跳至主要内容
简体中文

Meraki iPSK:企业综合指南

本指南详细介绍了用于企业网络的 Cisco Meraki iPSK (Identity Pre-Shared Key) 的技术架构和部署。内容涵盖 RADIUS 集成、私有局域网设计,以及用基于身份的细分取代传统 WPA2-Personal 的业务案例。本指南面向管理多租户或多站点 WiFi 基础设施的房地产开发商、BTR(长租公寓)运营商和 IT 架构师。

📖 8 分钟阅读📝 1,894 🔧 2 应用实例4 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎阅读 Purple 技术简报。今天我们将深入剖析 Meraki iPSK(身份预共享密钥)。对于任何管理多租户建筑、零售连锁店或大型酒店场所的 IT 领导者来说,这是一项至关重要的架构变革。 让我们先来了解背景。多年来,网络架构师面临着令人沮丧的折中方案。你可以部署标准的 WPA2-Personal,这虽然方便用户,但对安全而言却是一场噩梦。所有人共享同一个密码。一旦泄露,整个网络就会受到威胁。或者,你也可以部署 802.1X 企业级认证。这需要证书或复杂的登录。它高度安全,但会让无屏设备完全无法使用。你的智能电视、IoT 传感器和游戏机根本无法连接到 802.1X 网络。 Identity PSK 解决了这一矛盾。它是最完美的折中解决方案。iPSK 允许你广播单个网络名称,即单个 SSID,但为每个用户或设备发放唯一的密码。一个网络,数千个密钥。每一个密钥都与特定的安全策略绑定。 现在让我们深入了解其技术架构。当设备尝试使用其唯一密钥进行连接时,Meraki 接入点会拦截该请求。它不仅在本地检查密码,还会将身份验证请求转发到中央 RADIUS 服务器。RADIUS 服务器验证该密钥,并且至关重要的一点是,它会返回特定的策略属性。它会精确告知接入点将该设备放入哪个 VLAN。 这意味着你可以使用一个 SSID 来细分整个网络。员工输入他们的密钥并进入安全的内部 VLAN。POS 终端使用其密钥并进入受限的支付 VLAN。建房出租(Build-to-Rent)公寓的居民使用他们的密钥并进入他们自己的专用局域网(Private Area Network)。 这种专用局域网(PAN)的概念对于房地产开发商和房东至关重要。iPSK 在居民周围创建了一个虚拟气泡。在这个气泡内,他们的智能手机可以发现其 Chromecast 和无线打印机。这感觉完全就像家庭网络一样。但在该气泡之外,他们是完全隔离的。他们无法看到隔壁公寓中的设备。这种二层(Layer 2)隔离是多租户环境中强制性的隐私要求,也是 iPSK 成为建房出租和专用学生公寓标准的首要原因。 那么,如何有效地实施这一方案?让我为您介绍几个关键步骤。 首先,您必须预留足够充裕的子网。在现代建房出租项目中,每个家庭大约有 15 到 25 台设备。一个拥有 200 个套房的建筑将需要为多达 5000 台设备提供 IP 地址。请相应地规划您的 DHCP 范围。这是大多数运营商最容易低估的步骤,也是在上线 6 个月后最容易导致问题的一步。 其次,不要尝试手动管理这些密钥。将您的 Meraki 仪表板与 RADIUS 服务器集成只是成功了一半。您必须将该 RADIUS 服务器连接到身份提供商(例如 Microsoft Entra ID 或 Okta)。当新住户签署租约或新员工入职时,系统应自动生成其唯一密钥。当他们离职时,系统会立即撤销该密钥。Purple 提供编排层来自动执行这整个生命周期,从而完全消除 IT 团队的管理负担。 第三,正确配置您的 Meraki 仪表板。导航至“无线”(Wireless),然后选择“配置”(Configure),再选择“访问控制”(Access Control)。选择您的目标 SSID。在“安全”(Security)部分下,选择“带有 RADIUS 的 Identity PSK”。然后,在“客户端 IP 和 VLAN”下,启用 VLAN 标记,并将 RADIUS 覆盖设置为“覆盖 VLAN 标记”(Override VLAN tag)。这是关键步骤,它允许 RADIUS 服务器根据经过身份验证的密钥来决定网络分段。如果没有这一步,无论用户使用哪个密钥,他们都会进入同一个扁平网络。 现在,我们来讨论陷阱和风险缓解。我在现场一直看到两个问题。 第一个是 EAPOL 握手超时。当将 iPSK 与 RADIUS 结合使用时,服务器必须针对已知密钥的数据库验证 EAPOL 参数。如果数据库很大且服务器资源不足,则可能需要很长时间才能找到匹配项。接入点会断开连接。用户会看到身份验证失败。为了缓解这种情况,请确保您的 RADIUS 基础设施资源充足,并监控您的 Meraki 接入点与身份验证服务器之间的延迟。 第二个问题是 MAC 地址随机化。现代 iOS 和 Android 设备会轮换其 MAC 地址以保护用户隐私。如果您的 RADIUS 部署严格依赖与特定 iPSK 绑定的 MAC 身份验证绕过(MAB),则这些设备在其地址轮换时将无法连接。解决方案是使用 Meraki 固件 MR 32.1.3 及更高版本中提供的 Easy PSK 功能,该功能验证 EAPOL 参数,而不是依赖静态 MAC 绑定。这是每个企业 Meraki 部署都应优先考虑的固件升级。 现在是快速问答环节。我经常从客户那里收到这些问题。 iPSK 是否支持 WPA3?目前在 Meraki 上不支持。Meraki 上的 iPSK 功能仅支持 WPA2。这是一个已知的限制,需要在您的长期路线图中予以考虑。 每个 SSID 可以有多少个密钥?在 Meraki 固件 MR 30.1 及更高版本上,每个 SSID 最多可以有 5000 个唯一的 iPSK。在旧版固件上,限制为 50 个。如果您正在管理大型住宅开发项目,请确保您使用的是当前固件。我可以在没有 RADIUS 服务器的情况下使用 iPSK 吗?可以。Meraki 支持在较小规模的部署中无需 RADIUS 的 iPSK。您直接在仪表板中管理密钥。然而,这种方法不支持动态 VLAN 分配,且您最多只能使用五十个密钥。对于任何企业或多租户部署,RADIUS 集成都是必不可少的。 最后,让我们来看看对业务的影响。为什么要投资这种架构? 对于 BTR 运营商和学生公寓提供商来说,WiFi 不再仅仅是一项公用事业。它是一项核心便利设施。英国房地产联合会(British Property Federation)的研究表明,高质量、无缝的 WiFi 每月每套房源可带来 15 至 30 英镑的租金溢价。通过在您自己的硬件上部署 iPSK,而不是捆绑消费级宽带合同,您可以直接获取该净营运收入。在您已有的硬件上运行的软件叠加模型,始终能带来正向的净营运收入。 此外,通过消除 Captive Portal 并无缝支持所有智能设备,您可以大幅减少支持工单并提高居民满意度。最常见的多租户支持工单 - Chromecast 无法连接 - 在正确配置 iPSK 部署后将完全消失。 总结一下今天简报的关键要点。iPSK 为您提供企业级网络的安全保障,同时具备家用密码的简便性。它动态分段您的流量,保护您的 IoT 设备,并改变用户体验。将其与您的身份提供商集成以自动执行凭据生命周期。升级到当前的 Meraki 固件以正确处理 MAC 随机化。并且从第一天起就规划充足的子网空间。 感谢您收听本次 Purple 技术简报。要了解 Purple 如何自动执行您的 Meraki iPSK 部署,请访问 purple dot ai。

header_image.png

执行摘要

传统的 WiFi 安全面临两难抉择。您要么选择简单但存在严重安全风险的共享密码,要么选择复杂但会导致智能设备无法连接的 802.1X 证书。Identity Pre-Shared Key (iPSK) 解决了这一矛盾。它既提供了企业级网络的独立安全性和可视性,又保持了标准密码的简便性。

本指南详细介绍了 Cisco Meraki iPSK 的技术架构。我们涵盖了部署策略、RADIUS 集成,以及用基于身份的分段取代传统 WPA2-Personal 的商业案例。对于物业开发商、房东和 BTR(建后出租)运营商而言,iPSK 将 WiFi 从一项基础设施转变为安全、可管理的增值服务,从而带来可观的租金溢价。

关键数据:在 MR 30.1+ 固件上,Meraki 每个 SSID 最多支持 5,000 个唯一的 iPSK。单个 SSID 可以服务于多个隔离的 VLAN。与 Microsoft Entra ID、Okta 或 Google Workspace 的集成可实现完整凭据生命周期的自动化。Purple 在全球 80,000 多个场所运行此编排层。

技术深度剖析:理解 iPSK 架构

Identity PSK 为单个 SSID 上的每个用户或设备分配一个唯一的 WiFi 密码。虽然所有人都连接到相同的网络名称,但他们唯一的密钥决定了他们特定的安全权限、带宽限制和 VLAN 分配。

architecture_overview.png

当设备与接入点关联时,Meraki 硬件会拦截该身份验证请求。在无控制器部署中,接入点会查询中央 RADIUS 服务器或直接查询 Meraki Cloud。RADIUS 服务器会根据存储的凭据验证设备提供的特定密码。验证成功后,服务器会返回一个包含特定属性的 Access-Accept 消息,包括分配的 VLAN 和组策略。

这种架构从根本上改变了网络访问控制。网络不再基于复杂的证书交换(EAP-TLS 或 PEAP)对设备进行身份验证,而是基于用户唯一的密钥对用户进行身份验证。这种方法支持 100% 的无线设备,包括缺乏 802.1X 客户端的无界面物联网 (IoT) 传感器、游戏机和智能家居设备。

comparison_chart.png

RADIUS 在 iPSK 部署中的作用

虽然 Meraki 支持不带 RADIUS 的 iPSK(直接在仪表板中管理密钥,每个 SSID 限制为 50 个密钥),但企业部署需要一个中央身份验证服务器。将 iPSK 与 RADIUS(例如 Microsoft NPS、Cisco ISE 或 FreeRADIUS)集成可实现动态 VLAN 分配和中央身份管理,在 MR 30.1+ 固件上每个 SSID 可扩展到 5,000 个密钥。

在 Meraki 硬件上配置带有 RADIUS 的 iPSK 时,接入点充当验证器。它将握手期间交换的局域网可扩展身份验证协议(EAPOL)参数传递给 RADIUS 服务器。RADIUS 服务器使用这些属性来验证客户端。如果找到匹配项,服务器将响应 Tunnel-Password 属性,从而绑定 MAC 地址和特定的预共享密钥。

这种机制允许网络架构师在第 2 层对流量进行分段。单个 SSID 可以将员工加入安全的内部 VLAN,将访客加入隔离的仅限互联网的 VLAN,并将 IoT 传感器加入受限的设备网络 - 所有这些都通过一次广播实现。

有关包括 HPE Aruba、Ruckus 和 Juniper Mist 在内的各个厂商的 iPSK 和 PPSK 实现的更广泛对比,请参阅我们的 PPSK 功能和部署模型对比指南

实施指南:部署 Meraki iPSK

部署 iPSK 需要仔细规划您的子网架构和身份提供商集成。请遵循这些与厂商无关的最佳实践,以实现具有弹性的部署。

步骤 1:子网和 VLAN 设计

在配置 Meraki 仪表板之前,先定义您的网络拓扑。将您的用户组映射到特定的 VLAN。在多租户环境(例如 BTR 开发项目)中,您必须设计专用局域网(PAN)架构。

PAN 会在用户的特定设备周围创建一个虚拟气泡。iPSK 可确保租户之间的第 2 层隔离,同时在特定的 VLAN 内启用 mDNS 反射。这允许居民的智能手机发现他们自己的 Chromecast,同时对相邻公寓的居民完全不可见。

宽裕地计算您的 DHCP 范围。一个现代家庭会连接 15 到 25 台设备。一栋拥有 200 个单元的建筑将需要同时为多达 5,000 台设备提供 IP 地址。子网配置不足是 BTR 和学生公寓网络部署后出现故障的最常见原因。

步骤 2:Meraki 仪表板配置

要在您的 Meraki 网络上启用带有 RADIUS 的 iPSK:

  1. 导航至 无线 > 配置 > 访问控制
  2. 从下拉菜单中选择目标 SSID。
  3. 安全 区域下,选择 带有 RADIUS 的 Identity PSK
  4. 配置您的 RADIUS 服务器 IP 地址、端口和共享密钥。
  5. 客户端 IP 和 VLAN 区域下,启用 VLAN 标记
  6. RADIUS 覆盖 设置为 覆盖 VLAN 标记。此步骤允许 RADIUS 服务器根据经过身份验证的密钥来决定网络段。

注意:带有 RADIUS 的 iPSK 需要 MR 26.5 或以上版本的固件。Easy PSK(验证 EAPOL 参数而非 MAC 地址)需要 MR 32.1.3 或更新版本。请在部署前确认您的固件版本。

第 3 步:身份提供商集成

手动密钥管理在规模化时会失效。将您的 RADIUS 服务器与 Microsoft Entra ID、Okta 或 Google Workspace 等身份提供商 (IdP) 集成。使用 SCIM 协议自动管理预共享密钥的生命周期。当人力资源部门在目录中添加新员工时,系统会自动生成一个唯一的 WiFi 密钥。当员工离职时,系统会立即撤销该密钥,从而终止网络访问,而不会影响任何其他用户。

Purple 能够自动管理这整个生命周期。Purple 平台充当编排层,将您的 Meraki 基础设施与您的中央目录连接起来,在 80,000 多个场所动态管理密钥。

企业安全最佳实践

实施这些行业标准建议以巩固您的 iPSK 部署。

强制执行严格的设备隔离

在公共部门环境和零售连锁店中,设备隔离是一项强制性的安全要求。使用 Meraki 仪表板在访客和物联网 VLAN 上启用第 2 层隔离。这可以防止在单个设备受到威胁时在网络中进行横向移动。此配置符合 ISO 27001 关于网络隔离的要求。

细分物联网流量

切勿将物联网设备与企业数据放在同一网络段。iPSK 简化了这种细分。为您的大楼管理系统、HVAC 控制器和安全摄像头分配一个特定的密钥。将此密钥映射到具有严格防火墙规则的受限 VLAN,这些规则仅允许流向特定供应商域的出站流量。

自动执行密钥轮换

虽然个人密钥限制了密码泄露的影响范围,但定期轮换仍然是最佳实践。自动为长期承包商和临时员工生成新密钥。使用 Meraki API 或 Purple 等平台,通过短信或电子邮件安全地分发这些密钥,消除手动服务台的开销。

零售环境中的 PCI DSS 合规性

对于零售运营商,iPSK 直接支持 PCI DSS 网络分段要求。通过为销售点终端分配专用密钥,并将其映射到仅路由到支付处理器的隔离 VLAN,您可以缩小持卡人数据环境 (CDE) 的范围。Meraki 持有 PCI DSS Level 1 服务提供商认证,提供了额外的合规性基准。请参阅我们的 零售 行业页面以获取详细的合规性演练。

故障排除和风险缓解

即使经过精心规划,iPSK 部署也会遇到特定的故障模式。

EAPOL 握手超时

在配合 RADIUS 使用 iPSK 时,RADIUS 服务器必须对照已知密钥数据库验证 EAPOL 参数。如果数据库庞大且服务器资源不足,寻找匹配项可能耗时过长,从而导致 EAPOL 握手超时。随后,接入点会断开连接。

为降低此风险,请确保您的 RADIUS 基础设施资源充足。如果使用云托管 RADIUS,请监控 Meraki 接入点与认证服务器之间的延迟。在高并发规模下,高延迟会持续导致握手失败。

MAC 随机化挑战

现代操作系统(iOS 14+、Android 10+、Windows 11)使用随机 MAC 地址来保护用户隐私。如果您的 RADIUS 部署严格依赖与特定 iPSK 绑定的 MAC 认证绕过 (MAB),则这些设备在 MAC 地址轮换时将无法连接。

要解决此问题,可以指导用户针对您的特定企业或住宅 SSID 停用 “私有 WiFi 地址” 功能,或者升级到 Meraki MR 32.1.3+ 固件中的 Easy PSK 功能,该功能依赖 EAPOL 参数而不是静态 MAC 地址绑定。

WPA3 兼容性

Meraki iPSK 目前不支持 WPA3 加密。如果您的长期规划包括部署 WPA3 或 WiFi 6E,请将此限制纳入您的规划中。请关注 Cisco Meraki 的发布说明以获取该限制的更新。

案例研究:250 套房源的 BTR 项目开发

伦敦的一家大型建房出租 (BTR) 运营商通过 Purple 的多租户 WiFi 平台,在拥有 250 套房源的项目中部署了 Meraki iPSK。该运营商取代了传统的单个公寓路由器系统(此前该系统每月平均产生 12 个与 Chromecast 配对失败和密码重置相关的支持工单)。

部署后,每位住户在入住前都会收到一个唯一的密钥。所有 250 名住户都连接了他们的设备 - 包括智能电视、无线打印机和 Amazon Echo 设备 - 无需任何手动 IT 干预。与 WiFi 相关的支持工单降至每月少于两个。该运营商将每套房源每月 20 英镑的租金溢价归功于 “即开即用” 的 WiFi 便利设施,使这单个开发项目每年额外产生 60,000 英镑的收入。

欲了解更多关于 酒店行业 的应用案例以及 iPSK 如何消除访客摩擦的信息,请参阅我们的指南: 如何利用访客 WiFi 页面打造完美的第一印象

案例研究:全国零售连锁店

一家拥有 400 个门店的全国零售连锁店需要在保持 PCI DSS 合规性的同时,隔离其门市的销售点终端、数字标牌和员工平板电脑。他们之前在每个门店运行三个独立的 SSID,这造成了显著的射频开销并降低了吞吐量。

通过部署 Meraki iPSK,他们将每个场所合并为单个 SSID。创建了三个不同的密钥:一个用于 POS 终端(映射到受限的支付 VLAN),一个用于数字标牌(仅限互联网的 VLAN),一个用于员工平板电脑(企业 VLAN)。Meraki 仪表板 API 将这些配置同时推送到所有 400 个场所。射频环境得到了可衡量的改善,并且通过在无线边缘隔离持卡人数据环境,缩小了 PCI DSS 审计范围。

有关 WiFi 运营分析 以及来自这些网络的数据如何驱动商业智能的更多信息,请参阅我们的分析平台概述。

投资回报率(ROI)与业务影响

向 iPSK 过渡需要对 RADIUS 基础设施和集成进行投资。运营回报从三个维度证明了这一资本支出的合理性。

租金溢价。 英国房地产联合会的研究表明,在 BTR(长租公寓)项目中,高质量、无摩擦的 WiFi 每月可带来每套公寓 15 至 30 英镑的租金溢价。通过在自有硬件上部署 iPSK,而不是捆绑消费级宽带合同,运营商可以直接获取这部分净运营收入(NOI)。

降低支持成本。 iPSK 消除了最常见的多租户支持工单:Chromecast 配对失败、密码重置以及设备入网问题。运营商一致报告,在部署后,与 WiFi 相关的支持联系减少了 80% 或更多。

缩短空置期。 根据 BTR 行业基准,入住当天的 WiFi 准备就绪平均可将空置期缩短五到十天。能够立即连接的网络居民不太可能推迟入住或要求提前退租。

有关 Purple 的多租户 WiFi 平台如何与 Meraki, Ruckus, HPE Aruba, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, 和 Fortinet 硬件集成的完整架构演练,请 与我们的团队联系

有关 iPSK 与 PPSK 及其他特定厂商实现的比较,请参阅我们的 用三个 SSID 统治一切 指南。

关键定义

iPSK (Identity Pre-Shared Key)

一种无线安全机制,可在单个 SSID 上为单个用户或设备分配唯一的密码,从而在不需要 802.1X 证书的情况下实现精细的策略执行和 VLAN 分配。

当 IT 团队需要保护无源物联网设备安全,或在多租户环境中提供私有网络,且无需 802.1X 的复杂性时使用。Cisco Meraki 的实现方式;等同于 Ruckus DPSK 和 HPE Aruba MPSK。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接到网络服务的用户提供集中的认证、授权和计费(AAA)管理。

验证 iPSK 密码并通知 Meraki 接入点将哪个 VLAN 分配给连接设备的中央引擎。常见实现包括 Microsoft NPS、Cisco ISE 和 FreeRADIUS。

VLAN (虚拟局域网)

一种逻辑子网,将来自不同物理局域网的设备集合进行分组,并在第 2 层隔离其流量。

对于 iPSK 部署中的网络细分至关重要。RADIUS 服务器根据用户连接时使用的密码,将他们动态分配到特定的 VLAN,从而使一个 SSID 能够服务于多个隔离的网络段。

802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,要求设备在获得网络访问权限之前,通过中央服务器使用凭据或数字证书进行身份验证。

传统的企业安全标准。iPSK 通常被部署为 802.1X 的替代方案,以支持缺乏必要客户端软件的智能设备,包括物联网传感器和游戏机。

EAPOL (局域网上的可扩展身份验证协议)

一种在 IEEE 802.1X 中使用的网络端口认证协议,用于在客户端(客户端设备)和认证器(接入点)之间封装 EAP 消息。

在 Meraki Easy PSK 部署(固件 MR 32.1.3+)中,接入点将 EAPOL 参数传递给 RADIUS 服务器,以验证客户端的预共享密钥,而无需依赖 MAC 地址,从而解决了 MAC 随机化问题。

mDNS (多播 DNS)

一种在不包含本地名称服务器的小型网络中将主机名解析为 IP 地址的协议,可在本地网段上实现设备发现。

允许在本地网络上发现 Apple TV、Chromecast 和无线打印机等设备的技术。iPSK 部署必须配置 mDNS 反射,以确保住户能够看到自己的设备,而看不到邻居的设备。

Captive Portal

公共访问网络的用户在被授予访问权限之前,必须查看并进行交互的网页。

酒店和住宅 WiFi 中常见的摩擦源。iPSK 通过其唯一的密钥无缝验证用户身份,从而消除了对 Captive Portal 的需求。对于需要捕获数据的访客 WiFi 应用场景,Purple 支持除 iPSK 之外的自觉选择加入。

MAC 认证绕过 (MAB)

一种使用设备的 MAC 地址作为其身份来授予网络访问权限的技术,通常用于不支持 802.1X 的设备。

历史上与 iPSK 结合使用,将特定密钥绑定到特定设备。由于 iOS 14+、Android 10+ 和 Windows 11 中的 MAC 地址随机化,这种方法正变得不可靠。Easy PSK 通过使用 EAPOL 参数解决了这个问题。

个人局域网 (PAN)

在共享基础设施中围绕特定用户的设备创建的虚拟网络段,可实现该网段内的设备发现,同时保持与所有其他用户的隔离。

多租户 WiFi 的定义特征。在长租公寓(BTR)开发中,每个住户的 PAN 允许他们的智能家居设备相互通信,同时对同一物理接入点上的邻居保持不可见。

应用实例

一个拥有 250 套房源的长租公寓(Build-to-Rent)项目需要为所有住户提供安全、家一般的 WiFi。运营商希望使用单个覆盖全栋建筑的 SSID 来减少射频干扰,但住户必须能够安全地连接智能电视和无线打印机,且其他公寓无法看到他们的设备。

部署 Meraki 接入点,广播配置了采用 RADIUS 的 Identity PSK 的单个 SSID。将 Meraki 网络与 Purple 平台管理的中央 RADIUS 服务器集成。当住户签署租约时,系统会自动生成一个唯一的 PSK,并将其分配给该住户公寓专用的 VLAN。住户可在其所有设备(手机、笔记本电脑、智能音箱)上使用这一个密钥。网络强制在不同 VLAN 之间进行二层隔离,确保公寓之间的完全隐私,同时在住户的特定 VLAN 内启用 mDNS 反射,以便其设备可以互相发现。为每个单元配置至少 25 个地址的 DHCP 范围,以满足物联网设备的密度需求。

考官评语: 这种架构直接解决了多租户连接的挑战。标准的 WPA2-Personal 会将所有设备暴露给大楼中的每个人。802.1X 可以保护笔记本电脑的安全,但会阻挡智能电视。iPSK 在提供所需安全态势的同时,保持了住宅便利设施所必需的无摩擦用户体验。mDNS 反射配置是大多数部署中最容易忽略的细节 - 如果没有它,Chromecast 和 AirPlay 将无法在住户自己的专属范围内运行。

一家全国性零售连锁店需要在 400 个营业地点部署新的销售点 (POS) 终端、数字标牌显示屏和员工平板电脑。他们必须保持 PCI DSS 合规性,同时减少由于多个 SSID 带来的射频开销。

实施 Meraki iPSK 在无线边缘对设备进行细分。为每个地点创建三个不同的密钥:一个用于 POS 终端,映射到仅路由到支付处理器的受限 VLAN;一个用于仅连接互联网的 VLAN 上的数字标牌;另一个用于可访问库存系统的公司 VLAN 上的员工平板电脑。使用 Meraki 控制面板 API 将这些配置同时推送到所有 400 个地点。这将三个 SSID 合并为一个,减少了射频开销并提高了吞吐量。PCI DSS 持卡人数据环境在无线边缘被隔离,从而缩小了审计范围。

考官评语: 这种方法满足了 PCI DSS 对网络分段的要求,而无需复杂的交换机端口配置或多个 SSID。通过使用特定密钥在无线边缘隔离 CDE,该零售商缩小了其合规范围,并保护网络免受横向移动。API 驱动的部署是效率提升的关键 - 在 400 个站点上进行手动配置在运营上是无法持续的。

练习题

Q1. 您正在为一栋拥有 500 个床位的学生公寓楼设计网络。客户希望使用 802.1X 来保证安全性,但也需要支持 PlayStation 5 游戏机和 Amazon Echo 扬声器。您如何解决这个冲突?

提示:考虑消费级硬件上 802.1X 客户端的局限性,以及学生环境对设备密度的要求。

查看标准答案

部署 Meraki iPSK 代替 802.1X。在入学注册期间为每位学生生成一个唯一的预共享密钥。这提供了等同于企业级网络的安全性和个人责任追究,但使用与游戏机和智能音箱完全兼容的标准密码机制。配置网络,通过使用 RADIUS 进行 VLAN 分配,将每位学生的设备隔离到他们自己的专用局域网 (PAN) 中。确保固件为 MR 32.1.3 或更高版本,以便通过 Easy PSK 处理 MAC 随机化。设计 DHCP 范围,使其为每位学生提供至少 25 台设备,以容纳完整的设备栈。

Q2. 一个使用 Meraki iPSK 并配备中央 RADIUS 服务器的零售客户报告称,一些较新的 Android 和 iOS 设备即使在输入正确密码的情况下也无法连接。而较旧的设备可以正常连接。可能的原因和解决方案是什么?

提示:思考自 2020 年以来移动操作系统中引入的隐私功能,以及它们如何影响基于 MAC 的认证。

查看标准答案

此问题是由较新设备上的 MAC 地址随机化(私有 WiFi 地址)引起的。如果 RADIUS 服务器配置为通过 MAC 认证绕过将 iPSK 绑定到特定的 MAC 地址,当设备轮换其 MAC 时,认证将会失败。解决方案是将 Meraki 固件升级到 MR 32.1.3 或更高版本并启用 Easy PSK,它会验证 EAPOL 参数,而不是依赖静态 MAC 绑定。作为临时措施,可指导用户针对该特定的网络 SSID 停用私有地址功能。

Q3. 一家 BTR 运营商希望提供 Instant-On WiFi,让居民在入住的那一刻就能使用网络。他们目前依赖大楼管理员手动生成密码,这会导致一到三天的延迟。如何改进这一流程?

提示:考虑身份提供商和 API 如何自动进行网络访问置备,并将其与租约管理工作流相关联。

查看标准答案

通过 SCIM 或 API 将物业管理系统与 RADIUS 服务器集成,从而实现密钥生命周期的自动化。当签署租约且居民被添加到系统时,脚本会自动生成唯一的 iPSK,将其分配给正确的公寓 VLAN,并在入住日前将凭据通过电子邮件发送给居民。Purple 的平台负责编排这整个工作流,将 Meraki 基础设施与身份提供商连接,从而消除手动干预。居民在到达之前即可收到密钥,从而在入住当天实现真正的 Instant-On 连接。

Q4. 一个会议中心希望向十个同时进行的企事业单位活动提供安全、隔离的 WiFi,每个活动都需要有自己专属的私有网络分段。他们希望避免广播十个独立的 SSID。正确的架构是什么?

提示:考虑 iPSK VLAN 分配如何在不需要多个 SSID 的情况下创建逻辑隔离。

查看标准答案

部署一个配置了 iPSK 与 RADIUS 的单一 SSID。创建十个唯一的密钥,每个活动一个。在 RADIUS 服务器配置中将每个密钥映射到专用的 VLAN。当活动组织者向参会者分发他们的唯一密钥时,该活动的所有设备都会进入同一个隔离的 VLAN,且对其他活动不可见。这消除了十个 SSID 的射频开销,这些开销在高密度场馆环境中会显著降低吞吐量。在每次活动结束后,吊销密钥并回收 VLAN 以用于下一次预订。

继续阅读本系列

Uu PPSK pdf: 比较功能与部署模型

本技术参考指南将 Private Pre-Shared Key (PPSK) WiFi 架构与传统的 802.1X 和标准 PSK 部署进行了对比。它为网络架构师和 IT 经理提供了针对多租户住宅、IoT 和 BTR 环境的供应商中立的实施策略。

阅读指南 →

Uu PPSK 2023:功能与部署模式对比

本技术参考指南对比了每用户独占私有预共享密钥 (UU PPSK) WiFi 架构与传统共享 PSK 及 802.1X 部署,并重点关注 2023 年各大厂商实施和平台功能的最新格局。它为房地产开发商、BTR 运营商和 MDU 业主提供了可操作的部署策略、VLAN 架构指南以及自动化生命周期管理工作流。该指南涵盖了三种部署模型、真实案例研究以及每种认证方法在合规性方面的影响。

阅读指南 →

PPSK xaverius:功能与部署模式对比

本权威指南深入剖析了适用于长租公寓(Build to Rent)和学生公寓等非单户多住户环境的 PPSK xaverius 架构。书中对比了不同的部署模式,详述了实施策略,并阐明了每户 VLAN 隔离如何在保持企业级安全性的同时,提供如家一般的 WiFi 体验。

阅读指南 →