Pular para o conteúdo principal
Português (Brasil)

Diretório PPSK: comparando recursos e modelos de implantação

Este guia detalha a arquitetura de diretório PPSK (Private Pre-Shared Key) para redes multi-tenant, comparando-a com 802.1X e PSK padrão. Ele fornece a arquitetos de rede e gerentes de TI modelos de implantação neutros em relação a fornecedores para ambientes de Build to Rent, alojamento estudantil e MDU, cobrindo controlador de nuvem, backend RADIUS e padrões de autenticação híbrida.

📖 8 min de leitura📝 1,990 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[00:00:00] Bem-vindo ao Purple Technical Briefing. Hoje estamos cobrindo o gerenciamento de diretório PPSK. Ou seja, gerenciamento de diretório Private Pre-Shared Key. O que é, como se compara às suas alternativas e como implantá-lo corretamente em ambientes multi-tenant. [00:00:20] Vamos começar com o problema que ele resolve. Você gerencia uma propriedade de 200 unidades do tipo Build to Rent. Se você usa uma rede WPA2 padrão, cada morador compartilha a mesma senha. Quando o morador do apartamento 12 se muda, você tem duas opções. Você altera a senha, o que interrompe o WiFi de todos os outros moradores. Ou você deixa o antigo morador com acesso. Nenhuma delas é aceitável. [00:00:45] O PPSK resolve isso. Você transmite um único nome de rede - um SSID. Mas a rede emite uma senha exclusiva para cada apartamento. Quando um morador se conecta, o ponto de acesso consulta o diretório PPSK, valida a chave e coloca esse morador em sua própria VLAN isolada. O telefone dele vê a sua smart TV. O Chromecast dele funciona. Ele não consegue ver a TV do apartamento ao lado. [00:01:10] Agora, por que não usar apenas 802.1X? O 802.1X é excelente para ambientes corporativos. Ele usa RADIUS e provedores de identidade como o Microsoft Entra ID ou Okta. Mas ele exige um suplicante no dispositivo. Um suplicante é o componente de software que lida com a troca de autenticação. O alto-falante inteligente do seu morador não possui um suplicante 802.1X. O mesmo vale para o termostato inteligente, a impressora sem fio ou o console de videogame. O PPSK oferece isolamento de nível empresarial com compatibilidade para dispositivos de consumo. Essa é a proposta de valor central. [00:02:00] Vamos analisar a terminologia, pois ela varia de acordo com o fornecedor e isso causa uma real confusão. A Aruba chama de PPSK - Private Pre-Shared Key. A Cisco Meraki chama de iPSK - Identity PSK. A Juniper Mist usa ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama de Private PSK. A Ubiquiti UniFi chama simplesmente de PPSK. O mecanismo subjacente é idêntico em todos eles. Um SSID, múltiplas chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. [00:02:40] Tecnicamente, eis o que acontece na camada de associação. Quando um dispositivo se conecta, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias do WPA2. O ponto de acesso consulta o diretório PPSK - hospedado no controlador de nuvem ou em um backend RADIUS - para validar a chave e recuperar a VLAN atribuída. O dispositivo percebe uma rede doméstica padrão. Ele não tem ideia de que foi colocado em um segmento isolado. Tudo se comporta exatamente como em uma conexão de banda larga residencial. [00:03:20] Vamos analisar os modelos de implantação. Existem três padrões primários em produção hoje. O primeiro é o modelo de controladora em nuvem. Este é o mais comum para novas implantações. Seus pontos de acesso se conectam a uma plataforma de gerenciamento em nuvem. O repositório de chaves PPSK reside na controladora em nuvem. Quando você provisiona um novo residente, você cria uma chave no portal, a atribui a uma VLAN, e a controladora envia a política para cada ponto de acesso no edifício. O residente recebe sua chave por e-mail, SMS ou um código QR em um pacote de boas-vindas. Eles o escaneiam, todos os seus dispositivos se conectam e seu Chromecast, alto-falante inteligente e console funcionam imediatamente. Quando eles se mudam, você exclui a chave. Seus dispositivos param de se conectar. Ninguém mais é afetado. [00:04:30] O segundo modelo é o PPSK com um backend RADIUS local. Algumas implantações corporativas usam um servidor RADIUS para armazenar e validar credenciais PPSK. Isso oferece log centralizado, trilhas de auditoria e integração com sua plataforma de gerenciamento de identidade. Adiciona sobrecarga de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos - por exemplo, um espaço de coworking onde você tem tanto dispositivos corporativos gerenciados quanto equipamentos IoT pertencentes aos membros. [00:05:15] O terceiro modelo é a autenticação híbrida. Os residentes usam PPSK para seus laptops e dispositivos IoT. A equipe do edifício usa 802.1X para dispositivos corporativos. Ambos os grupos se conectam à mesma infraestrutura física, mas mapeiam para diferentes segmentos lógicos. A Purple recomenda essa arquitetura para implantações completas de Build to Rent e unidades multifamiliares. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. [00:06:00] Agora vamos falar sobre as armadilhas de implementação. Estes são os modos de falha que vejo repetidamente em implantações de produção. Armadilha um: proliferação de SSID. Cada SSID que você transmite consome tempo de transmissão para frames de beacon. Em um edifício residencial denso, se você estiver transmitindo seis ou oito SSIDs por ponto de acesso, estará degradando o desempenho de todos. Mantenha no máximo quatro SSIDs por rádio. Use PPSK para atender a múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento ou por andar. [00:06:45] Armadilha dois: configuração insuficiente de porta de tronco. Você projeta um esquema de VLAN limpo, implanta os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link de tronco entre o switch de distribuição e a camada de acesso. Valide cada porta de tronco durante o comissionamento. Documente. Teste com um dispositivo em cada VLAN antes de os residentes se mudarem. [00:07:20] Armadilha três: distribuição de chaves. Gerar chaves é fácil. Entregá-las aos residentes de uma forma que seja segura e operacionalmente gerenciável é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente onde eles podem recuperar sua chave e adicionar novos dispositivos é melhor para as operações em andamento. Construa o fluxo de trabalho de distribuição de chaves antes de implantar, não depois. Quarto obstáculo: compatibilidade com WPA3. A maioria das plataformas corporativas suporta PPSK em WPA3, o que protege contra ataques de dicionário offline. Mas a Ubiquiti UniFi atualmente restringe o PPSK ao WPA2. Se você precisa da banda de 6 gigahertz, precisa de WPA3. Planeje seu hardware de acordo. [00:08:00] Vamos analisar dois cenários reais de implantação. Cenário um: um empreendimento de 180 unidades do tipo Build to Rent no centro de uma cidade. O operador queria WiFi incluído no aluguel como uma comodidade, com ativação no dia da mudança e suporte completo para casa inteligente. Eles implantaram pontos de acesso HPE Aruba gerenciados pelo Aruba Central. Cada apartamento recebe uma chave PPSK exclusiva gerada no momento da assinatura do contrato. A chave é enviada por e-mail para o morador com um código QR. O operador relatou uma redução de 30% nos chamados de suporte relacionados a WiFi em comparação com a implantação anterior de senha compartilhada. [00:08:45] Cenário dois: um bloco de acomodação estudantil projetado especificamente com 400 leitos. O desafio aqui é a semana de mudança do grupo de estudantes, com centenas deles chegando simultaneamente. O operador utilizou pontos de acesso Ruckus com SmartZone, implantando PPSK com uma chave por quarto. As chaves foram pré-geradas e incluídas no pacote de boas-vindas enviado antes da chegada. Os estudantes escanearam o código QR ao chegar e foram conectados em segundos. [00:09:20] Perguntas rápidas. Quantas chaves PPSK um único ponto de acesso pode suportar? O Cisco Meraki suporta até 5.000 entradas iPSK por rede. O Aruba escala de forma semelhante. O UniFi suporta até 1.000. Posso integrar o PPSK com meu sistema de gestão de propriedades? Sim, por meio da API REST do fornecedor. O PPSK funciona com WPA3? Sim, na maioria das plataformas corporativas. A exceção é o UniFi, que atualmente é apenas WPA2. [00:09:50] Para resumir. O gerenciamento de diretório PPSK é a arquitetura correta para WiFi multi-tenant. Projete suas VLANs com cuidado antes de tocar no hardware. Proteja seus links de tronco. Automatize a distribuição de suas chaves. E verifique o suporte a WPA3 do seu fornecedor se estiver implantando WiFi 6E. Obrigado por ouvir o Purple Technical Briefing.

header_image.png

Resumo executivo

As redes WPA2-Personal tradicionais compartilham uma única senha em todos os dispositivos. Em um empreendimento de Build to Rent (BTR) de 200 unidades, isso significa uma senha para cada residente, cada smart TV, cada termostato e cada console de videogame no edifício. Quando um residente se muda, ou você altera a senha de todos - interrompendo a conectividade dos outros 199 apartamentos - ou deixa o ex-residente com acesso. Nenhuma das opções é aceitável.

A integração de diretório Private Pre-Shared Key (PPSK) resolve isso. O PPSK emite uma senha de WiFi exclusiva para cada residente ou unidade, vinculando essa chave a uma Virtual Local Area Network (VLAN) específica. Os dispositivos se conectam ao mesmo Service Set Identifier (SSID), mas a rede os isola em segmentos privados. Os dispositivos de cada residente se descobrem mutuamente. Nenhum residente consegue ver os dispositivos de outro. Quando um aluguel termina, você revoga uma única chave sem afetar a conexão de mais ninguém.

Este guia compara a implantação de diretório PPSK com o PSK padrão e o IEEE 802.1X, detalha as três principais arquiteturas de implantação e fornece orientações práticas de implementação para incorporadoras imobiliárias, operadoras de BTR e as equipes de TI que as apoiam. A Purple opera em mais de 80.000 locais ativos e se integra como um overlay de nuvem em infraestruturas Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Aprofundamento técnico: PPSK vs 802.1X vs PSK padrão

Para entender por que o PPSK domina as implantações multi-tenant, é preciso compará-lo com as alternativas na camada de associação.

PSK padrão: o modelo de rede doméstica

Em uma configuração WPA2-Personal padrão, o Access Point (AP) transmite um SSID e exige uma única Pre-Shared Key. Todos os dispositivos usam essa chave. O AP coloca todos os dispositivos na mesma VLAN. Os dispositivos conseguem se descobrir - o que é ideal para uma única residência, mas inaceitável para um empreendimento BTR de 200 unidades. O PSK padrão carece de qualquer mecanismo de revogação por usuário. Revogar o acesso de um usuário exige a alteração da chave de todos.

802.1X: o padrão corporativo

O IEEE 802.1X (WPA-Enterprise) requer um servidor RADIUS, um provedor de identidade como o Microsoft Entra ID, Okta ou Google Workspace, e um suplicante em cada dispositivo. O suplicante lida com a troca do Extensible Authentication Protocol (EAP). Isso fornece uma segurança robusta e baseada em identidade com responsabilidade por usuário. No entanto, o 802.1X falha em ambientes residenciais porque os dispositivos IoT - smart TVs, consoles de videogame, alto-falantes sem fio e sensores domésticos inteligentes - não possuem suplicantes 802.1X. Implantar o 802.1X em um edifício BTR significa deixar todos os dispositivos IoT sem autenticação ou em uma rede separada não gerenciada.

Diretório PPSK: a solução multi-tenant

O PPSK (chamado de iPSK pela Cisco Meraki, Personal Private Network pela Cisco e ePSK pela Juniper Mist e Cambium) preenche essa lacuna. O AP transmite um único SSID. Quando um dispositivo se conecta, ele apresenta sua chave exclusiva durante o handshake de quatro vias do WPA2. O AP consulta o diretório PPSK - hospedado no controlador de nuvem ou em um backend RADIUS - para validar a chave e recuperar a VLAN atribuída. O dispositivo percebe uma rede doméstica padrão. O operador alcança isolamento completo por unidade.

comparison_chart.png

A tabela abaixo resume as principais diferenças de recursos entre os três modelos de autenticação.

Recurso PSK Padrão Diretório PPSK 802.1X / WPA-Enterprise
Compatibilidade de dispositivos Universal Ampla (todos os dispositivos WPA2) Limitada (requer suplicante)
Integração com diretório Nenhuma Nativa (nuvem ou RADIUS) Nativa (RADIUS + IdP)
Revogação por usuário Não é possível Instantânea Instantânea
Suporte a dispositivos IoT Sim Sim Não (sem suplicante)
Atribuição dinâmica de VLAN Não Sim Sim
Complexidade de implantação Muito baixa Moderada Alta
Suporte a WPA3 Sim Sim (maioria dos fabricantes) Sim

Guia de implementação: arquitetura e modelos de implantação

A implantação de um diretório PPSK requer uma abordagem estruturada para o design lógico antes de iniciar qualquer configuração de hardware.

Passo 1: design lógico da rede

Mapeie o número de residentes e as categorias de dispositivos IoT antes de tocar no hardware. Uma implantação BTR padrão isola o tráfego da seguinte forma. As VLANs de residentes vão da VLAN 10 até o número exigido pelas unidades - uma VLAN por apartamento é a abordagem padrão. Uma VLAN de IoT dedicada (geralmente VLAN 99) atende aos sistemas de gerenciamento predial, CFTV e sensores inteligentes. Uma VLAN de gerenciamento (VLAN 100) transporta o tráfego de dispositivos da equipe, autenticados via 802.1X. Uma VLAN de convidados (VLAN 200) atende a visitantes temporários em áreas comuns por meio de um Captive Portal.

Calcule seus requisitos de endereçamento IP cuidadosamente. Pesquisas da British Property Federation indicam de 15 a 25 dispositivos por residência. Um edifício de 200 unidades acomoda até 5.000 dispositivos simultaneamente. Use o endereçamento privado RFC 1918 com uma sub-rede /24 (254 endereços utilizáveis) por VLAN de residente para garantir capacidade suficiente. Um /23 (510 endereços) oferece margem de manobra para unidades de alta densidade.

Passo 2: escolhendo o modelo de implantação

Três arquiteturas PPSK primárias estão em produção atualmente.

Modelo de controladora em nuvem. O diretório PPSK reside na plataforma de nuvem do fornecedor - Aruba Central, Meraki Dashboard, Ruckus Cloud ou Juniper Mist. A controladora envia as políticas para os APs. Quando um residente se muda, você gera uma chave no portal. Quando ele sai, você a exclui. Este é o modelo mais comum para novas implantações devido à sua simplicidade operacional e à ausência de infraestrutura local.

Modelo de backend RADIUS. Os APs encaminham as solicitações de autenticação para um servidor RADIUS central, como o Cisco ISE ou o FreeRADIUS, que consulta um repositório de identidade. O servidor RADIUS retorna a atribuição de VLAN por meio de um atributo Cisco-AVPair. Este modelo é adequado para ambientes que exigem trilhas de auditoria detalhadas e integração com diretórios corporativos existentes. Ele adiciona custos de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK.

Modelo de autenticação híbrida. Os residentes usam PPSK para seus laptops e dispositivos IoT. A equipe do edifício usa 802.1X para dispositivos corporativos com o Microsoft Entra ID ou Okta. Ambos os grupos se conectam à mesma infraestrutura física, mas mapeiam para segmentos lógicos diferentes. A Purple recomenda essa arquitetura para implantações completas de BTR e unidades multifamiliares (MDU). Os residentes recebem PPSK. Os sistemas de gestão predial recebem uma VLAN de IoT dedicada com PPSK. Os dispositivos da equipe de gestão predial usam 802.1X. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física.

architecture_overview.png

Passo 3: integração de hardware

O PPSK é compatível com todas as principais plataformas de AP corporativas, embora os detalhes de implementação variem por fornecedor.

Fornecedor Termo PPSK Plataforma de gerenciamento Suporte WPA3 Limite de chaves
Cisco Meraki iPSK Meraki Dashboard Sim 5.000 por rede
HPE Aruba PPSK Aruba Central / ArubaOS Sim Milhares
Ruckus PPSK SmartZone / Ruckus Cloud Sim Milhares
Juniper Mist ePSK Mist AI Sim Milhares
Ubiquiti UniFi PPSK UniFi Network Não (apenas WPA2) 1.000 por rede
Cambium ePSK cnMaestro Sim Milhares
Extreme Private PSK ExtremeCloud IQ Sim Milhares
Fortinet PPSK FortiWLM / FortiGate Sim Milhares

Observe a restrição específica com Ubiquiti UniFi: sua implementação atual de PPSK é restrita a WPA2. Se você implantar pontos de acesso WiFi 6E e precisar da banda de 6GHz, deverá usar uma plataforma que suporte WPA3-SAE com PPSK. Aruba, Ruckus e Meraki suportam PPSK em configurações WPA3.

O Purple se integra como um overlay de nuvem independente de hardware em todas as plataformas desta lista, fornecendo um diretório PPSK unificado e uma interface de gerenciamento de residentes, independentemente do fornecedor de hardware subjacente. Consulte nosso guia sobre Três SSIDs para governar todos: guest, Passpoint e IoT WiFi para obter o contexto mais amplo de arquitetura de SSID.

Melhores práticas para WiFi multi-tenant

Controlar a proliferação de SSIDs

Limite sua transmissão a um máximo de quatro SSIDs por rádio. Cada SSID adicional consome tempo de transmissão para frames de beacon. Em um edifício residencial denso com 30 APs, a transmissão de oito SSIDs por AP gera 240 fluxos de beacon competindo pelo tempo de transmissão. Use PPSK para segmentar os usuários logicamente atrás de um único SSID, em vez de criar um SSID separado por apartamento ou por andar. Consulte Três SSIDs para governar todos para obter a arquitetura de SSID recomendada.

Automatizar a distribuição de chaves

Não dependa de planilhas de senhas manuais. Integre seu diretório PPSK com seu sistema de gerenciamento de propriedades por meio da API REST do fornecedor. Gere a chave exclusiva automaticamente no momento do cadastro do morador e envie-a por meio de um código QR no e-mail de boas-vindas. Crie o fluxo de trabalho de distribuição de chaves antes da implantação, não depois. Operadores que automatizam a entrega de chaves relatam 30% menos chamados de suporte relacionados a WiFi em comparação com métodos de distribuição manual (dados internos da Purple, 2024).

A falha de comissionamento mais comum é a falta de tags VLAN em links de trunk entre switches de distribuição e a rede principal. Projete seu esquema de VLAN e, em seguida, verifique se cada VLAN de residente é permitida em cada link de trunk relevante. Teste com um dispositivo em cada VLAN antes da mudança dos moradores.

Aplicar filtragem de egresso à VLAN de IoT

Dispositivos de infraestrutura predial - controladores de HVAC, câmeras de CFTV, painéis de controle de acesso - devem ficar em uma VLAN de IoT dedicada com filtragem rigorosa de egresso no firewall. Isso evita que um dispositivo de IoT comprometido acesse as VLANs dos moradores ou a rede de gerenciamento.

Para saber mais sobre a arquitetura de Guest WiFi e integração de WiFi Analytics , consulte nossa documentação de produto. Operadores em Hospitality também devem revisar nosso guia sobre como causar uma ótima primeira impressão com seu guest WiFi .

Solução de problemas e mitigação de riscos

Consoles de jogos e tipo de NAT

Os residentes esperam que seus PlayStation ou Xbox reportem um tipo de NAT "Tipo 2" ou "Aberto" para jogos multijogador online. Uma implementação excessivamente agressiva de Carrier-Grade NAT (CGNAT) produz um NAT "Estrito", gerando um alto volume de chamados de suporte. Configure seu firewall para lidar com UPnP corretamente por segmento de residente. Não aplique uma restrição geral em todas as VLANs de residentes.

Pareamento de dispositivos de smart home

Chromecast, Apple TV, Amazon Echo e Sonos exigem descoberta de dispositivos na mesma rede lógica. Com o PPSK, todos os dispositivos sob a mesma chave de residente compartilham uma VLAN e podem se descobrir mutuamente. Dispositivos em chaves diferentes não podem. Este é o comportamento correto. Se os residentes relatarem falhas no pareamento de smart home, verifique se todos os seus dispositivos estão usando a mesma chave PPSK.

Esgotamento de chaves no UniFi

A Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um empreendimento com mais de 1.000 unidades, ou um com alta contagem de dispositivos IoT, esse limite exige um planejamento cuidadoso. Considere segmentar a rede em vários sites UniFi ou migrar para uma plataforma com limites de chave mais altos, como HPE Aruba ou Cisco Meraki.

GDPR e dados de residentes

Os armazenamentos de chaves PPSK contêm dados que identificam os residentes. Certifique-se de que sua plataforma de gerenciamento de chaves armazene os dados em uma região em conformidade. A Purple armazena dados de acordo com os requisitos do GDPR e CCPA, com residência de dados selecionável para implantações na UE. Retenha os registros de WiFi identificáveis por residentes apenas pelo tempo necessário para segurança e operações - seis meses é um teto comum para ambientes BTR.

Retorno sobre o investimento (ROI) e impacto nos negócios

O WiFi gerenciado é uma comodidade essencial em BTR e acomodações estudantis construídas para esse fim. Os operadores que implantam redes PPSK veem retornos mensuráveis em três dimensões.

Prêmio de aluguel. Os operadores de BTR normalmente cobram um prêmio mensal de £15 a £30 por unidade para um WiFi de alta qualidade e pronto para uso, de acordo com pesquisas do setor da British Property Federation. Em um empreendimento de 200 unidades, isso representa £36.000 a £72.000 em receita anual adicional.

Eficiência operacional. Chaves exclusivas eliminam as rotações de senhas em todo o edifício. Os operadores relatam uma redução de 30% nos chamados de suporte relacionados a WiFi após a migração de PSK compartilhado para PPSK (dados internos da Purple, 2024). A conectividade no dia da mudança também reduz os períodos de inatividade das unidades em cinco a dez dias.

Implantação independente de hardware. Ao implantar a solução Multi-Tenant WiFi da Purple como uma sobreposição de software em seu hardware existente ou escolhido, você mantém o controle da rede e o aumento do NOI. Você evita ceder a receita a um provedor de banda larga terceirizado que agrupa a conectividade em um contrato que captura o prêmio da comodidade.

A Purple opera em mais de 80.000 locais ativos desde 2012, com 99,999% de tempo de atividade e certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Para implantações em Varejo e Saúde que exigem segmentação de rede semelhante, a mesma arquitetura de diretório PPSK se aplica com sobreposições de conformidade específicas do setor.

Para a variante iPSK desta arquitetura, consulte nosso guia relacionado: Logo guild iPSK: um guia completo para empresas .

Definições principais

PPSK (Private Pre-Shared Key)

Um método de autenticação que emite senhas de WiFi exclusivas para usuários, dispositivos ou unidades individuais em um único SSID, mapeando cada chave para uma política de rede ou VLAN específica. Também chamado de iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) ou Private PSK (Extreme Networks).

Essencial para ambientes multi-tenant onde os residentes exigem isolamento por unidade, mas seus dispositivos IoT não suportam 802.1X.

IEEE 802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece acesso autenticado usando um servidor RADIUS e um provedor de identidade. Requer um suplicante de software no dispositivo cliente.

Usado para redes de funcionários e gestão em implantações BTR. Não pode ser usado para dispositivos IoT que não possuem suplicantes.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos, isolando seu tráfego de transmissão de outros dispositivos na mesma infraestrutura física.

O PPSK usa VLANs para criar bolhas de WiFi privadas para cada apartamento. A chave de cada residente é mapeada para uma VLAN exclusiva.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização para usuários que se conectam a um serviço de rede.

Usado no modelo de implantação de backend RADIUS para validar credenciais PPSK em relação a um repositório de identidade e retornar atribuições de VLAN por meio de atributos Cisco-AVPair.

Suplicante

Um cliente de software em um dispositivo de usuário final que se comunica com um autenticador para obter acesso à rede via 802.1X. Gerencia a troca de autenticação EAP.

A ausência de suplicantes em dispositivos IoT é o principal motivo pelo qual o PPSK é necessário em redes residenciais. Notebooks e telefones possuem suplicantes; alto-falantes inteligentes e termostatos não.

WPA3-SAE (Simultaneous Authentication of Equals)

O padrão mais recente de segurança WiFi que usa uma troca de chaves Dragonfly para proteger contra ataques de dicionário offline, substituindo o handshake de quatro vias do WPA2 para autenticação PSK.

Necessário para a operação de rede de 6GHz em pontos de acesso WiFi 6E. Os arquitetos devem verificar se o fornecedor de AP escolhido suporta PPSK sobre WPA3 antes de especificar o hardware.

CGNAT (Carrier-Grade NAT)

Um método de compartilhamento de um único endereço IP público entre vários endereços IP privados, comumente usado por ISPs e grandes operadores de rede para conservar o espaço de endereços IPv4.

A configuração incorreta do CGNAT em redes BTR restringe a conectividade multijogador de consoles de jogos, produzindo um tipo de NAT 'Estrito' em vez do 'Aberto' ou 'Tipo 2' exigido.

SSID (Service Set Identifier)

O nome de uma rede WiFi conforme transmitido por um ponto de acesso. Os dispositivos buscam por SSIDs para identificar as redes disponíveis.

O PPSK permite que múltiplos segmentos residenciais compartilhem um único SSID, evitando a degradação do tempo de transmissão causada pela transmissão de SSIDs separados por unidade.

Exemplos práticos

Um empreendimento Build to Rent de 180 unidades exige WiFi ativa desde o primeiro dia de mudança com suporte completo para casa inteligente. O operador deseja eliminar a rotação de senhas ao fim dos contratos de locação e reduzir os chamados de suporte de residentes que não conseguem conectar seu Chromecast ou alto-falante inteligente.

Implante pontos de acesso HPE Aruba gerenciados via Aruba Central. Configure um único SSID com PPSK ativado. Mapeie as VLANs 10 a 190 para apartamentos individuais (uma VLAN por unidade). Integre o sistema de gestão de propriedades via API REST do Aruba Central para gerar automaticamente uma chave PPSK exclusiva na assinatura do contrato. Entregue a chave ao residente por meio de um código QR no e-mail de boas-vindas. Quando uma locação terminar, exclua a chave no portal. Configure o DHCP com sub-redes /24 por VLAN para acomodar até 25 dispositivos por apartamento. Defina uma VLAN de IoT dedicada (VLAN 99) para sistemas de gestão predial com filtragem de saída.

Comentário do examinador: Esta abordagem elimina as vulnerabilidades de senhas compartilhadas. A revogação de uma chave na desocupação afeta apenas aquela VLAN específica, deixando as outras 179 unidades operacionais. A integração com código QR reduz os chamados de suporte no primeiro dia. A HPE Aruba foi selecionada porque suporta PPSK em WPA3, permitindo a futura implantação de WiFi 6E na banda de 6GHz.

Um bloco de alojamento estudantil projetado de 400 leitos precisa lidar com a semana de mudança de turmas, com centenas de estudantes chegando simultaneamente e conectando vários dispositivos cada. A implantação anterior usava uma senha compartilhada que era rotacionada anualmente, causando caos no início de cada ano acadêmico.

Implante pontos de acesso Ruckus gerenciados via SmartZone. Configure PPSK com uma chave exclusiva por quarto. Pré-gere todas as chaves antes do início do ano acadêmico. Inclua o código QR de cada quarto no pacote de boas-vindas enviado aos estudantes antes da chegada. Configure VLANs por quarto com sub-redes /23 para acomodar notebooks, telefones, consoles e smart TVs. Ative o WPA3-SAE no SSID PPSK para maior segurança. Configure um portal de autoatendimento para residentes onde os estudantes possam recuperar sua chave e adicionar novos dispositivos no meio do ano sem entrar em contato com a TI.

Comentário do examinador: A pré-geração e distribuição de chaves antes da chegada elimina o pico de autenticação no dia de mudança. O isolamento de VLAN por quarto significa que o tráfego de cada estudante é independente, de modo que o uso de alta largura de banda de um estudante não degrada seus vizinhos. O portal de autoatendimento reduz a carga de trabalho de TI durante todo o ano acadêmico.

Questões práticas

Q1. Você está orientando um operador de BTR sobre a atualização de um empreendimento de 400 unidades. Atualmente, eles transmitem um SSID separado para cada andar (oito andares, oito SSIDs). Os residentes relatam WiFi lento, especialmente à noite. Qual é a causa provável e o que você recomenda?

Dica: Considere a relação entre a contagem de SSID, frames de beacon e a utilização do tempo de transmissão.

Ver resposta modelo

A causa provável é a saturação do tempo de transmissão decorrente do excesso de frames de beacon. Cada SSID transmite beacons várias vezes por segundo. Oito SSIDs em 30 pontos de acesso geram 240 fluxos de beacon concorrentes, consumindo uma proporção significativa do tempo de transmissão disponível antes que qualquer dado do residente seja transmitido. A recomendação é consolidar em um único SSID e implantar PPSK para obter o isolamento necessário por andar ou por unidade. Isso elimina a sobrecarga de beacons mantendo a segurança.

Q2. Um operador de BTR relata que as smart TVs, Chromecasts e alto-falantes inteligentes dos residentes frequentemente param de funcionar após a mudança de outros residentes. A equipe de TI rotaciona a senha do edifício a cada desocupação. Qual é a falha de arquitetura e qual é a solução correta?

Dica: Analise o impacto de um PSK compartilhado em todos os dispositivos conectados quando a chave é rotacionada.

Ver resposta modelo

A rede utiliza um PSK compartilhado padrão para todos os residentes. Quando a chave é rotacionada na desocupação, todos os dispositivos no edifício perdem a conexão e devem ser reconectados manualmente. A solução correta é migrar para um diretório PPSK, emitindo uma chave exclusiva por apartamento. Quando um residente se muda, o operador exclui apenas a chave daquele apartamento. Os outros 399 apartamentos não são afetados. As smart TVs, Chromecasts e alto-falantes inteligentes se reconectam automaticamente porque suas credenciais não foram alteradas.

Q3. Você está especificando pontos de acesso WiFi 6E para um novo empreendimento BTR de 200 unidades. O cliente exige chaves PPSK exclusivas por apartamento e deseja usar a banda de 6GHz para aplicações de alta largura de banda. Você está avaliando Ubiquiti UniFi em relação ao HPE Aruba. Qual problema de compatibilidade você deve identificar e como ele afeta sua recomendação de hardware?

Dica: Verifique a relação entre a banda de 6GHz, os requisitos do WPA3 e as restrições de implementação do PPSK do fornecedor.

Ver resposta modelo

A banda de 6GHz exige WPA3-SAE. A Ubiquiti UniFi atualmente restringe o PPSK apenas ao WPA2, o que significa que os clientes PPSK não podem usar a banda de 6GHz no hardware UniFi. A HPE Aruba suporta PPSK em WPA3-SAE, permitindo a utilização total da banda de 6GHz para clientes PPSK. A recomendação é HPE Aruba para esta implantação. Se o cliente tiver um investimento UniFi existente, os clientes PPSK devem ser restritos às bandas de 2.4GHz e 5GHz até que a Ubiquiti adicione suporte WPA3 para PPSK.

Continue a ler esta série

Guia PPSK em PDF: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi de Private Pre-Shared Key (PPSK) com as implantações tradicionais de 802.1X e PSK padrão. Ele fornece a arquitetos de rede e gerentes de TI estratégias de implementação neutras em relação a fornecedores para ambientes multifamiliares de aluguel, IoT e BTR.

Ler o guia →

Uu PPSK 2023: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implantações tradicionais de PSK compartilhado e 802.1X, com foco específico no cenário de 2023 de implementações de fornecedores e recursos de plataforma. Ele fornece a desenvolvedores imobiliários, operadores de BTR e proprietários de MDU estratégias de implantação práticas, orientações de arquitetura de VLAN e fluxos de trabalho automatizados de gerenciamento de ciclo de vida. O guia abrange três modelos de implantação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →

PPSK xaverius: comparando recursos e modelos de implantação

Este guia definitivo examina a arquitetura PPSK xaverius para ambientes multi-inquilinos, como Build to Rent e alojamentos estudantis. Ele compara modelos de implantação, detalha estratégias de implementação e explica como o isolamento de VLAN por unidade oferece uma experiência de WiFi semelhante à residencial, mantendo a segurança corporativa.

Ler o guia →