减少网络中 SSID 的数量已经悄然成为一种竞技运动。在任何网络论坛上度过一个下午,你都会发现强烈的观点、厂商的经验法则,以及偶尔关于多少才算太多的激烈争论。有人说每个射频(radio)保持三到四个。有人说现代接入点可以轻松处理更多。这些指导建议确实千差万别,因为真正的答案取决于你的部署情况。
以下是我们的观点。信标消耗的空口时间是真实存在的,但只有当大量接入点在同一信道上重叠时,它才会成为问题。如果你的 AP 间隔合理,且几乎没有同频重叠,你就可以运行多个 SSID,并且绝对安全。在做出任何调整之前,请将你自己的数据输入我们的 信标和 SSID 开销计算器 ,看看你的实际情况如何。
即便如此,我们也是“整洁”的拥趸。即使性能损耗微乎其微,一个一个网络累加起来的 SSID 列表也更难记录文档、更难保证安全,且更难移交给下一位工程师。因此,如果你确实想要进行整合,这里有一个我们推崇的设计:三个 SSID,每个对应一种认证方式,其他所有内容都由 VLAN 来处理。
空口时间损耗在何处是真实的,又在何处并非如此
无论是否关联了单个客户端,每个射频上的每个 SSID 都会以最低的强制基本速率,每秒发送多次信标帧。这一开销是按信道计算的。一个接入点在自己的信道上广播少数几个 SSID,极少会产生问题。麻烦始于多个接入点位于同一信道并互相接收到对方:它们的信标现在开始争夺相同的空口时间,开销在每一个接入点的每一个 SSID 上不断累积。
因此,真正的变量是同频重叠,而不是原始的 SSID 数量。在 2.4 GHz 频段上具有大量重叠小区的密集部署、基本速率保持在 1 Mbps 且拥有八个 SSID,确实会降低吞吐量。而少数间隔良好的 AP 运行相同的八个 SSID 则可能完全没有问题。这是可以衡量的,而不是凭空想象: 开销计算器 结合你每个射频的 SSID 数量、信标间隔和基本速率,计算出你的信标所消耗的信道空口时间百分比。低于 2% 是健康的,2% 到 6% 值得关注,而超过 6% 则开始产生负面影响。在判定存在问题需要解决之前,请先检查你的指标。
保持整洁的理由
假设计算器显示您处于健康范围内。是否还有理由进行整合?我们认为是的,而且这与空口时间(airtime)无关。SSID 是身份验证边界,而不是隔离边界。当您为每个新需求(收银机、打印机、电子看板、承包商各一个)都新建一个 SSID 时,最终会得到一个庞杂的列表,没有人能说清哪个网络是干什么的、哪些密钥仍在使用,或者新设备应该连接到哪里。将其缩减为三个,每个都与明确的身份验证方式绑定,网络就会开始自我规范。您可以通过 VLAN 和防火墙策略将收银机、摄像头和居民区分开,只有当一组设备真正需要不同的身份验证方法时,才运行单独的 SSID。而这样的身份验证方法只有三种。
SSID 1:带 Captive Portal 的开放式访客网络
访客网络是开放的,因此任何设备都可以在没有预共享密钥的情况下进行关联,并由 Captive Portal 处理登录。品牌展示页面、自主选择选择加入(opt-in)、社交媒体、电子邮件或短信登录,然后通过无法访问您后台办公系统的隔离 VLAN 访问互联网。
这是唯一一个必须适用于场馆从未见过的手机的网络,因此唯一的门槛就是一个浏览器。这也是商业价值所在:在连接时获取符合 GDPR 的、用户主动选择加入的第一方数据,并直接推送到您的 CRM 中。Purple 在超过 80,000 个场所中将其作为 Guest WiFi 运行,无论背后有多少租户或区域,它都保持为一个 SSID。
SSID 2:适用于员工和安全访客的 WPA2/3-Enterprise
第二个 SSID 是加密且基于身份的。它运行带有 802.1X 的 WPA2/3-Enterprise,并由 RADIUS 提供支持,在同一个广播中为两个群体服务:您的员工和您的信任访客。
这就是让一个 SSID 承担两项任务的关键所在。当设备进行身份验证时,RADIUS 不仅会返回同意或拒绝,还会返回该身份所属的 VLAN。员工只需使用其现有的 Microsoft Entra ID、Okta 或 Google Workspace 凭据登录一次,对于受管理的笔记本电脑使用 EAP-TLS ,对于旧设备使用 PEAP,即可进入员工 VLAN。承包商或长期访客使用自己获发的凭据进行身份验证,并进入一个独立的、受限的 VLAN。相同的 SSID,相同的加密,两个完全隔离的网络,在连接的瞬间根据每个身份进行决定。
这就是在白板上共享密码与适当访问控制之间的区别。当员工离职时,您只需在身份提供商中禁用他们,他们的 WiFi 访问就会在当天停止——无需更改整栋大楼的密钥,也不会留下本不应受信任的设备。Purple 将其作为带云 RADIUS 的 Staff WiFi 提供,IT 团队通常会发现,在取消密码后,WiFi 支持工单会减少约 80%。它已通过 ISO 27001 认证,并且可以与您现有的接入点无缝配合。
SSID 3: 适用于收银机、屏幕、打印机和 IoT 的 xPSK
第三个 SSID 适用于所有无法运行 Captive Portal 且无法运行 802.1X 的设备:刷卡终端、数字标牌、标签和收据打印机、建筑传感器、智能电视以及大量临时 IoT。这些设备没有浏览器,也没有客户端(supplicant),但它们可以存储预共享密钥,因此解决方法是使用每台设备专属的密钥,而不是所有人共享一个密码。
每个主流厂商对此都有自己的称呼。Cisco Meraki 称其为 iPSK ,HPE Aruba 称其为 MPSK,Ruckus 称其为 DPSK,而 Juniper Mist 和 Ubiquiti UniFi 则将其呈现为每设备或多预共享密钥。统称是 xPSK。其机制在各种情况下都是相同的:一个 SSID,多个唯一的密钥,每个密钥绑定到一台设备或所有者,并固定到特定的 VLAN。
因此,支付终端会获得一个密钥,将其放入 PCI 隔离的 VLAN;数字标牌会获得一个密钥,使其落入没有横向访问权限的内容 VLAN;而新的 IoT 传感器会获得自己的密钥,您可以单独撤销该密钥,而无需操作其他任何设备。如果某个密钥泄露,您只需更换这一个密钥。您永远不需要关闭整个网络。在住宅和多租户场所中,这与将每个居民设备放入其独立气泡中的身份预共享密钥模型相同——详情请参阅我们的 多租户 WiFi 指南 。
三个 SSID 如何覆盖所有设备
将场所中的任何设备对应到以下三个问题之一,您就能找到它的归属:
- 它能否打开网页,且它是一个不受信任的访客? 带有 Captive Portal 的开放式访客 SSID。
- 它是否属于您管理其身份的人员? WPA2/3-Enterprise SSID,按身份划分 VLAN。
- 它是否是一个只能保存密钥的无头(headless)设备? xPSK SSID,按密钥划分 VLAN。
其他一切都是隔离,而隔离是 VLAN 的工作。语音、闭路电视(CCTV)、支付、标牌、建筑管理和每租户隔离都作为这三个 SSID 背后的 VLAN 存在,由 RADIUS 属性或设备呈现的密钥进行引导。您保留了拥有十个 SSID 时的所有隔离度,同时列表足够简短,以便下一位工程师一眼就能看懂。
减少 SSID 确实能提高性能吗?
有时会,尤其是在同频重叠较高的情况下。如果你有多个接入点共享信道,将 SSID 的数量从八个或十个减少到三个,会按比例减少每个重叠射频上的信标帧,而提高基本速率以使信标传输更快则会进一步增加节省的效果。如果你的 AP 几乎没有重叠,那么收益微乎其微,整洁性反而是更好的实施理由。无论哪种情况,都可以将更改前后的数据输入到 开销计算器 中,这样你就可以根据数据证据而不是凭经验来做决定。
如果访客、IoT 和员工都需要不同的安全性该怎么办?
他们确实需要不同的安全性,而这正是需要三个 SSID 而不是一个的原因。每个 SSID 代表一种不同的身份验证方法——带 portal 的开放网络、802.1X 和基于设备的密钥——这是唯一能够合理解释单独广播理由的因素。同一方法内的不同信任级别是通过 VLAN 和防火墙策略来处理的,而不是通过添加更多 SSID。与杂乱无章的方法相比,你可以获得更严格的隔离,因为每个边界都是通过身份或密钥强制执行的,而不是寄希望于没有人猜到员工密码。
简而言之
你的 SSID 数量是否会消耗空口时间,主要取决于接入点的重叠程度,因此在做最坏的打算之前,先查看计算器。但是,过度创建 SSID 的成本很低,而整洁的网络更容易运行,因此,当你进行合并时,请将每个 SSID 绑定到一种身份验证方式,并将所有其他区分下放到 VLAN。一个场所只需要三个 SSID:带 portal 的开放访客网络、适合人员的 WPA2/3-Enterprise、以及适合设备的 xPSK。它适用于 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等,因为如果你的接入点支持 RADIUS,Purple 就可以与它们兼容。
想要在不丢失任何分段的情况下整理过度增长的 SSID 列表吗? 与专家交谈 ,我们将把你的设备映射到覆盖它们的三个网络中。
