PPSK UniFi: comparando recursos e modelos de implantação

Este guia aborda a implantação de PPSK (Private Pre-Shared Key) na infraestrutura Ubiquiti UniFi para ambientes multi-tenant, incluindo Build to Rent (BTR), acomodações estudantis e hospitalidade. Ele compara PPSK com 802.1X e PSK padrão, detalha dois modelos de implantação - UniFi nativo e overlay de RADIUS em nuvem - e explica como a Purple automatiza o gerenciamento de credenciais em escala. Desenvolvedores imobiliários, proprietários e operadores de BTR encontrarão orientações de arquitetura acionáveis, estudos de caso do mundo real e um caso de negócios claro para tratar o WiFi como uma comodidade gerenciada.

📖 8 min de leitura📝 1,923 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

PARTE 1:

Bem-vindo a este briefing técnico da Purple. Hoje estamos abordando PPSK em infraestrutura UniFi - o que é, quando usar e como implantar corretamente em ambientes multi-tenant. Se você é um incorporador imobiliário, proprietário ou operador de BTR tentando descobrir como oferecer aos residentes uma experiência de WiFi semelhante à de casa sem o caos de roteadores individuais, este é exatamente o ponto por onde você precisa começar.

Vamos começar com o problema principal. Você tem um edifício. Pode ter 50 unidades, ou 500. Você quer oferecer WiFi como uma comodidade. A abordagem ingênua é colocar um roteador em cada apartamento. Isso gera um desastre. Você acaba com centenas de SSIDs transmitindo nos mesmos canais, causando interferência e degradando o desempenho de todos. O ambiente de RF vira uma bagunça.

Portanto, o próximo passo natural é centralizar. Você implanta access points de nível corporativo - como a série UniFi U6 ou U7, por exemplo - e executa uma única rede em todo o edifício. Agora você tem um ambiente de RF limpo. Mas você tem um novo problema: como manter os residentes isolados uns dos outros? Você não pode ter o Residente A acessando os dispositivos do Residente B. E você não pode usar uma única senha compartilhada, porque quando alguém se muda, você precisa alterar a senha de todo o edifício.

É aqui que entra o PPSK. PPSK significa Private Pre-Shared Key. O conceito é simples. Você transmite um único SSID - um nome de rede. Mas, em vez de uma senha para todos, você emite uma senha exclusiva para cada residente. Quando o dispositivo se conecta usando essa senha, a rede o mapeia para uma VLAN dedicada. Uma VLAN é uma Virtual Local Area Network - essencialmente uma rede lógica separada em execução na mesma infraestrutura física.

O resultado é o que chamamos de bolha de WiFi. Cada dispositivo que o Residente A conecta usando sua senha entra em sua VLAN. Seu telefone, seu laptop, sua smart TV, seu Chromecast - todos se veem e podem se comunicar. Mas eles são completamente invisíveis para o Residente B, que está em uma VLAN diferente com uma senha diferente. Mesmo access point. Mesmo SSID. Tráfego completamente isolado.

Agora, você deve estar se perguntando por que não usar apenas o 802.1X - o padrão de autenticação corporativo. É uma pergunta justa. O 802.1X é excelente para ambientes corporativos. Ele usa um servidor RADIUS para autenticar usuários por meio de credenciais ou certificados exclusivos e atribui VLANs dinamicamente. Muito seguro. Mas aqui está o problema para uso residencial: o 802.1X exige que o dispositivo de conexão tenha o que é chamado de suplicante - software que pode negociar o handshake de autenticação. A maioria dos dispositivos IoT de consumo não possui isso. Smart TVs, consoles de videogame, impressoras sem fio, alto-falantes inteligentes - nenhum deles suporta 802.1X. Eles aceitam apenas uma senha simples. Portanto, se você exigir o 802.1X, bloqueará imediatamente uma parte significativa dos dispositivos que seus residentes desejam conectar.
O PPSK resolve isso. Ele usa criptografia WPA2 - que todos os dispositivos suportam - mas com o isolamento por usuário que antes só era possível com 802.1X.

Vamos falar especificamente sobre o UniFi. A Ubiquiti adicionou suporte nativo a PPSK ao aplicativo UniFi Network há relativamente pouco tempo. A configuração é simples: você cria suas VLANs no controlador, cria uma rede sem fio, ativa a opção Private Pre-Shared Keys e, em seguida, atribui manualmente uma senha exclusiva para cada VLAN. Para uma implantação pequena - digamos, um espaço de coworking de dez unidades ou um bloco de apartamentos boutique - isso funciona bem.

Mas há uma limitação crítica que você precisa saber. O PPSK nativo do UniFi só funciona com WPA2. Ele não suporta WPA3. Isso não é uma falha específica do UniFi - é uma restrição fundamental do protocolo. O WPA3 usa um mecanismo de handshake chamado Simultaneous Authentication of Equals, ou SAE. O SAE exige que o ponto de acesso conheça a chave pré-compartilhada antes de o processo de autenticação começar. Com o PPSK, o objetivo principal é que o ponto de acesso determine qual chave está sendo usada durante a autenticação. Esses dois requisitos são mutuamente exclusivos. Portanto, se você implantar PPSK no UniFi, você estará no WPA2 e não poderá usar a banda de 6 GHz.

PARTE 2:

Para implantações em escala empresarial, o PPSK nativo do UniFi encontra outra barreira: o gerenciamento manual. Imagine provisionar 500 senhas exclusivas, mapear cada uma para uma VLAN e depois revogá-las uma a uma conforme os moradores se mudam. Isso não é uma arquitetura de rede. Isso é um trabalho em tempo integral.

É aqui que uma sobreposição de RADIUS em nuvem como o Purple se torna essencial. O Purple se integra diretamente aos seus pontos de acesso UniFi via RADIUS. Quando um novo morador se muda, o Purple gera automaticamente um PPSK exclusivo e provisiona sua VLAN. O morador recebe suas credenciais através do aplicativo Purple. Eles conectam seus dispositivos. Quando eles se mudam, o Purple revoga a chave instantaneamente. O restante do edifício não é afetado.

O Purple opera em 80.000 locais globalmente e processou mais de 440 milhões de logins apenas em 2024. A infraestrutura de RADIUS em nuvem é certificada com a ISO 27001 e mantém 99,999% de uptime. Ela é agnóstica em termos de hardware, funcionando igualmente bem em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, UniFi, Cambium, Extreme Networks e Fortinet.

Deixe-me dar dois cenários do mundo real para tornar isso concreto.

Primeiro: um empreendimento Build to Rent de 250 unidades em Manchester. O incorporador deseja substituir os roteadores de banda larga individuais por uma rede UniFi centralizada. O diretor de TI precisa de isolamento seguro entre os moradores, suporte a dispositivos domésticos inteligentes e desligamento automatizado. A solução: pontos de acesso UniFi U6-Enterprise nos corredores, sobreposição de RADIUS em nuvem Purple, um único SSID com PPSK. O Purple se integra ao sistema de gestão de propriedades. A entrada do morador aciona o provisionamento automático de chaves. A saída aciona a revogação automática. O morador conecta seu telefone, notebook e smart TV com uma única senha. Seus dispositivos se descobrem. Seus vizinhos permanecem invisíveis.
Segundo: um hotel de 150 quartos que atualmente usa uma rede aberta com um Captive Portal. Os hóspedes estão reclamando que as Apple TVs e os consoles de videogame não funcionam - o que é esperado, pois esses dispositivos não conseguem navegar em um Captive Portal. A solução: migrar para um SSID protegido por PPSK. O sistema de gestão hoteleira do hotel aciona o Purple para gerar uma chave exclusiva por quarto, por estadia. O hóspede recebe a senha no check-in. Eles conectam todos os seus dispositivos. A chave expira automaticamente no check-out.

Agora, algumas armadilhas de implementação a serem evitadas.

O chamado de suporte mais comum em WiFi multi-tenant é o problema do Chromecast. Um morador não consegue transmitir do celular para a TV. Isso quase sempre significa que os dois dispositivos estão em subnets diferentes, ou que o tráfego mDNS está sendo descartado no limite da VLAN. Verifique se ambos os dispositivos estão usando exatamente a mesma PPSK. Confirme se a atribuição de VLAN está correta. E garanta que a configuração da sua rede permita que o mDNS se reflita dentro da VLAN do morador, bloqueando-o de cruzar para outras VLANs.

A segunda armadilha é o dimensionamento do escopo DHCP. Planeje de 15 a 25 dispositivos por residência. Um edifício de 200 unidades pode facilmente ter 4.000 dispositivos simultâneos. Uma subnet barra-24 por morador oferece 254 endereços IP utilizáveis - mais do que suficiente por unidade. Mas certifique-se de que sua infraestrutura de roteamento principal possa lidar com centenas de subnets simultaneamente.

Terceiro: não transmita SSIDs demais. Cada SSID adicional consome tempo de antena com frames de gerenciamento. O objetivo principal do PPSK é consolidar tudo em um ou dois SSIDs.

O caso de negócios para operadores de BTR é claro. O WiFi como benefício gera consistentemente um prêmio de aluguel de quinze a trinta libras por unidade, por mês. O WiFi pronto para uso reduz os períodos de vacância de cinco a dez dias. E a implantação de uma sobreposição de software em hardware próprio reduz os custos por porta em trinta a cinquenta por cento em comparação com contratos de banda larga combinados.

Três perguntas rápidas para encerrar.

Posso usar PPSK com WPA3? Não. O PPSK requer WPA2. Essa é uma restrição de protocolo, não uma limitação de fornecedor.

O PPSK funciona com bandas de 6 GHz? Não. O 6 GHz requer WPA3 ou modo de transição WPA3. Como o PPSK é exclusivo para WPA2, ele é limitado a 2.4 GHz e 5 GHz.

O que acontece quando um morador esquece a senha? Ele entra em contato com o gerente da propriedade, que pode recuperar ou gerar novamente sua PPSK a partir do painel do Purple. A nova chave é emitida para o morador. Seus dispositivos conectados existentes precisarão ser reconectados, mas nenhum outro morador é afetado.

Para resumir. O PPSK no UniFi oferece um SSID, senhas exclusivas por morador e isolamento automático de VLAN. Ele resolve o problema de dispositivos IoT que torna o 802.1X impraticável para uso residencial. O PPSK nativo do UniFi funciona para pequenas implantações. A sobreposição cloud RADIUS do Purple lida com a escala empresarial com provisionamento e revogação automatizados.

Se você quiser ver como isso funciona na prática, visite purple.ai e fale com um de nossos arquitetos de rede. Nós já implantamos essa arquitetura em milhares de unidades residenciais e podemos orientá-lo na configuração para seu hardware e tipo de propriedade específicos.

Obrigado por nos ouvir.

Principais conclusões

✓O PPSK transmite um único SSID enquanto emite senhas exclusivas por morador, atribuindo cada um a uma VLAN dedicada para isolamento completo.
✓Ao contrário do 802.1X, o PPSK suporta dispositivos IoT sem interface de usuário, smart TVs e consoles de videogame que aceitam apenas uma senha simples.
✓O PPSK nativo da UniFi funciona para implantações de pequeno porte, mas exige gerenciamento manual de chaves - inadequado para mais de 50 unidades.
✓A sobreposição de nuvem RADIUS da Purple automatiza o provisionamento de PPSK, a atribuição de VLAN e a revogação em escala empresarial por meio de integração com PMS.
✓O PPSK funciona apenas com WPA2 e é incompatível com WPA3 e bandas de 6 GHz devido à restrição do protocolo de handshake SAE.
✓Operadores de BTR que implantam WiFi gerenciado por meio de sobreposição de software em hardware próprio alcançam um prêmio de aluguel de £15 - 30 por unidade por mês e custos por porta de 30 - 50% menores em comparação com banda larga combinada.
✓O gerenciamento de mDNS é o desafio operacional mais comum - configure a reflexão dentro das VLANs e o bloqueio entre VLANs para garantir que os dispositivos domésticos inteligentes funcionem corretamente.

Resumo executivo

Para desenvolvedores imobiliários e gerentes de TI que administram edifícios de múltiplos inquilinos, o principal desafio do WiFi é este: os residentes esperam uma experiência de rede doméstica - dispositivos que se descobrem, smart TVs que transmitem conteúdo, consoles que se conectam - mas em uma infraestrutura compartilhada que deve manter cada residência isolada uma da outra. O PSK padrão falha no isolamento. O 802.1X falha na compatibilidade com dispositivos IoT. O PPSK, ou Private Pre-Shared Key, resolve ambos os problemas.

O PPSK transmite um único SSID por todo o edifício enquanto emite uma senha exclusiva para cada residente. A rede usa essa senha para atribuir cada dispositivo conectado a uma VLAN dedicada, criando uma microrrede isolada por residência. Os dispositivos dentro da mesma VLAN do residente se comunicam livremente; os dispositivos em VLANs diferentes permanecem invisíveis uns aos outros.

No hardware Ubiquiti UniFi, o PPSK está disponível nativamente para pequenas implantações e por meio do overlay de nuvem RADIUS da Purple para escala empresarial. Este guia abrange ambos os modelos, as restrições de protocolo que você precisa conhecer e o caso comercial para implantar WiFi gerenciado como uma comodidade geradora de receita.

Análise técnica detalhada: PPSK vs 802.1X vs PSK

Compreender onde o PPSK se encaixa exige uma comparação direta com os dois padrões de autenticação empresarial dominantes.

PSK Padrão

O WPA2/WPA3-Personal usa uma única senha para todos os clientes em um SSID. Cada dispositivo compartilha o mesmo domínio de transmissão. Em um edifício de múltiplos inquilinos, isso significa que o Residente A pode ver os dispositivos do Residente B. Você pode ativar o isolamento de cliente no ponto de acesso para impedir a comunicação direta de dispositivo para dispositivo, mas fazer isso quebra totalmente a funcionalidade da rede local - alto-falantes inteligentes não conseguem controlar lâmpadas inteligentes, telefones não conseguem transmitir para TVs e consoles de jogos não conseguem descobrir serviços locais. O PSK padrão não é viável para uso residencial multi-inquilino.

802.1X (WPA-Enterprise)

O 802.1X autentica os usuários por meio de um servidor RADIUS usando credenciais exclusivas (nome de usuário e senha) ou certificados, com EAP-TLS ou PEAP como os métodos de autenticação comuns. Ele fornece segurança forte e suporta atribuição dinâmica de VLAN por meio de atributos RADIUS (especificamente, Tunnel-Private-Group-ID). No entanto, o 802.1X exige que o dispositivo de conexão execute um suplicante - software que negocia o handshake de autenticação. A maioria dos dispositivos IoT de consumo, smart TVs e consoles de jogos não possui um suplicante. Eles aceitam apenas uma senha simples. Exigir o 802.1X em um ambiente residencial exclui imediatamente uma parte significativa dos dispositivos que os moradores desejam conectar.

PPSK (Private Pre-Shared Key)

PPSK - também chamado de iPSK (Identity Pre-Shared Key) pela Cisco Meraki e Purple, e Personal Private Network por alguns fornecedores - preenche essa lacuna. Ele utiliza criptografia WPA2, que todos os dispositivos suportam, mas mapeia cada senha exclusiva para uma VLAN específica. O ponto de acesso (ou um servidor RADIUS externo) realiza esse mapeamento no momento da associação. O resultado é o isolamento por residente sem a necessidade de qualquer software cliente especial.

Dimensão	PSK Padrão	802.1X (WPA-Enterprise)	PPSK
Modelo de segurança	Chave compartilhada, sem isolamento	Credenciais por usuário, forte	Chave por usuário, forte
Suporte a dispositivos IoT	Sim	Não (requer suplicante)	Sim
Atribuição de VLAN	Estática, VLAN única	Dinâmica via RADIUS	Dinâmica via mapeamento de chaves
Compatível com WPA3	Sim	Sim	Não (apenas WPA2)
Suporte à banda de 6 GHz	Sim	Sim	Não
Custo operacional de gerenciamento	Baixo (uma chave)	Alto (infraestrutura RADIUS necessária)	Médio (chave por usuário)
Escalabilidade	Baixa (chave compartilhada)	Alta	Alta (com RADIUS na nuvem)

A limitação do WPA3. O PPSK é fundamentalmente incompatível com o WPA3. O WPA3 utiliza Simultaneous Authentication of Equals (SAE), o que exige que o ponto de acesso conheça a chave pré-compartilhada antes do início do handshake de autenticação. O PPSK determina qual chave está sendo usada durante a autenticação. Esses requisitos são mutuamente exclusivos. Se você implementar PPSK no UniFi, você estará no WPA2 e não poderá usar as bandas de 6 GHz.

Guia de implementação: 2 modelos de implantação

Modelo 1: PPSK Nativo do UniFi (implantações de pequena escala)

A Ubiquiti adicionou suporte nativo a PPSK ao aplicativo UniFi Network em versões recentes de firmware. Este modelo atende a pequenos espaços de coworking, edifícios MDU boutique ou implantações piloto.

Passo 1: Configuração de VLAN. No controlador UniFi, navegue até Settings > Networks e crie uma VLAN dedicada para cada locatário. Atribua a cada VLAN um ID exclusivo (ex: VLAN 101 para a Unidade 1, VLAN 102 para a Unidade 2).

Passo 2: Criação da rede. Navegue até Settings > WiFi e adicione uma nova rede sem fio. Defina o protocolo de segurança como WPA2 Personal.

Passo 3: Habilitar PPSK. Nas configurações de WiFi, habilite a opção Private Pre-Shared Keys. O controlador solicitará que você crie senhas individuais.

Passo 4: Mapeamento de chave para VLAN. Para cada senha criada, atribua-a à VLAN correspondente. O ponto de acesso usará a senha para determinar o direcionamento da VLAN no momento da conexão.

Passo 5: Configuração de mDNS. Certifique-se de que seu gateway UniFi ou USG esteja configurado para permitir a reflexão de mDNS dentro de cada VLAN, enquanto bloqueia o multicast entre VLANs. Isso é essencial para a descoberta de dispositivos (Chromecast, Apple Bonjour, Sonos).Limitações do PPSK nativo. O gerenciamento manual de chaves torna-se operacionalmente inviável além de algumas dezenas de unidades. Não há provisionamento ou revogação automatizada. Quando um inquilino se muda, você deve excluir manualmente a chave dele do controlador. Não há integração com sistemas de gerenciamento de propriedades.

Modelo 2: Sobreposição de Cloud RADIUS com Purple (escala empresarial)

Para grandes propriedades de BTR ou acomodações estudantis, a Purple fornece uma sobreposição de software agnóstica de hardware que se integra com os pontos de acesso UniFi via RADIUS. Este modelo automatiza todo o ciclo de vida das credenciais.

Passo 1: Configuração do perfil RADIUS. No controlador UniFi, navegue até Configurações > Perfis > RADIUS e crie um novo perfil. Insira os endereços do servidor cloud RADIUS da Purple e o segredo compartilhado fornecido durante o onboarding da Purple.

Passo 2: Configuração do SSID. Crie uma rede sem fio usando WPA2 Enterprise. Selecione o perfil RADIUS criado no Passo 1. O servidor RADIUS da Purple lida com a autenticação e retorna a atribuição de VLAN via atributo Tunnel-Private-Group-ID.

Passo 3: Integração com gerenciamento de propriedades. Conecte a Purple ao seu sistema de gerenciamento de propriedades (PMS) via API ou webhook. Quando uma nova locação é criada no PMS, a Purple gera automaticamente um PPSK exclusivo e provisiona a VLAN correspondente.

Passo 4: Onboarding de residentes. O residente recebe suas credenciais através do aplicativo Purple ou de um e-mail de boas-vindas. Eles usam essa senha única para todos os seus dispositivos - telefones, laptops, smart TVs, consoles e sensores de IoT.

Passo 5: Offboarding automatizado. Quando a locação termina, o PMS aciona a Purple para revogar a chave. O acesso é interrompido instantaneamente. Nenhum outro residente é afetado.

Este modelo roda na infraestrutura de cloud RADIUS da Purple, que suporta mais de 80.000 locais e manteve 99,999% de uptime em 2024 (dados internos da Purple). É compatível com pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.

Para estratégias de design de rede relacionadas, consulte Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi e nosso guia abrangente iPSK: una guía completa para empresas .

Melhores práticas para design de WiFi multi-tenant

Design para densidade. Planeje de 15 a 25 dispositivos por residência (dados internos da Purple de mais de 80.000 locais). Uma propriedade BTR de 200 unidades verá de 3.000 a 5.000 dispositivos simultâneos. Selecione pontos de acesso UniFi - U6-Enterprise ou U7-Pro - com CPU e memória suficientes para alta contagem de clientes. Posicione os APs nos corredores em vez de dentro das unidades para reduzir o número de APs necessários enquanto mantém a cobertura.

Gerencie o mDNS com cuidado. O Multicast DNS é essencial para a descoberta de dispositivos (Apple Bonjour, Google Cast, Sonos). Configure sua rede para refletir o tráfego mDNS dentro da VLAN de cada residente, bloqueando-o rigidamente de cruzar as fronteiras da VLAN. O recurso mDNS repeater do UniFi gerencia isso quando configurado corretamente.

Dimensione os escopos DHCP corretamente. Uma sub-rede /24 (254 IPs utilizáveis) por residente é suficiente para a maioria dos lares. Certifique-se de que sua infraestrutura de roteamento principal - normalmente um UniFi Dream Machine Pro ou UDM-SE - possa lidar com centenas de sub-redes simultâneas sem degradação de desempenho.

Minimize a contagem de SSIDs. Cada SSID adicional que você transmite consome tempo de antena com frames de gerenciamento, reduzindo a largura de banda disponível para o tráfego de dados. O PPSK permite consolidar em um único SSID de residentes. Adicione um SSID de Guest WiFi separado para visitantes em áreas comuns e um SSID de Staff WiFi para a administração do edifício. Três SSIDs é o máximo prático para a maioria das implantações.

Implemente o isolamento de clientes entre VLANs na camada de roteamento. Não dependa exclusivamente da marcação de VLAN. Configure ACLs explícitas no seu roteador principal para evitar o roteamento inter-VLAN entre as redes dos residentes. Permita o roteamento apenas de e para o gateway de internet.

Solução de problemas e mitigação de riscos

O problema do Chromecast

O ticket de suporte mais frequente em ambientes multi-tenant é a falha na transmissão de dispositivos. O telefone de um residente não consegue descobrir o seu Chromecast ou Apple TV. Isso ocorre quando o dispositivo transmissor e o receptor estão em sub-redes diferentes, ou quando o tráfego mDNS é descartado no limite da VLAN.

Diagnóstico: Confirme se ambos os dispositivos estão usando o mesmo PPSK. No controlador UniFi, verifique a lista de clientes e confirme se ambos os dispositivos estão atribuídos à mesma VLAN. Se estiverem em VLANs diferentes, o mapeamento PPSK está incorreto.

Resolução: Corrija o mapeamento PPSK para VLAN no controlador ou no painel do Purple. Verifique se o mDNS repeater do UniFi está ativado e configurado para as VLANs corretas.

Caos na rotação de senhas

Em implantações PSK padrão, quando um residente se muda, a senha de todo o edifício precisa ser alterada, forçando todos os outros residentes a atualizarem todos os seus dispositivos. Isso é operacionalmente catastrófico em escala.

Resolução: O PPSK elimina esse risco por completo. Revogar a chave de um residente afeta apenas esse residente. A Purple automatiza a revogação via integração com PMS, de modo que nenhuma intervenção manual é necessária.

Esgotamento de DHCP

Em edifícios de alta densidade, os pools DHCP podem se esgotar se forem dimensionados de forma muito reduzida. Uma sub-rede /24 fornece 254 IPs. Com mais de 20 dispositivos por residência, isso é suficiente para unidades individuais, mas certifique-se de que os tempos de lease do DHCP estejam definidos adequadamente (quatro a oito horas para uso residencial) para recuperar endereços de dispositivos desconectados.

Planejamento de migração para WPA3

À medida que o WPA3 se torna o padrão em novos dispositivos, a limitação de WPA2 do PPSK se tornará cada vez mais relevante. Planeje seu caminho de migração agora. Para propriedades onde o WPA3 é uma prioridade, avalie o 802.1X com uma sobreposição de RADIUS na nuvem que lida com a integração de dispositivos de IoT separadamente via autenticação baseada em MAC ou um SSID de IoT dedicado.

ROI e impacto nos negócios

Tratar o WiFi como uma comodidade gerenciada oferece retornos comerciais mensuráveis para operadores de BTR. Propriedades que oferecem WiFi de alto desempenho e pronto para morar cobram um prêmio de aluguel de £15 a £30 por unidade por mês, com base nos benchmarks do setor da British Property Federation. O WiFi pronto para morar reduz os períodos de inatividade de cinco a dez dias. A implantação da sobreposição de software da Purple em hardware UniFi próprio reduz os custos por porta em 30-50% em comparação com a negociação de contratos de banda larga individuais com ISPs tradicionais (modelagem interna da Purple).

Para uma propriedade BTR de 200 unidades, a matemática é simples. Um prêmio de £20 por unidade por mês gera £48.000 em receita anual adicional. Contra um custo de sobreposição de software que escala por unidade, o período de retorno é normalmente de menos de 12 meses.

Para operadores de hospitality , o benefício é diferente, mas igualmente mensurável. Substituir uma rede aberta por um SSID protegido por PPSK elimina as falhas na experiência do hóspede causadas por Captive Portals que bloqueiam dispositivos IoT, reduz as chamadas de suporte para a recepção e permite o WiFi Analytics que gera dados proprietários para programas de fidelidade e marketing.

Para operadores de retail e transport , o PPSK permite a segmentação segura da rede de funcionários na mesma infraestrutura que o WiFi de convidados, reduzindo custos de hardware e simplificando o gerenciamento de rede. Para ambientes de healthcare , o PPSK fornece o isolamento de pacientes e visitantes exigido pela GDPR e pelos padrões de segurança de rede do NHS.

A Purple implantou essa arquitetura em mais de 80.000 locais globalmente, incluindo Premier Inn, Whitbread e Manchester Airports Group (MAG). A plataforma processou 440 milhões de logins em 2024 e possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials.

Para saber mais sobre arquitetura e implantação de iPSK, consulte Nama ff keren iPSK: a comprehensive guide for businesses e Três SSIDs para a todos governar: o design de WiFi para convidados, funcionários e IoT .

Definições principais

PPSK (Private Pre-Shared Key)

Um método de segurança sem fio que permite que várias senhas exclusivas operem em um único SSID, com cada senha mapeando o dispositivo conectado a uma VLAN específica. Também chamado de iPSK (Identity Pre-Shared Key) pela Cisco Meraki e Purple.

Usado em ambientes multi-tenant para fornecer redes seguras e isoladas por residente, sem a complexidade do 802.1X ou a sobrecarga de RF de múltiplos SSIDs.

iPSK (Identity Pre-Shared Key)

O termo neutro em relação ao fornecedor para PPSK usado pela Purple e Cisco Meraki. A tecnologia e o resultado são idênticos ao PPSK. A Ubiquiti usa o termo PPSK; a HPE Aruba usa o mesmo termo.

Você encontrará o iPSK na documentação da Purple e nas configurações da Cisco Meraki. Ele se refere ao mesmo mecanismo de mapeamento de chave por usuário para VLAN.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa dispositivos de diferentes segmentos de rede física. As VLANs isolam domínios de broadcast e, quando combinadas com ACLs de roteamento, impedem o tráfego entre redes.

Em WiFi multi-tenant, cada morador recebe uma VLAN dedicada. Seus dispositivos se comunicam livremente dentro da VLAN, mas não conseguem alcançar dispositivos nas VLANs de outros moradores.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece Autenticação, Autorização e Contabilidade (AAA) centralizada para acesso à rede. Em implantações PPSK, o servidor RADIUS mapeia credenciais para atribuições de VLAN por meio do atributo Tunnel-Private-Group-ID.

A Purple atua como um servidor RADIUS em nuvem. Os pontos de acesso UniFi enviam solicitações de autenticação para os servidores RADIUS da Purple, que retornam a atribuição de VLAN correta para cada PPSK exclusivo.

mDNS (Multicast DNS)

Um protocolo que resolve nomes de host para endereços IP em redes locais sem um servidor DNS central. Usado por Apple Bonjour, Google Cast, Sonos e protocolos de descoberta de dispositivos semelhantes.

Gerenciar o mDNS é fundamental em redes multi-tenant. Ele deve ser refletido dentro da VLAN de cada morador para permitir a descoberta de dispositivos, mas não deve cruzar os limites da VLAN para outros moradores.

SAE (Simultaneous Authentication of Equals)

O mecanismo de handshake WPA3 que substitui o handshake de quatro vias do WPA2. O SAE exige que ambas as partes conheçam a chave pré-compartilhada antes do início do handshake, tornando-o incompatível com o PPSK.

Esta é a razão técnica pela qual o PPSK não pode operar em bandas WPA3 ou 6 GHz. Entender o SAE explica por que a restrição do WPA2 é uma limitação de protocolo, não uma escolha de fornecedor.

BTR (Build to Rent)

Propriedades residenciais construídas especificamente para o mercado de locação, em vez de venda. Um setor de implantação primário para WiFi multi-tenant, onde a internet de alta qualidade é um dos cinco principais fatores de conveniência.

Os operadores de BTR são o público-alvo principal para WiFi gerenciado baseado em PPSK. A combinação de alta densidade de dispositivos, requisitos de IoT e rotatividade frequente de inquilinos torna o PPSK a arquitetura correta.

Headless device

Um dispositivo conectado à rede que carece de uma interface tradicional de tela ou teclado, como uma tomada inteligente, alto-falante sem fio, sensor ambiental ou console de videogame. Esses dispositivos não conseguem navegar em portais cativos ou negociar a autenticação 802.1X.

A prevalência de headless devices em ambientes residenciais - de 15 a 25 por residência, em média - é o principal motivo pelo qual o 802.1X é impraticável para implantações de BTR e alojamentos estudantis.

Cloud RADIUS overlay

Uma arquitetura de software como serviço (SaaS) na qual um servidor RADIUS hospedado na nuvem lida com a autenticação e a atribuição de VLAN para pontos de acesso locais. Os pontos de acesso não exigem infraestrutura RADIUS local.

O cloud RADIUS overlay da Purple é o mecanismo que permite o gerenciamento de PPSK em escala empresarial no hardware UniFi sem servidores locais. Ele se integra com sistemas de gestão de propriedades para provisionamento automatizado.

Exemplos práticos

Uma propriedade Build to Rent de 250 unidades em Manchester está substituindo roteadores de banda larga individuais por uma rede UniFi centralizada. O diretor de TI precisa fornecer WiFi seguro para os residentes, garantindo que os dispositivos de casa inteligente funcionem dentro dos apartamentos, ao mesmo tempo em que impede que os residentes acessem as redes uns dos outros. Eles também precisam automatizar a revogação de acesso quando os contratos de locação terminarem e integrar com o sistema de gerenciamento de propriedades existente.

Implante pontos de acesso UniFi U6-Enterprise nos corredores, fornecendo cobertura para dentro dos apartamentos. Configure um único SSID de residente usando WPA2 com o overlay de RADIUS em nuvem da Purple. Integre a Purple com o sistema de gerenciamento de propriedades via API. Quando um residente se muda, a Purple gera automaticamente um PPSK exclusivo e atribui uma VLAN dedicada (por exemplo, VLAN 101 para a Unidade 1, VLAN 102 for Unidade 2). O residente conecta seu telefone, laptop e smart TV usando sua chave exclusiva. Todos os seus dispositivos entram em sua VLAN específica. A reflexão mDNS é ativada dentro de cada VLAN para que o Chromecast e os alto-falantes inteligentes funcionem corretamente. Quando o residente se muda, o PMS notifica a Purple, que revoga a chave instantaneamente sem afetar as outras 249 unidades.

Comentário do examinador: Essa abordagem elimina a interferência de RF causada por 250 roteadores individuais transmitindo SSIDs separados. Ao usar o RADIUS em nuvem da Purple, o diretor de TI evita a configuração manual de 250 VLANs e senhas no controlador UniFi. A integração com o PMS garante provisionamento sem toque e desativação segura. A decisão arquitetônica crítica é usar WPA2 Enterprise com RADIUS em vez de PPSK nativo do UniFi, o que exigiria gerenciamento manual nesta escala.

Um hotel de 150 quartos atualmente usa uma rede aberta com um Captive Portal para o WiFi dos hóspedes. Os hóspedes estão reclamando que as Apple TVs e consoles de videogame nos quartos não se conectam. O gerente de TI do hotel deseja oferecer uma experiência de WiFi segura e semelhante à doméstica, mantendo a capacidade de expirar o acesso no momento do check-out. O hotel usa um PMS padrão.

Migre da rede aberta com Captive Portal para um SSID protegido por PPSK. Integre a rede UniFi com a Purple e o PMS do hotel. No momento do check-in, o PMS aciona a Purple para gerar um PPSK exclusivo vinculado ao número do quarto do hóspede e à data de partida. O hóspede recebe a senha no envelope do cartão-chave ou por meio do aplicativo Purple. Eles usam essa senha para conectar seu telefone, laptop e Apple TV. Todos os dispositivos entram em um microsegmento seguro. A Apple TV e os consoles de videogame se conectam usando a senha simples - sem a necessidade de navegar por um Captive Portal. No check-out, a chave expira automaticamente. O hotel mantém um SSID aberto separado com Captive Portal para acesso de hóspedes no lobby e nas áreas comuns.

Comentário do examinador: A percepção crítica aqui é que os Captive Portals são fundamentalmente incompatíveis com dispositivos sem interface de navegador. Apple TVs e consoles de videogame não conseguem abrir um navegador para aceitar termos e condições. O PPSK resolve isso fornecendo segurança WPA2 com uma senha simples que qualquer dispositivo pode usar. A expiração automatizada por meio da integração com o PMS evita o acesso não autorizado após o check-out, sem exigir nenhuma intervenção manual da recepção ou da equipe de TI.

Questões práticas

Q1. Você está implantando WiFi em um bloco de alojamento estudantil de 500 leitos. O cliente deseja usar 802.1X para garantir segurança de nível empresarial. No entanto, os estudantes trarão consoles de videogame, smart TVs e impressoras sem fio. Qual é a abordagem arquitetônica recomendada e quais são as principais compensações?

Dica: Considere a capacidade dos dispositivos IoT de consumo em relação aos protocolos de autenticação empresarial e se uma abordagem híbrida é viável.

Ver resposta modelo

Aconselhe contra o uso do 802.1X como o único método de autenticação. Dispositivos de consumo como consoles de videogame e smart TVs não possuem o suplicante 802.1X necessário para autenticar. Recomende uma arquitetura PPSK usando o RADIUS em nuvem da Purple. Isso fornece segurança WPA2 com isolamento de VLAN por estudante, permitindo que dispositivos sem interface conectem usando uma senha simples e exclusiva. Se o cliente insistir no 802.1X para notebooks e celulares, implemente um híbrido: 802.1X para dispositivos gerenciados e um SSID PPSK separado para dispositivos IoT, com ambos mapeados para a mesma VLAN por estudante. Isso aumenta o número de SSIDs, mas mantém a postura de segurança que o cliente exige.

Q2. Um gerente de espaço de coworking relata que os membros não conseguem transmitir apresentações de seus notebooks para as smart TVs nas salas de reunião. Eles estão usando atualmente uma única rede PSK padrão com isolamento de clientes ativado para proteger a privacidade dos membros. Como você resolve isso sem comprometer a privacidade dos membros?

Dica: O isolamento de clientes impede toda a comunicação de dispositivo para dispositivo no AP, inclusive entre os dispositivos da mesma empresa.

Ver resposta modelo

A configuração atual quebra o mDNS, que é necessário para transmissão. Migre a rede para um modelo PPSK. Emita uma senha exclusiva para cada empresa membro, mapeando cada uma para uma VLAN dedicada. Desative o isolamento de clientes no nível do AP - ele não é mais necessário porque os limites de VLAN fornecem o isolamento. Configure ACLs de roteamento para evitar tráfego inter-VLAN. Ative a reflexão de mDNS dentro de cada VLAN. Os notebooks de cada empresa agora podem descobrir e transmitir para as TVs dentro de sua VLAN, enquanto permanecem isolados de outras empresas. Se as TVs precisarem ser compartilhadas entre empresas, coloque-as em uma VLAN compartilhada e configure as regras de proxy mDNS de acordo.

Q3. Você está configurando PPSK nativo do UniFi para um pequeno edifício residencial de 10 unidades. Você seleciona WPA3 para a rede sem fio para fornecer a segurança mais forte disponível. A configuração falha ao ser aplicada. Por que isso ocorre e qual é a abordagem correta?

Dica: Revise os requisitos de protocolo para o handshake SAE do WPA3 e como eles interagem com o mecanismo de autenticação do PPSK.

Ver resposta modelo

O PPSK é incompatível com o WPA3. O WPA3 usa Simultaneous Authentication of Equals (SAE), o que exige que o ponto de acesso conheça a chave pré-compartilhada antes do início do processo de autenticação. Com o PPSK, o ponto de acesso determina qual chave está sendo usada durante a autenticação - esses requisitos são mutuamente exclusivos. A abordagem correta é configurar a rede usando WPA2 Personal com PPSK ativado. Se a segurança WPA3 for uma prioridade para a propriedade, considere o 802.1X com uma sobreposição de RADIUS em nuvem para notebooks e celulares, e um SSID WPA2 PPSK separado para dispositivos IoT. Documente essa restrição claramente para o cliente para que ele entenda a compensação de segurança.

Q4. Uma propriedade BTR de 300 unidades está recebendo chamadas frequentes de suporte de residentes relatando que seus dispositivos Chromecast não funcionam. A rede usa PPSK com sobreposição de RADIUS em nuvem da Purple em hardware UniFi. Quais são as três causas mais prováveis e como você diagnostica cada uma?

Dica: O Chromecast exige que o dispositivo de transmissão e o receptor estejam na mesma rede lógica e sejam capazes de trocar tráfego mDNS.

Ver resposta modelo

As três causas mais prováveis são: Primeiro, mapeamento PPSK para VLAN incorreto - o celular e o Chromecast do residente podem estar usando senhas diferentes e caindo em VLANs diferentes. Diagnostique verificando a lista de clientes no controlador UniFi e confirmando se ambos os dispositivos estão na mesma VLAN. Segundo, mDNS não refletido dentro da VLAN - mesmo que ambos os dispositivos estejam na mesma VLAN, o tráfego mDNS pode ser descartado. Diagnostique verificando a configuração do repetidor mDNS UniFi e confirmando se ele está delimitado para as VLANs dos residentes. Terceiro, roteamento inter-VLAN ativado acidentalmente - se as ACLs de roteamento estiverem mal configuradas, dispositivos em VLANs diferentes podem se comunicar parcialmente, causando comportamento inconsistente. Diagnostique testando a conectividade entre dois dispositivos em VLANs diferentes e confirmando se eles não conseguem se alcançar.

Continue a ler esta série

Staff WiFi vs. Guest WiFi: Melhores Práticas para Segmentação de Rede Corporativa

Um guia técnico abrangente para líderes de TI sobre segmentação de redes WiFi de funcionários e visitantes. Ele abrange arquitetura de VLAN, autenticação 802.1X, políticas de firewall e o impacto comercial do design de rede seguro.

Guia de iPSK: um guia completo para empresas

Este guia explica a arquitetura de Identity Pre-Shared Key (iPSK) para incorporadores imobiliários, operadores de BTR e proprietários que implantam WiFi multi-tenant. Ele abrange a integração com RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gerenciamento automatizado do ciclo de vida das credenciais para oferecer uma experiência de residente instantânea em escala. Também detalha o caso de negócios para eliminar roteadores de consumo por unidade e as vantagens operacionais da integração do iPSK com provedores de identidade como o Microsoft Entra ID, Okta e Google Workspace.

Guia PPSK em PDF: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi de Private Pre-Shared Key (PPSK) com as implantações tradicionais de 802.1X e PSK padrão. Ele fornece a arquitetos de rede e gerentes de TI estratégias de implementação neutras em relação a fornecedores para ambientes multifamiliares de aluguel, IoT e BTR.