Kepanjangan iPSK：企业综合指南

欢迎来到 Purple 技术简报系列。今天，我们将探讨 iPSK - Identity Pre-Shared Key - 它到底代表什么，它在底层是如何工作的，以及为什么在多租户建筑物中部署 WiFi 的房地产开发商、房东或 BTR 运营商需要关注它。 [medium pause] 让我们从最基础的开始。iPSK 代表 Identity Pre-Shared Key。在印尼语和马来语市场中，它的完整表达是 "kepanjangan iPSK" - 意思就是 "iPSK 缩写" 或 "iPSK 代表什么"。如果您是因为搜索了这个词而看到本指南，那么您找对地方了。我们将全面介绍您在本季度需要做出的技术、架构和实际部署决策。 [medium pause] 那么，什么是 iPSK，它为什么会存在？ 传统的 WiFi 网络使用单个预共享密钥 - 也就是在同一个 SSID 上的所有人共用一个密码。这在家庭中运行良好。但一旦有数百个家庭共享同一个基础设施时，它就会崩溃。如果一个居民将密码分享给不该拥有它的人，您就必须为大楼里的每一个居民重置密码。这在运营上是非常痛苦的，而且会同时中断大楼里的每一个智能设备、每一个 Chromecast、每一个智能扬声器的连接。 iPSK 通过为每个居民 - 或每个家庭 - 分配一个唯一的 WiFi 密码来解决这个问题，同时让他们保持在同一个 SSID 上。接入点会拦截连接尝试，将设备的 MAC 地址发送到 RADIUS 服务器，然后 RADIUS 服务器返回该特定设备的正确密码。接着，接入点使用该密码完成 WPA2 握手。从居民的角度来看，他们只是输入了自己的 WiFi 密码。从网络的角度来看，他们已经被验证、隔离，并分配到了自己专属的私有网络网段。 [medium pause] 让我们来谈谈供应商的命名方式，因为这常常让人困惑。Cisco Meraki 称其为 WPN - Wi-Fi Personal Network。HPE Aruba 称其为 PPSK - Private Pre-Shared Key。Ruckus 使用的术语是 DPSK - Dynamic Pre-Shared Key。Juniper Mist 原生支持它。这四个平台之下的基本概念是完全相同的。Purple 的多租户 WiFi 作为云端覆盖层运行在所有这些平台之上 - 包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。您无需更换硬件即可部署 iPSK。 [medium pause] 现在让我们进入架构部分。一个 iPSK 部署包含三个组件。首先是接入点 - 这是您的物理硬件，无论您安装了什么。其次是 RADIUS 服务器 - 这是保存 MAC 地址与密码之间映射关系的认证引擎。第三是管理层 - 在办理入住时分配密钥、在搬出时注销密钥，并为需要添加新设备的居民处理自助服务。Purple 将第二和第三个组件作为云服务提供。我们作为 RADIUS-as-a-Service 层，并提供面向居民的密钥管理门户。您只需提供接入点。 [medium pause] 当居民连接新设备时，以下是按顺序发生的过程。设备向 SSID 发送关联请求。接入点将设备的 MAC 地址转发给 Purple RADIUS 服务器。Purple 查找 MAC 地址，找到分配给该居民的密码，并将其作为 Cisco AV-pair 在 RADIUS Access-Accept 响应中返回。接入点使用该密码完成 WPA2 四步握手。设备即刻连接成功。整个过程耗时不到两百毫秒。 如果系统里没有该设备的 MAC 地址 - 例如，居民尚未注册的新设备 - RADIUS 服务器将返回 Access-Reject。在居民通过自服务门户注册该设备之前，该设备无法进行连接。 [medium pause] 这就引出了 VLAN 分配。带有 RADIUS 的 iPSK 最强大的功能之一就是动态 VLAN 标记。RADIUS 服务器不仅返回密码 - 它还可以在同一响应中返回 VLAN ID。这意味着每个居民的流量都会自动落入其专属的 VLAN 中，无需任何手动的交换机配置。居民 A 的流量进入 VLAN 101。居民 B 的流量进入 VLAN 102。建筑管理网络位于 VLAN 10。物联网设备 - 智能锁、温控器、传感器 - 可以放置在专用的物联网 VLAN 中，限制其互联网访问，并禁止横向移动到居民网段。 正是这种架构使 iPSK 真正达到了企业级水准，而不仅仅是一个便利功能。 让我们来看一个真实的部署案例。曼彻斯特一个拥有 200 套住宅的 “建房出租” (Build to Rent) 项目。开发商指定使用 Cisco Meraki 接入点 - 每户一个，加上走廊设备以实现漫游。Purple 被部署为 RADIUS 和管理层。在入住时，每位居民都会通过电子邮件收到一个二维码。他们只需扫码，所有设备即可自动连接。无需致电 IT 服务台，也无需密码表。居民的密钥与物业管理系统中的租约记录相绑定。当他们搬出时，该密钥会在 Purple 的控制面板中被撤销。他们的设备随即停止连接。其他居民不受任何影响。 结果：与该开发商之前管理的使用共享密码模式的建筑相比，与 WiFi 相关的支持工单减少了 60% 以上。入住当天的 WiFi 激活时间从两小时缩短至每位居民不到五分钟。 [medium pause] 第二种场景：一个拥有 450 个床位的专用学生公寓。这里的挑战在于密度 - 每个房间有 15 到 25 台设备，而在 9 月的学生开学入住周，会有 300 名学生同时到达。使用传统的共享密码模式，支持服务台会不堪重负。而使用 iPSK，每位学生都会在抵达前的入网引导流程中收到自己的密钥。他们到达后扫一扫 QR 码，即可建立连接。RADIUS 服务器会自动处理身份验证负载。Purple 的基础设施运行可用性高达 99.999% - 这是我们发布并支持的 SLA。 [medium pause] 现在，我们来看看实施中的陷阱。有三个问题经常反复出现。 第一：MAC 地址随机化。现代 iOS 和 Android 设备在扫描网络时，默认会随机化其 MAC 地址。这会破坏基于 MAC 的 RADIUS 查找，因为设备每次探测时都会呈现不同的 MAC 地址。解决方法是使用按网络稳定的 MAC 地址 - iOS 14 和 Android 10 都支持此功能。您需要在入网引导期间向居民说明这一点。Purple 的居民门户网站通过清晰的说明来处理此问题。 第二：IoT 设备入网引导。智能家居设备 - 温控器、智能锁、Zigbee 网关 - 通常无法通过标准流程显示 QR 码或输入密码。解决方案是使用具有独立 iPSK 池的专用 IoT SSID，或者采用居民在连接设备前先通过门户网站注册设备 MAC 地址的配置流程。Purple 对这两种方式都提供支持。 第三：RADIUS 服务器可用性。如果您的 RADIUS 服务器宕机，新的设备连接就会失败。由于 WPA2 会话已经建立，已连接的现有设备会保持连接，但新的关联将无法完成。这就是为什么 Purple 的 RADIUS-as-a-Service 在具有 99.999% 可用性保证的冗余基础设施上运行的原因。切勿在没有故障转移的情况下在单个本地 RADIUS 服务器上运行 iPSK。 [medium pause] 让我们以商业案例来结束，因为这最终是物业开发商或房东最关心的。 在 BTR（长租公寓）领域，将 WiFi 作为便利设施能带来可观的租金溢价。英国房地产联盟（British Property Federation）的研究表明，每套公寓每月可产生 15 到 30 英镑的溢价。对于一栋拥有 200 套公寓的大楼来说，这意味着每年可增加 3.6 万到 7.2 万英镑的收入。当入住第一天 WiFi 就准备就绪时，空置期会缩短 - 根据行业基准，每次空置通常会缩短 5 到 10 天。而且，将 iPSK 作为软件叠加部署在现有硬件上的成本，要显着低于每户宽带合同，后者通常是为 ISP 而非运营商获取价值。 运营方面的优势同样显著。每位住户拥有一个专属密钥，意味着在退租时只需注销该密钥。无需重置整个大楼的密码。也不会因为其他人的设备在同一子网中，而导致某个住户的 Chromecast 停止工作并提交技术支持工单。网络对每位住户而言就像私有家庭网络一样运行，而运营商则可以通过单个云端仪表板管理一切。 [medium pause] 在结束之前，我们来进行快速问答。 iPSK 是否支持 WPA3？在标准实现中尚不支持 - WPA3 使用 SAE，这改变了握手机制。大多数厂商正在开发兼容 WPA3 的 iPSK，但截至 2025 年中期，WPA2 仍是 iPSK 部署中可用于生产环境的标准。 我可以在没有 RADIUS 服务器的情况下运行 iPSK 吗？Cisco Meraki 在固件 MR 30.1 及以上版本中支持多达 5,000 个无需 RADIUS 的 iPSK。对于较小规模的部署，这是可行的。但对于超过 100 个单元的任何部署，RADIUS 能够为您提供所需的自动化、VLAN 分配和生命周期管理。 基于 RADIUS 的 iPSK 部署可以支持多少个密钥？实际上没有限制 - 限制取决于您的 RADIUS 服务器数据库，而非协议。Purple 已在拥有超过一千个单元的大楼中部署了 iPSK，且未出现任何性能问题。 [medium pause] 总结一下。iPSK - Identity Pre-Shared Key - 在共享的 SSID 上为每位住户提供唯一的 WiFi 凭据。RADIUS 服务器在单次往返中处理身份验证、密码交付和 VLAN 分配。Purple 提供了 RADIUS-as-a-Service 层和住户管理门户，运行在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 硬件上。 如果您正在规划 BTR（长租公寓）、学生公寓或 MDU（多住户单元）部署，并希望了解 iPSK 如何适配您的特定大楼，请联系 Purple 团队。我们已在 80,000 个场所和 3.5 亿独立用户中部署了此方案。我们深谙行之有效之道。 感谢收听。