UniFi PPSK: confronto delle funzionalità e dei modelli di distribuzione

Benvenuto al Technical Briefing di Purple. Oggi parleremo di UniFi PPSK - cos'è, come si inserisce nel tuo kit di strumenti per la progettazione di reti e, soprattutto, quando utilizzarlo rispetto alle alternative. Lascia che ti descriva lo scenario. Sei un promotore immobiliare, un operatore BTR o un responsabile IT incaricato di gestire un edificio con centinaia di residenti o inquilini. Hai bisogno di un WiFi che isoli ogni nucleo familiare dagli altri, supporti i dispositivi smart home e non ti costringa a cambiare una password condivisa ogni volta che qualcuno si trasferisce. Questo è il problema che PPSK è stato progettato per risolvere - ed è importante comprenderne sia i punti di forza sia i limiti strutturali prima di adottarlo. Quindi, cos'è esattamente PPSK? PPSK sta per Private Pre-Shared Key. Si tratta di una funzionalità integrata in UniFi Network che consente di gestire un singolo SSID WiFi con più password diverse, dove ciascuna password è mappata su una VLAN specifica. Il concetto è semplice. Invece di avere un'unica password condivisa per tutti, assegni una password diversa a ogni inquilino, a ogni gruppo di dispositivi o a ogni caso d'uso. Quando un dispositivo si connette usando quella password, il controller UniFi lo inserisce automaticamente nella VLAN corrispondente. Nessun server RADIUS richiesto. Nessun certificato. Nessuna complessa infrastruttura 802.1X. Ora, sentirai chiamare PPSK in modi diversi a seconda del fornitore con cui parli. Aruba lo chiama MPSK. Cisco Meraki lo chiama iPSK. Ruckus lo chiama DPSK. Il concetto alla base è lo stesso per tutti: un solo SSID, molte chiavi, con ciascuna chiave associata a un segmento di rete. L'implementazione di UniFi si chiama PPSK e risiede nativamente all'interno del controller UniFi Network senza costi di licenza aggiuntivi. Entriamo nei dettagli dell'architettura tecnica. Quando abiliti PPSK su un SSID UniFi, crei una rete WPA2-Personal con più chiavi pre-condivise. Ciascuna chiave è associata a un ID VLAN specifico che hai già configurato nel tuo switch e controller UniFi. Quando un dispositivo client esegue l'autenticazione utilizzando una di queste chiavi, l'access point tagga il traffico del client con l'ID VLAN corrispondente prima di inoltrarlo a monte. Il client si comporta esattamente come se si trovasse su una VLAN dedicata - isolato dai client di altre VLAN, con il proprio ambito DHCP e le proprie regole di firewall. Questo è davvero utile in diversi scenari. In un edificio residenziale, assegni a ogni appartamento la propria PPSK. Tutti i dispositivi di quell'appartamento - telefoni, laptop, smart speaker, console di gioco - si connettono utilizzando la stessa chiave e finiscono sulla stessa VLAN. Possono rilevarsi a vicenda, trasmettere contenuti tra loro e associarsi, esattamente come farebbero su una rete domestica. Ma sono completamente invisibili all'appartamento della porta accanto. In un hotel, puoi usare PPSK per separare il traffico degli ospiti da quello dello staff e dai dispositivi IoT come smart TV e serrature intelligenti - il tutto su un unico SSID. In un ambiente retail, puoi isolare i terminali di pagamento sulla propria VLAN per supportare la conformità PCI-DSS, mantenendo i dispositivi dello staff e il WiFi degli ospiti su segmenti separati. Ora, ecco la limitazione fondamentale che devi comprendere prima di procedere oltre. PPSK è una funzionalità esclusiva di WPA2. Non funziona con WPA3. E poiché la banda a 6 GHz - utilizzata da WiFi 6E e WiFi 7 - richiede obbligatoriamente WPA3, non è possibile utilizzare PPSK sulle radio a 6 GHz. Questa non è una limitazione specifica di UniFi. È un vincolo fondamentale dello standard 802.11. WPA3 attualmente consente solo una singola chiave precondivisa per SSID, quindi l'architettura a chiavi multiple su cui si basa PPSK è semplicemente incompatibile con WPA3. Cosa significa questo in pratica? Se abiliti PPSK su un SSID, tale SSID trasmetterà solo su 2.4 GHz e 5 GHz. I tuoi access point WiFi 6E e WiFi 7 più recenti non utilizzeranno le loro radio a 6 GHz per quella rete. Per la maggior parte delle implementazioni residenziali odierne, questo è accettabile. Ma è un vincolo che devi considerare nel tuo piano di rete a cinque anni, in particolare con l'accelerazione dell'adozione di WiFi 7. Confrontiamo PPSK direttamente con le due principali alternative: RADIUS con 802.1X, e una soluzione iPSK gestita in cloud come Purple. RADIUS con 802.1X - chiamato anche WPA2-Enterprise o WPA3-Enterprise - è lo standard di riferimento per l'autenticazione aziendale. Ogni utente o dispositivo ha credenziali uniche. Il server RADIUS convalida tali credenziali e assegna dinamicamente il client a una VLAN. Supporta WPA3, funziona su 6 GHz e si adatta a un numero illimitato di utenti. Lo svantaggio è la complessità. È necessario un server RADIUS, sia on-premises che ospitato in cloud. È necessario gestire i certificati se si utilizza EAP-TLS. E, aspetto critico, molti dispositivi IoT - altoparlanti intelligenti, console di gioco, sensori domestici intelligenti - non possono connettersi affatto alle reti 802.1X. UniFi PPSK si colloca nel mezzo. È più semplice di RADIUS - nessuna infrastruttura server richiesta, nessun certificato, funziona con ogni dispositivo. Ma è meno scalabile. L'implementazione nativa di PPSK di UniFi memorizza le chiavi localmente sul controller. Il limite pratico per la maggior parte delle implementazioni è nell'ordine delle poche centinaia di chiavi. Per un edificio BTR da 50 unità, va bene. Per un complesso da 500 unità, si incontreranno rapidamente difficoltà di gestione. È qui che un overlay cloud come Purple cambia le carte in tavola. La soluzione Multi-Tenant WiFi di Purple funziona sopra il tuo hardware UniFi esistente. Gestisce il ciclo di vita delle chiavi centralmente nel cloud. Quando un nuovo residente si trasferisce, Purple fornisce automaticamente la sua chiave. Quando si trasferisce altrove, Purple la revoca. I dispositivi del residente perdono l'accesso immediatamente, senza influire su nessun altro residente. Purple si integra con Microsoft Entra ID e Okta per automatizzare completamente questo ciclo di vita. Ora esaminiamo due scenari di implementazione reali. Scenario uno: un complesso Build to Rent da 120 unità. L'operatore desidera che i residenti abbiano un'esperienza WiFi domestica fin dal primo giorno - nessuna attesa per un tecnico della banda larga, nessuna password condivisa, pieno supporto per la smart home. L'hardware è interamente UniFi. Ogni residente riceve una chiave unica fornita tramite la piattaforma Purple, associata al proprio contratto di locazione. I loro dispositivi si collegano a una VLAN dedicata. Chromecast funziona. Le console da gioco ottengono un NAT aperto. Gli smart speaker si associano correttamente. Quando un residente si trasferisce, la chiave viene revocata in pochi secondi. L'operatore segnala una riduzione del 40% dei ticket di supporto relativi al WiFi nei primi tre mesi. Scenario due: un hotel da 200 camere che utilizza access point UniFi. Il team IT deve segmentare il WiFi degli ospiti, il WiFi del personale e i dispositivi IoT - smart TV, serrature elettroniche, sensori HVAC - senza dover gestire SSID separati per ciascuno. Abilitano il PPSK nativamente in UniFi. Tre chiavi: una per gli ospiti, una per il personale, una per l'IoT. Tre VLAN. Un unico SSID. Il risultato: un ambiente RF pulito con meno SSID, una chiara segmentazione del traffico e la conformità PCI-DSS per i sistemi di pagamento sulla VLAN del personale. Ecco le insidie di implementazione da tenere d'occhio. Primo: configurazione della VLAN prima del PPSK. È necessario configurare le VLAN nello switch e nel controller UniFi prima di creare le voci PPSK. Create sempre prima la segmentazione della rete. Secondo: la trappola dei 6 GHz. Se state implementando access point WiFi 6E o WiFi 7 e desiderate utilizzare i 6 GHz per aree ad alta densità, non potete utilizzare il PPSK su quelle reti. Pianificate la vostra architettura SSID di conseguenza. Terzo: gestione delle chiavi su larga scala. Se state gestendo più di 100 unità nativamente in UniFi senza un overlay cloud, sentirete presto il peso del provisioning manuale delle chiavi. Quarto: mDNS e rilevamento dei dispositivi. Per impostazione predefinita, i dispositivi su VLAN diverse non possono rilevarsi a vicenda. Se desiderate che Chromecast o AirPlay funzionino all'interno della VLAN di un residente, è necessario abilitare la riflessione mDNS. UniFi supporta questa funzione, ma deve essere configurata esplicitamente per ciascuna VLAN. Domande rapide. Posso utilizzare PPSK e RADIUS sullo stesso controller UniFi? Sì. È possibile eseguire contemporaneamente un SSID PPSK e un SSID WPA2-Enterprise. Il PPSK supporta la modalità di transizione WPA3? No. Il PPSK è solo WPA2. Qual è il numero massimo di chiavi PPSK in UniFi? L'esperienza della community suggerisce che le prestazioni peggiorano oltre poche centinaia di chiavi su un singolo SSID. Per implementazioni di grandi dimensioni, un livello di gestione cloud è la risposta corretta. Per concludere: UniFi PPSK è uno strumento davvero utile per implementazioni di piccole e medie dimensioni in cui è necessaria la segmentazione VLAN senza infrastruttura RADIUS. È la scelta giusta per un edificio di 50 unità, un boutique hotel o un piccolo ufficio con tipi di dispositivi misti. Per implementazioni più ampie - qualsiasi cosa oltre le 100 unità o dove è necessaria una gestione automatizzata del ciclo di vita - è necessario un overlay cloud come Purple per renderlo operativamente sostenibile. Il framework decisionale chiave è semplice. Poniti tre domande. Di quante chiavi univoche ho bisogno? Se sono meno di 100, il PPSK nativo funziona. Se sono più di 100, è necessario un livello di gestione. Ho bisogno dei 6 GHz? Se sì, il PPSK non è la risposta adatta. E ho bisogno di un provisioning automatizzato collegato a un sistema di tenancy o HR? Se sì, un overlay cloud come Purple è la scelta giusta. Per saperne di più sulla soluzione WiFi Multi-Tenant di Purple e su come si distribuisce sull'hardware UniFi, visita purple.ai. Grazie per aver ascoltato il Purple Technical Briefing.