PPSK 是什么：比较功能与部署模式

Speak in British English with a confident, authoritative, conversational tone - like a senior network consultant briefing a client in a meeting room. Measured pace, clear diction, warm but direct. Not a lecture, not a sales pitch - a peer-to-peer expert briefing: 欢迎收看 Purple 技术简报系列。今天我们将介绍 PPSK - Private Pre-Shared Key - 它是什么，它与您的其他认证选项相比如何，以及至关重要的是，您应该在何时实际部署它。 [short pause] 让我为您梳理一下场景。您负责管理整个物业组合的 WiFi。这可能是一个“建设即出租”（Build to Rent）住宅开发项目、一个酒店集团、一个零售地产或一个混合用途园区。您有成百上千的用户，以及越来越多数量的 IoT 设备，您需要在不同用户组之间实现网络隔离 - 并且无需承担部署完整 802.1X 企业级方案的运营开销。这正是 PPSK 旨在解决的问题。 [medium pause] 那么，什么是 PPSK？这个词代表 Private Pre-Shared Key。您还会听到它被称为 iPSK - Identity Pre-Shared Key - 这是 Cisco 的术语，或者 Cambium 和 Juniper Mist 称其为 ePSK。Aruba 将其称为 PPSK。无论厂商标签如何，其概念都是完全相同的：每个用户或设备在同一个 SSID 上都拥有自己独特的 WiFi 密码。 将其与标准的 WPA2 个人版（WPA2 Personal）进行对比，后者在网络上的每个设备都共享一个密码。如果该密码泄露，所有人都会暴露风险之中。如果有人搬出您的建筑物，您要么为所有人更改密码，要么默认他们仍然拥有访问权限。在规模化运营中，这两种选择都是不可接受的。 PPSK 消除了这一问题。每个居民、每个会员、每个设备都会获得一个唯一的凭证。当有人离开时，您只需撤销其密钥。其他人都不会受到影响。他们的设备将停止连接。操作完成。 [short pause] 现在，很自然的一个问题是 - 为什么不直接使用 802.1X 呢？它是基于端口的网络访问控制的 IEEE 标准。它使用 RADIUS 服务器对每个用户进行单独认证，支持带有数字证书的 EAP-TLS，并且与 Microsoft Entra ID、Okta、Google Workspace 集成。它是企业员工网络的黄金标准。 答案是：802.1X 是由您控制终端的托管企业设备的正确选择。但对于 IoT 设备、住宅楼宇中的 BYOD 场景，或者在您需要为成百上千不具备 IT 知识的居民进行入网引导的场所，它并不是正确的选择。IoT 设备 - 智能扬声器、温控器、门禁控制面板、CCTV 监控摄像头 - 通常根本不支持 802.1X 客户端。PPSK 适用于任何支持 WPA2 个人版的设备，这基本上涵盖了所有设备。 [medium pause] 让我为您介绍一下技术架构。在 PPSK 部署中，您的接入点上会广播一个单一的 SSID。当设备连接时，接入点会捕获 MAC 地址以及该设备正在使用的预共享密钥。然后，它将该信息发送到 RADIUS 服务器 - 或者在某些厂商的实现中，发送到控制器上的本地密钥数据库。服务器将密钥与用户记录进行匹配，并返回 VLAN 分配及任何其他策略属性。 该 VLAN 分配是关键所在。这意味着每个住户或用户都会自动放入他们自己隔离的网络段中。住户 A 的设备落在 VLAN 10 上。住户 B 的设备落在 VLAN 20 上。他们共享相同的物理接入点、相同的上行链路基础设施，但在第二层，他们彼此之间是完全不可见的。住户 A 看不到住户 B 的 Chromecast、智能电视或笔记本电脑。这种隔离是由网络强制执行的，而不是寄希望于用户自觉遵守行为规范。 [short pause] 这就是 Purple 所称的 WiFi 气泡模型。每个住户都会获得他们自己的私有气泡。使用相同密钥的设备可以相互发现 - 这样 Chromecast 可以正常工作，智能家居配对可以运行，游戏机也可以获得所需的 NAT 类型。而使用不同密钥的设备之间则是不可见的。它的表现形式与家庭宽带连接完全相同，但它运行在整个大楼共享的基础设施上。 [medium pause] 现在，让我为您介绍两个实际的部署场景。 第一：一个拥有 250 套房源的长租公寓（Build to Rent）项目。运营商需要提供入住当天即用的 WiFi、对智能家居设备的完整 IoT 支持，以及在租约结束时立即可撤销访问权限的能力 - 且不影响任何其他住户。标准的访客 WiFi 在这里行不通，因为它将每个设备与所有其他设备都隔离了，这会导致 Chromecast 和智能音箱无法正常工作。标准的 PSK 也行不通，因为在退房时更改整栋大楼的密码在规模化运营中是无法实现的。802.1X 同样行不通，因为住户携带的个人 IoT 设备并不支持它。 在 Cisco Meraki、HPE Aruba 或 Ruckus 接入点上部署 PPSK，并结合云端 RADIUS 服务器，可以同时解决这三个问题。每个住户在入住时都会获得一个唯一的密钥。他们的设备 - 手机、笔记本电脑、智能电视、Alexa、恒温器 - 都使用相同的密钥并落在相同的 VLAN 上。它们之间可以相互发现。当租约结束时，只需在管理门户中撤销该密钥。该住户的设备就会在几秒钟内断开连接。其他任何人均不会受到影响。 英国房地产联盟（British Property Federation）的标准估算表明，在长租公寓领域，将托管 WiFi 作为一项配套设施，每套房源每月可带来 15 至 30 英镑的租金溢价。对于一栋拥有 250 套房源的大楼来说，这意味着每月可增加 3,750 至 7,500 英镑的额外收入。而基础设施成本仅是在您已拥有的接入点上进行软件层面的覆盖。 [short pause] 第二种场景：一家拥有 180 间客房的酒店。该物业需要通过简单、易于访问的 WiFi 网络为宾客提供服务，通过隔离的企业网络为员工提供服务，并服务于不断增长的 IoT 设备群 - 包括智能锁、HVAC 传感器和 IPTV 系统。三个不同的用户群体，一个物理基础设施。 这里正确的架构是三个 SSID：一个使用开放式 WiFi 并配有用于数据采集和接受条款的 Captive Portal 的宾客 SSID；一个使用 802.1X 并与 Active Directory 集成的员工 SSID，用于个人责任追究和即时撤销；以及一个使用 PPSK 的 IoT SSID，其具有设备级密钥和带有严格出口过滤的专用管理 VLAN。PPSK 是 IoT 层的正确工具，因为这些设备无法执行 802.1X，但它们需要隔离和个人可撤销性。 [medium pause] 让我简要介绍一下厂商格局。所有主流的企业级接入点平台都支持 PPSK。在 Cisco Meraki 上，它被称为个人专用网络（Personal Private Network），通过 Meraki 仪表板和本地密钥数据库进行配置。在 HPE Aruba 上，它是 PPSK，并与 Aruba ClearPass 集成，以实现基于 RADIUS 的密钥管理。在 Ruckus 上，它是动态 PSK（Dynamic PSK），通过 SmartZone 或云控制器进行管理。Juniper Mist 称其为 ePSK，并与 Mist AI 集成以实现策略自动化。Ubiquiti UniFi 自固件 3.x 起就已支持 PPSK，并支持为每个密钥分配 VLAN。Cambium、Extreme Networks 和 Fortinet 都有等效的实现。 不同实现之间的关键运营差异在于密钥是存储在本地控制器上，还是通过外部 RADIUS 服务器进行验证。本地存储部署更简单，但限制了规模和集成。基于 RADIUS 的 PPSK 可扩展至数万个密钥，并与您的身份管理堆栈集成，但增加了基础设施的复杂性。对于 50 个用户以上的部署，基于 RADIUS 的方案是正确的选择。 [short pause] 现在，我们来看看陷阱。在 PPSK 部署中最常出现的三个问题。 第一：VLAN 中继（Trunk）配置错误。您设计了一个完美的每户 VLAN 方案，却忘记在从 AP 到核心交换机路径上的每个中继链路上允许这些 VLAN。流量会无声无息地丢弃。居民会抱怨。您会花几天时间去追踪它。在开始之前，请记录您的中继配置，并在调试期间对其进行验证。 第二：大规模密钥分发。生成唯一密钥很容易。但在正确的时间将这些密钥分发给正确的人 - 在入住时、通过居民应用程序、或通过欢迎礼包上的二维码 - 是一个运营流程，需要在上线前设计好，而不是在上线后。Purple 的平台通过与您的物业管理系统集成的自动化配置工作流来处理这一问题。 第三：IoT 设备引导。大多数智能家居设备在初始设置时使用蓝牙或临时本地 WiFi 热点，然后需要加入住户的主网络。如果您的 PPSK 实现不支持针对这些设备的顺畅引导流程，您将会收到支持工单。在住户入住之前，请务必测试您的 IoT 引导流程。 [medium pause] 好，下面让我快速解答一下我最常被问到的几个问题。 PPSK 能否在员工网络中替代 802.1X？不能。员工网络需要个人问责制、Active Directory 集成和基于证书的身份验证。对于员工，请使用 802.1X。 PPSK 是否支持 WPA3？支持。采用 SAE 的 WPA3 个人版针对预共享密钥的离线字典攻击提供了更强大的保护。如果您的接入点支持 WPA3，请启用它。 单个 SSID 可以支持多少个 PPSK 密钥？大多数企业级控制器每个 SSID 支持数千个密钥。Cisco Meraki 支持多达一万个。Aruba ClearPass 可扩展至数十万个。对于大多数部署而言，密钥数量并不是实际的限制因素。 PPSK 是否符合 PCI-DSS 标准？PPSK 可用于非支付网络。支付终端必须位于专用 VLAN 上，且不能共享身份验证凭据 - 这意味着 POS 系统需要使用 802.1X 或物理网络隔离。 [short pause] 总结一下：当您需要针对每个用户的隔离和可撤销性，且您的设备包含无法支持 802.1X 的 IoT 硬件，同时您需要保持较低的部署和运营复杂度时，PPSK 就是正确的身份验证模型。它介于标准 PSK（不提供个人控制）与 802.1X（提供最大安全性但需要托管终端和 PKI 基础设施）之间。 对于管理大量 IoT 设备物业的 BTR 运营商、学生公寓提供商和酒店集团，PPSK 通常是大规模实现租户隔离最实用的途径。Purple 的多租户 WiFi 平台可作为云覆盖部署在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 接入点上。它可以处理密钥分配、VLAN 分配、住户引导和分析 - 而无需您更换现有的硬件。 如果您正在规划部署并希望更详细地了解该架构，请点击下方链接查看完整指南。感谢您的收听。