Ruu PPSK: comparing features and deployment models

Benvenuto al Technical Briefing di Purple. Oggi parleremo di Ruu PPSK, ovvero l'architettura WiFi con Private Pre-Shared Key, e in particolare di come si applica ai complessi residenziali e commerciali multi-tenant. Ti guiderò attraverso la sua definizione, il confronto con le alternative, il modello di implementazione più adatto alla tua situazione e le insidie che ostacolano la maggior parte dei progetti. Cominciamo. In primo luogo, analizziamo il problema. Se gestisci un complesso Build to Rent, uno studentato o qualsiasi proprietà multi-abitativa, ti trovi ad affrontare una sfida WiFi specifica che il networking aziendale standard non risolve in modo pulito. In una rete WPA2 Personal tradizionale, ogni dispositivo nell'edificio condivide la stessa password. Quando un residente si trasferisce, hai due opzioni. Cambi la password, interrompendo il WiFi di tutti gli altri residenti nell'edificio, oppure lasci l'accesso al precedente residente. Nessuna delle due opzioni è accettabile e, con 200 unità, nessuna delle due è fattibile dal punto di vista operativo. Questo è il problema che il PPSK risolve. La Private Pre-Shared Key fornisce a ciascun residente, a ciascun appartamento o a ciascun gruppo di dispositivi la propria chiave di accesso WiFi univoca. Tutti si connettono allo stesso SSID, lo stesso nome di rete, ma ogni chiave è mappata su una VLAN (Virtual Local Area Network) separata. L'appartamento 12 è sulla VLAN 10. L'appartamento 13 è sulla VLAN 20. I dispositivi IoT sono sulla VLAN 99. L'access point gestisce automaticamente la mappatura dalla chiave alla VLAN. Nessun server RADIUS richiesto nel modello base. Nessuna infrastruttura di certificati. Nessun supplicant 802.1X sul dispositivo. Ora, una parola sulla terminologia, perché è qui che nasce una vera confusione sul mercato. Aruba lo chiama PPSK. Cisco Meraki lo definisce iPSK, o Identity PSK. Juniper Mist utilizza ePSK. Extreme Networks, che ha originariamente sviluppato il concetto sotto il marchio Aerohive, lo chiama Private PSK. Ubiquiti UniFi lo definisce semplicemente PPSK. Anche Cambium utilizza ePSK. Il meccanismo di base è identico per tutti. Un unico SSID, più chiavi univoche, ogni chiave legata a una VLAN o a un gruppo di policy. La denominazione dei vendor è puro marketing, non una distinzione tecnica. Ti spiego cosa succede effettivamente a livello di associazione, perché è qui che l'architettura dimostra il suo valore. Quando il dispositivo di un residente si connette all'SSID, presenta la sua chiave pre-condivisa durante l'handshake a quattro vie WPA2. L'access point, o il controller cloud alle sue spalle, cerca quella chiave nel database PPSK, identifica a quale VLAN è associata e tagga il traffico del dispositivo di conseguenza da quel momento in poi. Il dispositivo vede una connessione WiFi del tutto normale. Non ha idea di essere stato inserito in un segmento isolato. Il suo Chromecast funziona. Il suo smart speaker si accoppia. La sua console ottiene il tipo di NAT corretto. Tutto si comporta esattamente come su una connessione a banda larga domestica, perché, dal punto di vista del dispositivo, è esattamente così. Questa è la differenza fondamentale rispetto a 802.1X, che rappresenta lo standard aziendale per le reti del personale e gli ambienti corporate. 802.1X richiede un server RADIUS, un identity provider e un supplicant su ogni dispositivo. Il supplicant è il componente software che gestisce lo scambio di autenticazione EAP. Ogni laptop gestito e ogni telefono aziendale ne ha uno. Il frigorifero smart dei tuoi residenti no. Il controller HVAC del tuo edificio no. I tuoi sensori IoT no. PPSK funziona con tutti loro perché opera a livello WPA Personal, non a livello WPA Enterprise. Detto questo, PPSK non sostituisce 802.1X negli ambienti aziendali. È uno strumento diverso per un problema diverso. Se gestisci una rete per il personale in cui conta la responsabilità individuale, in cui devi sapere che una persona specifica si è autenticata in un momento specifico e devi revocare il suo accesso nel momento in cui lascia l'organizzazione, 802.1X è la risposta giusta. Se gestisci una rete residenziale in cui hai bisogno di isolamento per singolo nucleo familiare, supporto IoT e semplicità operativa su scala, PPSK è la risposta giusta. Esaminiamo i tre modelli di implementazione, perché è qui che viene presa la decisione architetturale. Il primo modello è quello del cloud controller. Questo è il pattern più comune per le nuove installazioni. I tuoi access point si connettono a una piattaforma di gestione cloud. Il keystore PPSK risiede nel cloud controller. Quando registri un nuovo residente, crei una chiave nel portale, la assegni a una VLAN e il controller invia la policy a ogni access point dell'edificio. Il residente riceve la chiave via email, SMS o tramite un codice QR nel pacchetto di benvenuto. Lo scansionano, tutti i loro dispositivi si connettono e il loro Chromecast, smart speaker e console funzionano immediatamente. Quando si trasferiscono, elimini la chiave. I loro dispositivi smettono di connettersi. Nessun altro viene influenzato. Questo modello funziona bene per installazioni fino a circa 200 unità. È il più semplice da gestire e non richiede infrastrutture aggiuntive. Il secondo modello è PPSK con un backend RADIUS. Alcune installazioni aziendali utilizzano un server RADIUS per memorizzare e convalidare le credenziali PPSK. Questo ti offre logging centralizzato, audit trail e integrazione con la tua piattaforma di gestione delle identità. Aggiunge un sovraccarico infrastrutturale ma ti offre la responsabilità di 802.1X con la compatibilità dei dispositivi di PPSK. È il modello giusto per ambienti misti, ad esempio uno spazio di coworking in cui sono presenti sia dispositivi aziendali gestiti sia apparecchiature IoT di proprietà dei membri, o uno sviluppo BTR in cui l'operatore ha obblighi di conformità che richiedono audit trail per singolo residente. Il modello tre è l'architettura ibrida. I residenti utilizzano PPSK per i loro laptop e dispositivi IoT. Il personale dell'edificio utilizza 802.1X per i dispositivi aziendali. Entrambi i gruppi si connettono alla stessa infrastruttura fisica ma si mappano su segmenti logici diversi. Purple consiglia questa architettura per distribuzioni complete Build to Rent e unità abitative plurifamiliari. Tre modelli di autenticazione distinti, tre VLAN distinte, un'unica infrastruttura fisica. È l'architettura che offre la semplicità consumer per i residenti e la responsabilità aziendale per il personale, senza dover gestire due reti separate. Esaminiamo ora le specifiche di implementazione. Se si distribuisce PPSK per uno sviluppo BTR o una proprietà MDU, ecco la sequenza ottimale. Iniziate con il vostro design logico prima di toccare l'hardware. Mappate il numero di residenti, le categorie di dispositivi IoT e tutti i sistemi del personale o di gestione. Assegnate le VLAN. Una tipica distribuzione BTR si presenta così: VLAN da 10 fino al numero di unità per i residenti, una VLAN per appartamento o una VLAN per piano a seconda della densità. VLAN 99 per l'IoT. VLAN 100 per la gestione dell'edificio. VLAN 200 per il WiFi per gli ospiti nelle aree comuni. Quindi documentate il vostro schema di indirizzamento IP. In un edificio di 200 unità, si prevede di avere dai 3.000 ai 5.000 dispositivi sulla rete in qualsiasi momento. Questa è la cifra di 15-25 dispositivi per famiglia ricavata dalle ricerche della British Property Federation. I vostri scope DHCP devono essere in grado di supportare questo volume. Utilizzate l'indirizzamento privato RFC 1918 con dimensioni di subnet sufficienti per ciascuna VLAN. Una barra 24 offre 254 indirizzi utilizzabili. Una barra 23 ne offre 510. Scegliete le dimensioni di conseguenza. Per quanto riguarda la selezione dell'hardware, PPSK è supportato da tutte le principali piattaforme di access point aziendali. Cisco Meraki lo chiama iPSK e lo gestisce tramite la dashboard Meraki. HPE Aruba lo implementa nativamente in ArubaOS e Aruba Central. Ruckus lo supporta tramite SmartZone e la piattaforma Ruckus Cloud. Juniper Mist utilizza ePSK con gestione RF guidata dall'IA. Ubiquiti UniFi supporta PPSK dal 2023, anche se si nota che al momento è solo WPA2 e non funziona sulla banda a 6 gigahertz. Cambium ed Extreme lo supportano entrambi attraverso le rispettive piattaforme cloud. Un vincolo critico da segnalare: l'implementazione PPSK di UniFi è solo WPA2. Se state specificando access point WiFi 6E e desiderate utilizzare la banda a 6 gigahertz per i client PPSK, avrete bisogno di una piattaforma che supporti WPA3-SAE con PPSK, oppure dovrete limitare i client PPSK alle bande a 2,4 e 5 gigahertz. Aruba, Ruckus e Meraki supportano tutti PPSK su configurazioni WPA3. Ora i problemi comuni. Questi sono i tipi di guasti che riscontro ripetutamente nelle implementazioni in produzione. Primo errore: la proliferazione di SSID. Ogni SSID trasmesso consuma tempo di trasmissione per i beacon frame. In un edificio residenziale denso, se trasmetti sei o otto SSID per access point, riduci le prestazioni per tutti. Mantieni un massimo di quattro SSID per radio. Utilizza PPSK per servire più segmenti di residenti da un singolo SSID anziché creare un SSID separato per appartamento o per piano. Secondo errore: configurazione insufficiente delle porte trunk. Progetti uno schema VLAN pulito, distribuisci gli access point e poi il traffico si interrompe silenziosamente perché qualcuno ha dimenticato di consentire le VLAN pertinenti su un collegamento trunk tra lo switch di distribuzione e l'access layer. Convalida ogni porta trunk durante la messa in servizio. Documentala. Testala con un dispositivo su ciascuna VLAN prima che i residenti si trasferiscano. Terzo errore: distribuzione delle chiavi. Generare le chiavi è facile. Fornirle ai residenti in modo sicuro e gestibile dal punto di vista operativo è più difficile. Un codice QR nel pacchetto di benvenuto funziona bene per il giorno del trasloco. Un portale per i residenti in cui possono recuperare la propria chiave e aggiungere nuovi dispositivi è preferibile per le operazioni quotidiane. Costruisci il flusso di lavoro per la distribuzione delle chiavi prima della distribuzione, non dopo. Quarto errore: randomizzazione degli indirizzi MAC. A partire da iOS 14, Android 10 e Windows 11, i dispositivi utilizzano indirizzi MAC randomizzati per impostazione predefinita per motivi di privacy. Se il tuo server RADIUS esegue una ricerca MAC e il dispositivo presenta un indirizzo randomizzato, la ricerca fallisce e il dispositivo non può connettersi. Configura il tuo SSID per richiedere che i client utilizzino il loro indirizzo MAC hardware permanente, oppure implementa un flusso di lavoro di pre-registrazione. La piattaforma di Purple gestisce questo aspetto automaticamente come parte del flusso di onboarding dei residenti. Permettimi di presentarti due scenari reali per rendere il tutto più concreto. Scenario uno: uno sviluppo Build to Rent da 180 unità in un centro città. L'operatore desiderava che il WiFi fosse incluso nell'affitto come servizio aggiuntivo, con attivazione il giorno del trasloco e supporto completo per la casa intelligente. Hanno distribuito access point HPE Aruba gestiti tramite Aruba Central. Ogni appartamento riceve una chiave PPSK unica generata al momento della firma del contratto di locazione. La chiave viene inviata via e-mail al residente con un codice QR. Lo scansionano, tutti i loro dispositivi si connettono e il loro Chromecast, smart speaker e console funzionano immediatamente. Quando un residente si trasferisce, il gestore della proprietà elimina la chiave nel portale. Il nuovo residente riceve una nuova chiave al momento del trasloco. Zero problemi di rotazione delle password. L'operatore ha registrato una riduzione del 30% dei ticket di assistenza legati al WiFi rispetto alla precedente distribuzione con password condivisa. Scenario due: un blocco di alloggi per studenti appositamente costruito da 400 posti letto. La sfida qui è la settimana di trasloco della coorte, con centinaia di studenti che arrivano contemporaneamente, cercando tutti di connettere decine di dispositivi contemporaneamente. L'operatore ha utilizzato gli access point Ruckus con SmartZone, implementando PPSK con una chiave per camera. Le chiavi sono state generate in anticipo e incluse nel pacchetto di benvenuto inviato prima dell'arrivo. Gli studenti hanno scansionato il codice QR all'arrivo e si sono connessi in pochi secondi. La rete ha gestito il picco di traslochi senza degradazione perché il traffico di ciascuno studente era isolato nel proprio segmento VLAN. Ora passiamo a una serie di domande rapide su quelle che sorgono più spesso. Quante chiavi PPSK può gestire un singolo access point? La maggior parte delle piattaforme enterprise supporta migliaia di chiavi per SSID. Cisco Meraki supporta fino a 5.000 voci iPSK per rete. Aruba scala in modo simile. Ubiquiti UniFi supporta fino a 1.000 voci PPSK per rete. Per un edificio di 200 unità, sei ampiamente entro i limiti su qualsiasi piattaforma. PPSK funziona con WPA3? Sì, sulla maggior parte delle piattaforme enterprise. WPA3-SAE offre una protezione più forte contro gli attacchi di dizionario offline rispetto a WPA2-PSK. L'eccezione è UniFi, che attualmente è solo WPA2 per PPSK. Posso integrare PPSK con il mio sistema di gestione immobiliare? Sì, tramite l'API del fornitore. Aruba Central, Meraki, Ruckus e Mist espongono tutti API REST per la gestione delle chiavi PPSK. La piattaforma di Purple fornisce un livello di integrazione predefinito che collega automaticamente il tuo sistema di gestione immobiliare al ciclo di vita delle chiavi PPSK. PPSK è conforme al GDPR? Sì, se implementato correttamente. PPSK con chiavi per residente offre la tracciabilità di audit necessaria per rispondere alle richieste di accesso degli interessati e alle richieste delle forze dell'ordine con dati specifici del residente. Con una PSK condivisa, questo è impossibile. Ogni dispositivo appare identico dal punto di vista della rete. Per riassumere. PPSK è l'architettura corretta per il WiFi multi-tenant in ambienti BTR, alloggi per studenti e MDU. Offre isolamento per unità, compatibilità IoT e semplicità operativa che né la PSK standard né 802.1X possono eguagliare in un contesto residenziale. Progetta le tue VLAN prima di toccare l'hardware. Metti in sicurezza i tuoi trunk link. Automatizza la distribuzione delle chiavi. Verifica il supporto WPA3 del tuo fornitore se stai implementando WiFi 6E. E integrati con il tuo sistema di gestione immobiliare fin dal primo giorno, non come un ripensamento. Purple opera in 80.000 sedi attive e si integra come overlay cloud su Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se desideri vedere come funziona in pratica per il tuo sviluppo, il passo successivo è una chiamata di scoping tecnico con il nostro team di progettazione di rete. Grazie per aver ascoltato il Purple Technical Briefing.