三大 SSID 统领全局：访客、Passpoint 与 IoT WiFi 设置指南

欢迎收看 Purple 技术简报系列。今天我们将介绍三 SSID WiFi 设计——这是一种将访客接入、安全自动入网以及 IoT 设备管理整合到三个专用无线网络下的网络架构。如果您在酒店、零售物业、体育场馆或会议中心运营 WiFi，这就是您在 2025 年及以后应该部署的设计。 [medium pause] 首先让我介绍一下背景。我们遇到的大多数场所充其量仍在使用两个 SSID——一个访客网络和另一个被宽泛地称为员工网络的东西。问题在于，这两个网络最终承载了所有的流量。刷卡终端与访客智能手机处于同一网段。承包商与您的数字标牌连接到相同的 SSID。IoT 传感器与正在播放流媒体视频的访客共享带宽。这不是一种安全姿态。这是一种隐患。 [medium pause] 三 SSID 设计通过为每类设备和用户提供其专属的专用网络、专属 VLAN 以及专属身份验证方式解决了这一问题。三个 SSID。三个 VLAN。一个统一的安全架构。 [medium pause] 让我们逐一了解。 第一个 SSID 是您的开放式 Guest WiFi。这是传统的 Captive Portal 网络——即访客打开手机并连接时看到的网络。它是开放的，意味着没有预共享密钥，因为您希望在连接时实现零阻碍。身份验证发生在门户层。访客连接后，会被重定向到引导页面，接受您的服务条款，并可选择提供电子邮件地址或电话号码。这是您为了符合 GDPR 合规性而进行的自主选择性同意（opt-in）。Purple 的平台原生支持此功能——该门户捕获第一方数据，记录同意时间戳，并将该会话映射到 VLAN 10（即您的访客网段）。VLAN 10 仅限访问互联网。它无法访问您的 POS 系统、后台服务器或任何其他内部资源。防火墙规则会在边缘强制执行这一点。 从合规性的角度来看，这个 SSID 承担了最繁重的工作。GDPR 要求您记录同意、处理的合法基础以及时间戳。Purple 会自动记录所有这些信息。如果您所在的场所属于 PCI DSS 范畴（例如，客房内配有支付终端的酒店），则访客 SSID 必须与任何持卡人数据环境完全隔离。通过跨 VLAN 防火墙策略进行 VLAN 划分即可实现这一目标。 [medium pause] 第二个 SSID 是您的 Passpoint 网络，也称为 Hotspot 2.0。这正是该设计真正有趣的地方。Passpoint 是一种 IEEE 802.11u 标准，它允许设备在没有任何用户交互的情况下，自动发现 WiFi 网络、进行身份验证并与之连接。无需门户。无需密码提示。设备在后台使用 EAP（可扩展身份验证协议）协商身份验证，并从第一个数据包开始进行加密连接。 设备如何知道要进行连接？它安装了 Passpoint 配置文件。通过 Purple，该配置文件可通过 Purple 应用或嵌入在您自有品牌应用中的 SDK 进行交付。当常客步入您的场所时，其设备会检测到您的 Passpoint SSID 广播的 ANQP 响应，并将其与已安装的配置文件进行匹配，然后自动连接。整个过程不到两秒钟。用户完全无需触碰手机。 认证流程使用 EAP-TLS 或带有 PEAP 的 EAP-TTLS，具体取决于您的配置。设备向您的 RADIUS 服务器出示凭据——Purple 在云端充当该 RADIUS 服务器——然后服务器返回带有 VLAN 分配属性的 RADIUS Access-Accept。该属性会告知接入点将该会话置于哪个 VLAN 上。因此，会员应用用户可能会接入 VLAN 20（可访问您的会员平台和更丰富的内容）。使用相同 Passpoint SSID 但凭据不同的员工则接入 VLAN 30（可访问内部系统）。一个 SSID。动态 VLAN 分配。按身份执行策略。 [medium pause] 第三个 SSID 是您的 xPSK 网络。xPSK 是一个统称，涵盖了 iPSK、PPSK、DPSK 和 MPSK——它们都是基于“每设备”或“每组”预共享密钥这一相同概念的变体。其理念非常简单：与其为您的 IoT 设备和承包商使用一个共享密码，不如让每个设备或组都拥有自己独特的密钥。该密钥会映射到特定的 VLAN。当刷卡终端使用其密钥连接时，它会接入 VLAN 40（即您的 PCI 范围内的支付网络）。当数字标牌播放器使用其密钥连接时，它会接入 VLAN 50（可访问您的内容管理服务器，但无法访问其他任何内容）。当承包商使用临时密钥连接时，他们会接入 VLAN 60（仅具有互联网访问权限，无法访问任何内部内容）。当您撤销该承包商的密钥时，他们会立即断开网络。无需在每个设备上更改密码。 xPSK 背后的机制因厂商而异。在 Cisco Meraki 上，它被称为 iPSK（Identity PSK），并通过 RADIUS 运行。在 HPE Aruba 上，等效技术为 MPSK，同样由 RADIUS 驱动。Ruckus 称其为 DPSK（Dynamic PSK）。Juniper Mist 使用 PPSK，通过 Mist 的云端控制台进行动态 VLAN 分配。Ubiquiti UniFi 支持具有每客户端 VLAN 分配的网络准入控制（在最近的固件版本中）。Purple 作为云 RADIUS 提供商，与所有这五个平台无缝集成。 [medium pause] 现在我们来讨论一下实施顺序。顺序至关重要。 在开始无线配置之前，先从您的 VLAN 设计开始。首先在交换机层定义您的 VLAN。在任何设备连接之前，先配置您的 VLAN 间路由策略并在防火墙处将其锁死。这是我们见过的最常见的错误：团队先配置无线网络，然后尝试事后补救进行 VLAN 划分。请反过来操作。 第二，配置您的 RADIUS 服务器。在 Purple 的平台中，导航至 RADIUS 配置部分，生成您的服务器凭据，并记录主 IP 地址和备用 IP 地址、认证端口（通常为 1812）以及共享密钥。 第三，构建您的 SSID。对于访客 SSID，将安全性设置为开放，启用 Captive Portal 重定向，并将重定向 URL 指向您的 Purple 门户。对于 Passpoint SSID，启用 802.11u 并配置您的 ANQP 元素——包括您的 NAI 领域、如果您参与了 OpenRoaming 则配置漫游联盟 OI（Roaming Consortium OI），以及您的场所信息。将安全类型设置为 WPA2-Enterprise 或 WPA3-Enterprise。对于 xPSK SSID，配置特定厂商的 MPSK 或 DPSK 设置，并将认证指向您的 Purple RADIUS 端点。 第四，为访客 SSID 配置您的围墙花园（Walled Garden）。包括 Purple 的门户域名、您的 DNS 解析器以及 iOS 和 Android 使用的 Captive Portal 检测端点——即 Apple 的 captivedetect.apple.com 和 Google 的 connectivitycheck.gstatic.com。 [medium pause] 两个真实世界的案例。 伦敦市中心一家拥有 350 间客房的酒店在运行 HPE Aruba 硬件的 28 个接入点上部署了该架构。在部署之前，刷卡终端与访客设备共享同一个网络段——这未能通过 PCI 合规性要求。三 SSID 重新设计将刷卡终端迁移到专用 VLAN，并配置了仅允许向支付处理器发送出站 HTTPS 请求的防火墙规则。在下一个周期中，该酒店顺利通过了 PCI 审计。由于门户体验更快、选择加入流程更简洁，前三个月捕获的访客数据增加了 34%。 一家在全英拥有 80 家门店的零售连锁店将每家门店的 SSID 数量从平均 4.2 个减少到 3 个。EPOS 终端和电子看板迁至 xPSK SSID，并通过 Purple 集中管理每个设备的密钥。员工则通过 EAP-TTLS 使用其 Microsoft Entra ID 凭据连接到 Passpoint SSID。IT 团队报告称，在推出后的第一季度，与 WiFi 相关的支持工单减少了 60%。 [medium pause] 以下是需要注意的一些实施陷阱。 RADIUS 超时配置：如果您的接入点在配置的超时时间内无法连接到 Purple RADIUS 服务器，它们将拒绝连接。请务必同时配置主 RADIUS 服务器地址和备用 RADIUS 服务器地址。 干道端口（Trunk Port）上的 VLAN 标记：每个接入点的上行链路端口都必须配置为承载您 SSID 所使用的所有 VLAN 的干道（Trunk）。常见的错误是在控制器上配置了 VLAN，但忘记在交换机端口上将其添加到干道中。 Passpoint ANQP 配置：NAI 领域列表必须与设备上安装的 Passpoint 配置文件中的内容完全匹配。不匹配会导致设备在发现过程中跳过您的网络。在部署到生产环境之前，请使用已知正常的设备进行测试。 xPSK 密钥轮换：承包商密钥应在配置时设置过期日期。Purple 的仪表板允许您撤销单个密钥，而不会影响网络上的任何其他设备。 [medium pause] 快速问答。 我可以在同一个接入点上运行所有三个 SSID 吗？可以。请将每个接入点上的 SSID 总数保持在六个或更少，以尽量减少信标开销。 Passpoint 是否需要特定的应用程序？使用 Purple，它需要 Purple 应用程序或集成到您自己品牌应用程序中的 SDK。SDK 会在后台静默处理配置文件配置。 对于刷卡终端，xPSK 是否符合 PCI 标准？是的，前提是承载支付设备流量的 VLAN 进行了合理划分，且防火墙规则将流量限制为仅限支付处理器所需的流量。 如果访客 SSID 门户宕机了怎么办？在接入点控制器上配置备用重定向或本地展示页面。Purple 平台的运行可用性达 99.999%，但双重保险的配置始终是最佳实践。 [medium pause] 总结一下。三 SSID 设计为您提供了一个带有合规 Captive Portal 以用于数据捕获的访客网络，一个通过 Purple 应用程序或 SDK 进行自动安全引导并支持动态 VLAN 分配的 Passpoint 网络，以及一个通过映射到特定 VLAN 的每设备密钥来整合物联网设备、刷卡终端、数字标牌、承包商和 BYOD 的 xPSK 网络。其结果是更清晰的安全态势、更好的访客体验，以及一个真正可以进行大规模管理的网络。 从您的 VLAN 设计开始，配置 RADIUS，构建您的 SSID，并设置您的围墙花园（walled garden）。Purple 的入网引导团队可以指导您完成针对您特定硬件平台的配置。 完整的书面指南可在 purple.ai 获取。搜索 "three SSIDs to rule them all"，即可获取包含 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 等特定厂商详细信息的逐步配置参考。 感谢您的收听。