. Un edificio di 200 unità avrà bisogno di indirizzi IP per un massimo di cinquemila dispositivi. Pianificate gli ambiti DHCP di conseguenza. Questo è il passaggio che la maggior parte degli operatori sottovaluta, ed è quello che causa la maggior parte dei problemi sei mesi dopo il lancio.In secondo luogo, non tentate di gestire queste chiavi manualmente. L'integrazione della vostra dashboard Meraki con un server RADIUS è solo metà dell'opera. È necessario collegare il server RADIUS a un Identity Provider, come Microsoft Entra ID o Okta. Quando un nuovo residente firma un contratto di locazione o un nuovo dipendente entra in azienda, il sistema dovrebbe generare automaticamente la sua chiave univoca. Quando se ne va, il sistema la revoca istantaneamente. Purple fornisce il livello di orchestrazione per automatizzare l'intero ciclo di vita, eliminando completamente l'onere amministrativo per il vostro team IT. In terzo luogo, configurate correttamente la vostra dashboard Meraki. Andate su Wireless, poi su Configure, quindi su Access Control. Selezionate il vostro SSID di destinazione. Nella sezione Security, selezionate Identity PSK with RADIUS. Successivamente, sotto Client IP and VLAN, abilitate il VLAN tagging e impostate il RADIUS override su Override VLAN tag. Questo è il passaggio cruciale che consente al server RADIUS di dettare il segmento di rete in base alla chiave autenticata. Senza questo passaggio, tutti gli utenti finiranno sulla stessa rete piatta, indipendentemente dalla chiave utilizzata. Ora parliamo di insidie e mitigazione dei rischi. Ci sono due problemi che riscontro costantemente sul campo. Il primo è il timeout dell'handshake EAPOL. Quando si utilizza iPSK con RADIUS, il server deve convalidare i parametri EAPOL rispetto al database delle chiavi note. Se il database è di grandi dimensioni e il server non dispone di risorse sufficienti, potrebbe volerci troppo tempo per trovare una corrispondenza. L'access point interrompe la connessione. L'utente visualizza un'autenticazione non riuscita. Per mitigare questo problema, assicuratevi che la vostra infrastruttura RADIUS sia adeguatamente dimensionata e monitorate la latenza tra i vostri access point Meraki e i server di autenticazione. Il secondo problema è la randomizzazione dell'indirizzo MAC. I moderni dispositivi iOS e Android ruotano i propri indirizzi MAC per proteggere la privacy dell'utente. Se la vostra implementazione RADIUS si affida esclusivamente al MAC Authentication Bypass, legato a una specifica iPSK, questi dispositivi non riusciranno a connettersi quando il loro indirizzo ruota. La soluzione consiste nell'utilizzare la funzionalità Easy PSK disponibile nel firmware Meraki MR 32.1.3 e versioni successive, che convalida i parametri EAPOL anziché affidarsi a un'associazione MAC statica. Si tratta di un aggiornamento del firmware a cui ogni implementazione aziendale Meraki dovrebbe dare la priorità. Ora passiamo a una rapida sessione di domande e risposte. Ricevo regolarmente queste domande dai clienti. La funzionalità iPSK supporta WPA3? Attualmente no su Meraki. La funzionalità iPSK su Meraki è solo WPA2. Si tratta di una limitazione nota e di un elemento da considerare nella vostra roadmap a lungo termine. Quante chiavi posso avere per ogni SSID? Sulle versioni firmware Meraki MR 30.1 e successive, è possibile avere fino a cinquemila iPSK univoche per SSID. Sul firmware precedente, il limite è di cinquanta. Se gestite un grande complesso residenziale, assicuratevi di utilizzare il firmware più recente. Posso usare iPSK senza un server RADIUS? Sì. Meraki supporta iPSK senza RADIUS per distribuzioni più piccole. Gestisci le chiavi direttamente nella dashboard. Tuttavia, questo approccio non supporta l'assegnazione dinamica della VLAN e sei limitato a cinquanta chiavi. Per qualsiasi distribuzione aziendale o multi-tenant, l'integrazione RADIUS è essenziale. Infine, consideriamo l'impatto sul business. Perché investire in questa architettura? Per gli operatori BTR e i gestori di alloggi per studenti, il WiFi non è più solo un servizio di base. È un servizio fondamentale. Una ricerca della British Property Federation mostra che un WiFi di alta qualità e senza attriti consente di ottenere un sovrapprezzo sull'affitto da quindici a trenta sterline per unità al mese. Implementando iPSK sul tuo hardware, anziché raggruppare contratti a banda larga per consumatori, acquisisci direttamente quel Net Operating Income. Il modello software overlay, in esecuzione sull'hardware che già possiedi, è costantemente positivo in termini di NOI. Inoltre, eliminando i Captive Portal e supportando tutti i dispositivi smart in modo fluido, riduci drasticamente i ticket di supporto e migliori la soddisfazione dei residenti. Il ticket di supporto multi-tenant più comune, Chromecast non si connette, scompare del tutto con una distribuzione iPSK configurata correttamente. Per riassumere i punti chiave del briefing di oggi. iPSK ti offre la sicurezza di una rete aziendale con la semplicità di una password domestica. Segmenta il tuo traffico in modo dinamico, protegge i tuoi dispositivi IoT e trasforma l'esperienza utente. Integralo con il tuo Identity Provider per automatizzare il ciclo di vita delle credenziali. Aggiorna al firmware Meraki corrente per gestire correttamente la randomizzazione MAC. E progetta le tue sottoreti in modo generoso fin dal primo giorno. Grazie per aver ascoltato questo Purple Technical Briefing. Per scoprire come Purple può automatizzare la tua distribuzione Meraki iPSK, visita purple dot ai.

header_image.png

Sintesi esecutiva

La sicurezza WiFi tradizionale impone un compromesso. Si sceglie la semplicità di una password condivisa, che comporta gravi rischi per la sicurezza, o la complessità dei certificati 802.1X, che bloccano i dispositivi smart. Identity Pre-Shared Key (iPSK) risolve questa tensione. Offre la sicurezza individuale e la visibilità di una rete aziendale con la semplicità di una password standard.

Questa guida illustra in dettaglio l'architettura tecnica di Cisco Meraki iPSK. Vengono trattate le strategie di implementazione, l'integrazione RADIUS e il business case per la sostituzione del legacy WPA2-Personal con la segmentazione basata sull'identità. Per gli sviluppatori immobiliari, i proprietari e gli operatori BTR, iPSK trasforma il WiFi da un semplice servizio a un'amenità sicura e gestita che giustifica un canone d'affitto più elevato.

Dati chiave: Meraki supporta fino a 5.000 iPSK univoche per SSID sul firmware MR 30.1+. Un singolo SSID può servire più VLAN isolate. L'integrazione con Microsoft Entra ID, Okta o Google Workspace automatizza l'intero ciclo di vita delle credenziali. Purple gestisce questo livello di orchestrazione in oltre 80.000 sedi a livello globale.

Approfondimento tecnico: comprendere l'architettura iPSK

Identity PSK assegna una password WiFi univoca a ogni singolo utente o dispositivo su un singolo Service Set Identifier (SSID). Sebbene tutti si connettano allo stesso nome di rete, la loro chiave univoca determina i loro specifici permessi di sicurezza, i limiti di larghezza di banda e l'assegnazione della Virtual Local Area Network (VLAN).

architecture_overview.png

Quando un dispositivo si associa all'access point, l'hardware Meraki intercetta la richiesta di autenticazione. L'access point interroga un server RADIUS centrale - o direttamente il Meraki Cloud in un'implementazione senza controller. Il server RADIUS convalida la password specifica fornita dal dispositivo rispetto alle credenziali memorizzate. Al termine della convalida, il server restituisce un messaggio Access-Accept contenente attributi specifici, tra cui la VLAN assegnata e la group policy.

Questa architettura cambia radicalmente il controllo dell'accesso alla rete. Invece di autenticare il dispositivo in base a un complesso scambio di certificati (EAP-TLS o PEAP), la rete autentica l'utente in base alla sua chiave univoca. Questo approccio supporta il 100% dei dispositivi wireless, compresi i sensori IoT (Internet of Things) headless, le console di gioco e gli elettrodomestici smart che non dispongono di supplicant 802.1X.

comparison_chart.png

Il ruolo di RADIUS nelle implementazioni iPSK

Sebbene Meraki supporti iPSK senza RADIUS - gestendo le chiavi direttamente nella dashboard, con un limite di 50 chiavi per SSID - i deployment enterprise richiedono un server di autenticazione centrale. L'integrazione di iPSK con RADIUS (come Microsoft NPS, Cisco ISE o FreeRADIUS) sblocca l'assegnazione dinamica della VLAN e la gestione centrale delle identità, scalando fino a 5.000 chiavi per SSID sul firmware MR 30.1+.

Durante la configurazione di iPSK con RADIUS sull'hardware Meraki, l'access point funge da autenticatore. Passa i parametri Extensible Authentication Protocol over LAN (EAPOL) scambiati durante l'handshake al server RADIUS. Il server RADIUS utilizza questi attributi per convalidare il client. Se viene trovata una corrispondenza, il server risponde con l'attributo Tunnel-Password, associando l'indirizzo MAC e la specifica chiave pre-condivisa.

Questo meccanismo consente ai network architect di segmentare il traffico a Layer 2. Un singolo SSID può reindirizzare un membro dello staff su una VLAN interna sicura, un ospite su una VLAN isolata solo Internet e un sensore IoT su una rete di dispositivi limitata - tutto da un'unica trasmissione.

Per un confronto più ampio delle implementazioni iPSK e PPSK tra i vari vendor, inclusi HPE Aruba, Ruckus e Juniper Mist, consulta la nostra guida su PPSK: confronto tra funzionalità e modelli di deployment .

Guida all'implementazione: distribuire Meraki iPSK

La distribuzione di iPSK richiede un'attenta pianificazione dell'architettura della subnet e dell'integrazione con l'identity provider. Segui queste best practice indipendenti dal vendor per un'implementazione resiliente.

Passaggio 1: progettazione di subnet e VLAN

Prima di configurare la dashboard Meraki, definisci la topologia di rete. Mappa i tuoi gruppi di utenti su VLAN specifiche. In un ambiente multi-tenant, come un complesso residenziale BTR, è necessario progettare un'architettura PAN (Private Area Network).

Una PAN crea una bolla virtuale attorno ai dispositivi specifici di un utente. iPSK garantisce l'isolamento a Layer 2 tra i tenant abilitando al contempo la riflessione mDNS all'interno della specifica VLAN. Ciò consente allo smartphone di un residente di rilevare il proprio Chromecast, rimanendo completamente invisibile al residente dell'appartamento adiacente.

Calcola gli scope DHCP con generosità. Un nucleo familiare moderno connette da 15 a 25 dispositivi. Un edificio di 200 unità richiederà indirizzi IP per un massimo di 5.000 dispositivi simultaneamente. Il sottodimensionamento delle subnet è la causa più comune di guasti post-deployment nelle reti BTR e per alloggi studenteschi.

Passaggio 2: configurazione della dashboard Meraki

Per abilitare iPSK con RADIUS sulla tua rete Meraki:

  1. Vai su Wireless > Configura > Controllo di accesso.
  2. Seleziona l'SSID di destinazione dal menu a discesa.
  3. Nella sezione Sicurezza, seleziona Identity PSK con RADIUS.
  4. Configura gli indirizzi IP, le porte e i secret condivisi del tuo server RADIUS.
  5. Nella sezione IP client e VLAN, abilita Tagging VLAN.
  6. Imposta Override RADIUS su Override tag VLAN. Questo passaggio consente al server RADIUS di dettare il segmento di rete in base alla chiave autenticata. Nota: iPSK con RADIUS richiede il firmware MR 26.5 o superiore. Easy PSK (che convalida i parametri EAPOL anziché gli indirizzi MAC) richiede la versione MR 32.1.3 o successiva. Conferma la versione del firmware prima dell'implementazione.

Passaggio 3: integrazione con l'identity provider

La gestione manuale delle chiavi fallisce su larga scala. Integra il tuo server RADIUS con un Identity Provider (IdP) come Microsoft Entra ID, Okta o Google Workspace. Utilizza il protocollo SCIM per automatizzare il ciclo di vita delle chiavi pre-condivise. Quando le risorse umane aggiungono un nuovo dipendente alla directory, il sistema genera automaticamente una chiave WiFi univoca. Al momento dell'uscita del dipendente, il sistema revoca istantaneamente la chiave, interrompendo l'accesso alla rete senza influire su nessun altro utente.

Purple automatizza l'intero ciclo di vita. La piattaforma Purple funge da livello di orchestrazione, collegando la tua infrastruttura Meraki con la tua directory centrale per gestire le chiavi in modo dinamico in oltre 80.000 sedi.

Best practice per la sicurezza aziendale

Implementa queste raccomandazioni standard del settore per rafforzare la tua implementazione di iPSK.

Imponi un isolamento rigoroso dei dispositivi

Negli ambienti della pubblica amministrazione e nelle catene di vendita al dettaglio, l'isolamento dei dispositivi è un requisito di sicurezza obbligatorio. Utilizza la dashboard Meraki per abilitare l'isolamento Layer 2 sulle VLAN guest e IoT. Ciò impedisce il movimento laterale all'interno della rete in caso di compromissione di un singolo dispositivo. Questa configurazione è in linea con i requisiti ISO 27001 per la segregazione di rete.

Segmenta il traffico IoT

Non posizionare mai i dispositivi IoT sullo stesso segmento di rete dei dati aziendali. L'iPSK semplifica questa segmentazione. Assegna una chiave specifica ai tuoi sistemi di gestione dell'edificio, ai controller HVAC e alle telecamere di sicurezza. Associa questa chiave a una VLAN limitata con regole di firewall rigorose che consentono solo il traffico in uscita verso domini specifici del fornitore.

Automatizza la rotazione delle chiavi

Sebbene le singole chiavi limitino il raggio d'azione di una password compromessa, la rotazione regolare rimane una best practice. Automatizza la generazione di nuove chiavi per i collaboratori a lungo termine e lo staff temporaneo. Utilizza l'API di Meraki o una piattaforma come Purple per distribuire queste chiavi in modo sicuro tramite SMS o e-mail, eliminando i costi di gestione manuale dell'helpdesk.

Conformità PCI DSS negli ambienti retail

Per gli operatori della vendita al dettaglio, l'iPSK supporta direttamente i requisiti di segmentazione della rete PCI DSS. Assegnando una chiave dedicata ai terminali POS e mappandola su una VLAN isolata che instrada solo verso il processore di pagamento, riduci la portata del tuo ambiente dei dati dei titolari di carta (CDE). Meraki possiede la certificazione PCI DSS Level 1 Service Provider, fornendo una linea di base di conformità aggiuntiva. Consulta la nostra pagina del settore Retail per una panoramica dettagliata sulla conformità.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione attenta, le implementazioni iPSK possono riscontrare modalità di guasto specifiche.

Il timeout dell'handshake EAPOL

Quando si utilizza iPSK con RADIUS, il server RADIUS deve convalidare i parametri EAPOL rispetto al database delle chiavi note. Se il database è di grandi dimensioni e il server dispone di risorse insufficienti, potrebbe essere necessario troppo tempo per trovare una corrispondenza, con conseguente timeout dell'handshake EAPOL. L'access point interrompe la connessione.

Per mitigare questo rischio, assicurarsi che l'infrastruttura RADIUS sia adeguatamente dimensionata in termini di risorse. Se si utilizza un RADIUS ospitato in cloud, monitorare la latenza tra gli access point Meraki e i server di autenticazione. Un'elevata latenza causerà costantemente fallimenti dell'handshake su larga scala.

Sfide legate alla randomizzazione del MAC

I sistemi operativi moderni (iOS 14+, Android 10+, Windows 11) utilizzano indirizzi MAC randomizzati per proteggere la privacy dell'utente. Se la distribuzione RADIUS si basa rigorosamente sul MAC Authentication Bypass (MAB) associato a un iPSK specifico, questi dispositivi non riusciranno a connettersi quando il loro indirizzo MAC ruota.

Per risolvere questo problema, istruire gli utenti a disattivare la funzione "Indirizzo WiFi privato" per lo specifico SSID aziendale o residenziale, oppure eseguire l'aggiornamento alla funzione Easy PSK nel firmware Meraki MR 32.1.3+, che si basa sui parametri EAPOL anziché su un binding statico dell'indirizzo MAC.

Compatibilità WPA3

Meraki iPSK non supporta attualmente la crittografia WPA3. Se la roadmap a lungo termine include la distribuzione di WPA3 o Wi-Fi 6E, tenere conto di questa limitazione nella pianificazione. Monitorare le note di rilascio di Cisco Meraki per aggiornamenti su questo vincolo.

Case study: sviluppo BTR da 250 unità

Un importante operatore Build-to-Rent a Londra ha distribuito Meraki iPSK in un complesso residenziale di 250 unità utilizzando la piattaforma Multi-Tenant WiFi di Purple. L'operatore ha sostituito un sistema legacy composto da router individuali per ogni appartamento, che generava una media di 12 ticket di supporto al mese relativi a errori di associazione Chromecast e reimpostazioni della password.

Dopo la distribuzione, ogni residente ha ricevuto una chiave unica prima della data di trasloco. Tutti i 250 residenti hanno connesso i propri dispositivi - inclusi smart TV, stampanti wireless e dispositivi Amazon Echo - senza alcun intervento IT manuale. I ticket di supporto relativi al WiFi sono scesi a meno di due al mese. L'operatore ha attribuito un sovrapprezzo sul canone di locazione mensile di £20 per unità al servizio WiFi "Instant-On", generando un fatturato aggiuntivo di £60.000 all'anno per il singolo complesso residenziale.

Per saperne di più sul caso d'uso del settore Hospitality e su come iPSK elimina gli attriti per gli ospiti, consultare la nostra guida su come creare un'ottima prima impressione con il WiFi per gli ospiti .

Case study: catena di vendita al dettaglio nazionale

Una catena di vendita al dettaglio nazionale con 400 punti vendita aveva la necessità di segmentare i terminali point-of-sale, la segnaletica digitale e i tablet del personale in tutta l'infrastruttura, mantenendo la conformità PCI-DSS. Utilizzavano tre SSID separati per punto vendita, creando un notevole sovraccarico RF e riducendo il throughput. Implementando Meraki iPSK, hanno consolidato a un singolo SSID per sede. Sono state create tre chiavi distinte: una per i terminali POS (associata a una VLAN di pagamento limitata), una per il digital signage (VLAN solo internet) e una per i tablet del personale (VLAN aziendale). L'API della dashboard Meraki ha inviato queste configurazioni a tutte le 400 sedi simultaneamente. L'ambiente RF è migliorato notevolmente e l'ambito dell'audit PCI-DSS è stato ridotto isolando l'ambiente dei dati dei titolari di carta all'edge wireless.

Per saperne di più su WiFi Analytics e su come i dati di queste reti guidano la business intelligence, consulta la panoramica della nostra piattaforma di analytics.

ROI e impatto aziendale

Il passaggio a iPSK richiede investimenti nell'infrastruttura RADIUS e nell'integrazione. I ritorni operativi giustificano la spesa in conto capitale su tre dimensioni.

Premio di locazione. Le ricerche della British Property Federation indicano che un WiFi di alta qualità e senza attriti comporta un premio di locazione da £15 a £30 per unità al mese negli sviluppi BTR. Implementando iPSK su hardware di proprietà anziché includere contratti a banda larga consumer, gli operatori acquisiscono direttamente questo reddito operativo netto.

Riduzione dei costi di supporto. iPSK elimina i ticket di supporto multi-tenant più comuni: errori di accoppiamento di Chromecast, reimpostazioni della password e problemi di onboarding dei dispositivi. Gli operatori segnalano costantemente una riduzione dell'80% o più dei contatti di supporto relativi al WiFi dopo l'implementazione.

Riduzione del periodo di inattività. La disponibilità del WiFi il giorno del trasloco riduce i periodi di inattività in media da cinque a dieci giorni, secondo i benchmark del settore BTR. I residenti che possono connettersi immediatamente hanno meno probabilità di ritardare il trasloco o richiedere la risoluzione anticipata.

Per una panoramica completa dell'architettura di come la piattaforma Multi-Tenant WiFi di Purple si integra con l'hardware Meraki, Ruckus, HPE Aruba, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet, parla con il nostro team .

Per un confronto tra iPSK e PPSK e altre implementazioni specifiche del fornitore, consulta la nostra guida Three SSIDs to rule them all .

Definizioni chiave

iPSK (Identity Pre-Shared Key)

Un meccanismo di sicurezza wireless che assegna una password univoca a singoli utenti o dispositivi su un singolo SSID, consentendo l'applicazione granulare delle policy e l'assegnazione delle VLAN senza richiedere certificati 802.1X.

Utilizzato quando i team IT devono proteggere dispositivi IoT headless o fornire reti private in ambienti multi-tenant senza la complessità dell'802.1X. Implementazione di Cisco Meraki; equivalente a Ruckus DPSK e HPE Aruba MPSK.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono a un servizio di rete.

Il motore centrale che convalida le password iPSK e comunica all'access point Meraki quale VLAN assegnare al dispositivo connesso. Le implementazioni comuni includono Microsoft NPS, Cisco ISE e FreeRADIUS.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa una serie di dispositivi provenienti da diverse LAN fisiche, isolando il loro traffico al Livello 2.

Fondamentale per la segmentazione della rete nelle distribuzioni iPSK. Il server RADIUS assegna dinamicamente gli utenti a specifiche VLAN in base alla password che utilizzano per connettersi, consentendo a un solo SSID di servire più segmenti di rete isolati.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che richiede ai dispositivi di autenticarsi tramite un server centrale utilizzando credenziali o certificati digitali prima di ottenere l'accesso alla rete.

Lo standard di sicurezza aziendale tradizionale. L'iPSK viene spesso implementato come alternativa a 802.1X per supportare i dispositivi smart che non dispongono del software supplicant necessario, inclusi i sensori IoT e le console da gioco.

EAPOL (Extensible Authentication Protocol over LAN)

Un protocollo di autenticazione della porta di rete utilizzato in IEEE 802.1X per incapsulare i messaggi EAP tra il supplicant (dispositivo client) e l'authenticator (access point).

Nelle implementazioni Meraki Easy PSK (firmware MR 32.1.3+), l'access point trasmette i parametri EAPOL al server RADIUS per convalidare la chiave pre-condivisa del client senza fare affidamento sull'indirizzo MAC, risolvendo i problemi di randomizzazione del MAC.

mDNS (Multicast DNS)

Un protocollo che risolve i nomi host in indirizzi IP all'interno di reti di piccole dimensioni che non includono un server dei nomi locale, consentendo il rilevamento dei dispositivi sui segmenti locali.

La tecnologia che consente di rilevare dispositivi come Apple TV, Chromecast e stampanti wireless su una rete locale. Le implementazioni iPSK devono configurare il reflection mDNS per garantire che i residenti possano vedere i propri dispositivi ma non quelli dei vicini.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Una comune fonte di attrito nel WiFi per il settore alberghiero e residenziale. L'iPSK elimina la necessità di Captive Portal autenticando l'utente in modo fluido tramite la sua chiave univoca. Per i casi d'uso del WiFi per gli ospiti in cui è richiesta l'acquisizione dei dati, Purple supporta il consenso esplicito e consapevole insieme a iPSK.

MAC Authentication Bypass (MAB)

Una tecnica che utilizza l'indirizzo MAC di un dispositivo come identità per concedere l'accesso alla rete, tipicamente utilizzata per i dispositivi che non supportano 802.1X.

Storicamente utilizzato insieme a iPSK per associare una chiave specifica a un dispositivo specifico. Questo approccio sta diventando inaffidabile a causa della randomizzazione dell'indirizzo MAC in iOS 14+, Android 10+ e Windows 11. Easy PSK risolve questo problema utilizzando invece i parametri EAPOL.

Private Area Network (PAN)

Un segmento di rete virtuale creato attorno ai dispositivi di uno specifico utente all'interno di un'infrastruttura condivisa, che consente il rilevamento dei dispositivi all'interno del segmento mantenendo l'isolamento da tutti gli altri utenti.

La caratteristica distintiva del WiFi multi-tenant. In un complesso BTR, la PAN di ciascun residente consente ai suoi dispositivi smart home di comunicare tra loro pur rimanendo invisibili ai vicini sugli stessi access point fisici.

Esempi pratici

Un complesso Build-to-Rent da 250 unità deve fornire un WiFi sicuro e di tipo domestico a tutti i residenti. L'operatore desidera utilizzare un unico SSID per l'intero edificio per ridurre le interferenze RF, ma i residenti devono poter collegare smart TV e stampanti wireless in modo sicuro senza che gli altri appartamenti vedano i loro dispositivi.

Distribuisci access point Meraki che trasmettono un singolo SSID configurato per Identity PSK con RADIUS. Integra la rete Meraki con un server RADIUS centrale gestito dalla piattaforma Purple. Quando un residente firma il contratto di locazione, il sistema genera automaticamente una PSK unica e la assegna a una VLAN dedicata specifica per il suo appartamento. Il residente utilizza questa chiave singola per tutti i suoi dispositivi (telefoni, laptop, smart speaker). La rete impone l'isolamento di Layer 2 tra le diverse VLAN, garantendo la completa privacy tra gli appartamenti, consentendo al contempo la riflessione mDNS all'interno della specifica VLAN del residente in modo che i suoi dispositivi possano scoprirsi a vicenda. Configura gli scopi DHCP per un minimo di 25 indirizzi per unità per accogliere la densità dei dispositivi IoT.

Commento dell'esaminatore: Questa architettura risolve direttamente la sfida della connettività multi-tenant. Lo standard WPA2-Personal esporrebbe tutti i dispositivi a tutti gli utenti dell'edificio. L'802.1X proteggerebbe i laptop ma bloccherebbe le smart TV. iPSK offre il livello di sicurezza richiesto mantenendo l'esperienza utente fluida necessaria per un servizio residenziale. La configurazione della riflessione mDNS è il dettaglio che manca nella maggior parte delle implementazioni - senza di essa, Chromecast e AirPlay non funzioneranno all'interno della bolla del residente.

Una catena di vendita al dettaglio nazionale deve distribuire nuovi terminali point-of-sale (POS), display per segnaletica digitale e tablet per il personale in 400 sedi. Devono mantenere la conformità PCI DSS riducendo al contempo l'overhead RF derivante da più SSID.

Implementa Meraki iPSK per segmentare i dispositivi all'edge wireless. Crea tre chiavi distinte per ciascuna sede: una per i terminali POS mappati su una VLAN limitata che instrada solo verso il processore di pagamento, una per la segnaletica digitale su una VLAN solo internet e una per i tablet del personale su una VLAN aziendale con accesso ai sistemi di inventario. Utilizza l'API della dashboard Meraki per inviare queste configurazioni a tutte le 400 sedi contemporaneamente. Questo consolida tre SSID in uno, riducendo l'overhead RF e migliorando il throughput. L'ambiente dei dati dei titolari di carta PCI DSS è isolato all'edge wireless, riducendo l'ambito di audit.

Commento dell'esaminatore: Questo approccio soddisfa i requisiti PCI DSS per la segmentazione della rete senza richiedere complesse configurazioni delle porte degli switch o più SSID. Isolando il CDE all'edge wireless tramite chiavi specifiche, il rivenditore riduce l'ambito di conformità e protegge la rete dai movimenti laterali. L'implementazione basata su API è il principale guadagno in termini di efficienza - la configurazione manuale su 400 siti sarebbe insostenibile dal punto di vista operativo.

Domande di esercitazione

Q1. Stai progettando la rete per un complesso di alloggi per studenti da 500 posti letto. Il cliente desidera utilizzare 802.1X per la sicurezza, ma richiede anche il supporto per le console PlayStation 5 e gli altoparlanti Amazon Echo. Come risolvi questo conflitto?

Suggerimento: Considera le limitazioni dei supplicant 802.1X sull'hardware di consumo e i requisiti di densità dei dispositivi di un ambiente studentesco.

Visualizza risposta modello

Distribuisci Meraki iPSK invece di 802.1X. Genera una chiave pre-condivisa unica per ogni studente durante l'iscrizione. Questo garantisce una responsabilità individuale e una sicurezza equivalente a una rete aziendale, ma utilizza un meccanismo di password standard completamente compatibile con console di gioco e smart speaker. Configura la rete per isolare i dispositivi di ciascuno studente nella propria Private Area Network (PAN) utilizzando l'assegnazione VLAN tramite RADIUS. Assicurati che il firmware sia MR 32.1.3 o successivo per gestire la randomizzazione MAC tramite Easy PSK. Progetta pool DHCP per almeno 25 dispositivi per studente per accogliere l'intero parco dispositivi.

Q2. Un cliente retail che utilizza Meraki iPSK con un server RADIUS centrale segnala che alcuni dispositivi Android e iOS più recenti non riescono a connettersi, anche inserendo la password corretta. I dispositivi più vecchi si connettono senza problemi. Qual è la causa probabile e quale la soluzione?

Suggerimento: Pensa alle funzionalità di privacy introdotte nei sistemi operativi mobili a partire dal 2020 e a come influenzano l'autenticazione basata su MAC.

Visualizza risposta modello

Il problema è causato dalla randomizzazione dell'indirizzo MAC (Indirizzo WiFi privato) sui dispositivi più recenti. Se il server RADIUS è configurato per associare l'iPSK a un indirizzo MAC specifico tramite MAC Authentication Bypass, l'autenticazione fallirà quando il dispositivo ruota il proprio MAC. La soluzione consiste nell'aggiornare il firmware Meraki a MR 32.1.3 o successivo e abilitare Easy PSK, che convalida i parametri EAPOL invece di affidarsi a un'associazione MAC statica. Come misura temporanea, istruisci gli utenti a disabilitare la funzionalità dell'indirizzo privato per questo specifico SSID di rete.

Q3. Un operatore BTR desidera offrire un servizio WiFi Instant-On in cui i residenti hanno accesso alla rete dal momento in cui si trasferiscono. Attualmente si affidano alla generazione manuale delle password da parte del gestore dell'edificio, il che causa ritardi da uno a tre giorni. Come si può migliorare questo processo?

Suggerimento: Considera come i provider di identità e le API possono automatizzare il provisioning dell'accesso alla rete e collegarlo al flusso di gestione dei contratti di locazione.

Visualizza risposta modello

Automatizza il ciclo di vita delle chiavi integrando il sistema di gestione immobiliare con il server RADIUS tramite SCIM o API. Quando viene firmato un contratto di locazione e il residente viene aggiunto al sistema, uno script genera automaticamente l'iPSK unico, lo assegna alla VLAN corretta dell'appartamento e invia le credenziali via email al residente prima della data di trasloco. La piattaforma di Purple coordina l'intero flusso di lavoro, collegando l'infrastruttura Meraki con l'identity provider per eliminare l'intervento manuale. Il residente riceve la propria chiave prima dell'arrivo, consentendo una connettività Instant-On reale il giorno del trasloco.

Q4. Un centro congressi desidera fornire WiFi sicuro e isolato a dieci eventi aziendali simultanei, ciascuno dei quali richiede il proprio segmento di rete privato. Vogliono evitare di trasmettere dieci SSID separati. Qual è l'architettura corretta?

Suggerimento: Considera come l'assegnazione della VLAN iPSK possa creare una separazione logica senza richiedere più SSID.

Visualizza risposta modello

Distribuisci un singolo SSID configurato per iPSK con RADIUS. Crea dieci chiavi uniche, una per evento. Mappa ogni chiave su una VLAN dedicata nella configurazione del server RADIUS. Quando gli organizzatori dell'evento distribuiscono la loro chiave unica ai partecipanti, tutti i dispositivi di quell'evento atterrano sulla stessa VLAN isolata, senza visibilità sugli altri eventi. Questo elimina il sovraccarico RF di dieci SSID, che ridurrebbe significativamente il throughput in un ambiente ad alta densità. Dopo ogni evento, revoca la chiave e riutilizza la VLAN per la prenotazione successiva.

Continua a leggere questa serie

Uu PPSK pdf: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnico confronta l'architettura WiFi Private Pre-Shared Key (PPSK) con le distribuzioni tradizionali 802.1X e PSK standard. Fornisce ad architetti di rete e IT manager strategie di implementazione indipendenti dai vendor per ambienti residenziali multi-tenant, IoT e BTR.

Leggi la guida →

UU PPSK 2023: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnica confronta l'architettura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) con le tradizionali implementazioni PSK condivise e 802.1X, con un focus specifico sul panorama del 2023 relativo alle implementazioni dei vendor e alle funzionalità delle piattaforme. Fornisce a sviluppatori immobiliari, operatori BTR e proprietari di MDU strategie di implementazione pratiche, linee guida sull'architettura VLAN e workflow automatizzati per la gestione del ciclo di vita. La guida copre tre modelli di implementazione, casi di studio reali e le implicazioni di conformità di ciascun approccio di autenticazione.

Leggi la guida →

PPSK xaverius: confronto tra funzionalità e modelli di implementazione

Questa guida autorevole esamina l'architettura PPSK xaverius per ambienti multi-tenant come il Build to Rent e gli alloggi per studenti. Confronta i modelli di implementazione, dettaglia le strategie di applicazione e spiega come l'isolamento VLAN per unità offra un'esperienza WiFi simile a quella domestica mantenendo la sicurezza aziendale.

Leggi la guida →