Uu PPSK pdf: 比较功能与部署模型

欢迎阅读 Purple 技术简报。今天我们将介绍 PPSK - 个人预共享密钥 WiFi - 它是什么、它与替代方案相比如何，以及在多租户住宅或商业物业中部署它的实际意义。 让我们从它解决的问题开始。在标准的 WPA2 个人网络中，每台设备都共享同一个密码。这在家里没问题。但对于拥有 200 个单元的建房出租项目、学生公寓大楼或拥有 300 间客房的酒店来说，这就是一个隐患。当一个居民搬走时，你要么为所有人更改密码 - 从而在此过程中断开其他所有居民的智能电视、恒温器和游戏机的连接 - 要么让旧居民继续保留访问权限。这两种选择都是不可接受的。 PPSK 通过为每个居民、每个公寓或每个设备组提供其自己独特的 WiFi 密钥来解决这个问题。他们都连接到同一个 SSID - 即同一个网络名称 - 但每个密钥都映射到一个独立的 VLAN。12 号公寓在 VLAN 10 上。13 号公寓在 VLAN 20 上。IoT 设备在 VLAN 99 上。接入点自动处理密钥到 VLAN 的映射。基本模型不需要 RADIUS 服务器。不需要证书基础设施。设备上不需要 802.1X 请求方。 现在让我们谈谈专业术语，因为不同厂商的称呼有所不同，这在市场上引起了真正的混淆。Aruba 称其为 PPSK - 个人预共享密钥。Cisco Meraki 称其为 iPSK - 身份 PSK，或个人专用网络。Juniper Mist 使用 ePSK。Extreme Networks（最初在 Aerohive 品牌下开发了这一概念）称其为 Private PSK。Ubiquiti UniFi 简称为 PPSK。Cambium 也使用 ePSK。所有这些底层的机制都是相同的：一个 SSID，多个唯一的密钥，每个密钥都绑定到一个 VLAN 或一个策略组。 从技术上讲，以下是关联层发生的情况。当设备连接时，它在 WPA2 四次握手期间出示其预共享密钥。接入点 - 或其背后的云控制器 - 在 PPSK 存储中查找该密钥，识别它映射到哪个 VLAN，并从那时起相应地标记该设备的流量。设备看到的是普通的 WiFi 连接。它不知道自己已被置于隔离的网段中。它的 Chromecast 可以工作。它的智能音箱可以配对。它的游戏机可以获得正确的 NAT 类型。一切运行起来就像家庭网络一样 - 因为从设备的角度来看，它确实是。 这是与 802.1X 的关键区别，后者是员工网络和企业环境的企业标准。802.1X 需要 RADIUS 服务器、身份提供商 - Microsoft Entra ID、Okta 或 Google Workspace - 以及每台设备上的请求方。该请求方是处理 EAP 身份验证交换的软件组件。每台受管笔记本电脑、每部公司电话都有一个。而你居民的智能冰箱没有。你大楼的 HVAC 控制器没有。你的 IoT 传感器也没有。PPSK 适用于所有这些设备，因为它运行在 WPA 个人层，而不是 WPA 企业层。 即便如此，PPSK 并不能在企业环境中替代 802.1X。它是解决不同问题的不同工具。如果您运行的是注重个人责任的员工网络 - 您需要知道特定人员在特定时间进行了身份验证，并且需要在他们离职时立即撤销其访问权限 - 那么 802.1X 是正确的解决方案。如果您运行的是住宅网络，需要实现每户隔离、IoT 支持以及大规模的运营简便性，那么 PPSK 是正确的解决方案。 让我们来看看目前在生产环境中使用的三种主要部署模式。 第一种是云控制器模式，这是新部署中最常见的模式。您的接入点 - 无论是 Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks 还是 Fortinet - 都连接到云管理平台。PPSK 密钥库驻留在云控制器中。当您配置新居民时，您在门户中创建一个密钥，将其分配给一个 VLAN，然后控制器将策略推送到大楼中的每个接入点。居民通过电子邮件、短信或欢迎包中的二维码获取其密钥并进行连接。当他们搬走时，您删除该密钥，他们的设备便停止连接，其他任何人均不受影响。 第二种部署模式是带有本地 RADIUS 后端的 PPSK。一些企业部署使用 RADIUS 服务器来存储和验证 PPSK 凭据，这为您提供了集中式日志记录、审计追踪以及与身份管理平台的集成。这虽然增加了基础设施开销，但结合了 802.1X 的可追溯性与 PPSK 的设备兼容性。这是混合环境的正确模式 - 例如，您既有受管理的受控企业设备又有会员拥有的 IoT 设备的共享办公空间。 第三种模式是混合模式：居民和 IoT 使用 PPSK，员工和管理系统使用 802.1X。这是 Purple 为长租公寓（build-to-rent）和多住户单元部署推荐的架构。居民使用 PPSK。楼宇管理系统、CCTV 和门禁控制拥有自己使用 PPSK 的专用 IoT VLAN。物业管理团队的设备则通过 Microsoft Entra ID 或 Okta 使用 802.1X。三种不同的身份验证模式，三个不同的 VLAN，一套物理基础设施。 现在让我们进入实施阶段。如果您正在为长租公寓项目或多住户单元物业部署 PPSK，以下是行之有效的实施顺序。 在接触硬件之前，先从逻辑设计开始。规划您的居民人数、IoT 设备类别以及任何员工或管理系统。分配 VLAN。一个典型的 BTR 部署如下所示：VLAN 10 到您单位数量所需的居民 VLAN 数量 - 根据您的密度，每户一个 VLAN 或每层一个 VLAN。VLAN 99 用于 IoT。VLAN 100 用于楼宇管理。VLAN 200 用于公共区域的访客 WiFi。 然后记录您的 IP 地址规划方案。在拥有 200 个套房的公寓中，网络在任何给定时间都会有 3,000 到 5,000 台设备在线。这是根据 British Property Federation 研究得出的每户 15 到 25 台设备的数据。您的 DHCP 作用域需要满足这一需求。使用 RFC 1918 私有地址，并为每个 VLAN 分配足够大的子网。/24 掩码可提供 254 个可用地址。/23 掩码可提供 510 个。请据此调整大小。 关于硬件选择：所有主流的企业级接入点平台都支持 PPSK。Cisco Meraki 将其称为 iPSK，并通过 Meraki 仪表板进行每 SSID 密钥策略管理。HPE Aruba 在 ArubaOS 和 Aruba Central 中原生实现了这一功能。Ruckus 通过 SmartZone 和 Ruckus Cloud 平台支持该功能。Juniper Mist 使用 ePSK 配合 AI 驱动的射频管理。Ubiquiti UniFi 自 2023 年起就已支持 PPSK，但请注意，目前其仅支持 WPA2，无法在 6 GHz 频段上工作。Cambium 和 Extreme 均通过其各自的云平台提供支持。 需要指出一个关键限制：UniFi 的 PPSK 实现仅限 WPA2。如果您正在规划 WiFi 6E 接入点，并希望将 6 GHz 频段用于 PPSK 客户端，则需要一个支持带有 PPSK 的 WPA3-SAE 平台，或者您需要将 PPSK 客户端限制在 2.4 和 5 GHz 频段。Aruba、Ruckus 和 Meraki 都支持在 WPA3 配置上使用 PPSK。 现在我们来谈谈常见陷阱。这些是我在实际部署中反复看到的失败案例。 第一个是 SSID 泛滥。您广播的每个 SSID 都会消耗信标帧的空口时间。在密集型住宅建筑中，如果每个接入点广播六到八个 SSID，将会降低所有人的网络性能。请将每个射频的 SSID 控制在最多四个。使用 PPSK 从单个 SSID 为多个住户群体提供服务，而不是为每个公寓或每个楼层创建单独的 SSID。 第二个陷阱是中继端口（trunk port）配置不足。您设计了清晰的 VLAN 方案，部署了接入点，然后由于有人忘记在汇聚交换机和接入层之间的中继链路上允许相关的 VLAN，导致流量无形中丢失。在试运行期间验证每个中继端口。记录归档它。在住户入住之前，使用每个 VLAN 上的设备对其进行测试。 第三个陷阱是密钥分发。生成密钥很容易。以安全且易于运营管理的方式将它们交到住户手中则比较困难。在欢迎手册中提供二维码非常适合入住当天。而一个供住户检索其密钥并添加新设备的住户门户网站则更利于日常运营。请在部署之前构建密钥分发工作流，而不是在部署之后。 现在，针对最常出现的问题进行快速问答。 单个接入点可以处理多少个 PPSK 密钥？大多数企业级平台每个 SSID 支持数千个密钥。Cisco Meraki 每个网络支持多达 5,000 个 iPSK 条目。Aruba 支持类似规模。Ubiquiti UniFi 每个网络支持多达 1,000 个 PPSK 条目。对于一个拥有 200 个单元的建筑，在任何平台上都完全在限制范围之内。 PPSK 是否支持 WPA3？是的，在大多数企业平台上都支持。与 WPA2-PSK 相比，WPA3-SAE 提供了更强大的防离线字典攻击保护，因此在您的客户端设备支持的情况下，在 WPA3 上部署 PPSK 是正确的方法。UniFi 是个例外，目前其 PPSK 仅支持 WPA2。 我能否将 PPSK 与我的物业管理系统集成？可以，通过厂商的 API 即可。Aruba Central、Meraki、Ruckus 和 Mist 都为 PPSK 密钥管理提供了 REST API。Purple 的 Multi-Tenant WiFi 平台构建在这些 API 之上，为所有硬件厂商提供统一的管理层，并带有 Webhook，可从您的物业管理系统自动触发密钥的配置和撤销。 关于 GDPR 呢？PPSK 密钥是凭据，本身不是个人数据。但是，如果您将密钥与特定居民关联 - 出于运营原因您肯定会这样做 - 那么该关联在 UK GDPR 下就属于个人数据。请安全地存储它，仅在需要时保留，并确保您与 WiFi 平台提供商的数据处理协议涵盖了这一点。Purple 已通过 ISO 27001 认证、符合 GDPR 并已通过 Cyber Essentials 认证。 最后，让我们总结一下关键要点。 第一：PPSK 是多租户住宅环境的正确认证模式。它为您提供了单户隔离、IoT 兼容性和运营简便性，这是标准 PSK 和 802.1X 无法同时企及的。 第二：不同厂商的术语有所不同 - PPSK、iPSK、ePSK、个人专用网络 - 但其机制是相同的。不要让命名的混乱延误您的采购决策。 第三：在接触硬件之前先设计好您的 VLAN 方案。逻辑设计是难点。物理部署则是顺理成章的事情。 第四：将每个射频的 SSID 数量保持在四个以下。使用 PPSK 将网段合并到单个 SSID 上，而不是增加网络名称的数量。 第五：在上线前建立好您的密钥分发工作流。入住日可不是发现您的入网流程存在漏洞的时候。 如果您想对其中的任何内容进行更深入的了解 - 硬件选择、特定物业的 VLAN 设计，或者将 PPSK 与您的物业管理系统集成 - Purple Multi-Tenant WiFi 团队可以为您详细解答。您可以在 purple.ai 找到完整的书面指南和架构图。感谢收听。