减少网络上的 SSID 数量已悄然成为一项竞技运动。在任何网络论坛上度过一个下午,你都会发现强烈的观点、厂商的经验法则,以及偶尔关于多少个 SSID 才算过多的激烈争论。有人说每个射频(radio)保持在三到四个。有人说现代接入点可以轻松处理更多。这些指导意见确实存在差异,因为说实话,答案取决于你的部署情况。
这是我们的观点。信标(beacon)消耗的信道空口时间(airtime)是真实存在的,但只有当大量接入点在同一信道上重叠时,它才会成为问题。如果你的 AP 间隔合理,几乎没有同频重叠,你就可以运行多个 SSID,并且完全安全。在拆除任何设备之前,将你自己的数据输入我们的 beacon和SSID开销计算器 ,看看你实际处于什么水平。
话虽如此,我们也喜欢整洁。即使性能受到的影响微乎其微,一个一个网络累积增长的 SSID 列表也更难记录、更难保证安全,并且更难移交给下一位工程师。因此,如果你确实想要进行整合,这里有一个我们推崇的设计:三个 SSID,每个对应一种认证方式,其他所有内容都由 VLAN 处理。
信道空口时间税在何处是真实的,在何处不是
无论是否有客户端关联,每个射频上的每个 SSID 都会以最低的强制基本速率,每秒发送多次信标帧。该开销是按信道计算的。一个接入点在其专有信道上广播少数几个 SSID 很少会成为问题。当多个接入点处于同一信道上并能互相听到时,问题就来了:它们的信标现在开始争夺相同的信道空口时间,并且开销会在每个接入点的每个 SSID 上累加。
因此,真正的变量是同频重叠,而不是原始的 SSID 数量。在 2.4 GHz 频段上具有大量重叠小区的密集部署,基本速率保持在 1 Mbps,且拥有 8 个 SSID,这确实会降低吞吐量。而少数间隔良好的 AP 运行相同的 8 个 SSID 则可能完全没有问题。这是可以衡量的,而不是凭空猜测: 开销计算器 输入你每个射频的 SSID 数量、信标间隔和基本速率,并返回你的信标所消耗的信道空口时间百分比。低于 2% 是健康的,2% 到 6% 值得关注,超过 6% 就会开始产生明显影响。在决定是否存在需要解决的问题之前,先检查一下你的数据。
保持整洁的理由
假设计算器显示您处于健康区间内。是否还有理由进行合并?我们认为是有的,而且这与空口时间(airtime)无关。SSID 是一个认证边界,而不是一个隔离边界。当您为每个新需求都启用一个新的 SSID 时(一个给收银机,一个给打印机,一个给电子看板,一个给承包商),最终会得到一个庞杂的列表,没有人能说清哪个网络是干什么的、哪些密钥仍在投入使用,或者新设备应该连接到哪里。将其精简到三个,每个都与一种明确的身份验证方式绑定,这样网络就会开始自我记录。您可以通过 VLAN 和防火墙策略将收银机、摄像头和住户分离开来,并且只有在一组设备确实需要不同的认证方式时,才运行一个独立的 SSID。而这样的认证方式只有三种。
SSID 1:带 Captive Portal 的开放式访客网络
第一个 SSID 是开放的,这意味着任何设备都可以在不输入密码的情况下进行关联。相反,传统的 captive portal 会拦截连接并处理登录。此 SSID 旨在收集用于营销的用户数据,或满足公共场所的合规和法律要求。
此网络必须适用于任何设备——即使是该场所从未见过的访客手机——因此唯一的要求就是网络浏览器。这也是营销价值所在:在连接时收集已同意、符合 GDPR 的数据。Purple 在超过 80,000 个场所中将其作为 Guest WiFi 运行,将访客访问保持在无法看到后台办公室的隔离 VLAN 上。
SSID 2:支持 Passpoint 的自动访问网络
第二个 SSID 运行在 Passpoint (Hotspot 2.0) 和 WPA2/3-Enterprise 上。此 SSID 可实现类似蜂窝网络的安全连接。无需手动输入凭据或寻找登录页面,任何拥有 Purple 应用程序或包含 Purple SDK 的应用程序的人,在步入场所时都会自动、安全地进行连接。
其他一切均由 VLAN 处理。当设备关联时,网络会验证配置文件并将设备分配到正确的 VLAN。这不仅适用于受信任的访客或承包商;对于任何具有匹配配置文件的用户,它都是一个自动化的加密网关。由于它使用 EAP-TLS 或类似的安全性协议,所有流量都会通过无线进行加密,从而保护用户免受窃听,且无需凭据管理开销。
SSID 3:用于 IoT、承包商和 BYOD 合并的 xPSK
第三个 SSID 是针对无屏设备、承包商和自带设备 (BYOD) 设置的合并网络。它使用每个设备的预共享密钥——通常称为 xPSK(或根据供应商的不同称为 iPSK 、PPSK、DPSK)——将不同的设备组映射到单个 SSID 上各自隔离的 VLAN。
此网络服务于所有无法运行浏览器或无法进行 Passpoint 的设备。IoT 传感器、刷卡机、打印机和媒体屏幕会获得其专属的密钥,并落入隔离的 VLAN 中。自带设备的承包商或员工将收到一个唯一的密钥来细分其流量。这把原本需要五个或六个独立 SSID 的情况整合为了一个。如果某个密钥泄露,您只需轮换该特定密钥,而不会影响网络的其余部分。
三个 SSID 如何覆盖一切
将场所中的任何设备对应到以下三个问题之一,您就能为其找到归属:
- 它是否是需要数据捕获或合规性且不受信任的访客? 带有 Captive Portal 的开放式访客 SSID。
- 用户是否拥有 Purple 应用程序或启用了您 SDK 的应用程序? 具有自动安全连接和 VLAN 映射的 Passpoint SSID。
- 它是否是无界面的 IoT 设备、承包商或 BYOD 用户? 具有每设备密钥的整合型 xPSK SSID。
其余的一切都是细分,而细分是 VLAN 的工作。语音、闭路电视(CCTV)、支付、标识、楼宇管理以及按租户隔离都作为 VLAN 存在于这三个 SSID 背后,由 RADIUS 属性或设备提供的密钥进行引导。您保留了拥有十个 SSID 时所具备的每一分隔离度,同时列表足够简短,以便下一位工程师一眼就能看懂。
减少 SSID 真的能提高性能吗?
有时会,且主要是在同信道重叠度高的时候。如果您有许多 AP 共享信道,将 SSID 从八个或十个减少到三个,会成比例地减少每个重叠射频上的信标帧(beacon frames),而提高基本速率以使信标发送得更快会使这种节省效果加倍。如果您的 AP 几乎没有重叠,则收益微乎其微,而整洁性是这样做更好的理由。无论哪种方式,都请在 开销计算器 中运行您前后的数据,以便根据证据而不是经验法则做出决策。
如果访客、IoT 和员工都需要不同的安全性该怎么办?
他们确实需要不同的安全性,而这正是需要三个 SSID 而不是一个的原因。每个 SSID 都是一种独特的身份验证方法——带门户的开放、802.11u Passpoint 以及每设备密钥——这是唯一值得单独广播的原因。同一种方法中的不同信任级别由 VLAN 和防火墙策略处理,而不是通过添加更多 SSID 来处理。您将获得比凌乱的传统方法更严格的隔离,因为每个边界都是通过身份或密钥强制执行的,而不是寄希望于没有人猜到员工密码。
简短版本
您的 SSID 数量是否会消耗您的空口时间,主要取决于您的接入点重叠程度,因此在做出最坏的打算之前,请先查看计算器。但过度创建 SSID 的成本很低,而整洁的网络更容易管理,因此在进行整合时,请将每个 SSID 与一种认证方式绑定,并将所有其他区分下放到 VLAN。场所只需要三个就足够了:带 Portal 的开放式访客网络、用于自动安全接入的 Passpoint,以及用于 IoT、承包商和 BYOD 的 xPSK。它适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等所有设备,因为只要您的接入点支持 RADIUS,Purple 就能与之完美兼容。
想要在不丢失任何细分的情况下,精简庞杂的 SSID 列表吗? 联系专家 ,我们将为您把设备映射到覆盖它们的这三个网络中。
