Reduzir o número de SSIDs em uma rede tornou-se, silenciosamente, um esporte competitivo. Passe uma tarde em qualquer fórum de redes e você encontrará opiniões fortes, regras práticas de fornecedores e discussões ocasionais acaloradas sobre quanto é demais. Alguns dizem para manter de três a quatro por rádio. Outros dizem que os pontos de acesso modernos lidam com muito mais sem problemas. As orientações realmente variam, porque a resposta honesta depende da sua implantação.
Aqui está a nossa visão. O tempo de transmissão (airtime) que os beacons consomem é real, mas só se torna um problema quando você tem muitos pontos de acesso sobrepostos no mesmo canal. Se os seus APs estiverem bem espaçados, com pouca sobreposição de canais compartilhados, você poderá executar vários SSIDs e permanecer perfeitamente seguro. Antes de remover qualquer coisa, insira seus próprios números em nossa calculadora de overhead de beacon e SSID e veja onde você realmente se encontra.
Dito isso, também somos fãs da organização. Mesmo quando o impacto no desempenho é insignificante, uma lista de SSID que cresceu uma rede de cada vez é mais difícil de documentar, mais difícil de proteger e mais difícil de entregar ao próximo engenheiro. Portanto, se você deseja consolidar, aqui está o design ao qual sempre recorremos: três SSIDs, cada um mapeado para uma forma de autenticação, com todo o resto gerenciado por VLANs.
Onde a taxa de airtime é real e onde não é
Cada SSID em cada rádio envia quadros de beacon muitas vezes por segundo, na taxa básica obrigatória mais baixa, independentemente de haver um único cliente associado. Esse custo é por canal. Um ponto de acesso anunciando um punhado de SSIDs, em seu próprio canal, raramente é um problema. O problema começa quando vários pontos de acesso estão no mesmo canal e ouvem uns aos outros: seus beacons agora competem pelo mesmo airtime, e o overhead se acumula em cada SSID de cada um deles.
Portanto, a variável real é a sobreposição de canais compartilhados, não a contagem bruta de SSID. Uma implantação densa com muitas células sobrepostas em 2.4 GHz, com a taxa básica mantida em 1 Mbps, e oito SSIDs pode degradar genuinamente o throughput. Alguns APs bem separados executando os mesmos oito SSIDs podem funcionar perfeitamente. Isso é mensurável, em vez de ser uma questão de opinião: a calculadora de overhead considera seus SSIDs por rádio, intervalo de beacon e taxa básica e retorna a porcentagem de airtime do canal que seus beacons consomem. Menos de 2% é saudável, 2% a 6% vale a pena analisar, e acima de 6% é onde começa a prejudicar. Verifique o seu antes de decidir se há um problema a ser resolvido.
O caso da organização
Suponha que a calculadora lhe diga que você está bem dentro da faixa saudável. Ainda há um motivo para consolidar? Nós achamos que sim, e isso não tem nada a ver com airtime. Um SSID é um limite de autenticação, não um limite de segmentação. Quando você cria um novo SSID para cada novo requisito, um para os caixas, um para as impressoras, um para sinalização, um para terceiros, você acaba com uma lista imensa onde ninguém sabe ao certo qual rede faz o quê, quais chaves ainda estão em uso ou para onde um novo dispositivo deve ir. Reduza isso para três, cada um vinculado a uma forma clara de comprovar a identidade, e a rede começará a se documentar sozinha. Você separa os caixas das câmeras e dos residentes usando VLANs e políticas de firewall, e só executa um SSID separado quando um grupo de dispositivos genuinamente precisa de um método de autenticação diferente. Existem apenas três desses.
SSID 1: rede de convidados aberta com um Captive Portal
A rede de visitantes é aberta, permitindo que qualquer dispositivo se associe sem uma chave pré-compartilhada, e um Captive Portal gerencia o login. Página de login personalizada, aceite consciente de termos, login por redes sociais, e-mail ou SMS, e então acesso à internet em uma VLAN isolada que não consegue visualizar seu back office.
Esta é a única rede que precisa funcionar para um telefone que o local nunca viu antes, portanto, o requisito mínimo é um navegador e nada mais. É também onde está o valor comercial: dados proprietários capturados no ponto de conexão, com consentimento e em conformidade com o GDPR, enviados diretamente para o seu CRM. A Purple executa isso como Guest WiFi em mais de 80.000 locais, e permanece como um único SSID, não importa quantos locatários ou zonas estejam por trás dele.
SSID 2: WPA2/3-Enterprise para funcionários e convidados seguros
O segundo SSID é criptografado e baseado em identidade. Ele executa WPA2/3-Enterprise com 802.1X , suportado por RADIUS, e atende a duas populações na mesma transmissão: seus funcionários e seus convidados confiáveis.
Aqui está a parte que permite que um único SSID faça duas funções. Quando um dispositivo se autentica, o RADIUS não diz apenas sim ou não. Ele retorna a VLAN à qual essa identidade pertence. Os funcionários fazem login uma única vez com suas credenciais existentes do Microsoft Entra ID, Okta ou Google Workspace, usando EAP-TLS para notebooks gerenciados e PEAP para dispositivos legados, e entram na VLAN de funcionários. Um prestador de serviços ou um visitante de longa permanência se autentica com sua própria credencial emitida e entra em uma VLAN separada e restrita. Mesmo SSID, mesma criptografia, duas redes completamente isoladas, definidas por identidade no momento da conexão.
Essa é a diferença entre uma senha compartilhada em um quadro branco e um controle de acesso adequado. Quando alguém sai, você o desativa no provedor de identidade e o acesso ao WiFi dele é interrompido no mesmo dia - sem necessidade de alternar uma chave para todo o prédio, sem deixar dispositivos confiáveis que não deveriam estar lá. A Purple oferece isso como Staff WiFi com RADIUS na nuvem, e as equipes de TI costumam ver os chamados de suporte de WiFi caírem em cerca de 80% assim que as senhas são eliminadas. É certificado pela ISO 27001 e funciona com os pontos de acesso que você já possui.
SSID 3: xPSK para caixas registradoras, telas, impressoras e IoT
O terceiro SSID é para tudo o que não pode executar um Captive Portal e não pode fazer 802.1X: terminais de cartão, sinalização digital, impressoras de etiquetas e recibos, sensores prediais, smart TVs e a longa lista de IoT ad-hoc. Esses dispositivos não têm navegador e não têm suplicante, mas podem armazenar uma chave pré-compartilhada, portanto, a resposta é uma chave por dispositivo, em vez de uma senha compartilhada para todos.
Cada grande fornecedor tem seu próprio nome para isso. A Cisco Meraki chama de iPSK , a HPE Aruba de MPSK, a Ruckus de DPSK, e a Juniper Mist e a Ubiquiti UniFi o expõem como chaves pré-compartilhadas por dispositivo ou múltiplas. O termo geral é xPSK. O mecanismo é o mesmo em cada caso: um SSID, muitas chaves exclusivas, cada chave vinculada a um dispositivo ou proprietário e direcionada a uma VLAN específica.
Assim, os terminais de pagamento recebem uma chave que os coloca na VLAN segmentada por PCI, a sinalização recebe uma chave que cai em uma VLAN de conteúdo sem acesso lateral, e um novo sensor de IoT recebe sua própria chave que você pode revogar individualmente sem afetar mais nada. Se uma chave vazar, você altera apenas aquela chave. Você nunca derruba a rede inteira. Em locais residenciais e multi-inquilinos, este é o mesmo modelo de chave pré-compartilhada de identidade que coloca o dispositivo de cada residente em sua própria bolha isolada - os detalhes estão em nosso guia de WiFi multi-inquilino .
Como três SSIDs cobrem tudo
Mapeie qualquer dispositivo em um local para uma de três perguntas e você terá seu destino:
- Ele pode abrir uma página da web e é um visitante não confiável? SSID de convidado aberto com Captive Portal.
- Ele pertence a uma pessoa com uma identidade que você gerencia? SSID WPA2/3-Enterprise, VLAN por identidade.
- É um dispositivo headless que só pode armazenar uma chave? SSID xPSK, VLAN por chave.
Todo o resto é segmentação, e a segmentação é um trabalho de VLAN. Voz, CFTV, pagamentos, sinalização, gerenciamento predial e isolamento por inquilino vivem como VLANs atrás desses três SSIDs, direcionados por atributos RADIUS ou pela chave que o dispositivo apresenta. Você mantém cada detalhe de separação que tinha com dez SSIDs, com uma lista curta o suficiente para que o próximo engenheiro possa entendê-la rapidamente.
Reduzir SSIDs realmente melhora o desempenho?
Às vezes, e principalmente quando a sobreposição de canais idênticos é alta. Se você tiver muitos pontos de acesso compartilhando canais, reduzir de oito ou dez SSIDs para três diminui os quadros de beacon proporcionalmente em cada rádio sobreposto, e aumentar a taxa básica para que os beacons sejam transmitidos mais rapidamente potencializa a economia. Se os seus APs quase não se sobrepõem, o ganho é marginal e a organização é o melhor motivo para fazer isso. De qualquer forma, insira seus números de antes e depois na calculadora de overhead para tomar uma decisão com base em evidências, em vez de regras gerais.
E quanto a visitantes, IoT e funcionários, todos precisando de segurança diferente?
Eles realmente precisam de segurança diferente, e é exatamente por isso que existem três SSIDs em vez de apenas um. Cada SSID é um método de autenticação distinto — aberto com portal, 802.1X e chave por dispositivo —, que é a única coisa que justifica uma transmissão separada. Diferentes níveis de confiança dentro de um método são gerenciados por VLAN e políticas de firewall, não adicionando mais SSIDs. Você obtém um isolamento mais rígido do que na abordagem desordenada, porque cada limite é imposto por identidade ou por chave, em vez de apenas torcer para que ninguém adivinhe a senha dos funcionários.
A versão curta
Se a sua contagem de SSIDs está custando tempo de transmissão depende principalmente do quanto seus pontos de acesso se sobrepõem, então verifique a calculadora antes de presumir o pior. Mas os SSIDs são fáceis de criar em excesso e uma rede organizada é mais fácil de gerenciar. Portanto, ao consolidar, vincule cada SSID a uma forma de autenticação e direcione qualquer outra distinção para a VLAN. Três é tudo o que um local precisa: visitante aberto com portal, WPA2/3-Enterprise para pessoas e xPSK para dispositivos. Funciona em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi e em todos os outros, porque se os seus pontos de acesso se comunicam via RADIUS, a Purple funciona com eles.
Quer uma ajuda para reduzir uma lista excessiva de SSIDs sem perder a segmentação? Fale com um especialista e mapearemos seus dispositivos para as três redes ideais para eles.
