PPSK 对比：功能与部署模式的比较

[0:00 - 1:00] 介绍与背景 欢迎来到 Purple 技术简报。今天我们将专门针对多租户住宅和混合用途部署场景，深入探讨 PPSK - 私有预共享密钥（Private Pre-Shared Key）。如果您是物业开发商、租房建设（build-to-rent）运营商，或正在管理学生公寓项目，这与您今年将要做出的决策直接相关。 让我们从基础知识开始，因为这里的术语确实容易令人混淆。根据您所接触的厂商不同，PPSK 有几种不同的名称。Aruba 称其为 PPSK；Cisco Meraki 称其为个人私有网络（Personal Private Network）；Extreme Networks 使用 Private PSK 这一术语；Juniper Mist 和 Cambium 使用 ePSK；Ubiquiti UniFi 则称其为 Private Pre-Shared Keys。它们描述的都是同一个概念：不再是所有用户共享一个密码，而是每个用户或群体都拥有自己独特的凭证。 [1:00 - 6:00] 技术深挖 那么，为什么这很重要？想想传统大楼 WiFi 上的共享密码。每个居民都使用相同的密钥。当有人搬走时，您有两种选择：要么让他们的访问权限保持有效（这存在安全隐患），要么更改所有人的密码（这会中断其他所有居民的设备连接，直到他们重新连接）。在大规模运营中，这两种选择都是不可接受的。PPSK 完全消除了这个问题。您只需注销一个密钥，该居民就会失去访问权限，而其他所有人都完全不受影响。 这里有三种值得了解的独特部署模式，如果针对您的场景选错了模式，将会在运营上付出高昂的代价。 第一种是标准的共享 PSK - 即传统的、所有人共用一个密码。这种方式设置最简单，适合家庭网络。但在多租户大楼中，它在任何有意义的规模下都基本无法使用。一旦密码泄露，整个网络就会受到威胁，居民之间没有 VLAN 隔离，也无法单独注销。请避免使用这种模式。 第二种模式是群体级 PPSK。在这里，您为每个群体分配一个独特的密码 - 可能是每个楼层、办公楼中的每个部门，或者是项目组合中的每个物业。这为您提供了群体级的 VLAN 细分和群体级的注销功能。它非常适合活动、会议和需要部门隔离且无需针对单个用户进行复杂配置的办公环境。其运营开销较低，而且您不一定需要 RADIUS 服务器 - 许多接入点原生就支持群体 PPSK。 第三种模式 - 也是我们针对租房建设（BTR）、学生公寓和任何住宅部署所推荐的模式 - 是基于用户的 iPSK（身份预共享密钥）。每一位居民都会获得自己独特的凭证。他们的所有设备都使用这一个凭证，这会将他们放入自己的私有 VLAN 中 - 即他们自己的 WiFi 气泡。他们的手机可以连接智能电视，笔记本电脑可以连接 Chromecast，智能音箱可以与灯光配对。但是他们无法看到任何其他居民的设备，即使他们都处于相同的物理接入点和相同的 SSID 下。这就是让托管 WiFi 真正成为住宅便利设施的架构。住户体验与拥有自己的家用宽带路由器完全相同。运营商保留对基础设施的完整控制权。 让我为您介绍一下技术架构，因为了解这一点有助于您向供应商和集成商提出正确的问题。 在没有 RADIUS 的 PPSK 部署中，接入点本身保存着密钥及其关联 VLAN 分配的本地数据库。当设备连接时，AP 会查找密钥，识别其映射到哪个 VLAN，并将设备放入其中。这适用于较小的部署 - 在大多数企业级接入点上最多可容纳几百个密钥。Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 都支持这种方式的某种变体。 对于更大规模的部署 - 例如拥有两百个单元的 BTR 建筑、拥有一千张床位的学生公寓楼 - 您需要由 RADIUS 服务器支持的 PPSK。接入点将凭据转发给 RADIUS 服务器，RADIUS 服务器对照目录对其进行验证，返回相应的 VLAN 分配，然后 AP 相应地放置设备。这可以扩展到数万个密钥，与 Microsoft Entra ID、Okta 或 Google Workspace 等身份提供商集成，并为您提供集中式审计日志 - 这对于满足 GDPR 合规性至关重要。 说到合规性 - 这是部署模型的选择具有实际法律影响的一个领域。根据 GDPR，您有义务保护住户数据。如果住户 A 可以看到住户 B 的网络流量，那就是一个数据保护问题。通过 iPSK 提供的单用户 VLAN 隔离是满足该义务的技术机制。这不仅仅是一个加分项；在任何处理个人数据的住宅场景中，这都是一项合规性要求。 如果您的同一网络基础设施上有任何支付处理（例如混合用途开发项目中的零售元素），那么 PCI-DSS 就会派上用场。VLAN 划分将支付流量与住宅流量隔离，这是 PCI-DSS 的核心要求。IEEE 802.1X 是基于端口的网络访问控制的底层标准，虽然采用 EAP-TLS 和证书的完整 802.1X 是企业安全的黄金标准，但结合 RADIUS 的 PPSK 是一种务实的折中方案，它在显著降低部署复杂性的同时，提供了大部分安全优势。 [6:00 - 8:00] 实施建议与陷阱 现在让我为您提供两个具体的场景，因为理论只能带您走这么远。 场景一：市中心一栋拥有 250 个单元的建设租赁大楼。开发商希望将 WiFi 作为一项高端便利设施包含在月租中。住户期望他们的智能家居设备能够正常工作 - Sonos、Philips Hue、Amazon Echo、智能电视、游戏机。他们期望能够自行添加新设备，而无需致电服务台。并且他们期望邻居无法看到他们的网络流量。 这里最适合的架构是在整栋大楼中采用单一 SSID，并辅以结合 RADIUS 的 iPSK。每个住户在入住时都会获得一个唯一的密钥 - 通过住户应用或欢迎礼包中的二维码发送。他们所有的设备都使用该密钥。RADIUS 服务器将该密钥映射到每个单元的专用 VLAN。当他们搬走时，该密钥会在管理平台中被注销。下一位住户会获得一个新的密钥。无需更改密码，也不会对其他住户造成干扰。 硬件运行在已指定的任何接入点上 - Cisco Meraki、HPE Aruba、Ruckus 或 Ubiquiti UniFi 在该行业都很常见。Purple 的平台作为云端覆盖层运行，管理密钥生命周期、VLAN 分配和住户入网，无需对物理基础设施进行彻底升级。 场景二：一个多功能混合开发项目，一楼为零售，二楼和三楼为联合办公空间，四楼及以上为住宅。您拥有三个截然不同的用户群，他们有着完全不同的网络需求。零售需要符合 PCI 规范的支付隔离。联合办公成员需要企业级的可靠性和 VPN 兼容性。住户需要我们刚才描述的家庭网络体验。 在这里，您通常会运行三个 SSID - 每个群体一个 - 或者使用带有 PPSK 和基于角色的 VLAN 分配的单一 SSID 来隔离这三个群体。从运营角度来看，三 SSID 的方法更为清晰，并且能更自然地映射到不同的入网流程。零售员工使用带有企业凭据的 802.1X。联合办公成员获得按公司划分的群组级 PPSK。住户获得按单元划分的 iPSK。所有这三个群体共享相同的物理接入点基础设施，但他们的流量绝不会相交。 让我来谈谈最常见的实施陷阱，因为我反复看到相同的错误。 第一个是低估了设备密度。一栋拥有 200 个单元的大楼不会只有 200 台设备连接在 WiFi 上。它有 3000 到 5000 台。目前每个家庭平均有 15 到 25 台设备，且随着智能家居普及率的提高，这个数字每年都在增长。您的 DHCP 范围、您的 VLAN 子网大小以及您的接入点容量规划都需要考虑到这一点。 第二个陷阱是在大型部署中为了节省成本而选择不带 RADIUS 的 PPSK，随后发现接入点的本地密钥数据库有硬性限制。对于任何超过 100 个单元的部署，从一开始就要为 RADIUS 服务器做好预算。云端托管的 RADIUS 服务消除了本地基础设施的负担。 第三个陷阱是忽略了 2.4 GHz 频段。为了性能，您希望引导住户使用 5 GHz 和 6 GHz。但是物联网设备 - 智能插座、较旧的传感器、某些智能音箱 - 通常仅支持 2.4 GHz。您的 PPSK 配置需要同时处理这两个频段。 第四个陷阱是搬出工作流。仅在搬出时切实执行密钥注销流程，PPSK 才能发挥其运营优势。如果您的物业管理系统未与您的网络管理平台集成，密钥就会堆积。通过租户管理系统与 WiFi 管理平台之间的集成，自动执行注销工作流。 [8:00 - 9:00] 快速问答 现在，解答几个我经常被问到的快速问题。 我需要更换现有的接入点来部署 PPSK 吗？在大多数情况下，不需要。Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks 和 Fortinet 都在当前的固件上支持 PPSK 或 iPSK 变体。 PPSK 与带证书的 802.1X 安全性一样吗？不一样。带有 EAP-TLS 和数字证书的完整 802.1X 安全性更高。但对于需要为携带消费级设备的非技术居民办理入网的住宅部署，带 RADIUS 的 PPSK 是务实的选择，它在提供足够安全性的同时，将运营复杂度控制在可管理的范围内。 关于 WPA3 呢？PPSK 可以在 WPA3-Personal 上运行，只要您的接入点硬件支持，就应该启用它。在过渡期内，在同一 SSID 上运行支持 WPA2 和 WPA3 客户端的过渡模式是标准做法。 [9:00 - 10:00] 总结与后续步骤 总结一下：决策框架非常简单。如果您是在多租户住宅场景（BTR、学生公寓、社会住房）中部署 WiFi - 您需要带 RADIUS 的单用户 iPSK。如果您是为了活动、会议或办公室部门划分进行部署，那么不带 RADIUS 的组级 PPSK 通常就足够了。如果您在多租户大楼中仍在使用单一共享密码，那么今年就需要做出改变。 运营效益是显而易见的。与未管理或共享 PSK 的部署相比，采用 iPSK 的托管式 BTR 部署其支持工单量通常会减少百分之九十以上。搬出凭证管理也从波及整栋大楼的破坏性事件简化为单条数据库记录。 感谢收听 Purple 技术简报。如果您想深入了解架构，请访问 purple dot ai。如果您对具体的部署有任何疑问，请咨询我们的网络架构师。