Reduzir o número de SSIDs numa rede tornou-se discretamente num desporto competitivo. Passe uma tarde em qualquer fórum de redes e encontrará opiniões fortes, regras práticas de fornecedores e a ocasional discussão acesa sobre quantos são demasiados. Alguns dizem para manter em três ou quatro por rádio. Outros dizem que os pontos de acesso modernos lidam com muito mais sem qualquer esforço. As orientações variam genuinamente, porque a resposta honesta depende da sua implementação.
Esta é a nossa visão. O tempo de antena que os beacons consomem é real, mas só se torna um problema quando se tem muitos pontos de acesso sobrepostos no mesmo canal. Se os seus APs estiverem bem espaçados, com pouca sobreposição de canais partilhados, pode executar vários SSIDs e manter-se perfeitamente seguro. Antes de remover o que quer que seja, insira os seus próprios números na nossa calculadora de overhead de beacon e SSID e veja em que ponto se encontra realmente.
Dito isto, também somos fãs de organização. Mesmo quando o impacto no desempenho é insignificante, uma lista de SSID que cresceu uma rede de cada vez é mais difícil de documentar, mais difícil de proteger e mais difícil de transferir para o próximo engenheiro. Portanto, se deseja consolidar, aqui está o design a que sempre voltamos: três SSIDs, cada um mapeado para um método de autenticação, sendo tudo o resto gerido por VLANs.
Onde o custo do tempo de antena é real, e onde não é
Cada SSID em cada rádio envia tramas beacon muitas vezes por segundo, à taxa básica obrigatória mais baixa, independentemente de haver ou não um único cliente associado. Esse custo é por canal. Um único ponto de acesso que anuncie um punhado de SSIDs, no seu próprio canal, raramente é um problema. O problema começa quando vários pontos de acesso estão no mesmo canal e se ouvem uns aos outros: os seus beacons passam a competir pelo mesmo tempo de antena, e o overhead acumula-se em todos os SSIDs de cada um deles.
Portanto, a verdadeira variável é a sobreposição de canais partilhados, e não a contagem bruta de SSIDs. Uma implementação densa com muitas células sobrepostas em 2.4 GHz, com a taxa básica mantida em 1 Mbps, e oito SSIDs pode degradar genuinamente o throughput. Um punhado de APs bem separados a executar os mesmos oito SSIDs pode funcionar perfeitamente. Isto é mensurável e não uma questão de opinião: a calculadora de overhead recebe os seus SSIDs por rádio, intervalo de beacon e taxa básica, e devolve a percentagem de tempo de antena do canal que os seus beacons consomem. Abaixo de 2% é saudável, de 2% a 6% merece uma análise e acima de 6% é onde começa a prejudicar. Verifique os seus dados antes de decidir que há um problema a resolver.
O argumento a favor da organização
Suponha que a calculadora lhe diz que está bem dentro do intervalo saudável. Ainda há uma razão para consolidar? Pensamos que sim, e não tem nada a ver com airtime. Um SSID é um limite de autenticação, não um limite de segmentação. Quando cria um novo SSID para cada novo requisito, um para as caixas registadoras, um para as impressoras, um para a sinalização digital, um para os prestadores de serviços, acaba com uma lista interminável onde ninguém sabe ao certo que rede faz o quê, quais as chaves que ainda estão em uso ou para onde deve ir um novo dispositivo. Reduza para três, cada um associado a uma forma clara de provar a identidade, e a rede começa a documentar-se a si própria. Separa as caixas das câmaras e dos residentes com VLANs e políticas de firewall, e apenas executa um SSID separado quando um grupo de dispositivos precisa genuinamente de um método de autenticação diferente. Existem apenas três desses.
SSID 1: rede de convidados aberta com um captive portal
A rede de visitantes é aberta, pelo que qualquer dispositivo se pode associar sem uma chave pré-partilhada, e um captive portal trata do início de sessão. Página de boas-vindas personalizada, consentimento explícito, início de sessão por redes sociais, e-mail ou SMS, e depois acesso à internet numa VLAN isolada que não consegue ver o seu back office.
Esta é a única rede que tem de funcionar para um telemóvel que o local nunca viu antes, pelo que a única barreira é um navegador web. É também onde reside o valor comercial: dados primários captados no momento da ligação, com consentimento e em conformidade com o GDPR, enviados diretamente para o seu CRM. A Purple executa isto como Guest WiFi em mais de 80.000 locais, e mantém-se como um único SSID, independentemente de quantos inquilinos ou zonas estejam por trás.
SSID 2: WPA2/3-Enterprise para funcionários e convidados seguros
O segundo SSID é encriptado e baseado na identidade. Executa WPA2/3-Enterprise com 802.1X , suportado por RADIUS, e serve duas populações na mesma transmissão: os seus funcionários e os seus convidados de confiança.
Aqui está a parte que permite que um SSID faça dois trabalhos. Quando um dispositivo se autentica, o RADIUS não diz apenas sim ou não. Devolve a VLAN à qual essa identidade pertence. Os funcionários iniciam sessão uma vez com as suas credenciais existentes do Microsoft Entra ID, Okta ou Google Workspace, utilizando EAP-TLS para portáteis geridos e PEAP para dispositivos legados, e entram na VLAN dos funcionários. Um prestador de serviços ou um convidado de longa duração autentica-se com a sua própria credencial atribuída e entra numa VLAN separada e restrita. O mesmo SSID, a mesma encriptação, duas redes completamente isoladas, decididas por identidade no momento da ligação.
Essa é a diferença entre uma palavra-passe partilhada num quadro branco e um controlo de acesso adequado. Quando alguém sai, o utilizador é desativado no fornecedor de identidade e o seu acesso WiFi cessa no próprio dia - sem necessidade de rodar uma chave para todo o edifício, sem deixar dispositivos fidedignos que não o deveriam ser. A Purple disponibiliza isto como Staff WiFi com cloud RADIUS , e as equipas de TI observam normalmente uma queda de cerca de 80% nos pedidos de suporte de WiFi assim que as palavras-passe são eliminadas. Possui certificação ISO 27001 e funciona com os pontos de acesso que já possui.
SSID 3: xPSK para caixas registadoras, ecrãs, impressoras e IoT
O terceiro SSID destina-se a tudo o que não consegue executar um Captive Portal e não suporta 802.1X: terminais de pagamento, sinalética digital, impressoras de etiquetas e talões, sensores de edifícios, smart TVs e a panóplia de dispositivos IoT ad-hoc. Estes dispositivos não têm browser nem suplicante, mas podem armazenar uma chave pré-partilhada, pelo que a solução é uma chave por dispositivo e não uma palavra-passe partilhada por todos.
Cada grande fornecedor tem o seu próprio nome para isto. A Cisco Meraki chama-lhe iPSK , a HPE Aruba chama-lhe MPSK, a Ruckus chama-lhe DPSK, e a Juniper Mist e Ubiquiti UniFi apresentam-no como chaves pré-partilhadas múltiplas ou por dispositivo. O termo geral é xPSK. O mecanismo é o mesmo em todos os casos: um SSID, muitas chaves exclusivas, cada chave vinculada a um dispositivo ou proprietário e associada a uma VLAN específica.
Assim, os terminais de pagamento recebem uma chave que os coloca na VLAN segmentada para PCI, a sinalética recebe uma chave que a direciona para uma VLAN de conteúdos sem acesso lateral, e um novo sensor IoT recebe a sua própria chave que pode ser revogada individualmente sem afetar mais nada. Se uma chave for exposta, roda apenas essa chave. Nunca desliga a rede inteira. Em locais residenciais e multi-inquilino, este é o mesmo modelo de chave pré-partilhada de identidade que coloca o dispositivo de cada residente na sua própria bolha isolada - os detalhes encontram-se no nosso guia de WiFi multi-inquilino .
Como três SSIDs cobrem tudo
Mapeie qualquer dispositivo num local para uma de três perguntas e encontrará o seu espaço:
- Consegue abrir uma página web e é um visitante não fidedigno? SSID de convidados aberto com Captive Portal.
- Pertence a uma pessoa com uma identidade gerida por si? SSID WPA2/3-Enterprise, VLAN por identidade.
- É um dispositivo sem ecrã/interface que apenas consegue armazenar uma chave? SSID xPSK, VLAN por chave.
Tudo o resto é segmentação, e a segmentação é tarefa de uma VLAN. Voz, CCTV, pagamentos, sinalética, gestão de edifícios e isolamento por inquilino residem todos como VLANs atrás destes três SSIDs, orientados por atributos RADIUS ou pela chave que o dispositivo apresenta. Mantém toda a separação que tinha com dez SSIDs, com uma lista suficientemente curta para que o próximo engenheiro a consiga compreender à primeira vista.
Reduzir os SSIDs melhora realmente o desempenho?
Às vezes, e principalmente quando a sobreposição de canais é elevada. Se tem muitos pontos de acesso a partilhar canais, reduzir de oito ou dez SSIDs para três diminui as tramas beacon proporcionalmente em cada rádio sobreposto, e aumentar a taxa básica para que os beacons sejam transmitidos mais rapidamente potencia a poupança. Se os seus APs quase não se sobrepõem, o ganho é marginal e a organização é a melhor razão para o fazer. De qualquer forma, passe os seus números de antes e depois pela calculadora de overhead para decidir com base em evidências e não em regras gerais.
E quanto a guest, IoT e funcionários precisarem de segurança diferente?
Eles precisam de segurança diferente, e é exatamente por isso que existem três SSIDs em vez de um. Cada SSID é um método de autenticação distinto – aberto com portal, 802.1X e chave por dispositivo – que é a única coisa que justifica uma transmissão separada. Diferentes níveis de confiança dentro de um método são geridos pela VLAN e pela política de firewall, não pela adição de mais SSIDs. Obtém um isolamento mais rigoroso do que com a abordagem dispersa, porque cada limite é aplicado por identidade ou por chave, em vez de esperar que ninguém tenha adivinhado a palavra-passe dos funcionários.
A versão curta
Se o seu número de SSIDs lhe está a custar tempo de transmissão depende principalmente de quanto os seus pontos de acesso se sobrepõem, por isso verifique a calculadora antes de assumir o pior. Mas os SSIDs são fáceis de criar em excesso e uma rede organizada é mais fácil de gerir, por isso, quando consolidar, associe cada SSID a uma forma de autenticação e empurre qualquer outra distinção para a VLAN. Três é tudo o que um espaço precisa: guest aberto com um portal, WPA2/3-Enterprise para pessoas e xPSK para coisas. Funciona em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi e no resto, porque se os seus pontos de acesso suportam RADIUS, o Purple funciona com eles.
Precisa de ajuda para reduzir uma lista de SSIDs sobredimensionada sem perder a segmentação? Fale com um especialista e mapearemos os seus dispositivos para as três redes que os cobrem.
