Logo guild iPSK: 企业综合指南

欢迎阅读 Purple 技术简报。今天我们将介绍标志性指南 iPSK（即 Identity Pre-Shared Key，身份预共享密钥），以及为什么它已成为房地产开发商、BTR（新建出租房）运营商和多租户住宅开发项目的确定性 WiFi 安全模型。 让我从您实际试图解决的问题开始。 您管理着一个 Build-to-Rent 住宅区。可能是 100 个单元，也可能是 500 个。您希望每位住户从第一天起就能拥有安全、私密的 WiFi。您不想在每个公寓中都安装一个单独的路由器。您不想管理数百个独立的网络。而且，您绝对不能让住户 A 在网络上浏览住户 B 的智能电视。 在这种规模下，标准的 WPA2-PSK（共享密码模型）会立即失效。整个大楼使用同一个密码意味着一次泄露就会影响到所有人。而且，如果不为所有住户更改密码，您就无法撤销单个住户的访问权限。这在运营上是无法实现的。 另一个极端是采用 802.1X 的 WPA3-Enterprise。虽然非常安全，但它需要为每台设备提供数字证书或用户名 - 密码凭证。您的住户的游艺机、智能音箱和恒温器根本无法连接到 802.1X 网络。它们没有客户端软件。您每天都会接到支持电话。 iPSK 恰好介于两者之间。每位住户都会获得自己专属的唯一预共享密钥。对住户来说，它的外观和感觉完全就像家用 WiFi 密码。他们只需输入一次，拥有的所有设备即可连接。然而，在幕后，无线接入点会向 Purple 云发送一个包含客户端 MAC 地址的 RADIUS 请求。我们的 RADIUS 服务器会查找该 MAC，找到匹配的授权配置文件，并返回正确的 PSK。然后，接入点使用该个人密钥验证连接。 其结果是：整个大楼只需一个 SSID，但每位住户都被隔离在自己私有的网络段中。 现在，让我为您介绍一下架构，因为这才是真正强大之处。 认证流程分为四个步骤。首先，客户端设备向接入点发送关联请求。其次，无线控制器 - 无论是 Cisco Meraki、HPE Aruba、Ruckus 还是 Juniper Mist - 向 Purple 云发送携带客户端 MAC 地址的 RADIUS Access-Request。第三，我们的 RADIUS 服务器评估授权策略。它将 MAC 地址与住户记录进行匹配，检索分配的 PSK，并返回包含该住户 VLAN ID 的 Access-Accept 响应。第四，接入点将客户端划分到其专属的 VLAN 中。 从住户的角度来看，这与标准的家用 WiFi 连接没有任何区别。复杂性完全存在于服务器端。这就是 iPSK 的优雅之处。 通过 RADIUS 进行 VLAN 覆盖意味着住户 A 接入 VLAN 101，住户 B 接入 VLAN 102，而您的建筑 IoT 设备、门禁传感器、CCTV、智能电表则位于完全隔离的 VLAN 上，绝无交叉干扰。 接下来谈谈我们所说的个人局域网（PAN）。这是围绕每个住户的设备创建的虚拟隔离泡。尽管数百名住户共享同一个 WiFi 基础设施，但 iPSK 可以确保二层隔离。住户 A 的手机可以看见他们自己的 Chromecast 和打印机。而隔壁公寓的住户 B 则完全无法看到或与这些设备互动。 这也实现了一种称为 mDNS 反射的技术，允许设备在自己的私有网段内相互发现。因此，将 Netflix 投屏到 Chromecast 可以完美运行，就像在家庭路由器上一样，但它不会泄露到走廊或任何其他住户的网络中。 现在让我将 iPSK 与其他替代方案进行对比，因为认证模式的选择是您在网络设计中所做的最具影响力的决策之一。 标准的 PSK（WPA2-Personal）非常简单。每个人都使用相同的密码。但是没有集中控制。如果一个住户泄露了密码，整个网络都会面临风险。当某个住户搬离时更改密码会影响到所有其他住户。在拥有 200 个单元的项目中，这是无法管理的。 802.1X EAP-TLS 是高安全性的企业标准。它提供基于单台设备的证书认证。您可以立即吊销单个访问权限。但它需要证书颁发机构、证书管理以及每台设备上的客户端软件。游戏机、智能电视、Amazon Alexa 设备，这些都不支持 802.1X。在住宅环境中，这根本行不通。 iPSK 为您提供 802.1X 的单设备身份识别，同时兼具家庭密码的操作简便性。它支持 100% 的设备，包括住户拥有的每一台无界面的 IoT 设备。由于生命周期是自动化的，它可以扩展到数千个单元，而不会增加管理开销。 不同厂商的术语有所不同，了解这些对应关系是很有必要的。HPE Aruba 将其称为 MPSK（Multi-PSK）。Ruckus 和 Juniper Mist 使用 DPSK（Dynamic PSK）。Ubiquiti UniFi 称其为 PPSK（Private PSK）。这一概念在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 中是完全相同的。Purple 在所有这些平台上作为云端覆盖层进行部署。您无需更换接入点。 现在让我带您了解具体实施，因为这正是许多部署容易出错的地方。 第一个也是最常见的错误是 DHCP 范围分配不足。网络工程师有时会为每个公寓分配一个 /28 子网，以节省 IP 地址空间。这只有 14 个可用地址。到 2026 年，BTR 公寓里的一对情侣到周二就会用尽 14 个 IP。一部手机、一台笔记本电脑、一台平板电脑、一台智能电视、一个游戏机、一个智能音箱，再加上几个智能灯泡。在他们邀请朋友来访之前，就已经占用了 8 个设备。请务必默认为每个居民分配一个 /24 子网。 第二个关键细节是客户端隔离。您必须确保在居民的 VLAN 内禁用客户端隔离。如果保持客户端隔离开启，就会破坏 iPSK 旨在实现的智能家居功能。使用相同密钥的设备将无法相互通信，您将整周都在处理 Chromecast 的技术支持工单。 第三个考虑因素是漫游。如果居民从四楼的公寓走到一楼的健身房，他们的连接需要保持。这意味着他们特定的 VLAN 必须汇聚（trunk）到健身房的接入点，或者您需要将流量隧道传输回中央控制器。这是初始部署中常见的疏忽。 现在，我们来讨论一个棘手的问题：WPA3 和 6 GHz 频段。 WiFi 6E 和 WiFi 7 强制在 6 GHz 频段上使用 WPA3 安全协议。WPA3 用同时同等身份验证（SAE）取代了旧的四次握手。问题在于，针对 SAE 的 IEEE 802.11 标准目前不支持像 WPA2 那样在每个 SSID 上使用多个密码。这不是 Cisco Meraki 或 Aruba 的问题。这是植根于 IEEE 标准本身的行业普遍限制。 当前的最佳实践是采用混合方法。在 2.4 和 5 GHz 频段上维持一个 WPA2 iPSK SSID，用于传统设备和物联网硬件。对于 6 GHz 频段，部署一个使用 802.1X 的独立 SSID，用于受管的企业终端。 还有 MAC 地址随机化的挑战。Apple iOS 14 和 Android 10 引入了针对每个网络的随机 MAC 地址。在基于 MAC 的 iPSK 部署中，接入点将随机 MAC 发送到 RADIUS 服务器。服务器无法识别它，导致身份验证失败。Cisco Meraki 的 Easy PSK 模式通过 EAPOL 参数进行身份验证，而不是通过 MAC 查找，从而在很大程度上解决了这个问题。如果您使用的是 Meraki 并且拥有 iOS 或 Android 客户端，请使用 Easy PSK 模式。 以下是两个具体的实际案例。 场景一：一个拥有 350 个单元的 Build-to-Rent（建设租用）开发项目。运营商希望租户在入住前就能收到其 WiFi 凭据。Purple 的 Multi-Tenant WiFi 平台与物业管理系统相集成。签署租赁合同时，PMS 触发了向 Purple 的 API 调用，后者生成了唯一的 iPSK 并自动进行配置。租户通过电子邮件收到其密钥。他们在入住第一天走进去，连接所有设备，网络即刻启用。当他们搬出时，密钥会自动撤销。设施管理团队无需进行任何手动干预。与之前的共享密码模式相比，运营商将 WiFi 相关的支持电话减少了 60% 以上。 场景二：一家拥有 180 间客房的酒店物业。该酒店希望消除客人反复投诉的 Captive Portal 登录方式。通过 iPSK，每个房间都会获得一个印在房卡上或通过预订确认邮件发送的唯一密钥。客人只需连接一次。在同一次住宿期间的后续访问中，他们的手机、平板电脑和笔记本电脑都会自动加入。房间内的 IoT 设备位于独立的 VLAN 上，与访客流量相隔离。密钥在办理入住时生成，并在退房时撤销，前台无需进行任何手动操作。 现在进行快速提问。 iPSK 可以在没有 Cisco ISE 的情况下工作吗？可以。FreeRADIUS 和 Microsoft NPS 都支持 iPSK 所需的 Tunnel-Password 属性。Purple 充当 RADIUS 服务器，因此您完全不需要部署或管理自己的 RADIUS 基础设施。 iPSK 符合 PCI-DSS 标准吗？iPSK 支持 PCI DSS 4.0 的网络分段要求。持卡人数据环境必须与访客和 IoT 网络隔离。iPSK 的 VLAN 覆盖功能是实现这种分段的机制。 商业案例是什么？英国房地产联盟（British Property Federation）的研究表明，在英国的 Build-to-Rent 开发项目中，托管 WiFi 每月可为每个单元带来 15 到 30 英镑的租金溢价。您还可以消除租户等待 ISP 工程师期间 5 到 10 天的空置期。 总结一下。iPSK 在单个 SSID 上为您提供每个设备的身份，而无需 802.1X 证书的复杂性，也无需面对共享密码的安全漏洞。它是 Build-to-Rent、酒店、零售以及任何需要隔离流量、自动化访问生命周期并支持每种设备类型的多租户环境的正确模式。 离开前的五条规则。第一：如果您的单个 SSID 上有超过 50 个设备或用户，并且您需要对每个设备进行访问控制，那么 iPSK 几乎肯定是最合适的模式。第二：在配置 iPSK 之前，务必先规划好您的 VLAN 架构。第三：如果您使用的是带有 iOS 或 Android 客户端的 Cisco Meraki，请使用 Easy PSK 模式。第四：切勿在没有生命周期管理层的情况下部署 iPSK。第五：现在就开始规划您的 WPA3 迁移。Purple 的多租户 WiFi 平台负责处理生命周期自动化环节，将您的物业管理系统或身份提供商连接到您的硬件，在大规模范围内实现密钥配置和撤销的自动化，目前已覆盖超过 80,000 个活跃场所，且数量还在不断增加。 如果您想进一步了解，无论是架构审查、配置演示还是试点部署，指南中都提供了与我们团队联系的链接。感谢您的收听。