Guia completo de iPSK para empresas

O Identity Pre-Shared Key (iPSK) é o modelo de autenticação de melhores práticas atual para ambientes multi-tenant, oferecendo exclusividade de credenciais por unidade, isolamento de dispositivos na Camada 2 através de Private Area Networks e total compatibilidade com dispositivos IoT. Este guia detalha a arquitetura técnica, estratégias de implementação e o impacto de negócio do iPSK para promotores imobiliários, operadores de BTR e senhorios que implementam WiFi gerido em edifícios residenciais e de uso misto. O overlay de nuvem da Purple automatiza todo o ciclo de vida do residente, desde o fornecimento de chaves na assinatura do contrato de arrendamento até à revogação instantânea na saída, em hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

📖 8 min de leitura📝 1,877 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Briefing Técnico da Purple. Hoje estamos a discutir o Nama iPSK - a arquitetura que está a mudar fundamentalmente a forma como implementamos o WiFi em Build-to-Rent, unidades multi-familiares e grandes espaços hoteleiros. Se é um gestor de TI ou um arquiteto de rede a tentar equilibrar a segurança com a experiência do residente, esta análise detalhada de dez minutos é para si.

Vamos contextualizar. Historicamente, fornecer WiFi num edifício residencial significava uma de duas más opções. Opção um: colocava um router físico em cada apartamento. O resultado? Interferência de RF maciça, elevados custos de hardware e um pesadelo de gestão. Opção dois: transmitia uma rede para todo o edifício com uma palavra-passe partilhada ou um Captive Portal. O resultado? Privacidade zero e os dispositivos inteligentes, como Apple TVs ou consolas de jogos, simplesmente recusam-se a ligar.

É aqui que a Identity Pre-Shared Key - ou iPSK - muda o jogo.

Em vez de implementar duzentos routers ou transmitir duzentos SSIDs, transmite um único SSID seguro e de classe empresarial. Vamos chamar-lhe Resident WiFi. Quando um utilizador se liga, não utiliza uma palavra-passe partilhada. Utiliza uma chave única atribuída especificamente ao seu apartamento.

Eis como funciona o fluxo técnico. O residente liga o seu dispositivo utilizando a sua chave única. O Access Point recolhe essa credencial e reencaminha-a através de um RADIUS Access-Request para o seu servidor de autenticação. O servidor RADIUS valida a chave e responde com uma mensagem Access-Accept. Mas, fundamentalmente, inclui atributos específicos - especificamente, o Tunnel-Private-Group-ID.

Isto indica ao Access Point exatamente em qual VLAN deve colocar o utilizador. Assim, o apartamento 101 é colocado na VLAN 101. O apartamento 102 vai para a VLAN 102. Eles estão no mesmo Access Point físico, mas o seu tráfego está completamente isolado na Layer 2. Chamamos a isto uma Private Area Network, ou PAN.

Agora, vamos comparar isto com as alternativas. O PSK padrão - o modelo de palavra-passe partilhada - oferece isolamento zero. Se um residente partilhar a palavra-passe, a segurança de todo o edifício é enfraquecida. E revogar o acesso de um único inquilino significa alterar a palavra-passe para todos. Isso simplesmente não é viável à escala.

O WPA3-Enterprise, ou 802.1X, é o outro extremo. É altamente seguro e utilizado em ambientes corporativos. Mas requer certificados digitais ou ecrãs de início de sessão complexos. As consolas de jogos, colunas inteligentes e dispositivos domésticos inteligentes não conseguem navegar nesse processo. Acaba por ter residentes frustrados e uma inundação de chamadas de suporte.

O iPSK situa-se precisamente no meio. Parece exatamente uma rede WiFi doméstica para o dispositivo - apenas uma palavra-passe simples. Mas, no backend, é um sistema de classe empresarial com encriptação individual, atribuição dinâmica de VLAN e gestão centralizada.

Vamos falar sobre a implementação. Existem cinco passos principais para uma implementação bem-sucedida.

Passo um: preparação da infraestrutura. Os seus switches de extremidade devem ter todas as VLANs de potenciais inquilinos etiquetadas (tagged) nas portas trunk que se ligam aos Access Points. Se o RADIUS disser ao AP para colocar um utilizador na VLAN cento e cinco, mas a VLAN cento e cinco não estiver etiquetada na porta do switch, o tráfego cai num buraco negro. O utilizador autentica-se com sucesso, mas não consegue obter um endereço IP. Este é o erro de implementação mais comum que vemos.

Passo dois: configuração do controlador. Configure o seu controlador wireless - seja ele Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - para transmitir um único SSID com iPSK ativado, apontando os pedidos de autenticação para o seu servidor RADIUS.

Passo três: integração do fornecedor de identidade. Ligue o seu servidor RADIUS ao seu software de gestão de propriedades ou fornecedor de identidade. O Microsoft Entra ID, Okta e Google Workspace suportam todos esta funcionalidade. É aqui que a Purple oferece um valor significativo como camada de orquestração.

Passo quatro: reflexão mDNS. Os residentes esperam fazer transmissão (cast) do telemóvel para a TV. Deve ativar o reencaminhamento Bonjour, mas restringi-lo estritamente aos limites de cada VLAN individual. Se não o fizer, a transmissão não funcionará de todo ou um residente no primeiro andar transmitirá acidentalmente para uma TV no quarto andar.

Passo cinco: automação do ciclo de vida. Não gira estas chaves manualmente. Integre o seu software de gestão de propriedades com a Purple para acionar a geração automática de chaves quando um contrato de arrendamento é assinado e a revogação imediata quando um inquilino se muda. Zero intervenção da sua equipa de TI.

Agora, vamos abordar alguns erros comuns.

O primeiro é a expiração de certificados. Se a sua infraestrutura RADIUS depender de certificados do lado do servidor, configure uma monitorização rigorosa. Um certificado expirado deixará todo o edifício offline. Defina lembretes de renovação aos noventa dias, sessenta dias e trinta dias.

O segundo é o suporte a dispositivos legados. Alguns dispositivos IoT mais antigos não suportam modos de transição WPA3. Mantenha um modo de compatibilidade WPA2 no mesmo SSID para evitar problemas de compatibilidade.

O terceiro é a exaustão do pool de DHCP. O residente médio traz de sete a dez dispositivos ligados. Desenhe o seu esquema de endereçamento IP para suportar a densidade máxima. Recomendamos uma sub-rede /28 - ou seja, catorze endereços IP utilizáveis - por apartamento.

Vamos fazer uma sessão rápida de Perguntas e Respostas baseada em perguntas comuns de arquitetos de rede.

Pergunta um: O iPSK funciona com dispositivos IoT legados? Resposta: Sim. Ao contrário do 802.1X, que requer certificados complexos, o iPSK parece exatamente uma rede WiFi doméstica padrão para o dispositivo. Cem por cento dos dispositivos de consumo suportam-no.

Pergunta dois: Quais os fabricantes de hardware que suportam isto? Resposta: Toda a gama empresarial suporta. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam todos a atribuição dinâmica de VLAN via RADIUS.
Terceira questão: Como é que isto afeta o retorno do investimento? Resposta: Ao eliminar o hardware na unidade, reduz as despesas de capital até quarenta por cento. Elimina os pedidos de suporte associados a reposições de palavras-passe e captive portals. E pode monetizar a rede oferecendo pacotes de velocidade estruturados por níveis diretamente através do portal de gestão.

Em resumo: o iPSK é o padrão de excelência para a conectividade multi-inquilino. Proporciona a experiência Instant-On que os residentes exigem, com a segurança e o controlo que as equipas de TI requerem. Transmita um SSID. Atribua chaves exclusivas. Isole o tráfego por unidade. Automatize o ciclo de vida.

Audite as suas implementações atuais de MDU. Se está a gerir centenas de routers ou a lidar com reclamações de conectividade de IoT, está na altura de conceber uma solução iPSK. Fale com a equipa da Purple para obter uma análise técnica do seu ambiente específico.

Obrigado por participar nesta sessão técnica. Continue a construir redes seguras e escaláveis.

Principais Conclusões

✓O iPSK atribui uma palavra-passe de WiFi exclusiva a cada unidade residencial, eliminando as falhas de segurança e privacidade das redes PSK partilhadas.
✓O Dynamic VLAN Assignment baseado em RADIUS isola o tráfego de cada unidade na Camada 2, criando uma Private Area Network que reflete a experiência de um router doméstico.
✓O iPSK suporta 100% dos dispositivos de consumo, incluindo consolas de jogos e hardware de smart home que não se conseguem ligar a redes empresariais 802.1X.
✓Gestão automatizada do ciclo de vida - integrada com o seu Software de Gestão de Propriedades através da Purple - fornece chaves na assinatura do contrato de arrendamento e revoga-as na saída.
✓A eliminação de routers nas unidades reduz o CapEx de hardware até 40% e remove a interferência de RF causada por centenas de dispositivos de consumo concorrentes.
✓A falha de implementação mais comum é a falta de etiquetas VLAN nas portas trunk do switch: verifique o trunking de ponta a ponta antes de entrar em produção.
✓O iPSK é suportado em toda a pilha de hardware empresarial: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Resumo executivo

Gerir a conectividade em ambientes multi-inquilino exige um compromisso. Se implementar hardware individual por unidade, irá criar graves interferências de RF e uma carga pesada de manutenção de hardware. Se transmitir SSIDs partilhados, compromete a privacidade dos residentes e quebra a compatibilidade dos dispositivos IoT. O Identity Pre-Shared Key (iPSK) elimina este compromisso. Permite transmitir um único SSID seguro enquanto atribui uma credencial exclusiva a cada unidade residencial. O servidor RADIUS mapeia cada credencial para uma VLAN dedicada, criando uma rede de área privada (PAN) para cada apartamento. Os residentes ligam Smart TVs, consolas de videojogos e computadores portáteis com a simplicidade de uma rede doméstica. As equipas de TI mantêm a visibilidade centralizada, a atribuição dinâmica de VLAN e a gestão automatizada do ciclo de vida. Este guia detalha a arquitetura técnica, os passos de implementação e os resultados de negócio mensuráveis da implementação de iPSK para promotores imobiliários, operadores de BTR e senhorios.

Análise técnica aprofundada: a arquitetura iPSK

Os modelos tradicionais de segurança de rede falham nos ambientes residenciais modernos. O PSK padrão (WPA2-Personal) oferece isolamento zero entre unidades e tem fraca escalabilidade. O WPA3-Enterprise (802.1X) oferece uma excelente segurança, mas quebra a compatibilidade com dispositivos IoT sem ecrã e consolas de videojogos, que não conseguem processar fluxos de autenticação baseados em certificados.

O iPSK resolve este problema movendo a lógica de segmentação da camada de RF para la camada de autenticação RADIUS. Cada residente recebe uma chave pré-partilhada exclusiva. Essa chave é o token de identidade. Quando o servidor RADIUS a valida, atribui simultaneamente o residente a uma VLAN dedicada, isolando o seu tráfego de todas as outras unidades do edifício.

O fluxo de autenticação

Quando um residente liga um dispositivo ao SSID global do edifício, ocorre a seguinte sequência:

Passo 1 - Associação. O dispositivo associa-se ao Access Point utilizando a sua credencial PSK exclusiva. O AP bloqueia todo o tráfego, exceto as tramas EAPOL (Extensible Authentication Protocol over LAN).

Passo 2 - Pedido RADIUS. O AP encapsula a credencial e encaminha-a para o servidor RADIUS como um pacote Access-Request.

Passo 3 - Avaliação da política. O servidor RADIUS valida a chave em relação ao repositório de identidades. Em caso de correspondência, prepara uma resposta Access-Accept contendo três atributos críticos do padrão IETF:

Atributo RADIUS	Valor	Finalidade
`Tunnel-Type` (64)	13 (VLAN)	Declara a segmentação por VLAN
`Tunnel-Medium-Type` (65)	6 (IEEE 802)	Especifica o tipo de meio
`Tunnel-Private-Group-ID` (81)	ex., "101"	A VLAN específica a atribuir

Passo 4 - Atribuição dinâmica. O AP lê o Tunnel-Private-Group-ID e encaminha o tráfego do dispositivo diretamente para a VLAN dedicada do residente. O switch de rede a montante processa este tráfego como se o residente estivesse fisicamente ligado a uma porta dedicada.

Passo 5 - Rede de Área Privada. Os dispositivos do residente ficam agora isolados na Camada 2. Podem descobrir-se e comunicar entre si (através de reflexão mDNS), mas permanecem invisíveis para todas as outras frações do edifício.

Esta arquitetura garante que 200 apartamentos que partilham os mesmos pontos de acesso físicos tenham tráfego completamente isolado. Um residente na fração 401 pode transmitir para a sua Apple TV. Não consegue ver a impressora na fração 402.

Nomes de implementação dos fabricantes

A lógica central de iPSK é consistente em toda a gama de hardware empresarial, embora a nomenclatura dos fabricantes varie:

Fabricante	Nome do produto	Integração RADIUS
Cisco Meraki	iPSK	RADIUS com atributo `Tunnel-Password`
HPE Aruba	MPSK (Multi-PSK)	RADIUS com VSA `Aruba-MPSK-Passphrase`
Ruckus	DPSK (Dynamic PSK)	RADIUS com VSA `Ruckus-DPSK-Passphrase`
Juniper Mist	PPSK (Private PSK)	RADIUS com `Tunnel-Private-Group-ID`
Ubiquiti UniFi	PPSK	RADIUS com atributos padrão
Cambium	PPSK	RADIUS com atributos padrão
Extreme	PPSK	RADIUS com atributos padrão
Fortinet	MPSK	RADIUS com `Tunnel-Private-Group-ID`

Guia de implementação: implementar iPSK

A implementação de iPSK requer coordenação em toda a sua infraestrutura de rede. Siga esta sequência de implementação neutra em relação ao fabricante.

Fase 1: preparação da infraestrutura de rede

Defina o seu esquema de VLAN antes de mexer em qualquer hardware. Para um edifício de 200 frações, aloque as VLANs 101 a 300, uma por apartamento. Cada VLAN necessita da sua própria sub-rede dedicada e gama de DHCP.

Recomendamos uma sub-rede /28 (14 endereços IP utilizáveis) por apartamento para acomodar a densidade de dispositivos modernos. O residente médio traz de sete a 10 dispositivos ligados. Uma /28 fornece margem suficiente sem desperdiçar espaço de endereçamento. Para um edifício de 200 frações, o bloco de rede principal é uma /21 (2.048 IPs no total).

Passo crítico: Identifique (tag) todas as potenciais VLANs de inquilinos nas portas trunk que ligam os seus switches de extremidade aos pontos de acesso. Se o servidor RADIUS atribuir um utilizador à VLAN 105 mas a VLAN 105 não estiver identificada na porta do switch, o tráfego é perdido. O utilizador autentica-se com sucesso, mas falha a obtenção de um endereço IP via DHCP. Este é o erro de implementação mais comum em ambientes MDU.

Fase 2: configuração do controlador sem fios

Configure o seu controlador sem fios para transmitir um único SSID. Defina o modo de segurança para WPA2/WPA3 com iPSK ou controlo de acesso baseado em MAC ativado. Aponte todos os pedidos de autenticação para o seu servidor RADIUS. Desative a transmissão de SSID para quaisquer redes legadas por fração assim que o SSID iPSK estiver validado. A consolidação num único SSID tem um benefício imediato no desempenho RF. Cada SSID que transmite consome tempo de antena com tramas de gestão (beacons, probe responses) na taxa de dados obrigatória mais baixa. Eliminar 10 SSIDs legados pode recuperar 15 a 20% do tempo de antena disponível, de acordo com os dados de implementação da própria Purple.

Fase 3: Integração do servidor RADIUS e do fornecedor de identidade

O seu servidor RADIUS é o motor de políticas. Deve ser configurado para:

Aceitar pedidos de autenticação dos seus Access Points (configuração de segredo partilhado).
Validar credenciais em relação ao seu repositório de identidades (Microsoft Entra ID, Okta, Google Workspace ou uma base de dados local).
Devolver o atributo Tunnel-Private-Group-ID correto para cada credencial.

A Purple atua como a camada de orquestração entre o seu Software de Gestão de Propriedades (PMS) e o servidor RADIUS. Quando um contrato é assinado no seu PMS, a Purple gera automaticamente um iPSK exclusivo, associa-o à VLAN correta e envia a credencial por e-mail para o residente. Quando o contrato termina, a Purple revoga a chave instantaneamente. A equipa de TI não intervém em nada.

Fase 4: Configuração de reflexão mDNS

Os residentes esperam funcionalidades de casa inteligente. Transmitir de um telemóvel para uma TV, imprimir sem fios e ligar colunas inteligentes dependem da deteção mDNS (multicast DNS), também conhecida como Apple Bonjour ou DLNA.

Numa rede padrão, o mDNS é bloqueado entre VLANs para evitar a deteção de dispositivos entre diferentes inquilinos. Este é o comportamento correto. No entanto, deve ativar a reflexão mDNS dentro de cada VLAN individual para que os próprios dispositivos de um residente se possam detetar uns aos outros. Configure o seu controlador sem fios para refletir o tráfego mDNS apenas dentro dos limites de cada VLAN de inquilino. Não ative o encaminhamento mDNS global em todas as VLANs.

Fase 5: Automação do ciclo de vida e self-service

Não gira as chaves manualmente. Com 200 frações e uma rotatividade regular de inquilinos, a gestão manual de chaves introduz erros humanos e cria falhas de segurança quando os inquilinos que saem mantêm credenciais ativas.

A aplicação Purple automatiza todo o ciclo de vida do residente:

Integração: A integração com o PMS despoleta a geração e entrega de chaves antes da mudança.
Inquilinato ativo: Os residentes utilizam o portal self-service para adicionar dispositivos, verificar velocidades ou solicitar uma atualização de chave.
Desvinculação: A data de saída despoleta a revogação automática da chave e a reciclagem da VLAN.

Melhores práticas para operadores de BTR

Automatize a integração. Não gira as chaves manualmente. Integre o seu PMS com a Purple para despoletar a geração automática de chaves e o envio por e-mail antes de o residente se mudar. Isto proporciona a experiência Instant-On que define uma marca de BTR premium.

Ative a reflexão mDNS por VLAN. Garanta que a transmissão e os dispositivos de casa inteligente funcionam corretamente dentro de cada PAN. Restrinja o mDNS estritamente aos limites de cada VLAN individual para evitar a deteção de dispositivos entre diferentes frações.

Monitorize a integridade de RF continuamente. A consolidação num único SSID reduz a sobrecarga de tráfego de gestão (management frame overhead). Use o tempo de antena recuperado para otimizar as larguras de canal e a potência de transmissão. A plataforma de WiFi Analytics da Purple fornece a visibilidade necessária para agir sobre estes dados.

Planeie para a densidade de dispositivos. Desenhe o seu esquema de endereçamento IP para suportar a densidade máxima sem esgotar os pools de DHCP. Utilize o designer de sub-redes iPSK multi-tenant da Purple para calcular o bloco de rede principal correto para o seu edifício.

Defina alertas de renovação de certificados. Se a sua infraestrutura RADIUS utiliza certificados do lado do servidor, configure lembretes de renovação a 90, 60 e 30 dias. Um certificado expirado deixa todo o edifício offline.

Mantenha a compatibilidade com WPA2. Alguns dispositivos IoT legacy não suportam modos de transição WPA3. Mantenha a compatibilidade WPA2 ativada no mesmo SSID para evitar desativar dispositivos mais antigos.

Para obter uma perspetiva mais ampla sobre a arquitetura de SSID, leia Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Resolução de problemas e mitigação de riscos

O VLAN buraco negro. Sintoma: o utilizador autentica-se com sucesso mas não consegue obter um endereço IP. Causa: o VLAN atribuído não está devidamente etiquetado (tagged) de ponta a ponta, desde o AP passando pelos switches de acesso até ao servidor DHCP. Resolução: verifique a configuração da porta de trunk em cada switch no caminho.

Expiração de certificado. Sintoma: todo o edifício perde o acesso WiFi simultaneamente. Causa: o certificado do servidor RADIUS expirou. Resolução: implemente a monitorização automatizada de certificados com alertas com 90 dias de antecedência. Considere utilizar Let's Encrypt com renovação automatizada para certificados de servidor RADIUS.

mDNS não funciona dentro de uma fração. Sintoma: o residente não consegue transmitir (cast) para a sua TV ou detetar a sua impressora. Causa: a reflexão mDNS está desativada globalmente ou não está devidamente direcionada ao VLAN do residente. Resolução: ative a reflexão mDNS por VLAN no controlador sem fios.

Esgotamento do pool de DHCP. Sintoma: os dispositivos ligam-se ao WiFi mas não conseguem obter um endereço IP, apesar da etiquetagem correta do VLAN. Causa: o intervalo (scope) de DHCP é demasiado pequeno para o número de dispositivos ligados. Resolução: expanda a sub-rede para um /27 (30 IPs utilizáveis) para frações de alta densidade ou alojamento de estudantes.

Partilha de chave entre residentes. Sintoma: vários residentes aparecem no mesmo VLAN. Causa: um residente partilhou a sua PSK única com um vizinho. Resolução: implemente políticas de rotação de chaves e explique aos residentes que a sua chave está associada ao segmento de rede da sua fração.

ROI e impacto empresarial

A transição para uma arquitetura iPSK proporciona resultados de negócio mensuráveis para operadores BTR e proprietários de imóveis.

Redução de despesas de capital (CapEx). A eliminação de routers individuais num edifício de 200 frações remove 200 dispositivos de consumo da rede. Com base nos dados de implementação da própria Purple, isto reduz o CapEx de hardware em até 40% em comparação com um modelo de router por fração. Os Access Points centralizados de classe empresarial, posicionados estrategicamente em todo o edifício, oferecem uma melhor cobertura com menos dispositivos.

Redução de despesas operacionais (OpEx). A gestão automatizada do ciclo de vida elimina o esforço manual de TI associado à reposição de palavras-passe, resolução de problemas de Captive Portal e substituição de hardware. O volume de pedidos de suporte relacionados com a conectividade WiFi diminui significativamente quando os residentes recebem uma credencial ativa antes de se mudarem.

Geração de receita. A arquitetura iPSK permite pacotes de largura de banda escalonados. Pode oferecer um nível básico incluído na taxa de condomínio e um nível premium (por exemplo, um nível para gaming ou streaming com velocidades mais elevadas) como um extra opcional. Como o iPSK é baseado na identidade, pode atualizar o nível de velocidade de um residente instantaneamente através do painel de controlo da Purple, sem necessidade de alterações de hardware.

Retenção de residentes. No mercado de BTR, a qualidade do WiFi é consistentemente apontada como um dos três principais fatores nos inquéritos de satisfação dos residentes. A experiência Instant-On - em que o WiFi funciona no momento em que o residente entra pela porta - apoia diretamente a retenção e as avaliações positivas.

Para um contexto específico de cada setor, explore os guias da Purple para ambientes de Hospitalidade , Retalho e Saúde , ou consulte o guia relacionado sobre Logo iPSK: a comprehensive guide for businesses .

A Purple foi fundada em 2012 e opera em mais de 80.000 locais ativos, com 350 milhões de utilizadores únicos e 440 milhões de inícios de sessão registados em 2024. A Purple possui as certificações ISO 27001, GDPR, CCPA, Cyber Essentials e B Corp.

Definições Principais

iPSK (Identity Pre-Shared Key)

Um mecanismo de autenticação WiFi que atribui uma chave pré-partilhada única a cada utilizador individual, grupo de dispositivos ou apartamento num único SSID. A chave funciona como um token de identidade que o servidor RADIUS mapeia para uma política de rede e VLAN específicas.

Utilizado em BTR, MDU, alojamento de estudantes e ambientes de hotelaria para fornecer segurança por unidade sem a necessidade de certificados 802.1X.

Private Area Network (PAN)

Um segmento de rede virtual e isolado, criado para um utilizador ou grupo específico dentro de uma infraestrutura partilhada mais ampla. Os dispositivos dentro de uma PAN podem detetar-se e comunicar entre si, mas são invisíveis para os dispositivos noutras PANs.

A PAN é o resultado visível para o residente decorrente da utilização de iPSK e Dynamic VLAN Assignment. Oferece a experiência de rede doméstica dentro de uma infraestrutura de edifício partilhada.

Dynamic VLAN Assignment

O processo de colocar um utilizador numa VLAN específica com base na sua identidade, conforme ditado pelo servidor RADIUS durante a autenticação, e não pelo SSID ao qual se liga.

O mecanismo técnico que faz funcionar o isolamento de iPSK. O servidor RADIUS devolve o atributo Tunnel-Private-Group-ID, que o AP utiliza para atribuir o utilizador à VLAN correta.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece Autenticação, Autorização e Contabilização (AAA) centralizadas para acesso à rede. Numa implementação iPSK, o servidor RADIUS valida as credenciais e devolve os atributos de atribuição de VLAN.

O motor de políticas no centro de qualquer arquitetura iPSK. Liga a infraestrutura sem fios ao repositório de identidades e dita as políticas de rede por utilizador.

mDNS Reflection

Uma funcionalidade de rede que permite que os protocolos de deteção DNS multicast (Apple Bonjour, DLNA) funcionem através de limites de rede específicos. Numa implementação iPSK, deve ser ativada dentro de cada VLAN de inquilino para permitir a transmissão e a deteção de dispositivos domésticos inteligentes.

Sem mDNS reflection por VLAN, os residentes não conseguem transmitir para as suas televisões ou detetar as suas impressoras, quebrando a experiência semelhante à de casa que o iPSK foi concebido para proporcionar.

Headless device

Um dispositivo ligado à rede que não possui um ecrã ou interface de utilizador capaz de introduzir credenciais de início de sessão complexas, como um nome de utilizador, palavra-passe ou certificado digital. Os exemplos incluem colunas inteligentes, consolas de videojogos, smart TVs e sensores IoT.

Os headless devices não se conseguem ligar a redes 802.1X. O iPSK resolve isto utilizando uma chave pré-partilhada simples que qualquer dispositivo pode utilizar, independentemente das capacidades da sua interface.

Tunnel-Private-Group-ID

Um atributo RADIUS padrão IETF (atributo 81) que especifica o ID da VLAN a atribuir a um utilizador autenticado. É o atributo crítico que permite o Dynamic VLAN Assignment numa arquitetura iPSK.

Quando o servidor RADIUS devolve este atributo numa mensagem Access-Accept, o Access Point utiliza-o para encaminhar o tráfego do utilizador para a VLAN correta.

Build-to-Rent (BTR)

Propriedades residenciais construídas especificamente para arrendamento de longo prazo, em vez de venda. Os empreendimentos BTR incluem normalmente espaços de lazer, serviços de portaria e serviços geridos, como WiFi.

Os operadores de BTR são o público-alvo principal para as implementações de iPSK. O WiFi gerido é cada vez mais posicionado como um serviço essencial no BTR, a par da água, gás e eletricidade.

PMS (Property Management Software)

Software utilizado por operadores imobiliários para gerir contratos de arrendamento, registos de residentes, pedidos de manutenção e faturação. Numa implementação iPSK, a integração com o PMS permite o aprovisionamento e a revogação automatizados de chaves associados ao ciclo de vida do arrendamento.

A integração com o PMS é o que transforma o iPSK de uma tarefa de TI manual num sistema de gestão do ciclo de vida do residente totalmente automatizado.

Exemplos Práticos

Um promotor imobiliário está a construir um complexo BTR de 250 unidades. Pretende fornecer WiFi em todo o edifício como um serviço gerido. O briefing exige: os residentes ligam todos os seus dispositivos no dia da mudança, os dispositivos smart home devem funcionar e nenhum residente deve conseguir ver os dispositivos de outro residente. Como deve ser desenhada a rede?

Implemente uma rede unificada que transmita um único SSID chamado 'Resident WiFi'. Implemente o iPSK para atribuir uma palavra-passe única a cada apartamento. Configure o controlador sem fios (Cisco Meraki, HPE Aruba ou Ruckus) para reencaminhar pedidos de autenticação para um servidor RADIUS. Configure o servidor RADIUS para devolver o atributo Tunnel-Private-Group-ID para cada credencial, mapeando cada apartamento a uma VLAN dedicada (VLANs 101 a 350). Dimensione cada VLAN com uma sub-rede /28 (14 IPs úteis) para suportar até 10 dispositivos por unidade. Ative a reflexão mDNS por VLAN para permitir a transmissão e a deteção de smart homes em cada apartamento. Integre o PMS com a Purple para automatizar a geração de chaves na assinatura do contrato de arrendamento e a revogação na saída. Verifique se todas as VLANs de potenciais inquilinos estão identificadas (tagged) em cada porta trunk no caminho da rede.

Comentário do Examinador: Esta abordagem elimina a interferência de RF causada por 250 routers individuais. O iPSK garante que os dispositivos headless, como as smart TVs, se ligam sem fricção, enquanto a Atribuição Dinâmica de VLAN fornece o isolamento de Camada 2 necessário para a privacidade dos residentes. A integração com o PMS elimina a sobrecarga de IT manual que torna as implementações de MDU em larga escala ingeríveis.

Um residente num edifício BTR de 150 unidades relata que o seu smartphone se liga com sucesso ao WiFi do edifício, mas não consegue transmitir a Netflix para o seu Chromecast. Ambos os dispositivos estão ligados utilizando o iPSK exclusivo do residente. A equipa de IT confirmou que ambos os dispositivos estão na VLAN correta. Qual é a causa provável e a resolução?

A equipa de IT deve verificar a configuração de reflexão mDNS no controlador sem fios. A transmissão depende do mDNS (multicast DNS) para a deteção de dispositivos. Numa rede iPSK configurada corretamente, o mDNS é bloqueado entre VLANs para evitar a deteção de dispositivos entre diferentes inquilinos. No entanto, a reflexão mDNS deve estar ativada dentro de cada VLAN individual para que os próprios dispositivos de um residente se consigam detetar mutuamente. Se a reflexão mDNS estiver desativada globalmente ou não estiver circunscrita a VLANs individuais, a transmissão falhará, mesmo que ambos os dispositivos estejam na VLAN correta e tenham acesso à Internet.

Comentário do Examinador: Este é o problema de suporte pós-implementação mais comum em ambientes iPSK de MDU. A distinção entre o bloqueio de mDNS inter-VLAN (correto, por segurança) e a reflexão de mDNS intra-VLAN (necessário, para funcionalidade) é crítica. Os operadores devem configurar ambos corretamente para oferecer a experiência semelhante à de casa que os residentes esperam.

Perguntas de Prática

Q1. É o gestor de TI de um empreendimento BTR com 180 unidades. A equipa de gestão do imóvel quer incluir o WiFi na taxa de condomínio. Os residentes principais serão estudantes e jovens profissionais, cada um trazendo uma média de oito dispositivos ligados, incluindo consolas de videojogos e dispositivos domésticos inteligentes. A rede existente utiliza WPA3-Enterprise. Os residentes queixam-se de que as suas consolas PlayStation 5 e dispositivos Amazon Echo não se ligam. Qual é a alteração de arquitetura mais adequada?

Dica: Considere os requisitos de autenticação dos headless devices e a necessidade de manter a responsabilidade e o isolamento por unidade.

Ver resposta modelo

Migre a rede de WPA3-Enterprise (802.1X) para uma arquitetura iPSK. O WPA3-Enterprise requer autenticação 802.1X, a qual as consolas de jogos e colunas inteligentes não conseguem suportar por carecerem de interface para introduzir credenciais ou instalar certificados. O iPSK permite que estes dispositivos se liguem utilizando uma chave pré-partilhada simples, mantendo o isolamento por unidade através de Dynamic VLAN Assignment. O servidor RADIUS mapeia cada chave exclusiva para uma VLAN dedicada, preservando a segurança e a responsabilidade que o WPA3-Enterprise pretendia fornecer.

Q2. Após implementar o iPSK num edifício residencial de 100 unidades, a equipa de TI recebe relatos de que os residentes das unidades 201 a 210 conseguem autenticar-se na rede WiFi, mas não conseguem obter um endereço IP. Os residentes de todas as outras unidades estão a ligar-se normalmente. Os registos do servidor RADIUS mostram uma autenticação bem-sucedida para todas as unidades afetadas. Qual é a causa mais provável?

Dica: Pense no caminho de rede entre os Access Points que servem o 2.º piso e o servidor DHCP, e o que deve ser configurado de ponta a ponta.

Ver resposta modelo

A porta do switch que liga aos Access Points que servem o 2.º piso provavelmente não tem as etiquetas VLAN para as VLANs 201 a 210. Quando o servidor RADIUS autentica um residente na unidade 201 e devolve a VLAN 201 no atributo Tunnel-Private-Group-ID, o AP tenta colocar o tráfego na VLAN 201. Se a VLAN 201 não estiver etiquetada na porta do switch, o tráfego é descartado e o pedido DHCP nunca chega ao servidor DHCP. A resolução consiste em adicionar as etiquetas VLAN em falta à porta trunk afetada. O facto de a autenticação ser bem-sucedida mas a atribuição de IP falhar é a assinatura de diagnóstico deste problema específico.

Q3. Um operador de BTR pretende oferecer um pacote de WiFi premium "Gamer Tier" com um custo mensal adicional, garantindo maior largura de banda para os residentes que optarem por aderir. O edifício já funciona com iPSK com isolamento de VLAN por unidade. Como pode isto ser implementado sem implementar hardware adicional?

Dica: Considere como o servidor RADIUS pode devolver diferentes atributos de política para diferentes credenciais, e o que a plataforma de gestão necessita de suportar.

Ver resposta modelo

O operador pode implementar a diferenciação de largura de banda através do servidor RADIUS e de políticas de Quality of Service (QoS). Quando um residente atualiza para o Gamer Tier, a plataforma de gestão (Purple) atualiza o seu perfil RADIUS para devolver um atributo de política diferente juntamente com a atribuição de VLAN. Este atributo ativa um limite de largura de banda superior ou prioridade de QoS no controlador sem fios. Não são necessárias alterações de hardware. O painel da Purple permite que a equipa da propriedade atualize o nível de um residente instantaneamente, e a alteração entra em vigor no próximo evento de autenticação.

Continue a ler esta série

PPSK WPA3: comparando funcionalidades e modelos de implementação

Este guia de referência técnica compara PPSK e WPA3-SAE, explicando as suas diferenças arquiteturais e modelos de implementação para ambientes multi-tenant. Oferece orientação prática para gestores de TI e promotores imobiliários sobre como obter redes WiFi seguras e isoladas utilizando as soluções baseadas em identidade da Purple.

A vida do PPSK: comparando funcionalidades e modelos de implementação

Este guia compara o PPSK (Private Pre-Shared Key) com o PSK padrão e o 802.1X, detalhando modelos de implementação para ambientes multi-tenant. Prepara os gestores de TI e operadores de propriedades para implementar WiFi seguro e isolado por residente, que suporta dispositivos smart home e gera valor de negócio mensurável.

PPSK umpsa: comparando funcionalidades e modelos de implementação

Este guia técnico detalha a implementação de arquiteturas Private Pre-Shared Key (PPSK) e Identity Pre-Shared Key (iPSK) em ambientes multi-tenant de alta densidade. Fornece estratégias de implementação práticas para promotores imobiliários e gestores de TI para proteger redes de residentes, suportar dispositivos IoT e gerar um ROI positivo através de WiFi gerido.