PPSK unifi：对比功能与部署模式

执行摘要

对于管理多租户建筑的房地产开发商和 IT 经理而言，核心 WiFi 挑战在于：居民期望获得家庭网络体验 - 设备可以相互发现、智能电视可以投屏、控制台可以连接 - 但在共享的基础设施上，必须保持每个住户相互隔离。标准 PSK 在隔离方面表现不佳。802.1X 在 IoT 设备兼容性上表现不佳。PPSK（即 Private Pre-Shared Key，私有预共享密钥）同时解决了这两个问题。

PPSK 在整栋建筑中广播单个 SSID，同时向每个居民分配一个唯一的密码。网络使用该密码将每个连接的设备分配到专用的 VLAN，从而为每个住户创建一个隔离的微型网络。同一居民 VLAN 内的设备可以自由通信；不同 VLAN 上的设备则彼此不可见。

在 Ubiquiti UniFi 硬件上，PPSK 原生适用于小型部署，并通过 Purple 的云 RADIUS 叠加层适用于企业规模。本指南涵盖了这两种模式、您需要了解的协议限制，以及将托管 WiFi 作为创收便利设施进行部署的商业案例。

技术深度剖析：PPSK 对比 802.1X 对比 PSK

要了解 PPSK 的适用场景，需要将其与两种主流的企业认证标准进行直接对比。

标准 PSK

WPA2/WPA3-Personal 在一个 SSID 上对所有客户端使用单个密码。每个设备共享同一个广播域。在多租户建筑中，这意味着居民 A 可以看到居民 B 的设备。您可以在接入点上启用客户端隔离以阻止直接的设备间通信，但这样做会完全破坏本地网络功能 - 智能音箱无法控制智能灯，手机无法投屏到电视，游戏机也无法发现本地服务。标准 PSK 不适用于住宅多租户场景。

802.1X (WPA-Enterprise)

802.1X 通过 RADIUS 服务器使用唯一的凭据（用户名和密码）或证书对用户进行身份验证，常用的身份验证方法包括 EAP-TLS 或 PEAP。它提供强大的安全性，并支持通过 RADIUS 属性（具体为 Tunnel-Private-Group-ID）进行动态 VLAN 分配。然而，802.1X 要求连接的设备运行客户端（supplicant） - 用于协商身份验证握手的软件。大多数消费级 IoT 设备、智能电视和游戏机都不包含客户端。它们只接受简单的密码。在住宅环境中强制执行 802.1X 会立即排除居民想要连接的大部分设备。

PPSK (Private Pre-Shared Key)

PPSK - 也就是 Cisco Meraki 和 Purple 所谓的 iPSK (Identity Pre-Shared Key)，以及一些供应商所称的 Personal Private Network - 弥补了这一差距。它使用所有设备都支持的 WPA2 加密，但将每个唯一的密码映射到特定的 VLAN。接入点（或外部 RADIUS 服务器）在关联时执行此映射。其结果是无需任何特殊的客户端软件即可实现针对每个居民的隔离。

WPA3 限制。 PPSK 从根本上与 WPA3 不兼容。WPA3 使用对等实体同时身份验证 (SAE)，这要求接入点在身份验证握手开始之前就知晓预共享密钥。而 PPSK 是在身份验证期间确定正在使用哪个密钥。这些要求是相互排斥的。如果您在 UniFi 上部署 PPSK，您将使用 WPA2，并且无法使用 6 GHz 频段。

实施指南：2 种部署模型

模型 1：原生 UniFi PPSK (小规模部署)

Ubiquiti 在最近的固件版本中为 UniFi 网络应用程序添加了原生 PPSK 支持。此模型适用于小型联合办公空间、精品多户住宅 (MDU) 建筑或试点部署。

步骤 1：VLAN 配置。 在 UniFi 控制器中，导航至 Settings > Networks 并为每个租户创建一个专用 VLAN。为每个 VLAN 分配一个唯一的 ID (例如，单元 1 为 VLAN 101，单元 2 为 VLAN 102)。

步骤 2：网络创建。 导航至 Settings > WiFi 并添加一个新的无线网络。将安全协议设置为 WPA2 Personal。

步骤 3：启用 PPSK。 在 WiFi 设置中，启用 Private Pre-Shared Keys 选项。控制器将提示您创建单独的密码。

步骤 4：密钥到 VLAN 的映射。 对于您创建的每个密码，将其分配给相应的 VLAN。接入点将在连接时使用该密码来确定 VLAN 分配。

步骤 5：mDNS 配置。 确保您的 UniFi 网关或 USG 已配置为允许在每个 VLAN 内进行 mDNS 反射，同时阻止跨 VLAN 组播。这对于设备发现 (Chromecast、Apple Bonjour、Sonos) 至关重要。 原生 PPSK 的局限性。 手动密钥管理在超过几十个设备后在操作上就变得不可行。没有自动化的配置或撤销。当租户搬出时，您必须从控制器中手动删除他们的密钥。并且它无法与物业管理系统集成。

模式 2：使用 Purple 的云 RADIUS 叠加（企业级规模）

对于大型 BTR（长租公寓）或学生公寓物业，Purple 提供了一个与硬件无关的软件叠加层，通过 RADIUS 与 UniFi 接入点集成。该模式实现了整个凭据生命周期的自动化。

步骤 1：RADIUS 配置文件配置。 在 UniFi 控制器中，导航至 Settings > Profiles > RADIUS 并创建一个新配置文件。输入 Purple 的云 RADIUS 服务器地址以及在 Purple 引导过程中提供的共享密钥。

步骤 2：SSID 配置。 使用 WPA2 Enterprise 创建无线网络。选择在步骤 1 中创建的 RADIUS 配置文件。Purple 的 RADIUS 服务器处理身份验证，并通过 Tunnel-Private-Group-ID 属性返回 VLAN 分配。

步骤 3：物业管理集成。 通过 API 或 webhook 将 Purple 连接到您的物业管理系统 (PMS)。在 PMS 中创建新租约时，Purple 会自动生成唯一的 PPSK 并配置相应的 VLAN。

步骤 4：住户引导。 住户通过 Purple 应用程序或欢迎电子邮件接收其凭据。他们将这个单一密码用于其所有设备 - 手机、笔记本电脑、智能电视、游戏机和 IoT 传感器。

步骤 5：自动化退房注销。 当租约结束时，PMS 会触发 Purple 撤销密钥。访问权限会立即终止，不会影响其他住户。

该模式运行在 Purple 的云 RADIUS 基础设施上，该基础设施支持 80,000 多个场所，并在 2024 年保持了 99.999% 的在线率（Purple 内部数据）。它与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 接入点兼容。

有关相关网络设计策略，请参阅 Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi 以及我们全面的 iPSK: una guía completa para empresas 。

多租户 WiFi 设计的最佳实践

针对高密度进行设计。 规划每个家庭 15-25 台设备（来自 80,000 多个场所的 Purple 内部数据）。一个拥有 200 个单元的 BTR 物业将有 3,000-5,000 台并发设备。选择具有足够 CPU 和内存以应对高客户端数量的 UniFi 接入点 - U6-Enterprise 或 U7-Pro。将 AP 放置在走廊而不是单元内部，以减少所需的 AP 数量，同时保持覆盖范围。

仔细管理 mDNS。 组播 DNS 对于设备发现（Apple Bonjour、Google Cast、Sonos）至关重要。配置您的网络以在每个住户的 VLAN 内反映 mDNS 流量，同时严格阻止其跨越 VLAN 边界。UniFi 的 mDNS 中继功能在配置正确时可以处理此问题。

合理规划 DHCP 范围大小。 每个住户一个 /24 子网（254 个可用 IP）对大多数家庭来说已经足够。确保您的核心路由基础设施（通常是 UniFi Dream Machine Pro 或 UDM-SE）能够处理数百个并发子网而不会出现性能下降。

尽量减少 SSID 数量。 您广播的每一个额外 SSID 都会因管理帧而占用空口时间，从而减少数据流量的可用带宽。PPSK 使您能够合并为一个单一的住户 SSID。为公共区域的访客添加一个单独的 Guest WiFi SSID，并为物业管理添加一个 Staff WiFi SSID。对于大多数部署，三个 SSID 是实际的最大值。

在路由层实现 VLAN 之间的客户端隔离。 不要仅仅依赖 VLAN 标记。在核心路由器上配置显式 ACL，以防止住户网络之间的跨 VLAN 路由。仅允许往返于互联网网关的路由。

故障排除与风险缓解

Chromecast 问题

多租户环境中最高频的支持工单是设备投屏失败。住户的手机无法发现其 Chromecast 或 Apple TV。当投屏设备和接收设备位于不同的子网中，或者 mDNS 流量在 VLAN 边界处被丢弃时，就会发生这种情况。

诊断： 确认两台设备使用的是同一个 PPSK。在 UniFi 控制器中，检查客户端列表并验证两台设备是否分配给同一个 VLAN。如果它们位于不同的 VLAN 中，则说明 PPSK 映射不正确。

解决方法： 在控制器或 Purple 控制面板中纠正 PPSK 与 VLAN 的映射。验证 UniFi mDNS 中继已启用并范围限定于正确的 VLAN。

密码轮换混乱

在标准 PSK 部署中，当住户搬出时，必须更改整个大楼的密码，这会迫使每位其他住户更新其所有设备。这在规模化运营中是灾难性的。

解决方法： PPSK 完全消除了这种风险。撤销一位住户的密钥仅会影响该住户。Purple 通过 PMS 集成自动执行撤销，因此无需手动干预。

DHCP 耗尽

在高密度建筑中，如果 DHCP 地址池规划过小，可能会耗尽。/24 子网提供 254 个 IP。对于每个家庭 20 多个设备的情况，这对于单个住户单元来说足够了，但请确保您的 DHCP 租期设置合理（住宅使用为 4 到 8 小时），以便从断开连接的设备中回收地址。

WPA3 迁移规划

随着 WPA3 成为新设备上的默认配置，PPSK 的 WPA2 限制将变得越来越突出。请立即规划您的迁移路径。对于将 WPA3 视为首要任务的物业，请评估 802.1X 以及云 RADIUS 覆盖方案，该方案可通过基于 MAC 的认证或专用的 IoT SSID 单独处理 IoT 设备的引导。

投资回报率（ROI）与业务影响

将 WiFi 视作一项托管便利设施可为 BTR（建房出租）运营商带来可衡量的商业回报。根据英国房地产联合会（British Property Federation）的行业基准，提供高性能、即装即用 WiFi 的物业每月每套房源可获得 15 至 30 英镑的租金溢价。即装即用的 WiFi 可将空置期缩短 5 到 10 天。与同传统 ISP 协商个人宽带合同相比，在自有的 UniFi 硬件上部署 Purple 的软件覆盖层可降低 30-50% 的每户成本（Purple 内部模型数据）。

对于一个拥有 200 套房源的 BTR 物业，这笔账一目了然。每月每套房源 20 英镑的溢价可产生 48,000 英镑的额外年收入。相比按套收费的软件覆盖层成本，投资回收期通常在 12 个月以内。

对于 酒店 运营商而言，其优势虽有不同，但同样可以衡量。用基于 PPSK 的安全 SSID 取代开放式网络，可以消除因 Captive Portal 阻止 IoT 设备而导致的宾客体验失败，减少前台的业务支持电话，并启用 WiFi Analytics （WiFi 分析）以生成用于会员和营销计划的第一方数据。

对于 零售 和 交通 运营商，PPSK 能够在与宾客 WiFi 相同的网络基础设施上实现安全的员工网络隔离，从而降低硬件成本并简化网络管理。对于 医疗保健 环境，PPSK 提供了 GDPR 和 NHS 网络安全标准所要求的患者与访客隔离。

Purple 已在全球 80,000 多个场所部署了此架构，其中包括 Premier Inn、Whitbread 和曼彻斯特机场集团（MAG）。该平台在 2024 年处理了 4.4 亿次登录，并持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。

有关 iPSK 架构和部署的更多信息，请参阅 Nama ff keren iPSK: a comprehensive guide for businesses 和 Três SSIDs para a todos governar: o design de WiFi para convidados, funcionários e IoT 。