Pular para o conteúdo principal
Português (Brasil)

Meraki iPSK: um guia completo para empresas

Este guia detalha a arquitetura técnica e a implantação do Cisco Meraki iPSK (Identity Pre-Shared Key) para redes corporativas. Ele abrange a integração de RADIUS, o design de Private Area Network e o caso de negócios para substituir o WPA2-Personal legado pela segmentação baseada em identidade. Destinado a incorporadores imobiliários, operadores de BTR e arquitetos de TI que gerenciam infraestrutura de WiFi multi-tenant ou multi-site.

📖 8 min de leitura📝 1,894 palavras🔧 2 exemplos práticos4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Hoje estamos dissecando o Meraki iPSK, Identity Pre-Shared Key. Essa é uma mudança de arquitetura crítica para qualquer líder de TI que gerencie edifícios multi-inquilinos, redes de varejo ou locais de hospitalidade de grande escala. Vamos contextualizar. Durante anos, os arquitetos de rede enfrentaram um compromisso frustrante. Você poderia implantar o WPA2-Personal padrão, que é fácil para os usuários, mas um pesadelo para a segurança. Todos compartilham a mesma senha. Se ela vazar, sua rede estará comprometida. Como alternativa, você poderia implantar o 802.1X Enterprise. Isso requer certificados ou logins complexos. É altamente seguro, mas quebra completamente os dispositivos sem interface de usuário. Seus smart TVs, sensores IoT e consoles de videogame simplesmente não conseguem se conectar a uma rede 802.1X. O Identity PSK resolve essa tensão. É a solução intermediária ideal. O iPSK permite que você transmita um único nome de rede, um único SSID, mas emita uma senha exclusiva para cada usuário ou dispositivo individual. Uma rede. Milhares de chaves. Cada uma vinculada a uma política de segurança específica. Agora vamos mergulhar na arquitetura técnica. Quando um dispositivo tenta se conectar usando sua chave exclusiva, o ponto de acesso Meraki intercepta essa solicitação. Ele não apenas verifica a senha localmente. Ele encaminha a solicitação de autenticação para um servidor RADIUS central. O servidor RADIUS valida a chave e, crucialmente, retorna atributos de política específicos. Ele informa ao ponto de acesso exatamente em qual VLAN colocar aquele dispositivo. Isso significa que você pode usar um SSID para segmentar toda a sua rede. Um funcionário insere sua chave e entra na VLAN corporativa segura. Um terminal de ponto de venda usa sua chave e entra em uma VLAN de pagamento restrita. Um residente em um apartamento Build-to-Rent usa sua chave e entra em sua própria Private Area Network. Esse conceito de Private Area Network, ou PAN, é vital para incorporadoras e proprietários de imóveis. O iPSK cria uma bolha virtual ao redor de um residente. Dentro dessa bolha, seu smartphone pode ver seu Chromecast e sua impressora sem fio. Parece exatamente com uma rede doméstica. Mas fora dessa bolha, eles estão completamente isolados. Eles não conseguem ver os dispositivos do apartamento vizinho. Esse isolamento de Camada 2 é um requisito de privacidade obrigatório em ambientes multi-inquilinos, e é o principal motivo pelo qual o iPSK se tornou o padrão para Build-to-Rent e acomodações estudantis construídas para esse fim. Então, como você implementa isso de maneira eficaz? Deixe-me guiar você pelas etapas principais. Primeiro, você deve projetar suas sub-redes de forma generosa. Em um empreendimento BTR moderno, você está olhando para quinze a vinte e cinco dispositivos por residência. Um edifício de 200 unidades precisará de endereços IP para até cinco mil dispositivos. Planeje seus escopos DHCP adequadamente. Essa é a etapa que a maioria dos operadores subestima, e é a que causa mais problemas seis meses após a ativação. Em segundo lugar, não tente gerenciar essas chaves manualmente. Integrar o seu painel Meraki com um servidor RADIUS é apenas metade da batalha. Você deve conectar esse servidor RADIUS a um Provedor de Identidade, como o Microsoft Entra ID ou Okta. Quando um novo morador assina um contrato, ou um novo funcionário entra na empresa, o sistema deve gerar automaticamente sua chave exclusiva. Quando eles saem, o sistema a revoga instantaneamente. A Purple fornece a camada de orquestração para automatizar todo esse ciclo de vida, eliminando totalmente a carga administrativa da sua equipe de TI. Em terceiro lugar, configure seu painel Meraki corretamente. Vá em Wireless, depois em Configure e depois em Access Control. Selecione o seu SSID de destino. Na seção Security, selecione Identity PSK com RADIUS. Em seguida, em Client IP and VLAN, ative o VLAN tagging e defina o RADIUS override para Override VLAN tag. Este é o passo crucial que permite ao servidor RADIUS ditar o segmento de rede com base na chave autenticada. Sem isso, todos os seus usuários terminam na mesma rede plana, independentemente de qual chave usaram. Agora, vamos discutir armadilhas e mitigação de riscos. Há dois problemas que vejo consistentemente em campo. O primeiro é o timeout do handshake EAPOL. Ao usar iPSK com RADIUS, o servidor deve validar os parâmetros EAPOL em relação ao banco de dados de chaves conhecidas. Se o banco de dados for grande e o servidor tiver poucos recursos, pode demorar muito para encontrar uma correspondência. O ponto de acesso dropa a conexão. O usuário vê uma falha de autenticação. Para mitigar isso, certifique-se de que sua infraestrutura RADIUS esteja adequadamente dimensionada e monitore a latência entre seus pontos de acesso Meraki e os servidores de autenticação. O segundo problema é a randomização de endereços MAC. Dispositivos modernos iOS e Android rotacionam seus endereços MAC para proteger a privacidade do usuário. Se a sua implantação RADIUS depende estritamente do MAC Authentication Bypass, vinculado a um iPSK específico, esses dispositivos falharão ao conectar quando seu endereço rotacionar. A solução é usar o recurso Easy PSK disponível no firmware Meraki MR 32.1.3 e mais recente, que valida os parâmetros EAPOL em vez de depender de uma associação estática de MAC. Esta é uma atualização de firmware que toda implantação corporativa Meraki deve priorizar. Agora, uma seção de perguntas e respostas rápidas. Recebo essas perguntas dos clientes regularmente. O iPSK suporta WPA3? Não atualmente no Meraki. O recurso iPSK no Meraki é apenas WPA2. Esta é uma limitação conhecida e algo a ser considerado em seu roadmap de longo prazo. Quantas chaves posso ter por SSID? No firmware Meraki MR 30.1 e mais recente, você pode ter até cinco mil iPSKs exclusivos por SSID. Em firmwares mais antigos, o limite é cinquenta. Se você estiver gerenciando um grande empreendimento residencial, certifique-se de estar no firmware atual. Can I use iPSK without a RADIUS server? Yes. A Meraki suporta iPSK sem RADIUS para implantações menores. Você gerencia as chaves diretamente no painel. No entanto, essa abordagem não suporta atribuição dinâmica de VLAN e você fica limitado a cinquenta chaves. Para qualquer implantação empresarial ou multi-tenant, a integração com RADIUS é essencial. Finalmente, vamos analisar o impacto nos negócios. Por que investir nessa arquitetura? Para operadoras de BTR e provedores de acomodação estudantil, o WiFi não é mais apenas um serviço utilitário. É uma comodidade essencial. Pesquisas da British Property Federation mostram que um WiFi de alta qualidade e sem atrito gera um prêmio de aluguel de quinze a trinta libras por unidade por mês. Ao implantar o iPSK em seu próprio hardware, em vez de agrupar contratos de banda larga de consumo, você captura essa Receita Operacional Líquida diretamente. O modelo de sobreposição de software, executado em hardware que você já possui, é consistentemente positivo para o NOI. Além disso, ao eliminar Captive Portals e suportar todos os dispositivos inteligentes de forma integrada, você reduz drasticamente os chamados de suporte e melhora a satisfação dos residentes. O chamado de suporte multi-tenant mais comum, "o Chromecast não conecta", desaparece completamente com uma implantação de iPSK configurada corretamente. Para resumir os principais pontos do briefing de hoje. O iPSK oferece a segurança de uma rede corporativa com a simplicidade de uma senha residencial. Ele segmenta seu tráfego de forma dinâmica, protege seus dispositivos IoT e transforma a experiência do usuário. Integre-o com seu provedor de identidade para automatizar o ciclo de vida das credenciais. Atualize para o firmware Meraki atual para lidar com a randomização de MAC corretamente. E projete suas sub-redes generosamente desde o primeiro dia. Obrigado por ouvir este Purple Technical Briefing. Para explorar como a Purple pode automatizar sua implantação de Meraki iPSK, acesse purple.ai.

header_image.png

Resumo executivo

A segurança tradicional de WiFi exige uma concessão. Ou você escolhe a simplicidade de uma senha compartilhada, que cria sérios riscos de segurança, ou a complexidade dos certificados 802.1X, que não funcionam em dispositivos inteligentes. O Identity Pre-Shared Key (iPSK) resolve esse impasse. Ele oferece a segurança e a visibilidade individuais de uma rede corporativa com a simplicidade de uma senha padrão.

Este guia detalha a arquitetura técnica do Cisco Meraki iPSK. Abordamos estratégias de implantação, integração com RADIUS e o caso de negócios para substituir o legado WPA2-Personal por segmentação baseada em identidade. Para incorporadoras imobiliárias, proprietários e operadores de BTR, o iPSK transforma o WiFi de um serviço básico em uma comodidade segura e gerenciada que gera um retorno financeiro mensurável.

Fatos principais: O Meraki suporta até 5.000 iPSKs exclusivos por SSID no firmware MR 30.1+. Um único SSID pode atender a múltiplas VLANs isoladas. A integração com o Microsoft Entra ID, Okta ou Google Workspace automatiza todo o ciclo de vida das credenciais. A Purple executa essa camada de orquestração em mais de 80.000 locais globalmente.

Análise técnica detalhada: compreendendo a arquitetura iPSK

O Identity PSK atribui uma senha de WiFi exclusiva para cada usuário ou dispositivo individual em um único Identificador de Conjunto de Serviços (SSID). Embora todos se conectem ao mesmo nome de rede, sua chave exclusiva determina suas permissões de segurança específicas, limites de largura de banda e atribuição de Rede Local Virtual (VLAN).

architecture_overview.png

Quando um dispositivo se associa ao ponto de acesso, o hardware Meraki intercepta a solicitação de autenticação. O ponto de acesso consulta um servidor RADIUS central - ou diretamente a nuvem Meraki em uma implantação sem controladora. O servidor RADIUS valida a senha específica fornecida pelo dispositivo em relação às credenciais armazenadas. Após a validação bem-sucedida, o servidor retorna uma mensagem Access-Accept contendo atributos específicos, incluindo a VLAN atribuída e a política de grupo.

Essa arquitetura muda fundamentalmente o controle de acesso à rede. Em vez de autenticar o dispositivo com base em uma troca de certificados complexa (EAP-TLS ou PEAP), a rede autentica o usuário com base em sua chave exclusiva. Essa abordagem suporta 100% dos dispositivos sem fio, incluindo sensores headless de Internet das Coisas (IoT), consoles de videogame e eletrodomésticos inteligentes que não possuem suplicantes 802.1X.

comparison_chart.png

O papel do RADIUS em implantações iPSK

Embora a Meraki suporte iPSK sem RADIUS - gerenciando chaves diretamente no painel, limitado a 50 chaves por SSID - as implantações corporativas exigem um servidor de autenticação central. A integração do iPSK com RADIUS (como Microsoft NPS, Cisco ISE ou FreeRADIUS) desbloqueia a atribuição dinâmica de VLAN e o gerenciamento central de identidade, escalando para 5.000 chaves por SSID no firmware MR 30.1+.

Ao configurar o iPSK com RADIUS no hardware Meraki, o ponto de acesso atua como o autenticador. Ele passa os parâmetros EAPOL (Extensible Authentication Protocol over LAN) trocados durante o handshake para o servidor RADIUS. O servidor RADIUS usa esses atributos para validar o cliente. Se uma correspondência for encontrada, o servidor responde com o atributo Tunnel-Password, vinculando o endereço MAC e a chave pré-compartilhada específica.

Esse mecanismo permite que os arquitetos de rede segmentem o tráfego na Camada 2. Um único SSID pode colocar um membro da equipe em uma VLAN interna segura, um convidado em uma VLAN isolada apenas para internet e um sensor IoT em uma rede de dispositivos restrita - tudo a partir de uma única transmissão.

Para uma comparação mais ampla das implementações de iPSK e PPSK entre fornecedores, incluindo HPE Aruba, Ruckus e Juniper Mist, consulte nosso guia sobre PPSK comparando recursos e modelos de implantação .

Guia de implantação: implantando Meraki iPSK

A implantação do iPSK exige um planejamento cuidadoso de sua arquitetura de sub-rede e integração do provedor de identidade. Siga estas práticas recomendadas independentes de fornecedor para uma implantação resiliente.

Etapa 1: design de sub-rede e VLAN

Antes de configurar o painel do Meraki, defina a topologia da sua rede. Mapeie seus grupos de usuários para VLANs específicas. Em um ambiente de vários inquilinos, como um empreendimento BTR, você deve projetar uma arquitetura de Rede de Área Privada (PAN).

Uma PAN cria uma bolha virtual ao redor dos dispositivos específicos de um usuário. O iPSK garante o isolamento de Camada 2 entre inquilinos, ao mesmo tempo que permite a reflexão de mDNS dentro da VLAN específica. Isso permite que o smartphone de um residente descubra seu próprio Chromecast, permanecendo completamente invisível para o residente no apartamento adjacente.

Calcule seus escopos de DHCP generosamente. Uma casa moderna conecta de 15 a 25 dispositivos. Um edifício de 200 unidades exigirá endereços IP para até 5.000 dispositivos simultaneamente. O subdimensionamento de sub-redes é a causa mais comum de falhas pós-implantação em redes de BTR e de acomodação estudantil.

Etapa 2: configuração do painel Meraki

Para habilitar o iPSK com RADIUS na sua rede Meraki:

  1. Navegue até Wireless > Configure > Access control.
  2. Selecione o SSID de destino no menu suspenso.
  3. Na seção Security, selecione Identity PSK with RADIUS.
  4. Configure os endereços IP do seu servidor RADIUS, portas e segredos compartilhados.
  5. Na seção Client IP and VLAN, habilite VLAN tagging.
  6. Defina o RADIUS override como Override VLAN tag. Essa etapa permite que o servidor RADIUS dite o segmento de rede com base na chave autenticada. Nota: iPSK com RADIUS requer o firmware MR 26.5 ou superior. O Easy PSK (que valida os parâmetros EAPOL em vez dos endereços MAC) requer MR 32.1.3 ou superior. Confirme a versão do seu firmware antes da implantação.

Passo 3: integração com provedor de identidade

O gerenciamento manual de chaves falha em grande escala. Integre seu servidor RADIUS a um provedor de identidade (IdP) como Microsoft Entra ID, Okta ou Google Workspace. Use o protocolo SCIM para automatizar o ciclo de vida das chaves pré-compartilhadas. Quando o RH adiciona um novo funcionário ao diretório, o sistema gera automaticamente uma chave WiFi exclusiva. Quando o funcionário sai, o sistema revoga a chave instantaneamente, encerrando o acesso à rede sem afetar nenhum outro usuário.

A Purple automatiza todo esse ciclo de vida. A plataforma Purple atua como a camada de orquestração, conectando sua infraestrutura Meraki ao seu diretório central para gerenciar chaves de forma dinâmica em mais de 80.000 locais.

-

Melhores práticas para segurança corporativa

Implemente estas recomendações padrão do setor para proteger sua implantação de iPSK.

Imponha isolamento estrito de dispositivos

Em ambientes do setor público e redes de varejo, o isolamento de dispositivos é um requisito de segurança obrigatório. Use o painel Meraki para habilitar o isolamento de Camada 2 nas VLANs de visitantes e IoT. Isso evita o movimento lateral na rede caso um único dispositivo seja comprometido. Essa configuração está alinhada com os requisitos da ISO 27001 para segregação de rede.

Segmente o tráfego de IoT

Nunca coloque dispositivos IoT no mesmo segmento de rede que os dados corporativos. O iPSK simplifica essa segmentação. Atribua uma chave específica aos seus sistemas de gerenciamento predial, controladores de HVAC e câmeras de segurança. Mapeie essa chave para uma VLAN restrita com regras rígidas de firewall que permitem apenas o tráfego de saída para domínios específicos de fornecedores.

Automatize a rotação de chaves

Embora chaves individuais limitem o raio de impacto de uma senha comprometida, a rotação regular continua sendo uma prática recomendada. Automatize a geração de novas chaves para contratados de longo prazo e funcionários temporários. Use a API Meraki ou uma plataforma como a Purple para distribuir essas chaves de forma segura via SMS ou e-mail, eliminando os custos operacionais do helpdesk manual.

Conformidade com PCI-DSS em ambientes de varejo

Para operadores de varejo, o iPSK apoia diretamente os requisitos de segmentação de rede PCI-DSS. Ao atribuir uma chave dedicada aos terminais de ponto de venda e mapeá-la para uma VLAN isolada que direciona apenas para o processador de pagamento, você reduz o escopo do seu ambiente de dados de portadores de cartão (CDE). A Meraki possui a certificação PCI-DSS Level 1 Service Provider, fornecendo uma base adicional de conformidade. Consulte nossa página do setor de Varejo para um passo a passo detalhado sobre conformidade.

-

Solução de problemas e mitigação de riscos

Mesmo com um planejamento cuidadoso, as implantações de iPSK encontram modos de falha específicos.

O tempo limite do handshake EAPOL

Ao usar iPSK com RADIUS, o servidor RADIUS deve validar os parâmetros EAPOL com o banco de dados de chaves conhecidas. Se o banco de dados for grande e o servidor não tiver recursos suficientes, pode demorar muito para encontrar uma correspondência, resultando em um tempo limite de handshake EAPOL. O ponto de acesso encerra a conexão.

Para mitigar esse risco, garanta que sua infraestrutura RADIUS tenha recursos adequados. Se estiver usando RADIUS hospedado na nuvem, monitore a latência entre os pontos de acesso Meraki e os servidores de autenticação. A alta latência causará falhas de handshake de forma consistente em grande escala.

Desafios de randomização de MAC

Sistemas operacionais modernos (iOS 14+, Android 10+, Windows 11) usam endereços MAC randomizados para proteger a privacidade do usuário. Se a sua implantação RADIUS depender estritamente de MAC Authentication Bypass (MAB) vinculado a um iPSK específico, esses dispositivos não conseguirão se conectar quando o endereço MAC rotacionar.

Para resolver isso, instrua os usuários a desativarem o recurso "Endereço privado" (ou "Private Wi-Fi Address") para o seu SSID corporativo ou residencial específico, ou atualize para o recurso Easy PSK no firmware Meraki MR 32.1.3+, que depende dos parâmetros EAPOL em vez de uma vinculação estática de endereço MAC.

Compatibilidade com WPA3

O Meraki iPSK atualmente não suporta criptografia WPA3. Se o seu roteiro de longo prazo incluir a implantação de WPA3 ou Wi-Fi 6E, considere essa limitação em seu planejamento. Monitore as notas de lançamento da Cisco Meraki para atualizações sobre essa restrição.

-

Estudo de caso: empreendimento BTR de 250 unidades

Uma grande operadora de Build-to-Rent em Londres implantou o Meraki iPSK em um empreendimento de 250 unidades usando a plataforma Multi-Tenant WiFi da Purple. A operadora substituiu um sistema legado de roteadores individuais por apartamento, que gerava uma média de 12 chamados de suporte por mês relacionados a falhas de pareamento do Chromecast e redefinições de senha.

Pós-implantação, cada residente recebeu uma chave exclusiva antes da data de mudança. Todos os 250 residentes conectaram seus dispositivos - incluindo smart TVs, impressoras sem fio e dispositivos Amazon Echo - sem qualquer intervenção manual de TI. Os chamados de suporte relacionados a WiFi caíram para menos de dois por mês. A operadora atribuiu um prêmio de aluguel mensal de £20 por unidade à comodidade do WiFi "Instant-On", gerando uma receita adicional de £60.000 por ano a partir de um único empreendimento.

Para saber mais sobre o caso de uso de Hospitalidade e como o iPSK elimina o atrito dos hóspedes, consulte nosso guia sobre como criar uma excelente primeira impressão com o seu WiFi para hóspedes .

-

Estudo de caso: rede de varejo nacional

Uma rede de varejo nacional com 400 locais precisava segmentar terminais de ponto de venda, sinalização digital e tablets de funcionários em suas propriedades, mantendo a conformidade com o PCI-DSS. Eles estavam executando três SSIDs separados por local, criando uma sobrecarga de RF significativa e degradando a taxa de transferência.

Ao implantar o Meraki iPSK, eles consolidaram para um único SSID por local. Três chaves distintas foram criadas: uma para terminais POS (mapeada para uma VLAN de pagamento restrita), uma para sinalização digital (VLAN apenas para internet) e uma para tablets de funcionários (VLAN corporativa). A API do painel Meraki enviou essas configurações para todos os 400 locais simultaneamente. O ambiente de RF melhorou de forma mensurável, e o escopo de auditoria do PCI-DSS foi reduzido ao isolar o ambiente de dados do titular do cartão na borda sem fio.

Para saber mais sobre WiFi Analytics e como os dados dessas redes geram inteligência de negócios, consulte nossa visão geral da plataforma de analytics.

-

ROI e impacto nos negócios

A transição para o iPSK exige investimento em infraestrutura RADIUS e integração. Os retornos operacionais justificam as despesas de capital em três dimensões.

Prêmio de aluguel. Pesquisas da British Property Federation indicam que um WiFi de alta qualidade e sem atritos garante um prêmio de aluguel de £15 a £30 por unidade, por mês, em empreendimentos BTR. Ao implantar o iPSK em hardware próprio, em vez de pacotes de contratos de banda larga de consumo, os operadores capturam esse Lucro Operacional Líquido diretamente.

Redução de custos de suporte. O iPSK elimina os chamados de suporte multi-tenant mais comuns: falhas de pareamento de Chromecast, redefinições de senha e problemas de integração de dispositivos. Os operadores relatam consistentemente uma redução de 80% ou mais nos contatos de suporte relacionados ao WiFi após a implantação.

Redução do período de vacância. A prontidão do WiFi no dia da mudança reduz os períodos de vacância de cinco a dez dias em média, de acordo com os benchmarks do setor BTR. Os residentes que conseguem se conectar imediatamente têm menos probabilidade de atrasar a mudança ou solicitar a rescisão antecipada.

Para uma demonstração completa da arquitetura de como a plataforma Multi-Tenant WiFi da Purple se integra com hardware Meraki, Ruckus, HPE Aruba, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet, fale com nossa equipe .

Para uma comparação do iPSK com PPSK e outras implementações específicas de fornecedores, consulte nosso guia Três SSIDs para a todos governar .

Definições principais

iPSK (Identity Pre-Shared Key)

Um mecanismo de segurança sem fio que atribui uma senha exclusiva a usuários ou dispositivos individuais em um único SSID, permitindo a aplicação de políticas granulares e atribuição de VLAN sem a necessidade de certificados 802.1X.

Usado quando as equipes de TI precisam proteger dispositivos IoT headless ou fornecer redes privadas em ambientes multi-tenant sem a complexidade do 802.1X. Implementação da Cisco Meraki; equivalente ao DPSK da Ruckus e ao MPSK da HPE Aruba.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a um serviço de rede.

O mecanismo central que valida as senhas de iPSK e informa ao ponto de acesso Meraki qual VLAN atribuir ao dispositivo de conexão. As implementações comuns incluem o Microsoft NPS, Cisco ISE e FreeRADIUS.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas, isolando seu tráfego na Camada 2.

Crucial para a segmentação de rede em implantações iPSK. O servidor RADIUS atribui dinamicamente os usuários a VLANs específicas com base na senha que usam para se conectar, permitindo que um único SSID atenda a múltiplos segmentos de rede isolados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, que exige que os dispositivos se autentiquem por meio de um servidor central usando credenciais ou certificados digitais antes de obterem acesso à rede.

O padrão tradicional de segurança corporativa. O iPSK é frequentemente implantado como uma alternativa ao 802.1X para oferecer suporte a dispositivos inteligentes que não possuem o software suplicante necessário, incluindo sensores de IoT e consoles de videogame.

EAPOL (Extensible Authentication Protocol over LAN)

Um protocolo de autenticação de porta de rede usado no IEEE 802.1X para encapsular mensagens EAP entre o suplicante (dispositivo cliente) e o autenticador (ponto de acesso).

Em implantações Meraki Easy PSK (firmware MR 32.1.3+), o ponto de acesso passa os parâmetros EAPOL para o servidor RADIUS para validar a chave pré-compartilhada do cliente sem depender do endereço MAC, resolvendo problemas de randomização de MAC.

mDNS (Multicast DNS)

Um protocolo que resolve nomes de host para endereços IP em pequenas redes que não incluem um servidor de nomes local, permitindo a descoberta de dispositivos em segmentos locais.

A tecnologia que permite que dispositivos como Apple TVs, Chromecasts e impressoras sem fio sejam descobertos em uma rede local. As implantações de iPSK devem configurar a reflexão mDNS para garantir que os moradores possam ver seus próprios dispositivos, mas não os de seus vizinhos.

Captive Portal

Uma página da web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

Uma fonte comum de atrito no setor de hotelaria e residencial WiFi. O iPSK elimina a necessidade de Captive Portals, autenticando o usuário de forma transparente por meio de sua chave exclusiva. Para casos de uso de WiFi para visitantes em que a captura de dados é necessária, a Purple oferece suporte a opt-ins de escolha consciente junto com o iPSK.

MAC Authentication Bypass (MAB)

Uma técnica que utiliza o endereço MAC de um dispositivo como sua identidade para conceder acesso à rede, normalmente usada para dispositivos que não suportam 802.1X.

Historicamente usado em conjunto com o iPSK para vincular uma chave específica a um dispositivo específico. Essa abordagem está se tornando não confiável devido à randomização de endereços MAC no iOS 14+, Android 10+ e Windows 11. O Easy PSK resolve isso usando parâmetros EAPOL em vez disso.

Private Area Network (PAN)

Um segmento de rede virtual criado em torno dos dispositivos de um usuário específico dentro de uma infraestrutura compartilhada, permitindo a descoberta de dispositivos dentro do segmento e mantendo o isolamento de todos os outros usuários.

O recurso definidor do WiFi multi-inquilino. Em um empreendimento residencial para locação (BTR), a PAN de cada morador permite que seus dispositivos domésticos inteligentes se comuniquem entre si, permanecendo invisíveis para os vizinhos nos mesmos pontos de acesso físicos.

Exemplos práticos

Um empreendimento Build-to-Rent de 250 unidades precisa fornecer WiFi seguro e de estilo residencial a todos os moradores. O operador deseja usar um único SSID em todo o edifício para reduzir a interferência de RF, mas os moradores devem ser capazes de conectar TVs inteligentes e impressoras sem fio com segurança, sem que outros apartamentos vejam seus dispositivos.

Implante pontos de acesso Meraki transmitindo um único SSID configurado para Identity PSK com RADIUS. Integre a rede Meraki com um servidor RADIUS central gerenciado pela plataforma Purple. Quando um morador assina o contrato de aluguel, o sistema gera automaticamente uma PSK exclusiva e a atribui a uma VLAN dedicada específica para o seu apartamento. O morador usa essa chave única para todos os seus dispositivos (telefones, laptops, alto-falantes inteligentes). A rede impõe o isolamento de Camada 2 entre diferentes VLANs, garantindo privacidade completa entre os apartamentos, enquanto ativa a reflexão mDNS dentro da VLAN específica do morador para que seus dispositivos possam se descobrir. Configure escopos DHCP para no mínimo 25 endereços por unidade para acomodar a densidade de dispositivos IoT.

Comentário do examinador: Esta arquitetura resolve diretamente o desafio de conectividade multi-tenant. O WPA2-Personal padrão exporia todos os dispositivos a todos no prédio. O 802.1X protegeria os laptops, mas bloquearia as smart TVs. O iPSK oferece a postura de segurança necessária, mantendo a experiência de usuário sem atritos necessária para uma comodidade residencial. A configuração de reflexão mDNS é o detalhe que a maioria das implementações esquece - sem ela, o Chromecast e o AirPlay não funcionarão dentro da própria bolha do morador.

Uma rede de varejo nacional precisa implantar novos terminais de ponto de venda (POS), telas de sinalização digital e tablets para funcionários em 400 locais. Eles devem manter a conformidade com o PCI DSS e, ao mesmo tempo, reduzir a sobrecarga de RF de vários SSIDs.

Implemente o Meraki iPSK para segmentar os dispositivos na borda sem fio. Crie três chaves distintas para cada local: uma para terminais POS mapeados para uma VLAN restrita que roteia apenas para o processador de pagamento, uma para sinalização digital em uma VLAN somente de internet e uma para tablets de funcionários em uma VLAN corporativa com acesso a sistemas de estoque. Use a API do dashboard do Meraki para enviar essas configurações para todos os 400 locais simultaneamente. Isso consolida três SSIDs em um, reduzindo a sobrecarga de RF e melhorando o rendimento. O ambiente de dados de portadores de cartão PCI DSS é isolado na borda sem fio, reduzindo o escopo de auditoria.

Comentário do examinador: Essa abordagem atende aos requisitos do PCI DSS para segmentação de rede sem a necessidade de configurações complexas de portas de switch ou de vários SSIDs. Ao isolar o CDE na borda sem fio usando chaves específicas, o varejista reduz seu escopo de conformidade e protege a rede contra movimentos laterais. A implantação baseada em API é o principal ganho de eficiência - a configuração manual em 400 sites seria operacionalmente insustentável.

Questões práticas

Q1. Você está projetando a rede para um bloco de acomodação estudantil de 500 leitos. O cliente quer usar 802.1X para segurança, mas também exige suporte para consoles PlayStation 5 e alto-falantes Amazon Echo. Como você resolve esse conflito?

Dica: Considere as limitações dos suplicantes 802.1X em hardware de consumo e os requisitos de densidade de dispositivos em um ambiente estudantil.

Ver resposta modelo

Implante Meraki iPSK em vez de 802.1X. Gere uma chave pré-compartilhada exclusiva para cada aluno durante a matrícula. Isso fornece responsabilidade individual e segurança equivalente a uma rede corporativa, mas usa um mecanismo de senha padrão totalmente compatível com consoles de jogos e alto-falantes inteligentes. Configure a rede para isolar os dispositivos de cada aluno em sua própria Rede de Área Privada (PAN) usando atribuição de VLAN via RADIUS. Certifique-se de que o firmware seja MR 32.1.3 ou mais recente para lidar com a randomização de MAC via Easy PSK. Projete escopos de DHCP para pelo menos 25 dispositivos por aluno para acomodar toda a pilha de dispositivos.

Q2. Um cliente de varejo que usa Meraki iPSK com um servidor RADIUS central relata que alguns dispositivos Android e iOS mais novos estão falhando ao conectar, mesmo ao usar a senha correta. Dispositivos mais antigos se conectam sem problemas. Qual é a causa provável e a solução?

Dica: Pense nos recursos de privacidade introduzidos nos sistemas operacionais móveis desde 2020 e em como eles afetam a autenticação baseada em MAC.

Ver resposta modelo

O problema é causado pela randomização do endereço MAC (Endereço WiFi Privado) nos dispositivos mais novos. Se o servidor RADIUS estiver configurado para vincular o iPSK a um endereço MAC específico via MAC Authentication Bypass, a autenticação falhará quando o dispositivo rotacionar seu MAC. A solução é atualizar o firmware Meraki para MR 32.1.3 ou mais recente e habilitar o Easy PSK, que valida os parâmetros EAPOL em vez de depender de uma vinculação MAC estática. Como medida provisória, instrua os usuários a desabilitar o recurso de endereço privado para essa SSID de rede específica.

Q3. Um operador de BTR deseja oferecer WiFi Instant-On onde os residentes tenham acesso à rede no momento em que se mudarem. Atualmente, eles dependem da geração manual de senhas pelo gerente do edifício, o que causa atrasos de um a três dias. Como esse processo pode ser melhorado?

Dica: Considere como provedores de identidade e APIs podem automatizar o provisionamento de acesso à rede e vinculá-lo ao fluxo de trabalho de gerenciamento de locação.

Ver resposta modelo

Automatize o ciclo de vida das chaves integrando o sistema de gerenciamento de propriedades ao servidor RADIUS via SCIM ou API. Quando um contrato de locação é assinado e o residente é adicionado ao sistema, um script gera automaticamente o iPSK exclusivo, atribui-o à VLAN correta do apartamento e envia as credenciais por e-mail ao residente antes da data de mudança. A plataforma da Purple orquestra todo esse fluxo de trabalho, conectando a infraestrutura Meraki ao provedor de identidade para eliminar a intervenção manual. O residente recebe sua chave antes de chegar, permitindo conectividade Instant-On real no dia da mudança.

Q4. Um centro de conferências deseja fornecer WiFi seguro e isolado para dez eventos corporativos simultâneos, cada um exigindo seu próprio segmento de rede privada. Eles querem evitar a transmissão de dez SSIDs separadas. Qual é a arquitetura correta?

Dica: Considere como a atribuição de VLAN iPSK pode criar separação lógica sem exigir múltiplas SSIDs.

Ver resposta modelo

Implante uma única SSID configurada para iPSK com RADIUS. Crie dez chaves exclusivas, uma por evento. Mapeie cada chave para uma VLAN dedicada na configuração do servidor RADIUS. Quando os organizadores do evento distribuem sua chave exclusiva aos participantes, todos os dispositivos desse evento caem na mesma VLAN isolada, sem visibilidade para outros eventos. Isso elimina o overhead de RF de dez SSIDs, o que degradaria significativamente a taxa de transferência em um ambiente de local denso. Após cada evento, revogue a chave e recicle a VLAN para a próxima reserva.

Continue a ler esta série

Guia PPSK em PDF: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi de Private Pre-Shared Key (PPSK) com as implantações tradicionais de 802.1X e PSK padrão. Ele fornece a arquitetos de rede e gerentes de TI estratégias de implementação neutras em relação a fornecedores para ambientes multifamiliares de aluguel, IoT e BTR.

Ler o guia →

Uu PPSK 2023: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implantações tradicionais de PSK compartilhado e 802.1X, com foco específico no cenário de 2023 de implementações de fornecedores e recursos de plataforma. Ele fornece a desenvolvedores imobiliários, operadores de BTR e proprietários de MDU estratégias de implantação práticas, orientações de arquitetura de VLAN e fluxos de trabalho automatizados de gerenciamento de ciclo de vida. O guia abrange três modelos de implantação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →

PPSK xaverius: comparando recursos e modelos de implantação

Este guia definitivo examina a arquitetura PPSK xaverius para ambientes multi-inquilinos, como Build to Rent e alojamentos estudantis. Ele compara modelos de implantação, detalha estratégias de implementação e explica como o isolamento de VLAN por unidade oferece uma experiência de WiFi semelhante à residencial, mantendo a segurança corporativa.

Ler o guia →