Die Reduzierung der Anzahl an SSIDs in einem Netzwerk hat sich klammheimlich zu einem Wettkampfsport entwickelt. Wenn Sie einen Nachmittag in einem beliebigen Netzwerkforum verbringen, werden Sie auf starke Meinungen, Faustregeln der Hersteller und gelegentlich hitzige Diskussionen darüber stoßen, wie viele zu viel sind. Einige sagen, man sollte sich auf drei oder vier pro Radio beschränken. Andere meinen, moderne Access Points bewältigen weitaus mehr, ohne ins Schwitzen zu geraten. Die Ratschläge variieren stark, da die ehrliche Antwort von Ihrer jeweiligen Bereitstellung abhängt.
Hier ist unsere Sichtweise: Die Sendezeit, die Beacons verbrauchen, ist real, wird aber erst dann zum Problem, wenn sich viele Access Points auf demselben Kanal überschneiden. Wenn Ihre APs in gutem Abstand zueinander positioniert sind und es nur wenige Co-Kanal-Überschneidungen gibt, können Sie problemlos mehrere SSIDs betreiben. Bevor Sie voreilig etwas abbauen, geben Sie Ihre eigenen Zahlen in unseren Beacon- und SSID-Overhead-Rechner ein und prüfen Sie, wo Sie tatsächlich stehen.
Gleichwohl sind wir auch Freunde von Ordnung. Selbst wenn die Leistungseinbußen vernachlässigbar sind, ist eine SSID-Liste, die Netzwerk für Netzwerk gewachsen ist, schwerer zu dokumentieren, schwerer zu sichern und schwerer an den nächsten Techniker zu übergeben. Wenn Sie also konsolidieren möchten, ist dies das Design, auf das wir immer wieder zurückgreifen: drei SSIDs, jeweils einer Authentifizierungsmethode zugeordnet, wobei alles andere über VLANs abgewickelt wird.
Wo die Sendezeit-Abgabe real ist und wo nicht
Jede SSID auf jedem Radio sendet viele Male pro Sekunde Beacon-Frames mit der niedrigsten obligatorischen Basisrate – unabhängig davon, ob auch nur ein einziger Client verbunden ist. Diese Kosten fallen pro Kanal an. Ein einzelner Access Point, der eine Handvoll SSIDs auf seinem eigenen Kanal ausstrahlt, ist selten ein Problem. Die Schwierigkeiten beginnen, wenn sich mehrere Access Points auf demselben Kanal befinden und sich gegenseitig hören: Ihre Beacons konkurrieren nun um dieselbe Sendezeit, und der Overhead summiert sich über jede SSID auf jedem einzelnen von ihnen.
Die tatsächliche Variable ist also die Co-Kanal-Überschneidung und nicht die reine Anzahl der SSIDs. Eine dichte Bereitstellung mit vielen überlappenden Zellen auf 2,4 GHz, einer Basisrate von 1 Mbps und acht SSIDs kann den Durchsatz spürbar beeinträchtigen. Eine Handvoll gut verteilter APs, die dieselben acht SSIDs nutzen, kann dagegen völlig unproblematisch sein. Dies lässt sich messen und ist keine reine Meinungssache: Der Overhead-Rechner ermittelt aus Ihren SSIDs pro Radio, dem Beacon-Intervall und der Basisrate den Prozentsatz der Kanal-Sendezeit, den Ihre Beacons verbrauchen. Unter 2 % ist gesund, 2 % bis 6 % sind einen Blick wert, und ab 6 % wird es kritisch. Prüfen Sie Ihre Werte, bevor Sie entscheiden, dass ein Problem gelöst werden muss.
Das Plädoyer für Ordnung
Angenommen, der Rechner zeigt Ihnen, dass Sie sich weit im gesunden Bereich befinden. Gibt es dennoch einen Grund zur Konsolidierung? Wir glauben ja, und das hat nichts mit Sendezeit zu tun. Eine SSID ist eine Authentifizierungsgrenze, keine Segmentierungsgrenze. Wenn Sie für jede neue Anforderung eine neue SSID einrichten – eine für die Kassen, eine für die Drucker, eine für digitale Beschilderungen, eine für Dienstleister –, erhalten Sie am Ende eine unübersichtliche Liste, bei der niemand mehr genau weiß, welches Netzwerk was tut, welche Schlüssel noch aktiv sind oder wo ein neues Gerät hingehört. Reduzieren Sie dies auf drei, die jeweils an eine klare Identitätsprüfung gekoppelt sind, und das Netzwerk beginnt, sich selbst zu dokumentieren. Sie trennen Kassen von Kameras und Bewohnern mittels VLANs und Firewall-Richtlinien und betreiben eine separate SSID nur dann, wenn eine Gerätegruppe tatsächlich eine andere Authentifizierungsmethode benötigt. Davon gibt es nur drei.
SSID 1: Offenes Gästenetzwerk mit einem Captive Portal
Das Besuchernetzwerk ist offen, sodass sich jedes Gerät ohne Pre-Shared Key verbinden kann, und ein Captive Portal übernimmt die Anmeldung. Gebrandete Splash-Page, bewusste Opt-in-Auswahl, Login über Social Media, E-Mail oder SMS, und dann ab ins Internet über ein isoliertes VLAN, das Ihr Backoffice nicht sehen kann.
Dies ist das eine Netzwerk, das für ein Telefon funktionieren muss, das der Standort noch nie zuvor gesehen hat. Die einzige Hürde ist also ein Browser und nichts anderes. Hier liegt auch der kommerzielle Wert: GDPR-konforme First-Party-Daten mit erteilter Einwilligung (Opt-in), die direkt am Verbindungspunkt erfasst und sofort in Ihr CRM übertragen werden. Purple betreibt dies als Guest WiFi an über 80.000 Standorten, und es bleibt eine einzige SSID, unabhängig davon, wie viele Mandanten oder Zonen sich dahinter befinden.
SSID 2: WPA2/3-Enterprise für Mitarbeiter und sichere Gäste
Die zweite SSID ist verschlüsselt und identitätsbasiert. Sie nutzt WPA2/3-Enterprise mit 802.1X , unterstützt durch RADIUS, und bedient zwei Zielgruppen über denselben Broadcast: Ihre Mitarbeiter und Ihre vertrauenswürdigen Gäste.
Hier kommt der Teil, der es einer SSID ermöglicht, zwei Aufgaben zu übernehmen. Wenn sich ein Gerät authentifiziert, sagt RADIUS nicht einfach nur Ja oder Nein. Es gibt das VLAN zurück, zu dem diese Identität gehört. Mitarbeiter melden sich einmal mit ihren vorhandenen Microsoft Entra ID-, Okta- oder Google Workspace-Anmeldedaten an – unter Verwendung von EAP-TLS für verwaltete Laptops und PEAP für ältere Geräte – und landen im Mitarbeiter-VLAN. Ein externer Dienstleister oder ein Langzeitgast authentifiziert sich mit seinen eigenen zugewiesenen Anmeldedaten und landet in einem separaten, abgesperrten VLAN. Dieselbe SSID, dieselbe Verschlüsselung, zwei völlig isolierte Netzwerke, die im Moment der Verbindung pro Identität zugewiesen werden.
Das ist der Unterschied zwischen einem gemeinsamen Passwort an einem Whiteboard und einer ordnungsgemäßen Zugriffskontrolle. Wenn jemand das Unternehmen verlässt, deaktivieren Sie ihn im Identity Provider und sein WiFi-Zugriff endet noch am selben Tag – kein Ändern eines gebäudeweiten Schlüssels, keine verbleibenden vertrauenswürdigen Geräte, die es nicht sein sollten. Purple bietet dies als Staff WiFi mit Cloud RADIUS an, und IT-Teams verzeichnen in der Regel einen Rückgang der WiFi-Support-Tickets um etwa 80 %, sobald die Passwörter abgeschafft sind. Es ist nach ISO 27001 zertifiziert und funktioniert mit den Access Points, die Sie bereits besitzen.
SSID 3: xPSK für Kassen, Bildschirme, Drucker und IoT
Die dritte SSID ist für alles gedacht, was kein Captive Portal ausführen und kein 802.1X nutzen kann: Kartenterminals, Digital Signage, Etiketten- und Belegdrucker, Gebäudesensoren, Smart-TVs und die lange Liste von Ad-hoc-IoT-Geräten. Diese Geräte haben keinen Browser und keinen Supplicant, können aber einen Pre-Shared Key speichern – die Antwort ist also ein Schlüssel pro Gerät statt eines gemeinsamen Passworts für alle.
Jeder große Hersteller hat seinen eigenen Namen dafür. Cisco Meraki nennt es iPSK , HPE Aruba nennt es MPSK, Ruckus nennt es DPSK, und Juniper Mist sowie Ubiquiti UniFi bieten es als gerätespezifische oder multiple Pre-Shared Keys an. Der Oberbegriff ist xPSK. Der Mechanismus ist in jedem Fall derselbe: eine SSID, viele eindeutige Schlüssel, wobei jeder Schlüssel an ein Gerät oder einen Besitzer gebunden und einer bestimmten VLAN zugeordnet ist.
So erhalten die Zahlungsterminals einen Schlüssel, der sie in das PCI-segmentierte VLAN leitet, die Beschilderung erhält einen Schlüssel für ein Content-VLAN ohne lateralen Zugriff, und ein neuer IoT-Sensor erhält einen eigenen Schlüssel, den Sie separat widerrufen können, ohne etwas anderes zu berühren. Wenn ein Schlüssel durchsickert, ändern Sie nur diesen einen Schlüssel. Sie müssen nie das gesamte Netzwerk herunterfahren. In Wohn- und Multi-Tenant-Anlagen ist dies dasselbe Identity-Pre-Shared-Key-Modell, das jedes Bewohnergerät in eine eigene, isolierte Blase platziert – die Details dazu finden Sie in unserem Multi-Tenant WiFi-Leitfaden .
Wie drei SSIDs alles abdecken
Ordnen Sie jedes Gerät an einem Standort einer von drei Fragen zu, und Sie haben seinen Platz gefunden:
- Kann es eine Webseite öffnen und ist es ein nicht vertrauenswürdiger Besucher? Offene Gast-SSID mit Captive Portal.
- Gehört es einer Person mit einer von Ihnen verwalteten Identität? WPA2/3-Enterprise SSID, VLAN nach Identität.
- Ist es ein Headless-Gerät, das nur einen Schlüssel speichern kann? xPSK SSID, VLAN nach Schlüssel.
Alles andere ist Segmentierung, und Segmentierung ist Aufgabe des VLANs. Sprache, Videoüberwachung, Zahlungen, Beschilderung, Gebäudemanagement und die Isolierung pro Mieter existieren alle als VLANs hinter diesen drei SSIDs, gesteuert durch RADIUS-Attribute oder den vom Gerät präsentierten Schlüssel. Sie behalten jede einzelne Trennung bei, die Sie mit zehn SSIDs hatten, aber mit einer Liste, die so kurz ist, dass der nächste Techniker sie auf einen Blick versteht.
Verbessert die Reduzierung von SSIDs tatsächlich die Leistung?
Manchmal, und zwar hauptsächlich dann, wenn die Co-Kanal-Überlappung hoch ist. Wenn Sie viele Access Points haben, die sich Kanäle teilen, reduziert die Reduzierung von acht oder zehn SSIDs auf drei die Beacon-Frames auf jedem überlappenden Funkmodul proportional, und die Erhöhung der Basisrate, damit Beacons schneller übertragen werden, verstärkt die Einsparung. Wenn sich Ihre APs kaum überlappen, ist der Gewinn marginal und Ordnung der bessere Grund dafür. Unabhängig davon sollten Sie Ihre Vorher-Nachher-Zahlen durch den Overhead-Rechner laufen lassen, damit Sie sich auf der Grundlage von Fakten und nicht nach einer Faustregel entscheiden.
Was ist, wenn Gäste, IoT und Mitarbeiter unterschiedliche Sicherheitsanforderungen haben?
Sie benötigen tatsächlich unterschiedliche Sicherheitsstufen, und genau deshalb gibt es drei SSIDs statt einer. Jede SSID ist eine eigene Authentifizierungsmethode – offen mit Portal, 802.1X und Schlüssel pro Gerät –, was das Einzige ist, das einen separaten Broadcast rechtfertigt. Unterschiedliche Vertrauensebenen innerhalb einer Methode werden über VLAN- und Firewall-Richtlinien geregelt, nicht durch das Hinzufügen weiterer SSIDs. Sie erhalten eine strengere Isolierung als bei dem unübersichtlichen Ansatz, da jede Grenze durch Identität oder Schlüssel erzwungen wird, anstatt darauf zu hoffen, dass niemand das Mitarbeiterpasswort erraten hat.
Die Kurzfassung
Ob Ihre SSID-Anzahl Sie Airtime kostet, hängt hauptsächlich davon ab, wie stark sich Ihre Access Points überlappen. Überprüfen Sie also den Rechner, bevor Sie vom Schlimmsten ausgehen. Da sich SSIDs jedoch schnell zu viel erstellen lassen und ein ordentliches Netzwerk einfacher zu betreiben ist, sollten Sie bei einer Konsolidierung jede SSID an eine Authentifizierungsmethode binden und alle anderen Unterscheidungen auf das VLAN verlagern. Drei sind alles, was ein Standort benötigt: offener Gastzugang mit einem Portal, WPA2/3-Enterprise für Personen, xPSK für Dinge. Dies funktioniert mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi und allen anderen, denn wenn Ihre Access Points RADIUS unterstützen, funktioniert Purple mit ihnen.
Benötigen Sie Hilfe beim Bereinigen einer überdimensionierten SSID-Liste, ohne die Segmentierung zu verlieren? Sprechen Sie mit einem Experten und wir ordnen Ihre Geräte den drei Netzwerken zu, die sie abdecken.
