UniFi PPSK: comparando recursos e modelos de implantação

Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre o UniFi PPSK - o que é, onde ele se encaixa no seu conjunto de ferramentas de design de rede e, fundamentalmente, quando você deve usá-lo em comparação com as alternativas. Deixe-me contextualizar. Você é um incorporador imobiliário, um operador de BTR ou um gerente de TI responsável por um edifício com centenas de moradores ou inquilinos. Você precisa de WiFi que isole cada residência das outras, ofereça suporte a dispositivos domésticos inteligentes e não exija que você mude uma senha compartilhada toda vez que alguém se mudar. Esse é o problema que o PPSK foi criado para resolver - e vale a pena entender tanto seus pontos fortes quanto seus limites rígidos antes de se comprometer com ele. Então, o que é exatamente o PPSK? PPSK significa Private Pre-Shared Key. É um recurso integrado ao UniFi Network que permite executar um único SSID de WiFi com várias senhas diferentes, onde cada senha mapeia para uma VLAN específica. O conceito é simples. Em vez de uma senha compartilhada para todos, você fornece uma senha diferente para cada inquilino, cada grupo de dispositivos ou cada caso de uso. Quando um dispositivo se conecta usando essa senha, o controlador UniFi o coloca na VLAN correspondente automaticamente. Sem necessidade de servidor RADIUS. Sem certificados. Sem infraestrutura complexa de 802.1X. Agora, você ouvirá o PPSK ser chamado de nomes diferentes, dependendo de qual fornecedor você estiver falando. A Aruba o chama de MPSK. A Cisco Meraki o chama de iPSK. A Ruckus o chama de DPSK. O conceito subjacente é o mesmo em todos eles: um SSID, muitas chaves, cada chave vinculada a um segmento de rede. A implementação da UniFi é chamada de PPSK e reside nativamente dentro do controlador UniFi Network, sem custo adicional de licenciamento. Vamos entrar na arquitetura técnica. Quando você ativa o PPSK em um SSID UniFi, você está criando uma rede WPA2-Personal com várias chaves pré-compartilhadas. Cada chave está associada a um ID de VLAN específico que você já configurou em seu switch e controlador UniFi. Quando um dispositivo cliente se autentica usando uma dessas chaves, o ponto de acesso marca o tráfego do cliente com o ID de VLAN correspondente antes de encaminhá-lo upstream. O cliente se comporta exatamente como se estivesse em uma VLAN dedicada - isolado de clientes em outras VLANs, com seu próprio escopo DHCP e suas próprias regras de firewall. Isso é realmente útil para vários cenários. Em um edifício residencial, você dá a cada apartamento seu próprio PPSK. Todos os dispositivos daquele apartamento - telefones, laptops, alto-falantes inteligentes, consoles de videogame - conectam-se usando a mesma chave e caem na mesma VLAN. Eles podem se descobrir, transmitir conteúdo uns para os outros e se emparelhar, exatamente como fariam em uma rede doméstica. Mas eles ficam completamente invisíveis para o apartamento ao lado. Em um hotel, você pode usar o PPSK para separar o tráfego de hóspedes do tráfego de funcionários e dispositivos IoT, como smart TVs e fechaduras eletrônicas - tudo em um único SSID. Em um ambiente de varejo, você pode isolar terminais de pagamento em sua própria VLAN para apoiar a conformidade com o PCI-DSS, mantendo os dispositivos dos funcionários e o WiFi dos clientes em segmentos separados. Agora, aqui está a limitação crítica que você precisa entender antes de prosseguir. PPSK é um recurso exclusivo de WPA2. Ele não funciona com WPA3. E porque a banda de 6 GHz - usada pelo WiFi 6E e WiFi 7 - exige WPA3, você não pode usar PPSK em rádios de 6 GHz. Isso não é uma limitação específica da UniFi. É uma restrição fundamental do padrão 802.11. O WPA3 atualmente permite apenas uma única chave pré-compartilhada por SSID, portanto, a arquitetura de múltiplas chaves na qual o PPSK se baseia é simplesmente incompatível com WPA3. O que isso significa na prática? Se você habilitar o PPSK em um SSID, esse SSID só transmitirá em 2.4 GHz e 5 GHz. Seus pontos de acesso WiFi 6E e WiFi 7 mais novos não usarão seus rádios de 6 GHz para essa rede. Para a maioria das implantações residenciais atuais, isso é aceitável. Mas é uma restrição que você precisa considerar em seu plano de rede de cinco anos, especialmente à medida que a adoção do WiFi 7 se acelera. Vamos comparar o PPSK diretamente com as duas principais alternativas: RADIUS com 802.1X, e uma solução iPSK gerenciada na nuvem como a Purple. RADIUS com 802.1X - também chamado de WPA2-Enterprise ou WPA3-Enterprise - é o padrão ouro para autenticação corporativa. Cada usuário ou dispositivo possui credenciais exclusivas. O servidor RADIUS valida essas credenciais e atribui dinamicamente o cliente a uma VLAN. Ele suporta WPA3, funciona em 6 GHz e escala para usuários ilimitados. A desvantagem é a complexidade. Você precisa de um servidor RADIUS, local ou hospedado na nuvem. Você precisa gerenciar certificados se estiver usando EAP-TLS. E, fundamentalmente, muitos dispositivos IoT - alto-falantes inteligentes, consoles de jogos, sensores domésticos inteligentes - não conseguem se conectar a redes 802.1X de forma alguma. O UniFi PPSK fica no meio termo. É mais simples que o RADIUS - nenhuma infraestrutura de servidor é necessária, sem certificados, funciona com todos os dispositivos. Mas é menos escalonável. A implementação nativa de PPSK da UniFi armazena as chaves localmente no controlador. O limite prático para a maioria das implantações é de algumas centenas de chaves. Para um edifício BTR de 50 unidades, isso é excelente. Para um empreendimento de 500 unidades, você encontrará dificuldades de gerenciamento rapidamente. É aí que uma sobreposição de nuvem como a Purple muda a equação. A solução Multi-Tenant WiFi da Purple funciona em cima do seu hardware UniFi existente. Ela gerencia o ciclo de vida das chaves centralmente na nuvem. Quando um novo morador se muda, a Purple provisiona sua chave automaticamente. Quando ele se muda, a Purple a revoga. Os dispositivos do morador perdem o acesso imediatamente, sem afetar nenhum outro morador. A Purple se integra ao Microsoft Entra ID e ao Okta para automatizar totalmente esse ciclo de vida. Agora vamos examinar dois cenários reais de implantação. Cenário um: um empreendimento Build to Rent de 120 unidades. O operador deseja que os residentes tenham uma experiência de WiFi semelhante à de casa desde o primeiro dia - sem espera por um engenheiro de banda larga, sem senhas compartilhadas, com suporte completo para casa inteligente. O hardware é UniFi em toda a infraestrutura. Cada residente recebe uma chave exclusiva provisionada através da plataforma Purple, vinculada ao seu registro de locação. Seus dispositivos entram em uma VLAN dedicada. O Chromecast funciona. Os consoles de videogame obtêm NAT aberta. Os alto-falantes inteligentes pareiam corretamente. Quando um residente se muda, a chave é revogada em segundos. O operador relata uma redução de 40% nos chamados de suporte relacionados a WiFi nos primeiros três meses. Cenário dois: um hotel de 200 quartos usando pontos de acesso UniFi. A equipe de TI precisa segmentar o WiFi dos hóspedes, o WiFi dos funcionários e os dispositivos IoT - smart TVs, fechaduras de portas, sensores de HVAC - sem executar SSIDs separados para cada um. Eles ativam o PPSK nativamente no UniFi. Três chaves: uma para hóspedes, uma para funcionários e uma para IoT. Três VLANs. Um SSID. O resultado: um ambiente de RF limpo com menos SSIDs, segmentação clara de tráfego e conformidade com PCI-DSS para os sistemas de pagamento na VLAN dos funcionários. Deixe-me mostrar as armadilhas de implementação a serem observadas. Primeiro: configuração de VLAN antes do PPSK. Você deve configurar suas VLANs no switch e controladora UniFi antes de criar as entradas PPSK. Sempre construa sua segmentação de rede primeiro. Segundo: a armadilha de 6 GHz. Se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 e quiser usar 6 GHz para áreas de alta densidade, não poderá usar PPSK nessas redes. Planeje sua arquitetura de SSID de acordo. Terceiro: gerenciamento de chaves em escala. Se você estiver gerenciando mais de 100 unidades nativamente no UniFi sem uma sobreposição de nuvem, sentirá a dor do provisionamento manual de chaves rapidamente. Quarto: mDNS e descoberta de dispositivos. Por padrão, dispositivos em VLANs diferentes não conseguem se descobrir. Se você deseja que o Chromecast ou AirPlay funcione dentro da VLAN de um residente, precisa habilitar a reflexão mDNS. O UniFi suporta isso, mas deve ser explicitamente configurado por VLAN. Perguntas rápidas. Posso usar PPSK e RADIUS na mesma controladora UniFi? Sim. Você pode executar um SSID PPSK e um SSID WPA2-Enterprise simultaneamente. O PPSK suporta o modo de transição WPA3? Não. O PPSK é apenas WPA2. Qual é o número máximo de chaves PPSK no UniFi? A experiência da comunidade sugere que o desempenho cai após algumas centenas de chaves em um único SSID. Para grandes implantações, uma camada de gerenciamento em nuvem é a resposta certa. Para encerrar: o UniFi PPSK é uma ferramenta genuinamente útil para implantações de pequeno a médio porte onde você precisa de segmentação de VLAN sem infraestrutura RADIUS. É a escolha certa para um edifício de 50 unidades, um hotel boutique ou um pequeno escritório com tipos de dispositivos mistos. Para implantações maiores - qualquer coisa acima de 100 unidades ou onde você precisa de gerenciamento automatizado de ciclo de vida - você precisa de uma sobreposição de nuvem como o Purple para torná-lo operacionalmente viável. A estrutura de decisão principal é simples. Faça a si mesmo três perguntas. De quantas chaves exclusivas eu preciso? Se for menos de 100, o PPSK nativo funciona. Se for mais de 100, você precisa de uma camada de gerenciamento. Eu preciso de 6 GHz? Se sim, o PPSK não é a sua resposta. E eu preciso de provisionamento automatizado vinculado a um sistema de tenancy ou RH? Se sim, uma sobreposição em nuvem como o Purple é a escolha certa. Para saber mais sobre a solução de WiFi Multi-Tenant do Purple e como ela se implanta em hardware UniFi, visite purple.ai. Obrigado por ouvir o Purple Technical Briefing.