Ppsk-kiosk: comparing features and deployment models

欢迎阅读 Purple 技术简报。今天我们将介绍 PPSK-kiosk 部署 - 它们是什么、与替代方案相比如何，以及它们在哪些场景下真正适合部署。 让我们从问题开始。在传统的 WPA2 个人网络中，每个设备都共享同一个密码。这在家里没问题。但在一个有 200 套房源的 Build to Rent 住宅区、一间有 300 间客房的酒店或一个举办连续会议的会议中心里，这就是一个隐患。当一个居民搬走或一位客人退房时，您要么为所有人更改密码（这会中断大楼里其他所有设备的连接），要么保持旧凭证处于激活状态。这两种选择都是不可接受的。 PPSK 通过为每个居民、每个公寓或每个设备组提供其专属的唯一 WiFi 密钥来解决这个问题。它们都连接到同一个 SSID（相同的网络名称），但每个密钥都会映射到一个独立的 VLAN。12 号公寓位于 VLAN 10。13 号公寓位于 VLAN 20。IoT 设备位于 VLAN 99。接入点会自动处理密钥到 VLAN 的映射。不需要 RADIUS 服务器。不需要证书基础设施。设备上不需要 802.1X 请求方。 现在，对于房地产开发商和场所运营商来说，自助机（kiosk）元素正是运营上最有趣的地方。PPSK-kiosk 是一个自助服务终端（通常是固定支架中的平板电脑），放置在大堂、接待处或公共区域。访客或新居民走上前，输入姓名或扫描二维码，自助机就会当场生成并发布一个唯一的 PPSK。该密钥与他们的身份记录绑定，有明确的有效期，并映射到其访问层级对应的正确 VLAN。无需前台工作人员参与。无需 IT 工单。没有写在白板上的共享密码。 我们来谈谈术语，因为不同厂商的术语有所不同，这会引起真正的混淆。Aruba 称其为 PPSK - Private Pre-Shared Key。Cisco Meraki 称其为 iPSK - Identity PSK。Juniper Mist 使用 ePSK。Extreme Networks（最初在 Aerohive 品牌下开发了该概念）称其为 Private PSK。Ubiquiti UniFi 简称为 PPSK。Cambium 也使用 ePSK。所有这些背后的底层机制都是完全相同的：一个 SSID，多个唯一密钥，每个密钥绑定到一个 VLAN 或策略组。 从技术上讲，以下是关联层发生的情况。当设备连接时，它会在 WPA2 四步握手期间出示其预共享密钥。接入点（或其背后的云控制器）在 PPSK 存储中查找该密钥，识别其映射到哪个 VLAN，并从该点开始相应地标记设备的流量。设备看到的是正常的 WiFi 连接。它完全不知道自己已被放入一个隔离的网络分段中。其 Chromecast 可以正常工作。其智能音箱正常配对。其游戏主机获得正确的 NAT 类型。一切表现得就像家庭网络一样 - 因为从设备的角度来看，它确实就是。这就是与 802.1X 的关键区别，后者是员工网络和企业环境的企业标准。802.1X 需要 RADIUS 服务器、身份提供商 - Microsoft Entra ID、Okta 或 Google Workspace - 以及每台设备上的客户端。该客户端是处理 EAP 身份验证交换的软件组件。每台受管理的笔记本电脑、每部企业手机都有一个。但您的住户的智能冰箱没有。您大楼的 HVAC 控制器没有。您的 IoT 传感器也没有。PPSK 适用于所有这些设备，因为它在 WPA 个人层运行，而不是 WPA 企业层。 尽管如此，PPSK 并不是企业环境中 802.1X 的替代品。它是针对不同问题的不同工具。如果您运行的是注重个人责任的员工网络，802.1X 是正确的选择。如果您运行的是住宅网络，需要按家庭隔离、IoT 支持以及大规模的运营简单性，PPSK 是正确的选择。 让我们来看看目前在生产中应用的三种部署模式。 第一种是云控制器模式。您的接入点 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 还是 Fortinet - 都连接到云管理平台。PPSK 密钥库驻留在云控制器中。当您配置新住户时，您在门户中创建一个密钥，将其分配给 VLAN，然后控制器将该策略推送到大楼中的每个接入点。住户通过欢迎包中的电子邮件、短信或二维码获取密钥并进行连接。当他们搬走时，您删除该密钥。他们的设备就会停止连接。其他任何人不受影响。 第二种模式是带有本地 RADIUS 后端的 PPSK。一些企业部署使用 RADIUS 服务器来存储和验证 PPSK 凭据，这为您提供了集中式日志记录、审计跟踪以及与身份管理平台的集成。这增加了基础设施开销，但为您提供了具有 802.1X 的问责制和 PPSK 的设备兼容性。 第三种模式是混合模式：面向住户和 IoT 的 PPSK，面向员工和管理系统的 802.1X。这是 Purple 针对长租公寓和多户住宅部署推荐的架构。住户使用 PPSK。大楼管理系统、CCTV 和门禁系统使用带有 PPSK 的独立 IoT VLAN。物业管理团队的设备通过 Microsoft Entra ID 或 Okta 使用 802.1X。三种不同的身份验证模型，三个不同的 VLAN，一个物理基础设施。 现在让我们来看看其中的陷阱。这些是我在生产部署中反复看到的失败模式。 第一个问题是 SSID 泛滥。您广播的每个 SSID 都会消耗信标帧的空中传输时间。在高密度的住宅楼中，如果每个接入点广播六到八个 SSID，将会降低所有人的网络性能。请将每个射频的 SSID 数量控制在最多四个。使用 PPSK 通过单个 SSID 满足多个住户群体的需求，而不是为每个公寓或每个楼层创建单独的 SSID。 第二个陷阱是干道端口（Trunk Port）配置不足。您设计了清晰的 VLAN 方案并部署了接入点，但由于有人忘记在分配交换机与接入层之间的干道链路（Trunk Link）上允许相关的 VLAN，导致流量静默丢包。在调试期间，请验证每一个干道端口，将其记录在案。在住户入住之前，使用每个 VLAN 上的设备进行测试。 第三个陷阱是密钥分发。生成密钥很简单。以安全且运营上可管理的方式将密钥分发给住户则较为困难。在欢迎礼包中提供二维码非常适合入住当天。而提供一个住户门户网站，让他们能够检索自己的密钥并添加新设备，则更适合日常运营。在部署之前，而不是部署之后，建立好密钥分发工作流程。 让我为您提供两个在实际应用中说明这一点的真实场景。 场景一：某市中心拥有 180 套住宅的建房出租（Build to Rent）项目。运营商希望将 WiFi 作为一项便利设施包含在房租中，实现入住即启用并全面支持智能家居。他们部署了通过 Aruba Central 管理的 HPE Aruba 接入点。每套公寓在签订租约时都会生成一个唯一的 PPSK 密钥。该密钥会通过包含二维码的电子邮件发送给住户。他们扫描二维码，所有设备即可连接，他们的 Chromecast、智能音箱和游戏机全部可以立即使用。当住户搬离时，物业经理在门户网站中删除该密钥。新住户在入住时会获得一个全新的密钥。运营商报告称，与之前部署共享密码的方式相比，与 WiFi 相关的支持工单减少了 30%。 场景二：一个拥有 400 个床位的专用学生公寓项目。这里的挑战在于迎新周，成百上千的学生同时到达，大家都试图同时连接几十台设备。运营商使用了配备 SmartZone 的 Ruckus 接入点，部署了每间房一个密钥的 PPSK。密钥已提前生成，并包含在到达前寄出的欢迎礼包中。学生们在到达时扫描二维码，数秒内即可连接上网。网络在没有性能退化的情况下处理了入住高峰，因为每个学生的流量都被隔离在他们自己的 VLAN 网段中。 现在针对最常见的问题进行快速问答。 单个接入点可以处理多少个 PPSK 密钥？大多数企业级平台每个 SSID 支持数千个密钥。Cisco Meraki 每个网络支持多达 5,000 个 iPSK 条目。Aruba 支持类似的规模。Ubiquiti UniFi 每个网络支持多达 1,000 个 PPSK 条目。对于一栋拥有 200 套住宅的建筑，在任何平台上您都完全处于限制范围之内。 PPSK 能与 WPA3 配合使用吗？是的，在大多数企业级平台上都可以。与 WPA2-PSK 相比，WPA3-SAE 提供了更强大的防脱线字典攻击保护，因此在您的客户端设备支持的情况下，在 WPA3 上部署 PPSK 是正确的选择。唯一例外的是 UniFi，目前其 PPSK 仅支持 WPA2。 我可以将 PPSK 与我的物业管理系统集成吗？是的，可以通过服务商的 API 进行集成。Aruba Central、Meraki、Ruckus 和 Mist 都对外提供用于 PPSK 密钥管理的 REST API。Purple 的平台作为云端覆盖层运行，负责处理与底层硬件的 API 调用，因此无论您运行的是哪个接入点服务商的硬件，您的物业管理系统都只需与一个端点进行通信。 关于 GDPR 合规性如何？PPSK 密钥生成会收集身份数据 - 姓名、电子邮件、房间号。根据 UK GDPR，该数据需要合法依据、明确的保留策略和安全存储。Purple 支持在您选择的欧盟、英国或美国区域存储数据，且在引导流程中内置了可配置的保留期和同意书捕获功能。 总结一下。当您需要单用户或单户家庭的 WiFi 隔离、IoT 设备支持以及大规模的自助引导服务时，PPSK-kiosk 是最合适的架构。它可以在您可能已经拥有的硬件上运行 - 包括 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet。对于需要个人审计轨迹的员工网络，它并不能取代 802.1X。而 kiosk 元素 - 即自助服务终端 - 正是在拥有 200 个单位的 BTR（建房出租）项目或 500 名代表的会议规模下，使其在运营上切实可行的关键。 如果您正在计划部署并希望深入探讨架构，Purple 的团队已服务于超过 80,000 个场所，可以针对您的特定物业类型规划最合适的模式。链接已在指南中。感谢您的收听。