Ruu PPSK: comparing features and deployment models

欢迎阅读 Purple 技术简报。今天我们将介绍 Ruu PPSK。即专用预共享密钥 WiFi 架构，特别是它如何应用于多租户住宅和商业物业部署。我将带您了解它是什么、它与替代方案相比如何、哪种部署模式适合您的具体情况，以及大多数项目常遇到的陷阱。让我们开始吧。 首先，问题所在。如果您管理的是长租公寓（Build to Rent）、学生公寓或任何多户住宅物业，您会面临一个标准企业网络无法干净利落解决的特定 WiFi 挑战。在传统的 WPA2 个人网络中，大楼中的每个设备都共享一个密码。当居民搬走时，您有两个选择：一是更换密码，但这会中断大楼内其他所有居民的 WiFi 连接；二是让前居民继续保留访问权限。这两种方案都不可接受。在拥有 200 个单元的情况下，这两种方案在运营上也都不可行。 这就是 PPSK 解决的问题。专用预共享密钥（Private Pre-Shared Key）为每个居民、每个公寓或每个设备组提供其专属的唯一 WiFi 密码。他们都连接到同一个 SSID（相同的网络名称），但每个密钥都映射到一个独立的 VLAN - 即虚拟局域网。12 号公寓在 VLAN 10 上，13 号公寓在 VLAN 20 上，物联网设备在 VLAN 99 上。无线接入点会自动处理密钥到 VLAN 的映射。在基本模式下，不需要 RADIUS 服务器，不需要证书基础设施，设备上也不需要 802.1X 客户端。 现在，我们来说说术语，因为这是市场上最容易让人产生困惑的地方。Aruba 称其为 PPSK。Cisco Meraki 称其为 iPSK（或 Identity PSK）。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下开发这一概念的 Extreme Networks 称其为 Private PSK。Ubiquiti UniFi 简称为 PPSK。Cambium 也使用 ePSK。所有这些背后的底层机制是完全相同的：一个 SSID，多个唯一的密钥，每个密钥与一个 VLAN 或一个策略组绑定。厂商的命名只是市场营销手段，并非技术上的区别。 让我带您了解一下在关联层实际发生的情况，因为这正是该架构发挥其价值的地方。当居民的设备连接到 SSID 时，它会在 WPA2 四次握手期间出示其预共享密钥。接入点（或其背后的云控制器）在 PPSK 存储中查找该密钥，识别其映射到哪个 VLAN，并从该点开始对设备的流量进行相应的标记。设备看到的是完全正常的 WiFi 连接，它完全不知道自己已被放入一个隔离的网络分段中。其 Chromecast 可以正常工作，智能音箱可以配对，游戏机可以获得正确的 NAT 类型。一切表现得就像在家里宽带连接上一样，因为从设备的角度来看，它确实如此。 这是其与 802.1X 的关键区别，后者是员工网络和企业环境的企业标准。802.1X 需要在每台设备上配备 RADIUS 服务器、身份提供商和客户端。客户端是处理 EAP 身份验证交换的软件组件。每台受管理的笔记本电脑和公司电话都配有一个。但您住户的智能冰箱没有。您大楼的 HVAC 控制器没有。您的 IoT 传感器也没有。PPSK 适用于所有这些设备，因为它在 WPA 个人层（而非 WPA 企业层）上运行。 即便如此，PPSK 在企业环境中并不能替代 802.1X。它是解决不同问题的不同工具。如果您运行的是一个需要个人责任制、需要知道特定人员在特定时间进行了身份验证，并需要在其离开组织时立即撤销其访问权限的员工网络，那么 802.1X 是正确的解决方案。如果您运行的是一个需要按户隔离、IoT 支持以及大规模操作简便性的住宅网络，那么 PPSK 是正确的解决方案。 让我们来看看三种部署模型，因为这是做出架构决策的地方。 模型一是云控制器模型。这是新部署中最常见的模式。您的接入点连接到云管理平台。PPSK 密钥库驻留在云控制器中。当您配置新住户时，您在门户中创建一个密钥，将其分配给一个 VLAN，然后控制器将该策略推送到大楼中的每个接入点。住户通过其欢迎包中的电子邮件、短信或二维码获取密钥。他们扫描密钥，其所有设备便能连接，并且其 Chromecast、智能音箱和游戏机都能立即正常工作。当他们搬走时，您删除该密钥。他们的设备便停止连接。其他任何人不受影响。该模型非常适合最多约 200 个单元的部署。它操作最简单，不需要额外的基础设施。 模型二是带有 RADIUS 后台的 PPSK。一些企业部署使用 RADIUS 服务器来存储和验证 PPSK 凭据。这为您提供了集中式日志记录、审计追踪以及与身份管理平台的集成。它增加了基础设施开销，但为您提供了具有 802.1X 的问责制以及 PPSK 的设备兼容性。对于混合环境，这是一种正确的模型，例如您同时拥有受管理的企业设备和会员拥有的 IoT 设备的联合办公空间，或者运营商有合规义务、需要按住户进行审计追踪的 BTR 开发项目。模式三是混合架构。住户使用 PPSK 连接其笔记本电脑和物联网设备。大楼工作人员使用 802.1X 连接企业设备。两组人员连接到相同的物理基础设施，但映射到不同的逻辑细分。Purple 推荐将此架构用于全面的 Build to Rent 和多户住宅（MDU）部署。三种不同的身份验证模型、三个不同的 VLAN、一个物理基础设施。该架构既能为住户提供消费级的便利性，又能为工作人员提供企业级的责任划分，且无需运行两个独立的网络。 现在让我们进入实施细节。如果您正在为 BTR 开发项目或 MDU 物业部署 PPSK，以下是行之有效的实施顺序。 在接触硬件之前，先从逻辑设计开始。规划好您的住户数量、物联网设备类别以及任何工作人员或管理系统。分配 VLAN。典型的 BTR 部署如下：VLAN 10 到您的住户单元数分配给住户，根据密度采用每户一个 VLAN 或每层一个 VLAN。VLAN 99 用于物联网。VLAN 100 用于大楼管理。VLAN 200 用于公共区域的访客 WiFi。 然后记录您的 IP 地址规划方案。在一栋拥有 200 个单元的大楼中，您需要应对网络上随时可能存在的 3,000 到 5,000 台设备。这是根据英国地产联合会（British Property Federation）研究得出的每户 15 到 25 台设备的数据。您的 DHCP 作用域需要容纳这一数量。使用 RFC 1918 私有地址，并为每个 VLAN 提供足够的子网大小。/24 子网为您提供 254 个可用地址。/23 子网为您提供 510 个。请据此调整大小。 在硬件选择上，所有主流企业级接入点平台均支持 PPSK。Cisco Meraki 将其称为 iPSK，并通过 Meraki 控制面板进行管理。HPE Aruba 在 ArubaOS 和 Aruba Central 中原生实现了这一功能。Ruckus 通过 SmartZone 和 Ruckus Cloud 平台提供支持。Juniper Mist 使用具有 AI 驱动射频管理的 ePSK。Ubiquiti UniFi 自 2023 年起就已支持 PPSK，但请注意，它目前仅支持 WPA2，无法在 6 GHz 频段上运行。Cambium 和 Extreme 均通过各自的云平台提供支持。 需要指出一个关键限制：UniFi 的 PPSK 实现仅限于 WPA2。如果您正在指定 WiFi 6E 接入点，并希望将 6 GHz 频段用于 PPSK 客户端，则需要一个支持 WPA3-SAE 结合 PPSK 的平台，或者需要将 PPSK 客户端限制在 2.4 和 5 GHz 频段。Aruba、Ruckus 和 Meraki 均支持在 WPA3 配置下使用 PPSK。 现在来看看陷阱。这些是我在实际生产部署中反复见到的失败模式。 陷阱一：SSID 泛滥。您广播的每个 SSID 都会消耗信标帧的空中时间。在密集的住宅楼中，如果每个接入点广播六到八个 SSID，则会降低每个人的性能。请将每个射频的 SSID 控制在最多四个。使用 PPSK 从单个 SSID 为多个居民群体提供服务，而不是为每个公寓或每个楼层创建单独的 SSID。 陷阱二：中继端口配置不足。您设计了干净的 VLAN 方案并部署了接入点，但由于有人忘记在分发交换机和接入层之间的中继链路上允许相关的 VLAN，流量静默丢失。在调试期间验证每个中继端口，进行记录。在居民搬入之前，使用每个 VLAN 上的设备对其进行测试。 陷阱三：密钥分发。生成密钥很容易。以安全且运营上可管理的方式将它们分发给居民则较难。在搬入当天，欢迎包中的二维码效果很好。而一个供居民检索其密钥并添加新设备的居民门户网站则更适合持续的运营。在部署之前构建密钥分发工作流，而不是在部署之后。 陷阱四：MAC 地址随机化。自 iOS 14、Android 10 和 Windows 11 以来，由于隐私原因，设备默认使用随机 MAC 地址。如果您的 RADIUS 服务器正在进行 MAC 查找，且设备呈现随机地址，则查找将失败，设备无法连接。将您的 SSID 配置为请求客户端使用其永久硬件 MAC 地址，或实施预注册工作流。Purple 的平台作为居民入驻流程的一部分，会自动处理此问题。 让我为您提供两个实际场景，以使这一内容具体化。 场景一：市中心一个拥有 180 套住宅的 Build to Rent 开发项目。运营商希望将 WiFi 作为便利设施包含在租金中，并在搬入当天激活，同时提供完善的智能家居支持。他们部署了通过 Aruba Central 管理的 HPE Aruba 接入点。每套公寓在签署租约时都会生成一个唯一的 PPSK 密钥。该密钥会通过电子邮件发送给居民，并附带一个二维码。他们对其进行扫描，所有设备即可连接，其 Chromecast、智能音箱和游戏机等都可以立即正常工作。当居民搬出时，物业经理会在门户网站中删除该密钥。新居民在搬入时会获得一个全新的密钥。实现零密码轮换烦恼。该运营商报告称，与他们之前共享密码的部署方式相比，WiFi 相关的支持工单减少了 30%。 场景二：一个拥有 400 个床位的专用学生公寓楼。这里的挑战是迎新周，数百名学生同时到达，所有人都试图同时连接数十台设备。运营商使用了带有 SmartZone 的 Ruckus 接入点，为每个房间部署了分配一个密钥的 PPSK。密钥在到达前已预先生成并包含在欢迎包中。学生在到达时扫描二维码，数秒内即可完成连接。由于每位学生的流量都被隔离到他们自己的 VLAN 网段，网络在处理入住高峰时没有出现任何性能下降。 现在进入关于最常见问题的快速问答环节。 单个接入点可以处理多少个 PPSK 密钥？大多数企业级平台每个 SSID 支持数千个密钥。Cisco Meraki 每个网络支持多达 5,000 个 iPSK 条目。Aruba 的扩展能力类似。Ubiquiti UniFi 每个网络支持多达 1,000 个 PPSK 条目。对于一栋拥有 200 个单元的建筑，在任何平台上您都完全处于限制范围内。 PPSK 支持 WPA3 吗？支持，在大多数企业级平台上。与 WPA2-PSK 相比，WPA3-SAE 提供了更强的防御离线字典攻击的能力。唯一的例外是 UniFi，它目前在 PPSK 上仅支持 WPA2。 我可以将 PPSK 与我的物业管理系统集成吗？可以，通过厂商 API。Aruba Central、Meraki、Ruckus 和 Mist 都为 PPSK 密钥管理提供了 REST API。Purple 的平台提供了一个预构建的集成层，可自动将您的物业管理系统连接到 PPSK 密钥生命周期。 PPSK 符合 GDPR 吗？符合，前提是部署得当。具有专属居民密钥的 PPSK 为您提供了应对主体访问请求和执法部门请求所需的审计追踪，且包含特定居民的数据。使用共享的 PSK 是无法做到这一点的。从网络的角度来看，每台设备都是完全相同的。 总结一下。对于长租公寓（BTR）、学生公寓和多住户单元（MDU）环境中的多租户 WiFi，PPSK 是正确的架构。它提供了住宅场景中标准 PSK 或 802.1X 都无法比拟的单户隔离、IoT 兼容性和运营简便性。在接触硬件之前设计好您的 VLAN。保护您的中继链路安全。自动分发您的密钥。如果您正在部署 WiFi 6E，请检查您厂商的 WPA3 支持情况。从第一天起就与您的物业管理系统集成，而不是事后才考虑。Purple 在 80,000 个活跃场所中运行，并在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 上作为云覆盖进行集成。如果您想在实际开发中了解其工作原理，下一步是与我们的网络设计团队进行技术对接会议。感谢收听 Purple 技术简报。