Nama iPSK: a comprehensive guide for businesses

Identity Pre-Shared Key (iPSK) is the current best-practice authentication model for multi-tenant environments, delivering per-unit credential uniqueness, Layer 2 device isolation via Private Area Networks, and full IoT device compatibility. This guide details the technical architecture, deployment strategies, and business impact of iPSK for property developers, BTR operators, and landlords deploying managed WiFi across residential and mixed-use buildings. Purple's cloud overlay automates the full resident lifecycle, from key provisioning at lease signing to instant revocation at move-out, across Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet hardware.

📖 8 min de leitura📝 1,877 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Hoje estamos discutindo o Nama iPSK - a arquitetura que está mudando fundamentalmente a forma como implantamos WiFi em Build-to-Rent, unidades multi-residenciais e grandes locais de hospitalidade. Se você é um gerente de TI ou um arquiteto de rede tentando equilibrar a segurança com a experiência do residente, este mergulho profundo de dez minutos é para você.

Vamos contextualizar. Historicamente, fornecer WiFi em um edifício de apartamentos significava uma de duas opções ruins. Opção um: você colocava um roteador físico em cada apartamento. O resultado? Interferência de RF massiva, altos custos de hardware e um pesadelo de gerenciamento. Opção dois: você transmitia uma rede para todo o edifício com uma senha compartilhada ou um Captive Portal. O resultado? Zero privacidade, e dispositivos inteligentes como Apple TVs ou consoles de jogos simplesmente se recusavam a conectar.

É aqui que a Identity Pre-Shared Key - ou iPSK - muda o jogo.

Em vez de implantar duzentos roteadores ou transmitir duzentos SSIDs, você transmite um único SSID seguro e de nível empresarial. Vamos chamá-lo de Resident WiFi. Quando um usuário se conecta, ele não usa uma senha compartilhada. Ele usa uma chave exclusiva atribuída especificamente ao seu apartamento.

Aqui está como o fluxo técnico funciona. O residente conecta seu dispositivo usando sua chave exclusiva. O Access Point pega essa credencial e a encaminha via RADIUS Access-Request para o seu servidor de autenticação. O servidor RADIUS valida a chave e responde com uma mensagem Access-Accept. Mas o fundamental é que ele inclui atributos específicos - especificamente, o Tunnel-Private-Group-ID.

Isso diz ao Access Point exatamente em qual VLAN colocar aquele usuário. Assim, o apartamento cento e um é colocado na VLAN cento e um. O apartamento cento e dois vai para a VLAN cento e dois. Eles estão no mesmo Access Point físico, mas seu tráfego é completamente isolado na Camada 2. Chamamos isso de uma Rede de Área Privada, ou PAN.

Agora, vamos comparar isso com as alternativas. O PSK padrão - o modelo de senha compartilhada - oferece isolamento zero. Se um residente compartilhar a senha, a segurança de todo o edifício será enfraquecida. E revogar o acesso de um único inquilino significa alterar a senha de todos. Isso simplesmente não é viável em escala.

O WPA3-Enterprise, ou 802.1X, é o outro extremo. É altamente seguro e usado em ambientes corporativos. Mas requer certificados digitais ou telas de login complexas. Consoles de jogos, alto-falantes inteligentes e dispositivos domésticos inteligentes não conseguem navegar por esse processo. Você acaba com residentes frustrados e uma enxurrada de chamadas de suporte.

O iPSK fica precisamente no meio. Ele se parece exatamente com uma rede WiFi doméstica para o dispositivo - apenas uma senha simples. Mas no backend, é um sistema de nível empresarial com criptografia individual, atribuição dinâmica de VLAN e gerenciamento centralizado.

Vamos falar sobre implementação. Existem cinco etapas principais para uma implantação bem-sucedida.

Etapa um: preparação da infraestrutura. Seus switches de borda devem ter todas as VLANs de inquilinos em potencial marcadas (tagged) nas portas de tronco conectando aos Access Points. Se o RADIUS instruir o AP a colocar um usuário na VLAN cento e cinco, mas a VLAN cento e cinco não estiver marcada na porta do switch, o tráfego cairá em um buraco negro. O usuário se autentica com sucesso, mas não consegue obter um endereço IP. Este é o erro de implantação mais comum que vemos.

Etapa dois: configuração do controlador. Configure seu controlador sem fio - seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - para transmitir um único SSID com iPSK habilitado, apontando as solicitações de autenticação para seu servidor RADIUS.

Etapa três: integração do provedor de identidade. Conecte seu servidor RADIUS ao seu software de gestão de propriedades ou provedor de identidade. Microsoft Entra ID, Okta e Google Workspace oferecem suporte para isso. É aqui que o Purple fornece valor significativo como camada de orquestração.

Etapa quatro: reflexão mDNS. Os moradores esperam transmitir de seus celulares para suas TVs. Você deve habilitar o encaminhamento Bonjour, mas restringi-lo estritamente aos limites de cada VLAN individual. Se você não fizer isso, a transmissão não funcionará ou um morador do primeiro andar transmitirá acidentalmente para uma TV no quarto andar.

Etapa cinco: automação do ciclo de vida. Não gerencie essas chaves manualmente. Integre seu software de gestão de propriedades com o Purple para acionar a geração automática de chaves quando um contrato de locação for assinado e a revogação instantânea quando um inquilino se mudar. Zero toque da sua equipe de TI.

Agora, vamos abordar alguns problemas comuns.

O primeiro é a expiração de certificados. Se a sua infraestrutura RADIUS depende de certificados do lado do servidor, configure um monitoramento agressivo. Um certificado expirado deixará todo o edifício offline. Defina lembretes de renovação para noventa dias, sessenta dias e trinta dias.

O segundo é o suporte a dispositivos legados. Alguns dispositivos IoT mais antigos não oferecem suporte aos modos de transição WPA3. Mantenha um modo de compatibilidade WPA2 no mesmo SSID para evitar problemas de compatibilidade.

O terceiro é o esgotamento do pool DHCP. O morador médio traz de sete a dez dispositivos conectados. Projete seu esquema de endereçamento IP para suportar a densidade de pico. Recomendamos uma sub-rede barra vinte e oito - ou seja, quatorze endereços IP utilizáveis - por apartamento.

Vamos fazer um Q e A rápido com base em perguntas comuns de arquitetos de rede.

Pergunta um: O iPSK funciona com dispositivos IoT legados? Resposta: Sim. Ao contrário do 802.1X, que exige certificados complexos, o iPSK se parece exatamente com uma rede WiFi doméstica padrão para o dispositivo. Cem por cento dos dispositivos de consumo oferecem suporte.

Pergunta dois: Quais fornecedores de hardware suportam isso? Resposta: Todo o portfólio corporativo suporta. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam atribuição dinâmica de VLAN via RADIUS.
Pergunta três: Como isso afeta o retorno sobre o investimento? Resposta: Ao eliminar o hardware na unidade, você reduz as despesas de capital em até quarenta por cento. Você elimina os chamados de suporte associados a redefinições de senha e Captive Portals. E você pode monetizar a rede oferecendo pacotes de velocidade em camadas diretamente pelo portal de gerenciamento.

Para resumir: o iPSK é o padrão ouro para conectividade multi-tenant. Ele oferece a experiência Instant-On que os moradores exigem, com a segurança e o controle que as equipes de TI necessitam. Transmita um único SSID. Atribua chaves exclusivas. Isole o tráfego por unidade. Automatize o ciclo de vida.

Audite suas implantações de MDU atuais. Se você estiver gerenciando centenas de roteadores ou lidando com reclamações de conectividade IoT, é hora de projetar uma solução iPSK. Fale com a equipe da Purple para obter uma análise técnica de seu ambiente específico.

Obrigado por participar deste briefing técnico. Continue construindo redes seguras e escaláveis.

Principais conclusões

✓O iPSK atribui uma senha de WiFi exclusiva para cada unidade residencial, eliminando as falhas de segurança e privacidade das redes PSK compartilhadas.
✓O Dynamic VLAN Assignment baseado em RADIUS isola o tráfego de cada unidade na Camada 2, criando uma Private Area Network que simula a experiência de um roteador residencial.
✓O iPSK suporta 100% dos dispositivos de consumo, incluindo consoles de videogame e hardware de smart home que não conseguem se conectar a redes corporativas 802.1X.
✓Gerenciamento automatizado do ciclo de vida - integrado ao seu software de gestão de propriedades através da Purple - provisiona chaves na assinatura do contrato e as revoga na desocupação.
✓A eliminação de roteadores nas unidades reduz o CapEx de hardware em até 40% e remove a interferência de RF causada por centenas de dispositivos de consumo concorrentes.
✓A falha de implantação mais comum é a ausência de tags de VLAN nas portas de trunk do switch: verifique o trunking de ponta a ponta antes de entrar em operação.
✓O iPSK é suportado em todo o portfólio de hardware corporativo: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Resumo executivo

Gerenciar a conectividade em ambientes multi-tenant exige concessões. Implantar hardware individual por unidade cria interferência de RF grave e um fardo de manutenção de hardware. Transmitir SSIDs compartilhados compromete a privacidade dos moradores e quebra a compatibilidade de dispositivos IoT. O Identity Pre-Shared Key (iPSK) elimina esse dilema. Ele permite transmitir um único SSID seguro enquanto atribui uma credencial exclusiva para cada unidade residencial. O servidor RADIUS mapeia cada credencial para uma VLAN dedicada, criando uma Rede de Área Privada (PAN) para cada apartamento. Os moradores conectam smart TVs, consoles de videogame e laptops com a simplicidade de uma rede doméstica. As equipes de TI mantêm visibilidade centralizada, atribuição dinâmica de VLAN e gerenciamento automatizado de ciclo de vida. Este guia detalha a arquitetura técnica, as etapas de implantação e os resultados de negócios mensuráveis da implementação de iPSK para incorporadoras imobiliárias, operadoras de BTR e proprietários.

Detalhamento técnico: a arquitetura iPSK

Os modelos tradicionais de segurança de rede falham em ambientes residenciais modernos. O PSK padrão (WPA2-Personal) oferece isolamento zero entre as unidades e não escala bem. O WPA3-Enterprise (802.1X) oferece excelente segurança, mas quebra a compatibilidade com dispositivos IoT sem tela e consoles de videogame, que não conseguem navegar por fluxos de autenticação baseados em certificados.

O iPSK resolve isso movendo a lógica de segmentação da camada de RF para a camada de autenticação RADIUS. Cada morador recebe uma chave pré-compartilhada exclusiva. Essa chave é o token de identidade. Quando o servidor RADIUS a valida, ele simultaneamente atribui o morador a uma VLAN dedicada, isolando seu tráfego de todas as outras unidades do edifício.

O fluxo de autenticação

Quando um morador conecta um dispositivo ao SSID de todo o edifício, ocorre a seguinte sequência:

Etapa 1 - Associação. O dispositivo se associa ao Access Point usando sua credencial PSK exclusiva. O AP bloqueia todo o tráfego, exceto os quadros EAPOL (Extensible Authentication Protocol over LAN).

Etapa 2 - Solicitação RADIUS. O AP encapsula a credencial e a encaminha para o servidor RADIUS como um pacote Access-Request.

Etapa 3 - Avaliação de política. O servidor RADIUS valida a chave em relação ao repositório de identidade. Ao encontrar uma correspondência, ele prepara uma resposta Access-Accept contendo três atributos padrão IETF críticos:

Atributo RADIUS	Valor	Finalidade
`Tunnel-Type` (64)	13 (VLAN)	Declara a segmentação de VLAN
`Tunnel-Medium-Type` (65)	6 (IEEE 802)	Especifica o tipo de meio
`Tunnel-Private-Group-ID` (81)	ex: "101"	A VLAN específica a ser atribuída

Passo 4 - Atribuição dinâmica. O AP lê o Tunnel-Private-Group-ID e direciona o tráfego do dispositivo diretamente para a VLAN dedicada do morador. O switch de rede upstream lida com esse tráfego como se o morador estivesse fisicamente conectado a uma porta dedicada.

Passo 5 - Rede de Área Privada. Os dispositivos do morador agora estão isolados na Camada 2. Eles podem se descobrir e se comunicar entre si (via reflexão mDNS), mas permanecem invisíveis para todas as outras unidades do edifício.

Esta arquitetura garante que 200 apartamentos que compartilham os mesmos pontos de acesso físico tenham tráfego totalmente isolado. Um morador na unidade 401 pode transmitir para sua Apple TV. Ele não consegue ver a impressora na unidade 402.

Nomes de implementação dos fabricantes

A lógica principal do iPSK é consistente em toda a pilha de hardware corporativo, embora a nomenclatura do fabricante mude:

Fabricante	Nome do produto	Integração RADIUS
Cisco Meraki	iPSK	RADIUS com atributo `Tunnel-Password`
HPE Aruba	MPSK (Multi-PSK)	RADIUS com VSA `Aruba-MPSK-Passphrase`
Ruckus	DPSK (Dynamic PSK)	RADIUS com VSA `Ruckus-DPSK-Passphrase`
Juniper Mist	PPSK (Private PSK)	RADIUS com `Tunnel-Private-Group-ID`
Ubiquiti UniFi	PPSK	RADIUS com atributos padrão
Cambium	PPSK	RADIUS com atributos padrão
Extreme Networks	PPSK	RADIUS com atributos padrão
Fortinet	MPSK	RADIUS com `Tunnel-Private-Group-ID`

Guia de implementação: implantando o iPSK

A implantação do iPSK requer coordenação em toda a sua pilha de rede. Siga esta sequência de implantação neutra em relação ao fabricante.

Fase 1: preparação da infraestrutura de rede

Defina seu esquema de VLAN antes de tocar em qualquer hardware. Para um edifício de 200 unidades, aloque as VLANs de 101 a 300, uma por apartamento. Cada VLAN precisa de sua própria sub-rede dedicada e escopo DHCP.

Recomendamos uma sub-rede /28 (14 endereços IP utilizáveis) por apartamento para acomodar a densidade de dispositivos modernos. O morador médio traz de sete a 10 dispositivos conectados. Um /28 oferece margem suficiente sem desperdiçar espaço de endereço. Para um edifício de 200 unidades, o bloco de rede pai é um /21 (2.048 IPs no total).

Passo crítico: Marque (tag) todas as VLANs de inquilinos em potencial nas portas de tronco que conectam seus switches de borda aos pontos de acesso. Se o servidor RADIUS atribuir um usuário à VLAN 105, mas a VLAN 105 não estiver marcada na porta do switch, o tráfego cairá em um buraco negro. O usuário se autentica com sucesso, mas falha em obter um endereço IP via DHCP. Este é o erro de implantação mais comum em ambientes MDU.

Fase 2: configuração do controlador wireless

Configure seu controlador wireless para transmitir um único SSID. Defina o modo de segurança como WPA2/WPA3 com iPSK ou controle de acesso baseado em MAC ativado. Direcione todas as solicitações de autenticação para o seu servidor RADIUS. Desative a transmissão de SSID para quaisquer redes legadas por unidade assim que o SSID do iPSK for validado.

A consolidação em um único SSID traz um benefício imediato de desempenho de RF. Cada SSID transmitido consome tempo de transmissão com pacotes de gerenciamento (beacons, respostas de sondagem) na taxa de dados obrigatória mais baixa. A eliminação de 10 SSIDs legados pode recuperar de 15 a 20% do tempo de transmissão disponível, de acordo com os dados de implantação da própria Purple.

Fase 3: Integração do servidor RADIUS e do provedor de identidade

Seu servidor RADIUS é o mecanismo de políticas. Ele deve ser configurado para:

Aceitar solicitações de autenticação de seus pontos de acesso (configuração de segredo compartilhado).
Validar credenciais em relação ao seu armazenamento de identidade (Microsoft Entra ID, Okta, Google Workspace ou um banco de dados local).
Retornar o atributo Tunnel-Private-Group-ID correto para cada credencial.

A Purple atua como a camada de orquestração entre o seu Software de Gestão de Propriedades (PMS) e o servidor RADIUS. Quando um contrato é assinado em seu PMS, a Purple gera automaticamente um iPSK exclusivo, associa-o ao VLAN correto e envia a credencial por e-mail para o residente. Quando o contrato termina, a Purple revoga a chave instantaneamente. A equipe de TI não precisa fazer nada.

Fase 4: Configuração de reflexão mDNS

Os residentes esperam funcionalidades de casa inteligente. A transmissão de um telefone para uma TV, a impressão sem fio e a conexão de alto-falantes inteligentes dependem da descoberta mDNS (multicast DNS), também conhecida como Apple Bonjour ou DLNA.

Em uma rede padrão, o mDNS é bloqueado entre VLANs para evitar a descoberta de dispositivos entre inquilinos. Este é o comportamento correto. No entanto, você deve habilitar a reflexão mDNS dentro de cada VLAN individual para que os próprios dispositivos de um residente possam se descobrir. Configure seu controlador sem fio para refletir o tráfego mDNS apenas dentro dos limites de cada VLAN de inquilino. Não habilite o encaminhamento mDNS global em todas as VLANs.

Fase 5: Automação do ciclo de vida e autoatendimento

Não gerencie chaves manualmente. Em um empreendimento de 200 unidades com rotatividade regular de inquilinos, o gerenciamento manual de chaves introduz erros humanos e cria brechas de segurança quando inquilinos que estão saindo mantêm credenciais ativas.

O aplicativo Purple automatiza todo o ciclo de vida do residente:

Integração (Onboarding): A integração com o PMS aciona a geração e entrega de chaves antes da mudança.
Inquilino ativo: Os residentes usam o portal de autoatendimento para adicionar dispositivos, verificar velocidades ou solicitar a atualização da chave.
Desativação (Offboarding): A data de desocupação aciona a revogação automática da chave e a reciclagem do VLAN.

Melhores práticas para operadores de BTR

Automatize a integração. Não gerencie chaves manualmente. Integre seu PMS à Purple para acionar a geração automática de chaves e a entrega por e-mail antes da mudança do residente. Isso proporciona a experiência Instant-On que define uma marca premium de BTR.

Habilite a reflexão mDNS por VLAN. Garanta que a transmissão e os dispositivos de casa inteligente funcionem corretamente em cada PAN. Restrinja o mDNS estritamente aos limites de cada VLAN individual para evitar a descoberta de dispositivos entre unidades.

Monitore a integridade de RF continuamente. A consolidação em um único SSID reduz a sobrecarga de quadros de gerenciamento. Use o tempo de antena recuperado para otimizar as larguras de canal e a potência de transmissão. A plataforma de WiFi Analytics da Purple fornece a visibilidade necessária para agir de acordo com esses dados.

Planeje para densidade de dispositivos. Projete seu esquema de endereçamento IP para suportar a densidade máxima sem esgotar os pools de DHCP. Use o designer de sub-rede iPSK multi-tenant da Purple para calcular o bloco de rede pai correto para o seu edifício.

Defina alertas de renovação de certificados. Se a sua infraestrutura RADIUS usa certificados do lado do servidor, defina lembretes de renovação para 90, 60 e 30 dias. Um certificado expirado deixa todo o edifício offline.

Mantenha a compatibilidade com WPA2. Alguns dispositivos IoT legados não suportam modos de transição WPA3. Mantenha a compatibilidade com WPA2 ativada no mesmo SSID para evitar o mau funcionamento de dispositivos mais antigos.

Para uma visão mais ampla da arquitetura SSID, leia Três SSIDs para governar todos eles: guest, Passpoint e IoT WiFi .

Solução de problemas e mitigação de riscos

A VLAN buraco negro. Sintoma: o usuário se autentica com sucesso, mas não consegue obter um endereço IP. Causa: a VLAN atribuída não está marcada de ponta a ponta, do AP passando pelos switches de borda até o servidor DHCP. Resolução: verifique a configuração da porta de tronco em cada switch no caminho.

Expiração de certificado. Sintoma: todo o edifício perde o acesso WiFi simultaneamente. Causa: o certificado do servidor RADIUS expirou. Resolução: implemente o monitoramento automatizado de certificados com alertas antecipados de 90 dias. Considere o uso do Let's Encrypt com renovação automatizada para certificados de servidor RADIUS.

mDNS não funciona dentro de uma unidade. Sintoma: o residente não consegue transmitir para a TV ou descobrir a impressora. Causa: a reflexão mDNS está desativada globalmente ou não está delimitada para a VLAN do residente. Resolução: ative a reflexão mDNS por VLAN no controlador sem fio.

Esgotamento do pool de DHCP. Sintoma: os dispositivos se conectam ao WiFi, mas não conseguem obter um endereço IP, apesar da marcação correta da VLAN. Causa: o escopo do DHCP é muito pequeno para a quantidade de dispositivos conectados. Resolução: expanda a sub-rede para um /27 (30 IPs utilizáveis) para unidades de alta densidade ou alojamentos estudantis.

Compartilhamento de chaves entre residentes. Sintoma: vários residentes aparecem na mesma VLAN. Causa: um residente compartilhou seu PSK exclusivo com um vizinho. Resolução: implemente políticas de rotação de chaves e oriente os residentes de que sua chave está vinculada ao segmento de rede de sua unidade.

ROI e impacto nos negócios

A transição para uma arquitetura iPSK proporciona resultados de negócios mensuráveis para operadores de BTR e proprietários.

Redução de despesas de capital. A eliminação de roteadores individuais em um edifício de 200 unidades remove 200 dispositivos de nível de consumidor da rede. Com base nos dados de implantação da própria Purple, isso reduz o CapEx de hardware em até 40% em comparação com um modelo de roteador por unidade. Access Points centralizados de classe empresarial, posicionados estrategicamente em todo o edifício, oferecem melhor cobertura com menos dispositivos.

Redução de despesas operacionais. O gerenciamento automatizado do ciclo de vida elimina o esforço manual de TI associado a redefinições de senha, solução de problemas de Captive Portal e substituição de hardware. O volume de chamados de suporte relacionados à conectividade WiFi cai significativamente quando os residentes recebem uma credencial funcional antes de se mudarem.

Geração de receita. A arquitetura iPSK permite pacotes de largura de banda em camadas. Você pode oferecer uma camada padrão incluída na taxa de serviço e uma camada premium (por exemplo, uma camada para jogos ou streaming com velocidades mais altas) como um upgrade opcional. Como o iPSK é baseado em identidade, você pode atualizar a camada de velocidade de um residente instantaneamente através do painel da Purple, sem necessidade de alterações de hardware.

Retenção de residentes. No mercado de BTR, a qualidade do WiFi é constantemente citada como um dos três principais fatores nas pesquisas de satisfação dos residentes. A experiência Instant-On - onde o WiFi funciona no momento em que o residente passa pela porta - apoia diretamente a retenção e as avaliações positivas.

Para obter contexto específico do setor, explore os guias da Purple para ambientes de Hospitalidade , Varejo e Saúde , ou consulte o guia relacionado sobre Logo iPSK: um guia completo para empresas .

A Purple foi fundada em 2012 e opera em mais de 80.000 locais ativos, com 350 milhões de usuários únicos e 440 milhões de logins registrados em 2024. A Purple possui as certificações ISO 27001, GDPR, CCPA, Cyber Essentials e B Corp.

Definições principais

iPSK (Identity Pre-Shared Key)

A WiFi authentication mechanism that assigns a unique pre-shared key to each individual user, device group, or apartment unit on a single SSID. The key serves as an identity token that the RADIUS server maps to a specific network policy and VLAN.

Used in BTR, MDU, student accommodation, and hospitality environments to provide per-unit security without requiring 802.1X certificates.

Private Area Network (PAN)

Um segmento de rede virtual e isolado, criado para um usuário ou grupo específico dentro de uma infraestrutura compartilhada maior. Os dispositivos dentro de uma PAN podem descobrir e se comunicar entre si, mas são invisíveis para dispositivos em outras PANs.

A PAN é o resultado voltado para o residente do iPSK e Dynamic VLAN Assignment. Ela oferece a experiência de rede doméstica dentro de uma infraestrutura predial compartilhada.

Dynamic VLAN Assignment

O processo de colocar um usuário em uma VLAN específica com base em sua identidade, conforme ditado pelo servidor RADIUS durante a autenticação, e não pelo SSID ao qual ele se conecta.

O mecanismo técnico que faz o isolamento do iPSK funcionar. O servidor RADIUS retorna o atributo Tunnel-Private-Group-ID, que o AP usa para atribuir o usuário à VLAN correta.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece Autenticação, Autorização e Contabilidade (AAA) centralizada para acesso à rede. Em uma implantação iPSK, o servidor RADIUS valida as credenciais e retorna os atributos de atribuição de VLAN.

O mecanismo de política no coração de qualquer arquitetura iPSK. Ele conecta a infraestrutura sem fio ao repositório de identidade e dita as políticas de rede por usuário.

mDNS Reflection

Um recurso de rede que permite que os protocolos de descoberta de DNS multicast (Apple Bonjour, DLNA) funcionem através de limites de rede específicos. Em uma implantação iPSK, ele deve ser habilitado dentro de cada VLAN do locatário para permitir a transmissão e a descoberta de dispositivos de casa inteligente.

Sem o mDNS reflection por VLAN, os residentes não conseguem transmitir para suas TVs ou descobrir suas impressoras, quebrando a experiência semelhante à doméstica que o iPSK foi projetado para oferecer.

Dispositivo headless

Um dispositivo conectado à rede que não possui uma tela ou interface de usuário capaz de inserir credenciais de login complexas, como um nome de usuário, senha ou certificado digital. Exemplos incluem alto-falantes inteligentes, consoles de jogos, smart TVs e sensores IoT.

Dispositivos headless não conseguem se conectar a redes 802.1X. O iPSK resolve isso usando uma chave pré-compartilhada simples que qualquer dispositivo pode usar, independentemente de suas capacidades de interface.

Tunnel-Private-Group-ID

Um atributo RADIUS padrão IETF (atributo 81) que especifica o VLAN ID a ser atribuído a um usuário autenticado. É o atributo crítico que permite o Dynamic VLAN Assignment em uma arquitetura iPSK.

Quando o servidor RADIUS retorna este atributo em uma mensagem Access-Accept, o Access Point o usa para direcionar o tráfego do usuário para a VLAN correta.

Build-to-Rent (BTR)

Propriedades residenciais construídas sob medida, projetadas especificamente para aluguel de longo prazo, em vez de venda. Os empreendimentos BTR normalmente incluem espaços de lazer, serviços de portaria e utilidades gerenciadas, como WiFi.

Os operadores de BTR são o público-alvo principal para implantações iPSK. O WiFi gerenciado é cada vez mais posicionado como um serviço essencial no BTR, ao lado de água, gás e eletricidade.

PMS (Property Management Software)

Software usado por operadores de propriedades para gerenciar contratos de aluguel, registros de residentes, solicitações de manutenção e faturamento. Em uma implantação iPSK, a integração com o PMS permite o provisionamento e a revogação automatizados de chaves vinculados ao ciclo de vida do aluguel.

A integração com o PMS é o que transforma o iPSK de uma tarefa de TI manual em um sistema de gerenciamento de ciclo de vida do residente totalmente automatizado.

Exemplos práticos

A property developer is building a 250-unit BTR complex. They want to provide building-wide WiFi as a managed utility. The brief requires: residents connect all their devices on move-in day, smart home devices must work, and no resident should be able to see another resident's devices. How should the network be designed?

Deploy a unified network broadcasting a single SSID named "Resident WiFi". Implement iPSK to assign a unique password to each apartment. Configure the wireless controller (Cisco Meraki, HPE Aruba, or Ruckus) to forward authentication requests to a RADIUS server. Configure the RADIUS server to return the Tunnel-Private-Group-ID attribute for each credential, mapping each apartment to a dedicated VLAN (VLANs 101 to 350). Size each VLAN with a /28 subnet (14 usable IPs) to support up to 10 devices per unit. Enable per-VLAN mDNS reflection to allow casting and smart home discovery within each apartment. Integrate the PMS with Purple to automate key generation at lease signing and revocation at move-out. Verify that all potential tenant VLANs are tagged on every trunk port in the network path.

Comentário do examinador: This approach eliminates the RF interference caused by 250 individual routers. iPSK ensures that headless devices like smart TVs connect without friction, while Dynamic VLAN Assignment provides the Layer 2 isolation required for resident privacy. The PMS integration removes the manual IT overhead that makes large-scale MDU deployments unmanageable.

A resident in a 150-unit BTR building reports that their smartphone connects to the building WiFi successfully, but they cannot cast Netflix to their Chromecast. Both devices are connected using the resident's unique iPSK. The IT team has confirmed both devices are on the correct VLAN. What is the likely cause and resolution?

The IT team must verify the mDNS reflection configuration on the wireless controller. Casting relies on mDNS (multicast DNS) for device discovery. In a correctly configured iPSK network, mDNS is blocked between VLANs to prevent cross-tenant device discovery. However, mDNS reflection must be enabled within each individual VLAN so that a resident's own devices can discover each other. If mDNS reflection is disabled globally or not scoped to individual VLANs, casting will fail even though both devices are on the correct VLAN and have internet access.

Comentário do examinador: This is the most common post-deployment support issue in MDU iPSK environments. The distinction between inter-VLAN mDNS blocking (correct, for security) and intra-VLAN mDNS reflection (required, for functionality) is critical. Operators must configure both correctly to deliver the home-like experience residents expect.

Questões práticas

Q1. Você é o gerente de TI de um empreendimento BTR de 180 unidades. A equipe do imóvel deseja incluir o WiFi na taxa de condomínio. Estudantes e jovens profissionais serão os principais residentes, cada um trazendo uma média de oito dispositivos conectados, incluindo consoles de jogos e dispositivos de casa inteligente. A rede existente usa WPA3-Enterprise. Os residentes estão reclamando que seus consoles PlayStation 5 e dispositivos Amazon Echo não conectam. Qual é a mudança arquitetônica mais apropriada?

Dica: Considere os requisitos de autenticação de dispositivos headless e a necessidade de manter a responsabilidade e o isolamento por unidade.

Ver resposta modelo

Migre a rede de WPA3-Enterprise (802.1X) para uma arquitetura iPSK. O WPA3-Enterprise exige autenticação 802.1X, a qual consoles de videogame e alto-falantes inteligentes não conseguem suportar por não possuírem a interface necessária para inserir credenciais ou instalar certificados. O iPSK permite que esses dispositivos se conectem usando uma chave pré-compartilhada simples, mantendo o isolamento por unidade via Dynamic VLAN Assignment. O servidor RADIUS mapeia cada chave exclusiva para uma VLAN dedicada, preservando a segurança e a responsabilidade que o WPA3-Enterprise deveria fornecer.

Q2. Após implantar o iPSK em um prédio residencial de 100 unidades, a equipe de TI recebe relatos de que os moradores das unidades 201 a 210 conseguem se autenticar na rede WiFi, mas não conseguem obter um endereço IP. Os moradores de todas as outras unidades estão se conectando normalmente. Os logs do servidor RADIUS mostram autenticação bem-sucedida para todas as unidades afetadas. Qual é a causa mais provável?

Dica: Pense no caminho de rede entre os Access Points que atendem o 2º andar e o servidor DHCP, e o que deve ser configurado de ponta a ponta.

Ver resposta modelo

A porta do switch que se conecta aos Access Points que atendem o 2º andar provavelmente está sem as tags de VLAN para as VLANs 201 a 210. Quando o servidor RADIUS autentica um morador na unidade 201 e retorna a VLAN 201 no atributo Tunnel-Private-Group-ID, o AP tenta direcionar o tráfego para a VLAN 201. Se a VLAN 201 não estiver tagueada na porta do switch, o tráfego é descartado e a solicitação DHCP nunca chega ao servidor DHCP. A solução é adicionar as tags de VLAN ausentes à porta de trunk afetada. O fato de a autenticação ter sucesso, mas a atribuição de IP falhar, é a assinatura de diagnóstico desse problema específico.

Q3. Uma operadora de BTR deseja oferecer um pacote de WiFi premium 'Gamer Tier' por um custo mensal adicional, garantindo maior largura de banda para os moradores que optarem por ele. O prédio já roda iPSK com isolamento de VLAN por unidade. Como isso pode ser implementado sem a implantação de hardware adicional?

Dica: Considere como o servidor RADIUS pode retornar diferentes atributos de política para diferentes credenciais e o que a plataforma de gerenciamento precisa suportar.

Ver resposta modelo

A operadora pode implementar a divisão de largura de banda em camadas por meio do servidor RADIUS e de políticas de Quality of Service (QoS). Quando um morador faz o upgrade para o Gamer Tier, a plataforma de gerenciamento (Purple) atualiza seu perfil RADIUS para retornar um atributo de política diferente junto com a atribuição de VLAN. Esse atributo aciona um limite de largura de banda maior ou prioridade de QoS no controlador wireless. Nenhuma alteração de hardware é necessária. O painel da Purple permite que a equipe do condomínio atualize o plano do morador instantaneamente, e a alteração entra em vigor no próximo evento de autenticação.

Continue a ler esta série

PPSK wpa3: comparando recursos e modelos de implantação

Este guia de referência técnica compara PPSK e WPA3-SAE, explicando suas diferenças de arquitetura e modelos de implantação para ambientes multi-tenant. Ele fornece orientações práticas para gerentes de TI e desenvolvedores imobiliários sobre como obter redes WiFi seguras e isoladas usando as soluções baseadas em identidade da Purple.

PPSK na prática: comparando recursos e modelos de implantação

Este guia compara PPSK (Private Pre-Shared Key) com PSK padrão e 802.1X, detalhando modelos de implementação para ambientes multi-tenant. Ele capacita gerentes de TI e operadores de propriedades a implantar um WiFi seguro e isolado para residentes que suporte dispositivos domésticos inteligentes e impulsione valor comercial mensurável.

Centro de treinamento PPSK: comparando recursos e modelos de implantação

Uma referência técnica definitiva sobre a implantação de arquiteturas Private Pre-Shared Key (PPSK) em centros de treinamento. Este guia compara modelos locais de controladora, baseados em RADIUS e orquestrados na nuvem, fornecendo etapas de implementação práticas para segmentação de rede e automação do ciclo de vida das chaves.