跳至主要内容
简体中文

Nama ff iPSK dragon:企业全面指南

本指南解释了 Identity Pre-Shared Key (iPSK) 架构(实现强大、可扩展、多租户 WiFi 的 "dragon" 部署模型)如何解决 Build-to-Rent 运营商、物业开发商和业主的连接难题。它涵盖了技术身份验证流程、RADIUS 集成、动态 VLAN 分配,以及在大规模环境下提供安全、隔离、Instant-On 住户连接的商业案例。

📖 7 分钟阅读📝 1,509 🔧 2 应用实例4 练习题📚 9 关键定义

收听本指南

查看播客转录
[INTRO] 欢迎来到 Purple 技术简报。我是您的主持人,今天我们将探讨一个处于网络安全与用户体验交汇处的课题:身份预共享密钥,即 iPSK WiFi。具体来说,我们将探讨这项技术如何为房地产开发商、业主和 Build-to-Rent 运营商解决连接难题。 如果您是一位 IT 经理或网络架构师,您几乎肯定面临过这种两难境地。您的居民需要可靠、安全的 WiFi。传统的选择是共享密码或完整的 802.1X 企业部署。这两者都伴随着严重的妥协。而 iPSK 就是解决这一难题的答案。在接下来的十分钟里,我将为您清晰、实用性地介绍它是什么、它是如何工作的,以及您应该在何时部署它。 让我们开始吧。 [SECTION ONE: THE CONNECTIVITY DILEMMA IN MULTI-TENANT ENVIRONMENTS] 要理解 iPSK,您需要了解它所解决的问题。让我们回想一下两种传统的 WiFi 认证模型。 第一种是 WPA2-Personal。大多数人称之为共享 PSK,或者干脆就是 WiFi 密码。网络上的每个人都使用相同的密码。它很简便,适用于每台设备,除了接入点之外不需要任何基础设施。问题呢?它存在单点故障。如果有一个居民分享了密码,整个网络就会暴露。如果您需要撤销某个人的访问权限,您就必须为每个人更改密码。在规模化的场景下,比如一个拥有 300 套公寓的住宅楼里,这根本是无法管理的。此外,因为每个人都在同一个开放的网段上,居民通常可以看到邻居的设备,例如智能电视或打印机。这是一种严重的隐私侵犯。 第二种模型是 WPA2 或 WPA3 企业级,它使用 IEEE 802.1X 认证框架。在这里,每个用户都使用个人凭据进行身份验证,并由 RADIUS 服务器进行验证。它高度安全,为您提供细粒度的单用户访问控制。但它有一个致命的弱点:复杂性。建立公钥基础设施(PKI)并在每台设备上配置客户端是一项巨大的工程。至关重要的是,许多设备根本无法做到这一点。游戏机、智能电视、IoT 传感器、Chromecast。这些无界面的 headless 设备没有机制来处理基于证书的身份验证。在住宅环境中,对于很大一部分设备来说,802.1X 是行不通的。 Identity PSK 正好介于这两者之间。其核心概念非常优雅。每个用户或设备都会收到自己独特的预共享密钥,但它们都连接到同一个 SSID。从用户的角度来看,这感觉就像连接到家用 WiFi 网络一样。他们输入密码,然后连入。从网络的角度来看,每个连接都是单独识别、单独加密和单独控制的。您既能获得 PSK 的简便性,又能获得企业级访问控制的细粒度。[SECTION TWO: TECHNICAL DEEP-DIVE AND ARCHITECTURE] 现在让我为您介绍一下认证流程。理解这一点是正确部署它的关键。 当设备尝试连接到启用了 iPSK 的 SSID 时,无线局域网控制器会拦截该连接尝试,并将设备的 MAC 地址转发给 RADIUS 服务器。这就是智能技术所在。RADIUS 服务器在其身份存储中查找该 MAC 地址,并返回 Access-Accept 响应。关键在于,该响应中嵌入了一个包含该客户端唯一密码的特定厂商属性。控制器收到该唯一密码,并用它来验证设备提供的密钥。如果匹配,设备即通过认证并被分配到相应的网络段。 这种技术的强大之处在于,伴随该认证同时发生的事情。RADIUS 响应还可以携带 VLAN 分配、带宽策略和访问控制属性。因此,设备不仅可以获得自己唯一的加密密钥,还可以被自动分配到正确的网络段中。 这实现了我们所说的个人专用网络(Private Area Network)。此功能对于像建设出租(Build-to-Rent)住宅这样的多租户部署尤为重要。iPSK 实现了用户之间的二层隔离。尽管数百台设备共享相同的物理基础设施和相同的 SSID,但每个用户的流量都在密码学上与其他所有用户的流量隔离。在启用 mDNS 反射的情况下,住户仍然可以发现并使用自己的设备,将内容投屏到其 Chromecast 或在便携式打印机上进行打印,而无需担心邻居看到这些设备。这就是个人专用网络的概念。对于场所运营商来说,这是一个真正的差异化优势。 [SECTION THREE: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS] 现在让我分享一下部署中的实际经验。陷阱与建议。 最常见的错误是将 iPSK 纯粹视为一个技术项目,而不是一个运营项目。技术本身配置起来相对简单。更难的问题是密钥生命周期管理。密钥是如何配置的?它们是如何分发给用户的?最关键的是,当租期结束时,它们是如何被撤销的? 这三个问题的答案都应该是自动化。在建设出租环境中,通过与您的物业管理系统集成,意味着密钥会在租约签署时生成,并在搬出时撤销。Purple 提供了这一编排层,介于您的身份提供商和您的 RADIUS 基础设施之间,从而使整个密钥生命周期实现自动化。 第二个陷阱是 MAC 地址管理。iPSK 依赖于 RADIUS 身份存储中的 MAC 地址查找。出于隐私原因,现代操作系统默认使用随机 MAC 地址。如果设备提供随机 MAC 地址,您的 RADIUS 服务器将找不到匹配的记录并拒绝连接。解决方案是配置您的 SSID,要求客户端使用其设备的永久 MAC 地址,或者实施预注册工作流程,让用户在连接之前注册其设备。这是一个可以解决的问题,但需要从第一天起就包含在您的部署计划中。 第三:RADIUS 服务器的弹性。您的 iPSK 部署的可靠性取决于您的 RADIUS 基础设施。如果 RADIUS 服务器不可用,则无法对新设备进行身份验证。因此,请务必进行冗余设计。始终如此。 [SECTION FOUR: RAPID-FIRE Q AND A] 好了,让我们针对我最常被问到的问题进行快速问答。 iPSK 是否支持 WPA3?支持,但有注意事项。WPA3-SAE 改变了握手机制,这会影响 iPSK 密钥的验证方式。大多数现代控制器在 WPA2 和 WPA3 过渡模式下支持 iPSK,从而提供向后兼容性。 单个 SSID 可以支持多少个唯一密钥?这取决于控制器。Cisco 控制器支持数千个唯一的 iPSK 条目。在实际操作中,限制因素通常是您的 RADIUS 服务器数据库容量,而不是无线控制器本身。 iPSK 符合 GDPR 吗?iPSK 本身是一种网络身份验证机制,而不是数据收集工具。GDPR 合规性取决于您如何管理与这些密钥关联的身份数据。您必须拥有处理该数据的合法依据,并确保其安全存储并在不再需要时予以删除。 [SECTION FIVE: SUMMARY AND NEXT STEPS] 总结一下。在建设出租(Build-to-Rent)领域,网络是住户体验的基石。通过转向基于 iPSK 的托管 WiFi 模式,您可以消除公寓生活中的最大痛点:网络连接差。您可以提供住户要求的安全性和隐私性,同时具备定义现代高端品牌的 即插即用(Instant-On)便捷性。 iPSK 为单个 SSID 上的每个用户或设备分配一个唯一的密码。动态 VLAN 分配为每位住户创建一个专有局域网(Private Area Network)。它支持所有设备类型。而自动化的生命周期管理意味着您的 IT 团队无需手动管理数百个密钥。这就是 iPSK 的承诺,也是 Purple 在全球 80,000 个活跃场所中所实现的承诺。 感谢收听 Purple 技术简报。如果您准备升级您大楼的网络连接,请访问 purple.ai 与我们的团队预约技术会议。

header_image.png

执行摘要

传统的 WiFi 安全性迫使人们在两个不尽人意的选择之间做出妥协。标准的 WPA2 个人版(WPA2-Personal)虽然简单,但无法实现个人行为审计 - 一旦密码泄露,整个网络都将面临风险。而 WPA2/3 企业版(WPA2/3-Enterprise,即 IEEE 802.1X)虽然提供了针对单用户的控制能力,却使游戏机、智能电视和无法处理数字证书的 IoT 设备无法连接网络。

身份预共享密钥(iPSK) - 业界所称的“dragon”部署模型的核心架构,旨在提供强大、可扩展的多租户 WiFi - 解决了这一矛盾。它为单一 SSID 上的每个用户或设备分配一个独特的密码,并通过中央 RADIUS 服务器实现动态 VLAN 分配和二层(Layer 2)隔离。对于建设租赁(BTR)运营商、房地产开发商和房东而言,iPSK 是多租户网络连接的行业标准。它支持 100% 的住户设备,为每个单元创建一个专属的私有区域网络(PAN),并通过与 Microsoft Entra ID、Okta 或 Google Workspace 等身份提供商集成的自动化生命周期管理来实现无缝扩展。Purple 在全球 80,000 多个真实场所中实现了整个工作流程的自动化,并与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 进行了无缝集成。

深度技术解析:iPSK 架构

iPSK 解决了自第一个共享 WiFi 密码被写在酒店大堂黑板上以来就一直存在的问题。标准的 WPA2 个人版对网络上的每个设备都使用同一个密码。一旦为一个人更改密码,就必须为所有人进行更改。更糟糕的是,默认情况下不提供二层隔离,因此住户的智能电视对同一网段内的每个邻居都是可见的。采用 IEEE 802.1X 的 WPA3 企业版解决了安全问题,但又带来了新的挑战:它要求每个设备都运行能够进行证书或凭据认证 Supplicant 客户端。游戏机、智能音箱、IoT 传感器和流媒体播放棒根本无法做到这一点。在一个拥有 200 个单元、每户有 15 - 25 台设备的公寓楼中,这意味着数千台设备将根本无法连接网络。

iPSK 为每个居民或设备分配一个唯一的预共享密钥,但所有密钥都共享同一个 SSID。认证流程如下。当设备发送关联请求时,无线局域网控制器(WLC)会拦截该连接尝试,并将设备的 MAC 地址转发给 RADIUS 服务器。RADIUS 服务器在其身份库中查找该 MAC 地址,并返回 Access-Accept 响应。该响应中嵌入了一个厂商特定属性,其中包含该客户端的唯一密码。控制器接收到该唯一密码,并用其验证设备提供的密钥。如果匹配,设备即通过认证并被放入相应的网络段。

architecture_overview.png

二层隔离与私有局域网(PAN)

在多租户环境中,跨数百个公寓使用单个 SSID 有利于射频规划,但如果没有适当的细分,会带来严重的安全风险。iPSK 允许为每个居民创建一个私有局域网(PAN)。

当居民使用其唯一的 iPSK 进行认证时,RADIUS 服务器会将其设备分配给特定的 VLAN。网络基础设施在这些 VLAN 之间强制执行二层(Layer 2)隔离。居民 A 的 iPhone 可以看到他们自己的打印机或 Chromecast,但隔壁公寓的居民 B 无法发现或与这些设备互动。这种微细分对于遵守 GDPR 和维护居民信任至关重要。

由于每个居民都有自己隔离的 VLAN,您可以在该特定 VLAN 内启用 mDNS 反射。mDNS 是支持 AirPlay、Chromecast 投屏和无线打印的协议。在每个居民的私有 VLAN 内启用 mDNS 反射,可以让其自己的设备之间进行通信,同时与所有其他居民保持完全隔离。其结果是在共享基础设施上获得类似于家庭网络的体验。

comparison_chart.png

实施指南

有效部署 iPSK 需要超越技术配置,重点关注密钥的运营生命周期。

步骤 1:设备画像与分类

在选择安全模型之前,对网络上预期出现的所有终端类型进行全面审计。将设备分为两大类:支持客户端(supplicant)的设备(企业笔记本电脑、现代智能手机和平板电脑),这些设备应以 WPA3 企业级为目标;以及无头或遗留设备(IoT 传感器、打印机、IP 摄像机和遗留扫描仪),这些是 iPSK 的候选设备。有关进一步的架构指导,请参阅 三大 SSID 搞定一切:访客、Passpoint 和 IoT WiFi

步骤 2:设计 SSID 架构

最佳实践部署涉及双 SSID 策略,以平衡安全性和兼容性。企业 SSID 使用 WPA3 Enterprise,专门用于员工设备,并利用 EAP-TLS 进行基于证书的身份验证,或在无法使用证书的情况下使用 PEAP-MSCHAPv2。IoT/设备 SSID 将 WPA2/WPA3 iPSK 用于无头设备。RADIUS 服务器根据设备类型分配 VLAN,确保即使设备受到损害,横向移动也会受到限制。

步骤 3:RADIUS 和策略配置

配置您的 RADIUS 基础设施以处理这两种身份验证类型。对于 iPSK,请确保策略引擎将 MAC 地址映射到特定的密钥和 VLAN 属性。实施严格的 MAC 地址剖析以检测欺骗尝试。Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks 和 Fortinet 都支持带动态 VLAN 分配的单设备 PSK,尽管不同平台之间的供应商特定属性名称有所不同。

步骤 4:生命周期自动化

最常见的错误是将 iPSK 视为一个纯粹的技术项目,而不是一个运营项目。对于任何 IT 团队来说,手动管理数百或数千个独特的密钥都是不可行的。Purple 与 Microsoft Entra ID, Okta 或 Google Workspace 集成。当新住户签署租约时,Purple 会自动生成一个独特的 iPSK,分配一个 VLAN,并将凭据交付给住户。当他们的租约结束时,该密钥将被自动撤销。

最佳实践

从第一天起就实现密钥管理自动化。切勿尝试大规模手动管理 iPSK 凭证。将您的网络访问控制系统与您的物业管理系统或身份提供商集成。

启用授权变更 (CoA)。在 RADIUS 数据库中撤销密钥并不会立即断开已与网络关联的设备。要强制立即断开连接,您的管理系统必须直接向无线控制器发送 CoA 断开连接消息。在上线前确认您的管理平台支持 CoA。

主动解决 MAC 地址随机化问题。现代智能手机会随机化其 MAC 地址以保护用户隐私。如果您的 iPSK 实施依赖于 MAC 地址旁路,随机化将破坏身份验证。指导住户如何为其家庭网络禁用私有 MAC 地址,或实施预注册工作流程。

为 RADIUS 弹性进行设计。由于 EAPOL 握手期间需要进行字典检查,iPSK 会给 RADIUS 服务器带来更重的计算负载。使用具有地理冗余的云托管、高性能 RADIUS 服务。单点 RADIUS 故障意味着新设备无法进行身份验证。 规划 WPA3 过渡。iPSK 目前主要在 WPA2 上运行。如果您正在 6 GHz 频段上部署 WiFi 6E 或 WiFi 7 接入点,您需要为这些客户端制定单独的 WPA3-Enterprise 策略。如需更深入的对比,请参阅 PPSK wpa3:比较功能和部署模型

故障排除与风险缓解

身份验证失败通常是由 iOS 14+、Android 10+ 和 Windows 11 中的 MAC 地址随机化引起的。请确保向住户提供清晰的入网说明,并考虑建立一个预注册门户,让住户注册其设备的永久 MAC 地址。

设备发现问题 - 如果住户无法投影到其智能电视或使用 AirPlay - 通常表明住户特定的 VLAN 内未启用 mDNS 反射。请验证无线控制器未丢弃组播流量。

当无线控制器与 RADIUS 服务器之间的延迟超过 EAPOL 超时阈值时,就会发生 RADIUS 超时。请确保您的 RADIUS 基础设施在地理位置上靠近您的场馆,或采用分布式云架构。Purple 托管在云端的 RADIUS 基础设施具有 99.999% 的在线率,消除了单点故障隐患。

未配置 CoA 时会出现密钥撤销延迟。从 RADIUS 中删除密钥可以阻止未来的连接,但不会中断活动会话。请在您的无线控制器上配置 CoA,并在调试期间对其进行测试。

投资回报率与业务影响

对于 BTR 运营商和房地产开发商而言,采用 iPSK 的商业理由非常直接。消除每个公寓中的个人消费级路由器,可降低资本支出和持续的硬件维护成本。它还消除了由数百个未托管接入点在同一建筑物中争夺空口时间而导致的射频干扰。

更重要的是,通过 iPSK 提供的托管 WiFi 带来了优质的住户体验。住户从第一天起就能享受“即开即用”的连接,而无需烦恼于签署宽带合同或等待工程师上门。根据英国房地产联合会(British Property Federation)的基准,提供高质量托管 WiFi 的 BTR 运营商可实现每套公寓每月 15 到 30 英镑 des 租金溢价,且空置期缩短 5 到 10 天。

Purple 已在全球 80,000 多个场馆部署了多租户 WiFi。我们与硬件无关的云覆盖层运行在您已拥有的接入点上,我们的自动化密钥生命周期管理与您运营团队已使用的物业管理系统相集成。欲了解有关互联场馆价值的更多信息,请探索我们的 Guest WiFiWiFi Analytics 平台,或了解我们如何专门为 Hospitality 行业提供服务。

如需阅读有关相关安全架构的更多信息,请参阅 如何利用访客 WiFi 留下第一眼好印象 以及 用三个 SSID 掌控一切

关键定义

iPSK (Identity Pre-Shared Key)

一种安全模型,可在单个 SSID 上为每个用户或设备分配唯一的 WiFi 密码,从而在 WPA2-Personal 的简便性与 WPA2-Enterprise 的控制力之间架起桥梁。根据不同的厂商,也被称为 MPSK (Aruba)、DPSK (Ruckus) 或 PPSK。

当 IT 团队需要确保 IoT 设备的安全性,或在多租户建筑中提供托管 WiFi,且无需面对复杂的 802.1X 证书时。

Private Area Network (PAN)

在更大的共享基础设施中创建的虚拟网络段,提供第 2 层隔离,使用户的设备可以相互通信,但对同一物理网络上的其他用户保持隐形。

对于 Build-to-Rent 和学生公寓等数百名住户共享相同接入点 (AP) 的环境中的隐私和安全至关重要。

RADIUS (Remote Authentication Dial-In User Service)

一种网络协议,为连接和使用网络服务的用户提供集中的认证、授权和计费 (AAA) 管理。在 RFC 2865 中定义。

iPSK 部署中的核心服务器,用于验证唯一密钥并为每个通过身份验证的设备分配相应的 VLAN。

VLAN (虚拟局域网)

一个逻辑子网,将来自不同物理局域网的一组设备组合在一起。iPSK 通过 RADIUS 使用动态 VLAN 分配,将用户隔离到独立的广播域中。

用于对流量进行分段,通过限制广播域并防止住户或设备类型之间的横向移动来提高安全性和性能。

mDNS 转发 (mDNS Reflection)

一种允许跨网络段或在隔离的 VLAN 内转发组播 DNS 数据包(由 AirPlay、Chromecast 和 DLNA 等服务使用)的功能。

这对于在住户的个人区域网络中启用设备发现至关重要,允许他们将手机内容投影到电视上,而不会将这些设备暴露给邻居。

授权变更 (CoA)

一个 RADIUS 扩展(RFC 5176),允许服务器动态修改活动会话的授权属性,例如断开用户连接或重新分配其 VLAN。

在撤销设备的 iPSK 时,需要立即将其与网络断开连接。如果没有 CoA,活动会话将持续存在,直到设备自然断开连接并尝试重新进行身份验证。

MAC 地址随机化

现代操作系统(iOS 14+、Android 10+、Windows 11)中的一项隐私功能,可为每个 WiFi 网络生成随机的 MAC 地址,从而防止跨位置的设备跟踪。

这是 iPSK 网络中导致身份验证失败最常见的原因,因为 RADIUS 服务器依赖于获取设备的真实 MAC 地址来查找正确的预共享密钥。

二层隔离 (Layer 2 Isolation)

一种安全措施,可防止同一本地网络段上的设备在数据链路层上直接相互通信,即使它们共享同一个物理接入点也是如此。

确保共享同一个物理接入点的住户无法访问彼此的设备,这是多租户环境中遵守 GDPR 的基本要求。

EAPOL (基于局域网的扩展认证协议)

IEEE 802.1X 中定义的网络端口身份验证协议,它在局域网上封装 EAP 消息。在 iPSK 中,EAPOL 握手用于根据 RADIUS 身份源验证唯一的预共享密钥。

了解 EAPOL 握手对于诊断 iPSK 身份验证故障以及理解为什么 RADIUS 服务器性能至关重要非常重要。

应用实例

一个拥有 300 套住宅的 Build-to-Rent 项目需要提供托管 WiFi 作为一项高端配套服务。住户必须能够轻松连接智能电视、游戏机和 IoT 设备,但他们的设备必须与邻近公寓完全隔离。网络应该如何设计?

在整个建筑中部署单个 SSID,并使用由云托管 RADIUS 服务器支持的 iPSK 身份验证。将网络准入控制系统与物业管理系统集成,自动为租约生成唯一的 iPSK。配置 RADIUS 服务器以为每位住户的密钥返回唯一的 VLAN 分配,从而创建一个 Private Area Network。在每个 VLAN 内启用 mDNS 反射,以允许住户投屏到自己的设备。在无线控制器上配置 Change of Authorization (CoA),以便在租约结束且在 RADIUS 中注销密钥时,活动会话会立即终止。

考官评语: 这种方法在为住户提供类似于家用路由器的简单体验的同时,也满足了多租户环境所需的企业级安全和隔离。它避免了部署 300 个独立家用路由器所带来的硬件成本和射频干扰。CoA 配置是大多数团队在首次部署时最容易忽略的细节。

一家零售连锁店需要保护 500 台仅支持 WPA2-PSK 的传统条码扫描枪的安全,同时还要为员工笔记本电脑提供现代化的 WPA3-Enterprise 网络。他们如何在不使用单一、极易泄露密码的情况下确保扫描枪的安全?

实施双 SSID 策略。员工笔记本电脑保持在使用 EAP-TLSWPA3-Enterprise SSID 上。使用 iPSK 创建一个独立的 IoT/设备 SSID。通过 NAC 的 API 为每台条码扫描枪基于 MAC 地址生成唯一的密钥。将这些扫描枪分配到一个隔离的 VLAN 中,该 VLAN 仅能访问所需的库存系统,从而阻止向销售点 (POS) 终端的横向移动。如果扫描枪丢失或泄露,只需撤销该单一密钥即可,不会影响网络上的任何其他设备。

考官评语: 这种双 SSID 设计是现代化零售场所的最佳实践。它在支持的设备上提供强大的 802.1X 身份验证,并使用 iPSK 为无头 IoT 设备提供关键的微隔离和单密钥撤销功能。扫描枪流量与 POS 终端之间的 VLAN 隔离是一项 PCI-DSS 要求,而不仅仅是最佳实践。

练习题

Q1. 在一个拥有 200 个单元的 BTR 住宅项目中,一位住户抱怨无法将 Netflix 从 iPhone 投影到他们的新 Chromecast 上。两台设备都已使用该住户的唯一密钥连接到 iPSK 网络。最可能的配置问题是什么,您该如何解决?

提示:考虑设备如何在本地网络上相互发现,以及哪种协议支持这一功能。

查看标准答案

最可能的问题是在住户特定的 VLAN 内未启用 mDNS 转发。如果没有 mDNS,Chromecast(和 AirPlay)使用的发现数据包将无法跨越网络,即使两台设备处于相同的隔离分段也是如此。解决方案是在无线控制器的住户 VLAN 内启用 mDNS 转发或代理。验证组播流量是否没有在全局范围内被抑制,这是企业级控制器上常见的默认设置。

Q2. 您正在一个新的学生公寓大楼中部署 iPSK。在测试期间,一部 iPhone 第一次连接成功,但第二天却无法通过身份验证。该学生没有修改密码。原因是什么,您该如何解决?

提示:想想 iOS 14 中引入的现代智能手机隐私功能。

查看标准答案

原因在于 MAC 地址随机化。iPhone 在第二天的连接尝试中生成了一个新的随机 MAC 地址。由于 RADIUS 服务器使用 MAC 地址作为 iPSK 的身份查找,它无法识别新的 MAC 地址并拒绝了连接。解决方法是指导学生在其 iPhone 设置中禁用该特定网络的私有 WiFi 地址,从而强制设备使用其永久硬件 MAC 地址。或者,实施一个预注册门户网站,让学生在配置 iPSK 之前注册其设备的永久 MAC 地址。

Q3. 一名员工离职后,他们的 iPSK 已从 RADIUS 数据库中删除。然而,他们的笔记本电脑仍与网络连接了几个小时,直到他们物理上离开大楼。在未来的部署中,您将如何防止这种情况发生?

提示:RADIUS 身份验证仅发生在初始连接握手期间,而不是持续进行的。

查看标准答案

在无线控制器上配置 Change of Authorization (CoA)。在 RADIUS 中删除密钥只能阻止未来的身份验证。要终止活动会话,管理系统必须向无线控制器发送 CoA 断开连接消息 (RFC 5176) 以立即断开客户端。确保在调试期间测试 CoA,而不是在上线后才发现缺失。Purple 的管理平台会在密钥被撤销时自动发送 CoA。

Q4. 一位物业开发商正在规划一个拥有 500 个单元的 BTR 项目,并询问是否需要在每个公寓中安装家用路由器。您的建议是什么?为什么?

提示:考虑射频干扰、硬件维护成本以及住户体验。

查看标准答案

不需要。通过在公共区域和走廊部署接入点,并使用集中式云管理控制器,采用 iPSK 部署托管 WiFi 基础设施。iPSK 为每个住户提供自己隔离的专用局域网(PAN),相当于拥有自己的路由器,无需支付硬件成本,也不会因为 500 台个人家用路由器在同一栋大楼内竞争空口时间而产生射频干扰。住户从第一天起即可享受即开即用的连接。根据英国房地产联合会(British Property Federation)的基准,这种模式支持每户每月 15 到 30 英镑的租金溢价,并能缩短空置期。

继续阅读本系列

Uu PPSK pdf: 比较功能与部署模型

本技术参考指南将 Private Pre-Shared Key (PPSK) WiFi 架构与传统的 802.1X 和标准 PSK 部署进行了对比。它为网络架构师和 IT 经理提供了针对多租户住宅、IoT 和 BTR 环境的供应商中立的实施策略。

阅读指南 →

Uu PPSK 2023:功能与部署模式对比

本技术参考指南对比了每用户独占私有预共享密钥 (UU PPSK) WiFi 架构与传统共享 PSK 及 802.1X 部署,并重点关注 2023 年各大厂商实施和平台功能的最新格局。它为房地产开发商、BTR 运营商和 MDU 业主提供了可操作的部署策略、VLAN 架构指南以及自动化生命周期管理工作流。该指南涵盖了三种部署模型、真实案例研究以及每种认证方法在合规性方面的影响。

阅读指南 →

PPSK xaverius:功能与部署模式对比

本权威指南深入剖析了适用于长租公寓(Build to Rent)和学生公寓等非单户多住户环境的 PPSK xaverius 架构。书中对比了不同的部署模式,详述了实施策略,并阐明了每户 VLAN 隔离如何在保持企业级安全性的同时,提供如家一般的 WiFi 体验。

阅读指南 →