Cisco iPSK：企业综合指南

欢迎来到 Purple 技术简报系列。今天我们要讨论的是 Cisco iPSK - Identity Pre-Shared Key - 以及为什么它已成为房地产开发商、BTR（长租公寓）运营商、酒店和多分支机构零售业务的首选 WiFi 安全模型。\n\n让我从问题开始。您运营着一个拥有 200 套房源的 BTR 项目。您希望每位住户从第一天起就能享受到安全、私密的 WiFi。您不想在每个公寓里都放一个路由器。您不想管理 200 个独立的网络。而且您绝对不想让一个住户能够在网络上看到另一个住户的智能电视。\n\n标准的 WPA2-PSK - 共享密码模型 - 会立即失效。整个建筑使用一个密码意味着一次泄漏会影响到所有人。而且，如果您不更改所有 200 个住户的密码，就无法撤销单个住户的访问权限。\n\n带有 802.1X 的 WPA3-Enterprise 是另一个极端。非常安全。但它需要为每个设备提供证书或用户名密码凭据。您住户的智能温控器、游戏机和 Amazon Alexa 设备根本无法连接到 802.1X 网络。它们没有 supplicant（客户端）。您每天都会接到支持电话。\n\nCisco iPSK 正好介于两者之间。每个住户都会获得自己独特的预共享密钥。对住户来说，它的外观和感觉与家用 WiFi 密码完全一样。他们只需输入一次，他们拥有的所有设备就会连接。然而，在幕后，Cisco 无线局域网控制器会向 Cisco ISE - Identity Services Engine - 发送一个包含客户端 MAC 地址的 RADIUS 请求。ISE 查找该 MAC，找到匹配的授权配置文件，并通过 Cisco AV-pair 属性返回正确的 PSK。然后，控制器使用该个人密钥验证连接。\n\n结果：整个建筑只有一个 SSID，但每个住户都被隔离在自己私有的网络段中。通过 RADIUS 进行的 VLAN 覆盖意味着住户 A 落在 VLAN 101 上，住户 B 落在 VLAN 102 上，而您的建筑 IoT 设备 - 门禁传感器、CCTV、智能电表 - 则位于一个完全独立的 VLAN 上，互不干扰。\n\n现在让我为您详细介绍一下架构，因为这才是真正威力所在。\n\n认证流程有四个步骤。第一，客户端设备向接入点发送关联请求。第二，Cisco 无线局域网控制器 - 无论那是 Catalyst 9800 还是 Cisco Meraki 仪表板管理的网络 - 都会发送一个 RADIUS Access-Request 到 ISE，携带客户端 MAC 地址作为用户名和密码。第三，ISE 评估其授权策略。它将 MAC 地址与终端身份组进行匹配，检索分配的 PSK，并返回一个包含两个 Cisco AV-pair 属性的 Access-Accept 响应：psk-mode 等于 ascii，以及 psk 等于实际的密码短语。第四，控制器使用该返回的密码短语与客户端完成 WPA2 四步 EAPOL 握手。\n\n从客户端的角度来看，这与普通的连接方式毫无二致一个标准的 WPA2-PSK 连接。其复杂性完全在服务器端。这就是 iPSK 的优雅之处。\n\n在 Catalyst 9800 上，配置需要四个步骤。您在 WLAN 上启用 MAC 过滤。您配置一个指向您的 ISE 服务器组的 AAA 授权方法列表。您在策略配置文件上启用 AAA 覆盖。并且您在 WLAN 上设置一个默认的 PSK - 这只是一个占位符值；没有设备会实际使用它，因为 ISE 总是会用唯一的密钥覆盖它。\n\n在 Cisco Meraki 上，其路径略有不同。您从访问控制设置中选择带有 RADIUS 的 Identity PSK。Meraki 支持两种模式：基于 MAC 的模式（ISE 在此存储 MAC 与 PSK 的映射关系）和 Easy PSK 模式（在 MR 30.x 固件中引入，它使用厂商特定的 EAPOL 属性直接传递 PSK，而无需预先注册每个 MAC 地址）。当您需要处理 iOS 14 和 Android 10 设备上的 MAC 随机化时，Easy PSK 特别有用 - 在基于 MAC 的模型中，这是一个重大的运维难题。\n\n让我为您提供两个真实场景，使之更加具体。\n\n场景一：一个拥有 350 个单元的建设租赁（Build-to-Rent）开发项目。运营商希望住户在入住前就能收到他们的 WiFi 凭证。Purple 的多租户 WiFi 平台与物业管理系统相集成。当租约签署时，PMS 触发向 Purple 发送 API 调用，Purple 生成一个唯一的 iPSK 并在 ISE 中进行配置。住户通过电子邮件接收他们的密钥。他们在入住第一天走进来，连接他们所有的设备，网络就启用了。当他们搬出时，该密钥会被自动注销。设施管理团队无需进行任何手动干预。与之前共享密码的模型相比，运营商减少了 60% 以上的 WiFi 相关支持电话。\n\n场景二：一个拥有 180 间客房的酒店物业。该酒店希望消除宾客反复投诉的 Captive Portal 登录。通过 iPSK，每个房间都会获得一个印在房卡上或通过预订确认电子邮件发送的唯一密钥。宾客只需连接一次。在同一次住宿期间的后续访问中，他们的手机、平板电脑和笔记本电脑都会自动加入。房间内的 IoT 设备 - 智能电视、Chromecast、客房平板电脑 - 位于独立的 VLAN 上，与宾客流量隔离开来。该酒店的 PMS 集成意味着密钥在办理入住时生成，并在退房时注销，前台无需任何手动步骤。\n\n现在，谈谈局限性 - 因为没有任何技术是十全十美的。\n\n目前 Cisco iPSK 最显着的限制是 WPA3 和 6 GHz 频段。WPA3 使用对等实体同时验证 - SAE - 这是一种比 WPA2-PSK 更安全的握手方式。SAE 目前不支持像 WPA2 那样在每个 SSID 上使用多个预共享密钥。这并不是 Cisco 特有的限制。它影响到 HPE Aruba 的 MPSK、Ruckus DPSK、Juniper Mist PPSK - 每个厂商都面临同样的限制，因为它植根于 IEEE 802.11 标准本身。\n\n实际影响是：如果您正在部署 WiFi 6E 或 WiFi 7 接入点点，并且希望使用 6 GHz 频段，则无法在该频段运行 iPSK。6 GHz 频段强制要求 WPA3。您的选择是在 2.4 和 5 GHz 频段上运行 iPSK，同时在 6 GHz 上针对托管设备使用 WPA3-Enterprise，或者等待标准的演进。\n\n第二个运营挑战是 MAC 地址随机化。Apple iOS 14 和 Android 10 引入了针对每个网络的随机 MAC 地址作为一项隐私功能。在基于 MAC 的 iPSK 部署中，控制器将随机 MAC 发送给 ISE。ISE 无法识别它。身份验证失败。Cisco Meraki 的 Easy PSK 模式通过 EAPOL 参数进行身份验证，而不是通过 MAC 查找，从而在很大程度上解决了这个问题。\n\n在结束之前，让我给您五个实用的经验法则。\n\n法则一：如果您的单个 SSID 上有超过 50 个设备或用户，并且您需要针对每个设备的访问控制，那么 iPSK 几乎肯定是正确的模型。标准 PSK 无法扩展，而 802.1X 会使您的 IoT 设备失效。\n\n法则二：在配置 iPSK 之前，务必先规划您的 VLAN 架构。iPSK 的强大之处在于通过 RADIUS 进行 VLAN 覆盖。如果您还没有设计您的 VLAN - 居民、IoT、员工、管理 - 您稍后将不得不付出巨大的代价来进行改造。\n\n法则三：如果您使用的是 Cisco Meraki，并且拥有 iOS 或 Android 客户端，请使用 Easy PSK 模式，而不是基于 MAC 的模式。MAC 随机化会在大规模部署中导致身份验证失败。\n\n法则四：不要在没有生命周期管理层的情况下部署 iPSK。在 ISE 中手动管理数千个密钥是不可持续的。请与您的身份提供商 - Microsoft Entra ID、Okta 或 Google Workspace 进行集成 - 或者使用像 Purple 这样能够通过您的物业管理或 HR 系统自动执行配置和注销的平台。\n\n法则五：即使您今天不部署 6 GHz，现在也要规划您的 WPA3 迁移。设计您的网络，使 WPA2 上的 iPSK 处理传统设备和 IoT 设备，而 WPA3-Enterprise 处理托管的企业端点。当今的混合 SSID 设计可以避免 18 个月后痛苦的架构重构。\n\n现在是快速问答时间。\n\niPSK 可以在没有 Cisco ISE 的情况下工作吗？可以。FreeRADIUS 和 Microsoft NPS 都支持 iPSK 所需的 Tunnel-Password 属性。ISE 是功能最丰富的选择，但它不是强制性的。\n\n单个 SSID 可以支持多少个唯一密钥？在配有 ISE 的 Catalyst 9800 上，限制实际上是您的 RADIUS 数据库容量 - 数万个条目。在没有 RADIUS 的 Cisco Meraki 上，限制为 50 个密钥。通过 RADIUS，它可以扩展到与 ISE 相同的级别。\n\niPSK 支持快速漫游吗？支持。Catalyst 9800 支持带有 iPSK 的 Fast Secure Roaming，而密钥缓存意味着控制器不需要在每次漫游事件中都查询 RADIUS。\n\niPSK 是否符合 PCI-DSS 标准？iPSK 本身不能保证 PCI-DSS 合规性，但它支持 PCI DSS 4.0 的网络分割要求。持卡人数据环境必须与访客和 IoT 网络隔离 - iPSK 的 VLAN 覆盖功能正是实现这种分割的机制。 总结一下。Cisco iPSK 为您在单个 SSID 上提供针对每个设备的身份识别，无需复杂的 802.1X 证书，也避免了共享密码的安全缺陷。这是适用于长租公寓、酒店、零售以及任何需要隔离流量、自动化访问生命周期并支持从游戏主机到工业 IoT 传感器等所有设备类型的多租户环境的理想模式。 关键决策包括：选择 Catalyst 9800 还是 Meraki，选择 ISE 还是其他 RADIUS，采用 MAC-based 还是 Easy PSK，以及如何与您的身份提供商进行集成以实现生命周期自动化。 Purple 的多租户 WiFi 平台负责最后一步 - 将您的物业管理系统或身份提供商连接到您的 Cisco 基础设施，在超过 80,000 个活跃场所（且在不断增加）中大规模自动进行密钥分发和撤销。 如果您想深入了解其中的任何内容 - 架构审查、ISE 配置或试点部署 - 联系我们团队的链接已包含在指南中。感谢收听。