Ridurre il numero di SSID su una rete è diventato quasi uno sport competitivo. Se passi un pomeriggio in un qualsiasi forum di networking, troverai opinioni forti, regole empiriche dei vendor e occasionali accese discussioni su quanti siano troppi. Alcuni dicono di limitarsi a tre o quattro per radio. Altri sostengono che i moderni access point ne gestiscano molti di più senza problemi. Le linee guida variano molto, perché la risposta onesta dipende dal tipo di implementazione.
Ecco il nostro punto di vista. Il tempo di trasmissione (airtime) consumato dai beacon è reale, ma diventa un problema solo quando si hanno molti access point sovrapposti sullo stesso canale. Se gli AP sono ben distanziati, con una sovrapposizione minima di co-canale, è possibile gestire diversi SSID in tutta sicurezza. Prima di eliminare qualsiasi cosa, inserisci i tuoi dati nel nostro calcolatore di overhead dei beacon e degli SSID per vedere la tua reale situazione.
Detto questo, siamo anche fan dell'ordine. Anche quando l'impatto sulle prestazioni è trascurabile, un elenco di SSID cresciuto una rete alla volta è più difficile da documentare, proteggere e passare al tecnico successivo. Quindi, se desideri consolidare, ecco il design su cui continuiamo a puntare: tre SSID, ciascuno mappato su un metodo di autenticazione, con tutto il resto gestito tramite VLAN.
Dove la tassa sul tempo di trasmissione è reale e dove non lo è
Ogni SSID su ogni radio invia beacon frame molte volte al secondo, alla tariffa base minima obbligatoria, indipendentemente dal fatto che vi sia associato o meno un singolo client. Questo costo è per canale. Un singolo access point che trasmette una manciata di SSID sul proprio canale raramente rappresenta un problema. I problemi iniziano quando diversi access point si trovano sullo stesso canale e si sentono a vicenda: i loro beacon competono per lo stesso tempo di trasmissione e l'overhead si accumula su ogni SSID di ciascuno di essi.
Quindi la vera variabile è la sovrapposizione di co-canale, non il numero assoluto di SSID. Un'implementazione densa con molte celle sovrapposte su 2.4 GHz, tariffa base lasciata a 1 Mbps e otto SSID può ridurre notevolmente la velocità di trasmissione. Al contrario, pochi AP ben separati che gestiscono gli stessi otto SSID possono funzionare perfettamente. Questo è un dato misurabile e non un'opinione: il calcolatore di overhead prende in considerazione i tuoi SSID per radio, l'intervallo dei beacon e la tariffa base, restituendo la percentuale di tempo di trasmissione del canale consumata dai beacon. Un valore inferiore al 2% è ottimale, tra il 2% e il 6% merita un'occhiata, mentre sopra il 6% inizia a essere problematico. Verifica i tuoi dati prima di decidere che c'è un problema da risolvere.
La scelta dell'ordine
Supponiamo che il calcolatore indichi che ti trovi ampiamente all'interno della fascia salutare. C'è comunque un motivo per consolidare? Noi crediamo di sì, e non ha nulla a che fare con l'airtime. Un SSID è un confine di autenticazione, non un confine di segmentazione. Quando crei un nuovo SSID per ogni nuova esigenza, uno per le casse, uno per le stampanti, uno per la segnaletica, uno per i collaboratori esterni, ti ritrovi con un elenco infinito in cui nessuno sa con certezza quale rete faccia cosa, quali chiavi siano ancora in uso o dove debba essere collegato un nuovo dispositivo. Riduci il tutto a tre, ciascuno legato a un modo chiaro di verificare l'identità, e la rete inizierà a documentarsi da sola. Separi le casse dalle telecamere e dai residenti con le VLAN e le policy del firewall, e utilizzi un SSID separato solo quando un gruppo di dispositivi necessita realmente di un metodo di autenticazione diverso. E di questi ne esistono solo tre.
SSID 1: rete guest aperta con un captive portal
La rete per i visitatori è aperta, quindi qualsiasi dispositivo può associarsi senza una chiave pre-condivisa, e un captive portal gestisce l'accesso. Splash page personalizzata con il brand, opt-in consapevole, accesso tramite social, e-mail o SMS, e poi navigazione su Internet su una VLAN isolata che non può vedere il tuo back office.
Questa è l'unica rete che deve funzionare per un telefono che la struttura non ha mai visto prima, quindi l'unico requisito richiesto è un browser. È anche il punto in cui risiede il valore commerciale: dati di prima parte acquisiti al momento della connessione, conformi al GDPR e con consenso esplicito, inviati direttamente al tuo CRM. Purple gestisce questo servizio come Guest WiFi in oltre 80.000 strutture, e rimane un unico SSID indipendentemente dal numero di tenant o zone presenti alle spalle.
SSID 2: WPA2/3-Enterprise per il personale e i guest sicuri
Il secondo SSID è crittografato e basato sull'identità. Utilizza lo standard WPA2/3-Enterprise con 802.1X , supportato da RADIUS, e serve due tipologie di utenti sulla stessa trasmissione: il tuo personale e i tuoi ospiti attendibili.
Ecco la parte che consente a un unico SSID di svolgere due compiti. Quando un dispositivo si autentica, RADIUS non si limita a rispondere con un sì o con un no. Restituisce la VLAN a cui appartiene quell'identità. Il personale effettua l'accesso una sola volta con le credenziali esistenti di Microsoft Entra ID, Okta o Google Workspace, utilizzando EAP-TLS per i laptop gestiti e PEAP per i dispositivi legacy, e atterra sulla VLAN del personale. Un collaboratore esterno o un ospite a lungo termine si autentica con le proprie credenziali dedicate e atterra su una VLAN separata e protetta. Stesso SSID, stessa crittografia, due reti completamente isolate, stabilite per singola identità al momento della connessione.
Questa è la differenza tra una password condivisa su una lavagna e un corretto controllo degli accessi. Quando qualcuno se ne va, lo disabiliti nell'identity provider e il suo accesso WiFi si interrompe il giorno stesso - senza dover ruotare una chiave valida per tutto l'edificio, senza lasciare come attendibili dispositivi che non dovrebbero esserlo. Purple offre questo servizio come Staff WiFi con cloud RADIUS , e i team IT registrano in genere un calo dei ticket di supporto WiFi di circa l'80% una volta eliminate le password. È certificato ISO 27001 e funziona con gli access point che già possiedi.
SSID 3: xPSK per casse, schermi, stampanti e IoT
Il terzo SSID è dedicato a tutto ciò che non può eseguire un Captive Portal e non può gestire l'802.1X: terminali per carte di pagamento, digital signage, stampanti di etichette e ricevute, sensori per edifici, smart TV e tutta la coda di dispositivi IoT ad-hoc. Questi dispositivi non hanno un browser né un supplicant, ma possono memorizzare una chiave pre-condivisa, quindi la soluzione è una chiave per singolo dispositivo piuttosto che un'unica password condivisa per tutti.
Ogni principale vendor ha il proprio nome per questo sistema. Cisco Meraki lo chiama iPSK , HPE Aruba lo definisce MPSK, Ruckus lo chiama DPSK, mentre Juniper Mist e Ubiquiti UniFi lo presentano come chiavi pre-condivise multiple o per dispositivo. Il termine generico è xPSK. Il meccanismo è lo stesso in ogni caso: un unico SSID, molte chiavi uniche, con ciascuna chiave associata a un dispositivo o proprietario e assegnata a una VLAN specifica.
Così i terminali di pagamento ricevono una chiave che li inserisce nella VLAN segmentata per lo standard PCI, il signage riceve una chiave che lo porta su una VLAN di contenuti senza accesso laterale, e un nuovo sensore IoT ottiene la propria chiave che puoi revocare singolarmente senza toccare nient'altro. Se una chiave viene trapelata, ruoti solo quella chiave. Non devi mai spegnere l'intera rete. Nei siti residenziali e multi-tenant, questo è lo stesso modello di chiave pre-condivisa di identità che inserisce ogni dispositivo del residente nella propria bolla isolata - trovi i dettagli nella nostra guida al WiFi multi-tenant .
Come tre SSID coprono ogni esigenza
Associa qualsiasi dispositivo presente in una struttura a una di queste tre domande per trovare la sua collocazione:
- È in grado di aprire una pagina web ed è un visitatore non attendibile? SSID guest aperto con Captive Portal.
- Appartiene a una persona con un'identità che gestisci? SSID WPA2/3-Enterprise, VLAN in base all'identità.
- È un dispositivo headless che può solo memorizzare una chiave? SSID xPSK, VLAN in base alla chiave.
Tutto il resto è segmentazione, e la segmentazione è compito delle VLAN. Voce, videosorveglianza, pagamenti, signage, gestione dell'edificio e isolamento per singolo tenant vivono tutti come VLAN dietro questi tre SSID, indirizzati dagli attributi RADIUS o dalla chiave presentata dal dispositivo. Mantieni ogni minimo livello di separazione che avevi con dieci SSID, ma con una lista così breve che anche il prossimo tecnico potrà comprenderla a colpo d'occhio.
Ridurre gli SSID migliora davvero le prestazioni?
A volte, e principalmente quando la sovrapposizione dei canali è elevata. Se si dispone di molti access point che condividono i canali, passare da otto o dieci SSID a tre riduce i beacon frame proporzionalmente su ogni radio sovrapposta, e aumentare la tariffa base in modo che i beacon vengano trasmessi più velocemente moltiplica il risparmio. Se gli AP si sovrappongono appena, il guadagno è marginale e l'ordine è il motivo migliore per farlo. In ogni caso, inserisci i dati prima e dopo nel calcolatore di overhead per decidere in base a prove concrete piuttosto che a spanne.
E se guest, IoT e staff avessero tutti bisogno di una sicurezza diversa?
Hanno effettivamente bisogno di una sicurezza diversa, ed è esattamente per questo che esistono tre SSID anziché uno. Ogni SSID rappresenta un metodo di autenticazione distinto (aperto con portale, 802.1X e chiave per dispositivo), che è l'unico fattore che giustifica una trasmissione separata. I diversi livelli di attendibilità all'interno di un metodo sono gestiti dalle policy di VLAN e firewall, non aggiungendo altri SSID. Si ottiene un isolamento più rigoroso rispetto all'approccio frammentato, perché ogni limite è imposto dall'identità o da una chiave, anziché sperare che nessuno abbia indovinato la password dello staff.
In breve
Se il numero di SSID stia consumando il tuo tempo di trasmissione (airtime) dipende principalmente da quanto si sovrappongono i tuoi access point, quindi controlla il calcolatore prima di ipotizzare il peggio. Tuttavia, è facile creare troppi SSID e una rete ordinata è più semplice da gestire; quindi, quando si consolida, associa ogni SSID a un metodo di autenticazione e sposta qualsiasi altra distinzione a livello di VLAN. Tre è tutto ciò di cui una location ha bisogno: guest aperto con un portale, WPA2/3-Enterprise per le persone, xPSK per le cose. Funziona su Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi e tutti gli altri, perché se i tuoi access point supportano RADIUS, Purple funziona con essi.
Desideri una mano per ridurre un elenco di SSID eccessivamente esteso senza perdere la segmentazione? Parla con un esperto e mapperemo i tuoi dispositivi sulle tre reti che li supportano.
