PPSK usm kubang kerian: 比较功能与部署模式

欢迎阅读 Purple 技术简报。今天我们将介绍吉兰丹大学（USM）Kubang Kerian 校区的 PPSK - 它是指什么、与替代方案相比如何，以及在大型健康科学园区中的实际部署情况。 让我们先来了解一下背景。位于吉兰丹州 Kubang Kerian 的马来西亚理科大学（Universiti Sains Malaysia）健康校区是您在东南亚遇到的最复杂的 WiFi 环境之一。这里有一所拥有 747 张床位的教学医院、多所医学和健康科学学院、学生公寓、研究实验室和临床设施 - 所有这些都在同一个校区内，共享相同的物理网络基础设施。用户群体涵盖医学生、临床工作人员、管理团队、访问研究员、患者及其家属。设备类型更加多样：托管笔记本电脑、个人手机、医疗设备、IoT 传感器、CCTV 系统和智能建筑控制器。 像这样的校区的每位 IT 主管最终都会面临一个问题：在不为每个网段部署单独的 SSID 的情况下，如何为每个用户群体提供安全、隔离的网络体验？因为如果您这样做 - 如果您在如此规模的校区内广播八到十个 SSID - 您会降低每个人的 WiFi 性能。每个 SSID 都会消耗信标帧的空口时间。在高密度环境中，SSID 激增无异于性能杀手。 答案越来越多地指向 PPSK。即 Private Pre-Shared Key。这就是我们今天要去解构的内容。 那么，PPSK 究竟是什么？它是一种 WiFi 认证模式，其中每个用户、每个设备组或每个部门都获得自己独特的预共享密钥。它们都连接到同一个 SSID - 相同的网络名称 - 但每个密钥都映射到一个独立的 VLAN。接入点自动处理密钥到 VLAN 的映射。 各厂商的术语不尽相同，这在市场上引起了真正的混淆。HPE Aruba 称其为 PPSK - Private Pre-Shared Key。Cisco Meraki 称其为 iPSK - Identity PSK。Juniper Mist 使用 ePSK。Ruckus 称其为 DPSK - Dynamic PSK。在 Aerohive 品牌下开发该概念的 Extreme Networks 将其称为 Private PSK。Ubiquiti UniFi 则简称为 PPSK。其底层机制完全相同：一个 SSID，多个唯一的密钥，每个密钥绑定到一个 VLAN 或策略组。 现在，让我们将 PPSK 与您最常被问及的两个替代方案进行对比。第一个是标准 PSK - 整个网络使用一个共享密码。这是大多数传统校区部署目前仍在运行的方式。它部署简单，但存在单点故障。一个密码泄露就意味着整个网络都暴露了。您无法在不更改所有人密码的情况下撤销单个用户的访问权限。在一个拥有数千名用户的校区，这根本无法管理。 第二种替代方案是 802.1X Enterprise - 企业设备身份验证的金标准。802.1X 使用 RADIUS 服务器、身份提供商（例如 Microsoft Entra ID、Okta 或 Google Workspace）以及每个设备上的客户端（supplicant）。该客户端是处理 EAP 身份验证交换的软件组件。每台受管笔记本电脑都配有此客户端。但您学生的智能冰箱没有。您的临床 IoT 传感器没有。您的楼宇管理控制器也没有。802.1X 是员工网络和受管设备集群的正确选择。但对于 IoT 设备、个人设备以及您在健康科学园区中常见的多用途混合环境而言，它是错误的选择。 PPSK 介于两者之间。它为您提供单用户隔离和 VLAN 分配，而无需证书基础设施或在每个设备上安装客户端。它适用于任何支持 WiFi 的设备，包括无法支持 WPA Enterprise 的传统医疗设备。这是它在医疗和教育环境中的核心优势。 让我们来看看技术身份验证流程。当设备连接到 SSID 时，它会在 WPA2 四次握手期间出示其预共享密钥。接入点（或其背后的云控制器）在 PPSK 存储库中查找该密钥，识别其映射到哪个 VLAN，并从此时起对该设备的流量进行相应标记。设备看到的是正常的 WiFi 连接。它完全不知道自己已被放入隔离的网段中。它的应用程序可以正常工作。它的服务可以正常配对。一切运行皆如预期。 在基于 RADIUS 的部署中 - 这是 Purple 针对任何超过 200 个并发用户的园区所推荐的方案 - 控制器会针对每次新连接查询外部 RADIUS 服务器。RADIUS 服务器返回一个包含密钥验证和 VLAN 分配的 Access-Accept 响应。这为您提供了集中式日志记录、审计追踪，并能通过从 RADIUS 存储库中删除密钥来立即撤销访问权限。设备将在下一次重新身份验证时断开连接。无需在接入点级别进行任何手动干预。 现在让我们来讨论部署模型，因为目前在生产环境中有三种不同的方法，正确的选择取决于您的园区规模、IT 资源和现有硬件。 第一种是控制器本地 PPSK。唯一的密钥直接存储在无线控制器上，不需要外部 RADIUS 服务器。这适用于较小的部署（最多约 200 个并发用户），且操作最简单。Ubiquiti UniFi 原生支持此功能。其局限性在于可扩展性。大多数控制器的本地 PPSK 条目上限为几百个，并且您会失去使 PPSK 在大规模运营中可行所需的集中式生命周期管理。对于像马大吉兰丹分校（USM Kubang Kerian）这样规模的园区，这种模型并不适用。 第二种模式是基于 RADIUS 的 PPSK。密钥存储在外部 RADIUS 服务器中，控制器对每个新连接都会查询 RADIUS 服务器。这可以扩展到数千个用户。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支持这种模式。虽然运营开销较高，但其可扩展性和生命周期管理能力明显更好。这是大型校园部署的正确模式。 第三种模式 - 也是 Purple 为没有专用 RADIUS 基础设施的机构推荐的模式 - 是云 RADIUS-as-a-Service。RADIUS 基础设施由外部托管和管理，您通过云叠加将其连接到您的接入点。Purple 的平台运行在您现有的硬件之上 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 还是 Fortinet - 并为密钥配置、生命周期管理和用户入网提供编排层。密钥生命周期完全自动化。学生注册后，其密钥通过与学生管理系统的集成进行配置。他们毕业或退学时，其密钥会立即被撤销。无需手动干预，无安全漏洞。 专门针对 USM Kubang Kerian，推荐的架构是混合模式：针对学生、居民和物联网设备采用 PPSK，而针对使用受管设备的临床员工和行政团队采用 802.1X。三种不同的身份验证模式，三个不同的 VLAN 段，一个物理基础设施。学生位于 VLAN 10 直至队列规模所需的任何大小。临床员工通过 802.1X 对接大学的身份提供商。物联网和楼宇管理系统位于具有出口过滤的专用物联网 VLAN 上。公共区域的访客 WiFi 通过独立 VLAN 上的 Captive Portal 提供。 在您确定硬件规格之前，需要指出一个关键限制：Ubiquiti UniFi 的 PPSK 实现目前仅限 WPA2。如果您正在部署 WiFi 6E 接入点，并希望将 6 GHz 频段用于 PPSK 客户端，则需要一个支持 WPA3-SAE 结合 PPSK 的平台 - Aruba、Ruckus 和 Meraki 都支持此功能。6 GHz 频段是 WPA3 独有的，因此 6 GHz 上的任何 PPSK 部署都需要 WPA3-SAE 兼容性。在您确定供应商之前，请在您的硬件规格中为此做好规划。 让我来梳理一下实施过程中的陷阱，因为这些是我在生产部署中反复看到的失败模式。 首先是 SSID 泛滥。您广播的每个 SSID 都会消耗信标帧的空口时间。在密集的校园环境中，如果您在每个接入点上广播六个或八个 SSID，那么您正在降低每个人的网络性能。请将每个射频的 SSID 数量控制在最多四个。使用 PPSK 从单个 SSID 为多个用户群段提供服务，而不是为每个部门或每个楼层创建单独的 SSID。 第二个陷阱是 trunk 端口配置不足。您设计了整洁的 VLAN 方案并部署了接入点，但由于有人忘记在分布层交换机和接入层之间的 trunk 链路中允许相关的 VLAN，流量在无形中丢失了。在调试期间验证每个 trunk 端口。记录它。在用户上线之前，使用每个 VLAN 上的设备进行测试。 第三个陷阱是 MAC 地址随机化。自 iOS 14、Android 10 和 Windows 11 以来，出于隐私原因，设备默认使用随机 MAC 地址。如果您的 RADIUS 服务器正在进行 MAC 查询，而设备提供了随机地址，则查询失败，设备无法连接。解决方案是配置您的 SSID，请求客户端使用其永久硬件 MAC 地址，或者实施预注册工作流程，让用户在连接之前注册其设备。Purple 的平台会自动处理此问题，作为用户引导流程的一部分。 第四个陷阱是密钥分发。生成密钥很简单。以安全且运营上可管理的方式将它们分发给用户则较为困难。在迎新包中提供 QR 码在入住当天效果很好。一个允许用户检索其密钥并添加新设备的自服务门户对于持续运营来说更好。在部署之前构建密钥分发工作流程，而不是在部署之后。 现在让我们来看看与 USM Kubang Kerian 这样的校园直接相关的两个真实案例。 场景一：拥有 400 个床位的专门建造的学生宿舍区。面临的挑战是年度生源轮换。每个学年，数百名学生搬出，数百名新学生搬入，通常是在同一个星期内。使用共享 PSK 模式，这意味着影响到每个留宿居民的整栋大楼密码轮换。而使用 PPSK，这意味着撤销搬出学生的密钥，并为搬入的新生配置新密钥 - 所有这些都通过与学生管理系统的集成自动完成。使用这种模式的一位运营商报告称，在第一学期中，与 WiFi 相关的支持工单减少了 70%，主要是因为彻底消除了曾困扰先前共享 PSK 部署的设备配对问题。 场景二：拥有混合设备类型的临床研究设施。这里的挑战是同时支持 802.1X 上的托管临床工作站以及无法支持 WPA Enterprise 的传统医疗设备。混合模式 - 托管设备使用 802.1X，传统和物联网设备使用 PPSK - 解决了这一问题，而无需独立的物理基础设施。临床工作站通过 EAP-TLS 针对大学的身份提供商进行身份验证。传统设备获得专用的 PPSK 密钥，映射到受限的 VLAN，并对需要访问的临床系统进行出口过滤，除此之外别无他物。安全防护得以维持，运营复杂度也可控。 在我们进入快速提问环节之前，让我先为您提供三个实用的经验法则。 规则一：如果您的校园或建筑有超过 200 个并发用户，请使用基于 RADIUS 的 PPSK，而不是控制器本地 PPSK。控制器本地 PPSK 的可扩展性上限将在上线后 12 个月内为您带来麻烦。 规则二：从第一天起就为 MAC 地址随机化做好规划。在用户入网流程中构建预注册工作流。不要假设设备默认会呈现其永久 MAC 地址。它们不会。 规则三：自动管理密钥生命周期。PPSK 相比共享 PSK 的运营价值完全取决于密钥的自动配置和撤销。大规模的手动密钥管理是不可行的。从一开始就要与您的学生管理系统或人力资源系统进行集成。 好的。下面是快速问答。这些是经常出现的问题。 PPSK 是否支持 WPA3？是的，在大多数企业级平台上都支持。与 WPA2-PSK 相比，WPA3-SAE 针对离线字典攻击提供了更强的保护，因此在您的客户端设备支持的情况下，在 WPA3 上部署 PPSK 是正确的方法。唯一的例外是 Ubiquiti UniFi，目前其 PPSK 仅支持 WPA2。 单个 SSID 可以支持多少个 PPSK 密钥？使用外部 RADIUS 服务器时，实际限制是您的 RADIUS 数据库容量。Cisco Meraki 每个网络支持多达 5000 个 iPSK 条目。Purple 的云 RADIUS 服务可扩展至数万个并发密钥。 PPSK 是 802.1X 的替代方案吗？不是。对于注重个人责任归属和基于证书的身份验证的完全托管企业设备群，802.1X 仍然是正确的选择。PPSK 是物联网设备、个人设备以及在 802.1X 不切实际的混合使用环境中的正确选择。 我可以将 PPSK 与我的学生管理系统集成吗？可以，通过厂商的 API 即可实现。Aruba Central、Meraki、Ruckus 和 Mist 都提供了用于 PPSK 密钥管理的 REST API。Purple 平台提供了预构建的集成，可根据入学/注册状态自动执行配置和撤销。 总结一下。对于像 USM Kubang Kerian 这样复杂的混合使用校园，PPSK 是正确的身份验证模型。它为您提供单用户隔离和 VLAN 分配，而无需在每台设备上安装证书基础设施。混合模型 - 为学生和物联网设备提供 PPSK，为教职工提供 802.1X - 是在大规模应用下兼顾安全性和运营简便性的架构。从第一天起就自动管理密钥生命周期。为 MAC 随机化做好规划。保持您的 SSID 数量在每个射频四个以下。如果您正在进行大规模部署，请使用云 RADIUS 服务，而不是自己管理基础设施。 这就是针对 USM Kubang Kerian 的 Purple PPSK 技术简报。如果您想深入了解其中任何主题，可以在 purple.ai 获取完整的书面指南。感谢收听。