Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

Como configurar PPSK com RADIUS (MAC não vinculado) para redes de 6 GHz

Knowledgebase
Configuration Guide
BookmarksCopiar link
04-03-2026
7247

Conteúdo

Introdução

Requisitos

Modelos Aplicáveis

Visão Geral do PPSK com RADIUS (MAC não vinculado)

Preparação do Servidor RADIUS

Requisitos do Servidor RADIUS

Fluxo de Trabalho do Servidor RADIUS

Implementação do Servidor RADIUS

Configuração

Conclusão

Perguntas Frequentes (QA)

 

Introdução

Com a introdução da banda de 6 GHz (Wi-Fi 6E/7), o WPA3 é obrigatório para atender a padrões de segurança mais elevados. O PPSK com RADIUS oferece uma solução de acesso mais segura e gerenciável. Ao atribuir uma senha exclusiva a cada cliente e aproveitar o gerenciamento centralizado por meio de um servidor RADIUS, ele permite um melhor isolamento do usuário e um controle de acesso mais flexível.

Como as redes de 6 GHz exigem WPA3, e o WPA3 usa autenticação SAE, o AP precisa determinar qual PSK está associado ao cliente durante o processo de autenticação SAE.

No entanto, durante a conexão inicial, nenhuma vinculação de MAC para PSK foi estabelecida para o cliente no lado da autenticação. Portanto, a autenticação não pode depender de uma vinculação pré-estabelecida e deve ser tratada por meio do processo de MAC não vinculado (Unbound MAC). Após a autenticação bem-sucedida, o lado da autenticação pode estabelecer a vinculação de MAC para PSK do cliente para conexões subsequentes.

Este artigo descreve como configurar o PPSK com RADIUS (Unbound MAC) para redes de 6 GHz.

Requisitos

  • Omada Controller v6.2.10 ou superior
  • Pontos de Acesso Wi-Fi 7 Omada que suportam a banda de frequência de 6 GHz, com firmware totalmente compatível com o Omada Controller v6.2.10 (Consulte a tabela de Modelos Aplicáveis abaixo para modelos e versões de firmware suportados.)
  • Clientes que suportam WPA3
  • Um Servidor RADIUS que suporte PPSK com RADIUS (Unbound MAC) para redes de 6 GHz

(Para detalhes, consulte a seção ‘Preparação do Servidor RADIUS’.)

Modelos Aplicáveis

Modelo

Versão de Hardware

Versão de Firmware

EAP775-Wall

1.0 / 1.6

1.5.1 Build 20260415 Rel. 64731

EAP770

2.0 / 2.6 / 2.8

1.5.1 Build 20260415 Rel. 64731

EAP772-Outdoor

1.0 / 1.6

1.5.1 Build 20260415 Rel. 64731

EAP772

2.0 / 2.6

1.5.1 Build 20260415 Rel. 64731

EAP787

1.0 / 1.6

1.5.1 Build 20260415 Rel. 64731

AP9778

1.0

Lançamento em breve

 

Visão Geral do PPSK com RADIUS (MAC não vinculado)


Em redes de 6 GHz (Wi-Fi 6E/7), o WPA3 é obrigatório para atender a padrões de segurança mais elevados. Nesse cenário, ao atribuir senhas de Wi-Fi exclusivas (PPSK) a diferentes usuários e permitir o gerenciamento centralizado, a autenticação deve ser realizada por meio de um servidor RADIUS.

Como mostrado na figura, os administradores configuram o SSID e os recursos relacionados no controlador. O ponto de acesso (AP) encaminha as solicitações de autenticação do cliente para o servidor RADIUS, que armazena informações relacionadas ao PPSK e realiza a verificação de credenciais. Após a autenticação bem-sucedida, o servidor RADIUS retorna as informações de chave necessárias para o AP.

O PPSK com RADIUS (Unbound MAC) permite que os clientes concluam a autenticação inicial sem pré-vincular seus endereços MAC. Quando um cliente se conecta à rede sem fio e insere uma senha, o AP encaminha a solicitação de autenticação para o servidor RADIUS, onde a senha é verificada e correspondida.

Após a autenticação bem-sucedida, o sistema associa automaticamente o endereço MAC do cliente ao PPSK correspondente para conexões subsequentes, melhorando a eficiência do acesso e mantendo a segurança.

Mostrar a topologia de rede da posição do PPSK 6G.

 

Preparação do Servidor RADIUS

Requisitos do Servidor RADIUS

1. Busca de MAC não vinculado (Unbound MAC)

  • O AP enviará mensagens RADIUS Access-Request, que são idênticas ao processo Unbound do PPSK WPA2.
  • O servidor deve ser capaz de:
    • Corresponder ao PSK correto
    • Retornar mensagens Access-Accept contendo o PMK, que serão enviadas de volta ao AP conforme necessário

2. Estabelecendo vinculações de MAC e PSK

  • Após a conclusão do processo de consulta de MAC não vinculado:
    • O servidor deve criar automaticamente vinculações entre endereços MAC e PSKs
  • Essas vinculações são usadas para lidar com consultas subsequentes de MAC vinculado (Bound MAC)

3. Busca de MAC vinculado (Bound MAC)

  • O AP enviará mensagens RADIUS Access-Request, que são idênticas ao processo de consulta de MAC vinculado do PPSK WPA2
  • Quando o servidor encontrar uma entrada correspondente, ele deve:
    • Retornar o PSK correto por meio do atributo Tunnel-Password

4. Considerações de implementação (para RADIUS de código aberto)

  • Alguns servidores RADIUS (por exemplo, FreeRADIUS) não suportam nativamente a busca de MAC não vinculado
  • Desenvolvimento adicional pode ser necessário para:
  • Suportar autenticação de MAC não vinculado
  • Implementar lógica de vinculação MAC–PSK
  • Integrar mecanismos de busca baseados em banco de dados

Nota: Soluções comerciais como a RG Nets foram verificadas para atender a esses requisitos. Soluções de código aberto podem exigir personalização.

Fluxo de Trabalho do Servidor RADIUS

O fluxo de trabalho a seguir aplica-se a todos os servidores RADIUS que suportam PPSK com RADIUS (Unbound MAC).

I. Quando um cliente se conecta ao SSID pela primeira vez, o AP envia um Access-Request (Unbound MAC) para o servidor RADIUS.

II. O servidor RADIUS faz a correspondência com o PPSK e retorna uma resposta Access-Accept.

III. Após a autenticação bem-sucedida, o servidor RADIUS estabelece uma vinculação entre o endereço MAC do cliente e o PPSK.

IV. Para conexões subsequentes, o AP envia um Access-Request (Bound MAC), e o servidor RADIUS recupera o PSK correspondente com base no mapeamento MAC–PSK armazenado para concluir a autenticação.

Mostrar o Fluxo de Trabalho do Servidor RADIUS.

 

Implementação do Servidor RADIUS

A abordagem de implementação depende de o servidor RADIUS suportar nativamente a autenticação de MAC não vinculado.

 

I. Servidores com Suporte Nativo (ex: RG Nets)

Para servidores RADIUS com suporte nativo:
• A autenticação de MAC não vinculado é suportada nativamente
• A correspondência de PPSK e a vinculação MAC–PSK são tratadas internamente
Nenhuma personalização adicional é necessária.

 

II. Servidores que Exigem Personalização (ex: FreeRADIUS)

Para servidores RADIUS sem suporte nativo, é necessária personalização adicional para implementar o fluxo de trabalho descrito acima:

  • A autenticação de MAC não vinculado deve ser implementada para permitir a correspondência baseada em PPSK durante a primeira conexão.
  • A correspondência de PPSK geralmente depende de lógica externa, como scripts ou integração de banco de dados.
  • A vinculação MAC–PSK deve ser estabelecida após a autenticação bem-sucedida para suportar conexões subsequentes.
  • A autenticação subsequente é realizada com base na busca no banco de dados usando o endereço MAC do cliente.

Configuração

Passo 1. Configurar o Perfil RADIUS

Após os APs serem gerenciados pelo Omada Controller, inicie o Site e entre na visualização do site. Vá para: Configurações > Configuração de Rede > Perfil > Perfil RADIUS. Clique em Criar Novo Perfil RADIUS para criar um perfil vinculado ao servidor RADIUS. Se necessário, Habilite a Atribuição de VLAN para Rede Sem Fio.

Mostrar a página de configuração do perfil RADIUS.


Nota: Certifique-se de que as configurações do servidor RADIUS (endereço IP, porta de autenticação e Senha de Autenticação) sejam consistentes com a configuração do servidor.

Passo 2. Criar a Rede Sem Fio. Vá para: Configurações > Configuração de Rede > Configurações de Rede > WLAN, clique em Criar Nova Rede Sem Fio para criar um novo SSID. Configure o nome do SSID, selecione as bandas necessárias (ex: 2.4 GHz + 6 GHz, 5 GHz + 6 GHz ou 2.4 GHz + 5 GHz + 6 GHz), escolha PPSK com RADIUS como o modo de segurança e selecione o perfil RADIUS configurado no Passo 1. O tipo de Autenticação é definido como Generic RADIUS with unbound MAC. Defina outras configurações conforme necessário e clique em Aplicar para salvar.

Mostrar a página de configuração do SSID.

 

Nota: Limitações de Recursos para SSID PPSK de 6 GHz
I. A opção 802.11r não é suportada para SSIDs PPSK de 6 GHz. Isso ocorre porque o PPSK de 6 GHz opera com base no PPSK com RADIUS (Unbound MAC), o que pode introduzir problemas de compatibilidade no tratamento de atributos RADIUS quando o 802.11r está habilitado.

II. A opção MLO não é suportada para SSIDs PPSK de 6 GHz. O MLO requer configurações de segurança consistentes em todas as bandas de frequência, o que não se aplica neste cenário.

Ao criar um SSID multibanda (incluindo 6 GHz) com segurança PPSK com RADIUS, o sistema cria automaticamente SSIDs ocultos adicionais em bandas não-6 GHz para autenticação do cliente.

  • 2.4 GHz + 6 GHz: um SSID oculto é criado na banda de 2.4 GHz
  • 5 GHz + 6 GHz: um SSID oculto é criado na banda de 5 GHz
  • 2.4 GHz + 5 GHz + 6 GHz: SSIDs ocultos são criados nas bandas de 2.4 GHz e 5 GHz

Mostrar a página da lista de SSIDs.

 

Para APs que suportam PPSK, mas não suportam PPSK de 6 GHz, o SSID será aplicado apenas como WPA2 PPSK com RADIUS (Unbound MAC). Após aplicar a configuração, vá para a página Dispositivos > Resultado da Configuração para verificar o status, onde os dispositivos não suportados serão marcados como incompatíveis, conforme mostrado abaixo.

Mostrar a página de Resultado da Configuração.

 

Passo 3. Use um cliente para se conectar ao SSID criado no Passo 2. Insira o PPSK configurado no servidor RADIUS para concluir a autenticação. Após uma conexão bem-sucedida, o cliente autenticado pode ser visualizado na lista de Clientes.

Mostrar a página da lista de Clientes.

 

Nota:
As seguintes considerações do lado do cliente podem afetar o comportamento da conexão:
• Devido a limitações do cliente, alguns dispositivos (por exemplo, certos laptops Windows) podem não conseguir se conectar à banda de 6 GHz. Esquecer o SSID e reconectar pode ajudar a resolver o problema.
• Em alguns casos, o cliente pode falhar ao se conectar na primeira tentativa. Reconectar normalmente resolve o problema.
• O Band Steering e o Load Balance podem afetar o processo de associação inicial e interferir no registro do PPSK em 6 GHz. Para garantir o registro bem-sucedido, esses recursos podem não entrar em vigor durante a primeira conexão, mas funcionarão normalmente depois.
• Após alterar o PPSK, o cliente pode precisar se conectar mais de uma vez para concluir a autenticação. A nova senha deve primeiro ser registrada por meio do SSID oculto nas bandas não-6 GHz antes de poder ser usada em outras bandas.

Conclusão

Com as etapas acima, a autenticação PPSK com RADIUS (Unbound MAC) para redes de 6 GHz pode ser configurada para atender aos requisitos da sua rede.

Para conhecer mais detalhes de cada função e configuração, acesse o Download Center para baixar o manual do seu produto.

Perguntas Frequentes (QA)

Q1: Por que a opção 802.11r não está disponível para SSIDs PPSK de 6 GHz?

R1: O 802.11r não é suportado para SSIDs PPSK de 6 GHz porque pode introduzir problemas de compatibilidade no processo de autenticação baseado em RADIUS.

 

Q2: Por que o MLO não é suportado para SSIDs PPSK de 6 GHz?

R2: O MLO não é suportado porque requer configurações de segurança consistentes em diferentes bandas de frequência. Esse requisito não é atendido em implantações de PPSK com RADIUS (Unbound MAC) para redes de 6 GHz.

 

Q3: Por que o cliente falha ao se conectar ou exige várias tentativas?

R3: Durante a conexão inicial, o cliente pode não concluir o processo de autenticação ou registro com sucesso. Reconectar normalmente resolve o problema.

Se necessário, esquecer a rede Wi-Fi e reconectar pode ajudar a forçar o cliente a reiniciar o processo de conexão, permitindo que ele conclua o registro ou selecione uma banda apropriada.

Se o problema persistir após várias tentativas de conexão, verifique se o cliente usa randomização de endereço MAC ou um recurso de privacidade semelhante para esta rede Wi-Fi. Se disponível, tente desativar esse recurso para esta rede Wi-Fi e reconecte-se. Isso pode ajudar a melhorar a estabilidade da autenticação.

 

Q4: Por que o Band Steering ou o Load Balance não são eficazes durante a primeira conexão?
R4: O Band Steering e o Load Balance podem afetar o processo de associação inicial e interferir no registro do PPSK. Para garantir o registro bem-sucedido, esses recursos podem não entrar em vigor durante a primeira conexão, mas funcionarão normalmente depois que o cliente for registrado com sucesso.

 

Q5: Por que preciso me conectar várias vezes após alterar o PPSK?
R5: Após a alteração do PPSK, o cliente deve primeiro concluir um processo de registro por meio do SSID oculto em bandas não-6 GHz. Se o cliente tentar se conectar diretamente antes que esse processo seja concluído, a autenticação poderá ser rejeitada. Reconectar permite que o processo de registro seja concluído com sucesso.

Por favor, avalie este documento

Documentos relacionados

Como configurar PPSK sem Radius usando o perfil PPSK no Omada Controller v6.1

Configuration Guide
01-09-2026
11747

Guia de configuração da função PPSK com diferentes servidores RADIUS

Configuration Guide
05-30-2024
39339

Guia de configuração PPSK

Configuration Guide
Autenticação
10-17-2022
36564

Instruções para configurar a segurança do SSID no controlador Omada

Configuration Guide
11-08-2024
39950

Guia de configuração na VLAN dinâmica com a função de atribuição de VLAN do RADIUS

Configuration Guide
Vlan
Autenticação
04-23-2023
23165

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au