Ruu PPSK: comparing features and deployment models

Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar o Ruu PPSK. Ou seja, a arquitetura de WiFi com Private Pre-Shared Key, e especificamente como esta se aplica a implementações em propriedades comerciais e residenciais multi-inquilino. Vou guiá-lo pelo que é, como se compara com as alternativas, qual o modelo de implementação que se adequa à sua situação e as armadilhas que prejudicam a maioria dos projetos. Vamos a isso. Primeiro, o problema. Se gere um empreendimento Build to Rent, um bloco de alojamento para estudantes ou qualquer propriedade com múltiplas habitações, enfrenta um desafio de WiFi específico que as redes empresariais padrão não resolvem de forma limpa. Numa rede WPA2 Personal tradicional, todos os dispositivos no edifício partilham a mesma palavra-passe. Quando um residente se muda, tem duas opções. Altera a palavra-passe, o que interrompe o WiFi de todos os outros residentes no edifício. Ou deixa o antigo residente com acesso. Nenhuma destas opções é aceitável. E com 200 unidades, nenhuma é operacionalmente viável. Esse é o problema que o PPSK resolve. O Private Pre-Shared Key atribui a cada residente, a cada apartamento ou a cada grupo de dispositivos a sua própria frase de acesso WiFi exclusiva. Todos se ligam ao mesmo SSID, o mesmo nome de rede, mas cada chave é associada a uma VLAN - Virtual Local Area Network - separada. O apartamento 12 está na VLAN 10. O apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso trata do mapeamento de chave para VLAN automaticamente. Não é necessário um servidor RADIUS no modelo básico. Sem infraestrutura de certificados. Sem suplicante 802.1X no dispositivo. Agora, uma palavra sobre terminologia, porque é aqui que surge a verdadeira confusão no mercado. A Aruba chama-lhe PPSK. A Cisco Meraki chama-lhe iPSK, ou Identity PSK. A Juniper Mist utiliza ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama-lhe Private PSK. A Ubiquiti UniFi chama-lhe simplesmente PPSK. A Cambium também utiliza ePSK. O mecanismo subjacente é idêntico em todas elas. Um SSID, múltiplas chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. A nomenclatura do fornecedor é marketing, não uma distinção técnica. Deixe-me explicar o que realmente acontece na camada de associação, porque é aqui que a arquitetura prova o seu valor. Quando o dispositivo de um residente se liga ao SSID, apresenta a sua chave pré-partilhada durante o handshake de quatro vias WPA2. O ponto de acesso, ou o controlador cloud por trás dele, procura essa chave no armazenamento PPSK, identifica a qual VLAN ela mapeia e etiqueta o tráfego do dispositivo em conformidade a partir desse momento. O dispositivo vê uma ligação WiFi completamente normal. Não faz ideia de que foi colocado num segmento isolado. O seu Chromecast funciona. A sua coluna inteligente emparelha. A sua consola obtém o tipo de NAT correto. Tudo se comporta exatamente como numa ligação de banda larga doméstica, porque, do ponto de vista do dispositivo, é isso mesmo. Esta é a distinção crucial em relação ao 802.1X, que é o padrão empresarial para redes de funcionários e ambientes corporativos. O 802.1X requer um servidor RADIUS, um fornecedor de identidade e um suplicante em cada dispositivo. O suplicante é o componente de software que lida com a troca de autenticação EAP. Todos os portáteis geridos e todos os telemóveis corporativos têm um. O frigorífico inteligente do seu residente não tem. O controlador de AVAC do seu edifício não tem. Os seus sensores IoT não têm. O PPSK funciona com todos eles porque opera na camada WPA Personal, não na camada WPA Enterprise. Dito isto, o PPSK não substitui o 802.1X em ambientes corporativos. É uma ferramenta diferente para um problema diferente. Se está a gerir uma rede de funcionários onde a responsabilidade individual importa, onde precisa de saber que uma pessoa específica se autenticou num momento específico e precisa de revogar o seu acesso no momento em que ela sai da organização, o 802.1X é a resposta certa. Se está a gerir uma rede residencial onde precisa de isolamento por habitação, suporte IoT e simplicidade operacional à escala, o PPSK é a resposta certa. Analisemos os três modelos de implementação, porque é aqui que a decisão de arquitetura é tomada. O modelo um é o modelo de controlador na nuvem. Este é o padrão mais comum para novas implementações. Os seus pontos de acesso ligam-se a uma plataforma de gestão na nuvem. O repositório de chaves PPSK reside no controlador na nuvem. Quando regista um novo residente, cria uma chave no portal, atribui-a a uma VLAN e o controlador envia a política para todos os pontos de acesso no edifício. O residente recebe a sua chave por e-mail, SMS ou através de um código QR no seu pacote de boas-vindas. Eles digitalizam-no, todos os seus dispositivos ligam-se e o seu Chromecast, coluna inteligente e consola funcionam imediatamente. Quando se mudam, elimina a chave. Os seus dispositivos deixam de se ligar. Ninguém mais é afetado. Este modelo funciona bem para implementações até cerca de 200 unidades. É o mais simples de operar e não requer infraestrutura adicional. O modelo dois é o PPSK com um backend RADIUS. Algumas implementações empresariais utilizam um servidor RADIUS para armazenar e validar credenciais PPSK. Isto proporciona-lhe registo centralizado, pistas de auditoria e integração com a sua plataforma de gestão de identidade. Adiciona custos de infraestrutura, mas oferece-lhe a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos - por exemplo, um espaço de coworking onde tem tanto dispositivos corporativos geridos como equipamentos IoT pertencentes aos membros, ou um empreendimento BTR onde o operador tem obrigações de conformidade que exigem pistas de auditoria por residente. O modelo três é a arquitetura híbrida. Os residentes utilizam PPSK para os seus portáteis e dispositivos IoT. A equipa do edifício utiliza 802.1X para os dispositivos corporativos. Ambos os grupos ligam-se à mesma infraestrutura física, mas são mapeados para diferentes segmentos lógicos. A Purple recomenda esta arquitetura para implementações abrangentes de Build to Rent e unidades multi-familiares. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. É a arquitetura que lhe oferece a simplicidade de consumo para os residentes e a responsabilidade empresarial para a equipa, sem ter de gerir duas redes separadas. Agora vamos entrar nos detalhes da implementação. Se está a implementar PPSK para um empreendimento BTR ou uma propriedade MDU, esta é a sequência que funciona. Comece com o seu desenho lógico antes de tocar no hardware. Mapeie o seu número de residentes, as suas categorias de dispositivos IoT e quaisquer sistemas de equipa ou de gestão. Atribua as VLANs. Uma implementação BTR típica tem este aspeto: VLANs 10 até ao número total de unidades para os residentes, uma VLAN por apartamento ou uma VLAN por andar, dependendo da densidade. VLAN 99 para IoT. VLAN 100 para gestão do edifício. VLAN 200 para WiFi de convidados nas áreas comuns. Depois, documente o seu esquema de endereçamento IP. Num edifício de 200 unidades, poderá ter de 3.000 a 5.000 dispositivos na rede a qualquer momento. Esse é o número de 15 a 25 dispositivos por habitação da investigação da British Property Federation. Os seus âmbitos DHCP precisam de acomodar isso. Utilize endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Um slash 24 oferece 254 endereços utilizáveis. Um slash 23 oferece 510. Dimensione em conformidade. Na seleção de hardware, o PPSK é suportado em todas as principais plataformas de pontos de acesso empresariais. A Cisco Meraki chama-lhe iPSK e gere-o através do dashboard Meraki. A HPE Aruba implementa-o nativamente no ArubaOS e Aruba Central. A Ruckus suporta-o através do SmartZone e da plataforma Ruckus Cloud. A Juniper Mist utiliza ePSK com gestão de RF orientada por IA. A Ubiquiti UniFi tem PPSK desde 2023, embora note que atualmente é apenas WPA2 e não funcionará na banda de 6 gigahertz. A Cambium e a Extreme suportam-no através das suas respetivas plataformas na nuvem. Uma limitação crítica a assinalar: a implementação de PPSK da UniFi é apenas WPA2. Se estiver a especificar pontos de acesso WiFi 6E e quiser utilizar a banda de 6 gigahertz para clientes PPSK, necessitará de uma plataforma que suporte WPA3-SAE com PPSK, ou terá de restringir os clientes PPSK às bandas de 2.4 e 5 gigahertz. A Aruba, a Ruckus e a Meraki suportam PPSK em configurações WPA3. Agora os erros comuns. Estes são os modos de falha que vejo repetidamente em implementações de produção. Erro um: proliferação de SSIDs. Cada SSID que transmite consome tempo de antena para tráfego de sinalização (beacon frames). Num edifício residencial denso, se estiver a transmitir seis ou oito SSIDs por ponto de acesso, está a degradar o desempenho para todos. Limite a um máximo de quatro SSIDs por rádio. Utilize PPSK para servir múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento ou por piso. Erro dois: configuração insuficiente de portas trunk. Desenha um esquema de VLAN limpo, implementa os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém se esqueceu de permitir as VLANs relevantes numa ligação trunk entre o switch de distribuição e a camada de acesso. Valide todas as portas trunk durante a colocação em funcionamento. Documente-o. Teste-o com um dispositivo em cada VLAN antes de os residentes se mudarem. Erro três: distribuição de chaves. Gerar chaves é fácil. Fazê-las chegar aos residentes de forma segura e operacionalmente gerível é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente onde estes possam recuperar a sua chave e adicionar novos dispositivos é melhor para as operações diárias. Crie o fluxo de trabalho de distribuição de chaves antes de implementar, não depois. Erro quatro: aleatoriedade do endereço MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos utilizam endereços MAC aleatórios por predefinição por motivos de privacidade. Se o seu servidor RADIUS estiver a fazer uma pesquisa de MAC e o dispositivo apresentar um endereço aleatório, a pesquisa falha e o dispositivo não se consegue ligar. Configure o seu SSID para solicitar que os clientes utilizem o seu endereço MAC de hardware permanente, ou implemente um fluxo de trabalho de pré-registo. A plataforma da Purple lida com isto automaticamente como parte do fluxo de integração de residentes. Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto. Cenário um: um empreendimento Build to Rent de 180 unidades num centro urbano. O operador pretendia WiFi incluído na renda como uma comodidade, com ativação no dia da mudança e suporte completo para smart home. Implementaram pontos de acesso HPE Aruba geridos através do Aruba Central. Cada apartamento recebe uma chave PPSK única gerada no momento da assinatura do contrato de arrendamento. A chave é enviada por e-mail ao residente com um código QR. Eles digitalizam-no, todos os seus dispositivos ligam-se e o seu Chromecast, coluna inteligente e consola funcionam imediatamente. Quando um residente se muda, o gestor do imóvel elimina a chave no portal. O novo residente recebe uma chave nova ao mudar-se. Zero drama com rotação de palavras-passe. O operador registou uma redução de 30% nos pedidos de suporte relacionados com WiFi em comparação com a sua implementação anterior de palavra-passe partilhada. Cenário dois: um bloco de alojamento para estudantes construído de raiz com 400 camas. O desafio aqui é a semana de mudança de coorte, com centenas de estudantes a chegar simultaneamente, todos a tentar ligar dezenas de dispositivos ao mesmo tempo. O operador utilizou pontos de acesso Ruckus com SmartZone, implementando PPSK com uma chave por quarto. As chaves foram pré-geradas e incluídas no pacote de boas-vindas enviado antes da chegada. Os estudantes digitalizaram o código QR à chegada e ficaram ligados em segundos. A rede geriu o pico de mudanças sem degradação porque o tráfego de cada estudante estava isolado no seu próprio segmento VLAN. Agora, uma ronda rápida sobre as perguntas mais frequentes. Quantas chaves PPSK pode um único ponto de acesso suportar? A maioria das plataformas empresariais suporta milhares de chaves por SSID. O Cisco Meraki suporta até 5.000 entradas iPSK por rede. A Aruba escala de forma semelhante. O Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um edifício de 200 unidades, está bem dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. O WPA3-SAE oferece uma proteção mais forte contra ataques de dicionário offline em comparação com o WPA2-PSK. A exceção é o UniFi, que atualmente suporta apenas WPA2 para PPSK. Posso integrar o PPSK com o meu sistema de gestão de propriedades? Sim, através da API do fornecedor. O Aruba Central, Meraki, Ruckus e Mist expõem todos APIs REST para gestão de chaves PPSK. A plataforma da Purple fornece uma camada de integração pré-construída que liga automaticamente o seu sistema de gestão de propriedades ao ciclo de vida das chaves PPSK. O PPSK está em conformidade com o GDPR? Sim, quando implementado corretamente. O PPSK com chaves por residente fornece o registo de auditoria de que necessita para responder a pedidos de acesso a dados pessoais e a pedidos das autoridades com dados específicos do residente. Com uma PSK partilhada, isso é impossível. Cada dispositivo parece idêntico do ponto de vista da rede. Para resumir. O PPSK é a arquitetura correta para WiFi multi-inquilino em BTR, alojamento de estudantes e ambientes MDU. Oferece isolamento por unidade, compatibilidade com IoT e simplicidade operacional que nem a PSK padrão nem o 802.1X conseguem igualar num contexto residencial. Desenhe as suas VLANs antes de tocar no hardware. Proteja as suas ligações trunk. Automatize a distribuição de chaves. Verifique o suporte WPA3 do seu fornecedor se estiver a implementar WiFi 6E. E integre com o seu sistema de gestão de propriedades desde o primeiro dia, não como uma reflexão tardia. A Purple opera em 80.000 locais ativos e integra-se como uma sobreposição na nuvem com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se deseja ver como isto funciona na prática para o seu empreendimento, o próximo passo é uma chamada de âmbito técnico com a nossa equipa de design de rede. Obrigado por ouvir o Purple Technical Briefing.