UniFi PPSK：功能与部署模式对比

欢迎来到 Purple 技术简报。今天我们将介绍 UniFi PPSK —— 它是什么，它在您的网络设计工具包中适合什么位置，以及至关重要的是，您应该在什么时候使用它而不是其他替代方案。 让我为您勾勒一下场景。您是一家房地产开发商、一家 BTR 运营商或是一名 IT 经理，负责管理一栋拥有数百名居民或租户的大楼。您需要将每个住户彼此隔离、支持智能家居设备，且无需在有人搬走时更改共享密码的 WiFi。这就是 PPSK 旨在解决的问题 —— 在您决定采用它之前，非常值得了解它的优势及其硬性限制。 那么，什么是 PPSK？PPSK 代表 Private Pre-Shared Key（私有预共享密钥）。它是 UniFi Network 中内置的一项功能，允许您通过单个 WiFi SSID 运行多个不同的密码，其中每个密码映射到特定的 VLAN。这个概念非常直接。您不需要为每个人提供一个共享密码，而是为每个租户、每个设备组或每个使用场景发放一个不同的密码。当设备使用该密码连接时，UniFi 控制器会自动将其分配到相应的 VLAN。无需 RADIUS 服务器，无需证书，无需复杂的 802.1X 基础设施。 现在，您会听到 PPSK 因不同的供应商而有不同的称呼。Aruba 称其为 MPSK。Cisco Meraki 称其为 iPSK。Ruckus 称其为 DPSK。所有这些背后的基本概念都是相同的：一个 SSID，多个密钥，每个密钥绑定到一个网络分段。UniFi 的实现称为 PPSK，它原生存在于 UniFi Network 控制器中，无需额外的许可成本。 让我们来看看技术架构。当您在 UniFi SSID 上启用 PPSK 时，您正在创建一个具有多个预共享密钥的 WPA2 个人网络。每个密钥都与您在 UniFi 交换机和控制器中已配置的特定 VLAN ID 相关联。当客户端设备使用这些密钥之一进行身份验证时，接入点会在将客户端流量转发到上游之前，使用相应的 VLAN ID 对其进行标记。客户端的行为就像它位于专用 VLAN 上一样 —— 与其他 VLAN 上的客户端隔离，拥有自己的 DHCP 范围和自己的防火墙规则。 这在几种场景中非常有用。在住宅楼中，您为每个公寓提供自己的 PPSK。该公寓中的所有设备 —— 手机、笔记本电脑、智能音箱、游戏机 —— 都使用相同的密钥连接并落入相同的 VLAN。它们可以像在家庭网络中一样，相互发现、相互投屏并相互配对。但它们对于隔壁公寓来说是完全不可见的。 在酒店中，您可以使用 PPSK 将访客流量与员工流量以及智能电视和门锁等物联网设备隔离开来 —— 所有这些都在单个 SSID 上实现。在零售环境中，您可以将支付终端隔离在自己的 VLAN 上以支持 PCI-DSS 合规性，同时将员工设备和客户 WiFi 保持在独立的分段上。 现在，在您继续深入之前，需要了解一个关键的限制。PPSK 是一项仅限 WPA2 的功能。它无法在 WPA3 下工作。而且由于 WiFi 6E 和 WiFi 7 所使用的 6 GHz 频段强制要求使用 WPA3，您无法在 6 GHz 射频上使用 PPSK。这并非 UniFi 特有的限制。这是 802.11 标准的基本限制。WPA3 目前对每个 SSID 仅允许使用单个预共享密钥，因此 PPSK 所依赖的多密钥架构与 WPA3 根本不兼容。 这在实际应用中意味着什么？如果您在某个 SSID 上启用 PPSK，该 SSID 将仅在 2.4 GHz 和 5 GHz 频段上进行广播。您较新的 WiFi 6E 和 WiFi 7 接入点将不会在该网络中使用其 6 GHz 射频。对于目前的大多数住宅部署，这是可以接受的。但这是您在制定五年网络规划时需要考虑的一项限制，尤其是随着 WiFi 7 普及的加速。 让我们将 PPSK 与两个主要替代方案进行直接对比：带有 802.1X 的 RADIUS，以及像 Purple 这样云端管理的 iPSK 解决方案。 带有 802.1X 的 RADIUS - 也称为 WPA2-Enterprise 或 WPA3-Enterprise - 是企业认证的金标准。每个用户或设备都拥有唯一的凭据。RADIUS 服务器验证这些凭据并动态地将客户端分配到 VLAN。它支持 WPA3，可在 6 GHz 上运行，并可扩展至无限用户。缺点在于复杂性。您需要一个 RADIUS 服务器，无论是在线部署还是云端托管。如果您使用的是 EAP-TLS，则需要管理证书。而且至关重要的一点是，许多物联网设备 - 智能音箱、游戏机、智能家居传感器 - 根本无法连接到 802.1X 网络。 UniFi PPSK 介于两者之间。它比 RADIUS 更简单 - 不需要服务器基础设施，不需要证书，适用于所有设备。但它的可扩展性较差。UniFi 原生的 PPSK 实现将密钥本地存储在控制器上。对于大多数部署来说，实际限制在几百个密钥以内。对于一个拥有 50 个单元的 BTR 建筑来说，这完全没问题。但对于一个拥有 500 个单元的开发项目，您很快就会遇到管理上的摩擦。 这就是像 Purple 这样的云端覆盖改变局面之处。Purple 的多租户 WiFi 解决方案运行在您现有的 UniFi 硬件之上。它在云端集中管理密钥生命周期。当新住户搬入时，Purple 会自动为其分配密钥。当他们搬出时，Purple 会撤销该密钥。该住户的设备将立即失去访问权限，而不会影响任何其他住户。Purple 与 Microsoft Entra ID 和 Okta 集成，从而实现该生命周期的完全自动化。 现在，让我们来看看两个真实的部署场景。 场景一：一个拥有120套住宅的建房出租（Build to Rent）开发项目。运营商希望住户从入住第一天起就能享受到家一般的 WiFi 体验 - 无需等待宽带工程师上门，无需共享密码，且完全支持智能家居。硬件采用全套 UniFi。每位住户都会获得一个通过 Purple 平台配置的唯一密钥，并与他们的租约记录绑定。他们的设备将接入专用的 VLAN。Chromecast 可以正常工作。游戏主机获得开放式 NAT。智能音箱正确配对。当住户搬出时，该密钥会在数秒内被撤销。运营商报告称，在最初的三个月里，与 WiFi 相关的支持工单减少了 40%。 场景二：一家拥有200间客房且使用 UniFi 接入点的酒店。IT 团队需要对访客 WiFi、员工 WiFi 和 IoT 设备（智能电视、门锁、HVAC 传感器）进行细分，而无需为每种设备运行独立的 SSID。他们直接在 UniFi 中原生启用 PPSK。三个密钥：一个给访客，一个给员工，一个给 IoT。三个 VLAN。一个 SSID。结果是：射频环境更加干净，SSID 数量更少，流量细分清晰，并且员工 VLAN 上的支付系统符合 PCI-DSS 标准。 让我为您介绍一下需要注意的实施陷阱。 第一：PPSK 之前的 VLAN 配置。在创建 PPSK 条目之前，您必须在 UniFi 交换机和控制器中配置好 VLAN。请务必先构建您的网络细分。 第二：6 GHz 陷阱。如果您正在部署 WiFi 6E 或 WiFi 7 接入点，并希望在高密度区域使用 6 GHz，则无法在这些网络上使用 PPSK。请相应地规划您的 SSID 架构。 第三：大规模密钥管理。如果您直接在 UniFi 中原生管理超过 100 个单元而没有云端覆盖，您很快就会感受到手动配置密钥的痛苦。 第四：mDNS 和设备发现。默认情况下，不同 VLAN 上的设备无法相互发现。如果您希望 Chromecast 或 AirPlay 在住户的 VLAN 内工作，则需要启用 mDNS 反射。UniFi 支持此功能，但必须针对每个 VLAN 进行显式配置。 快速问答。我可以在同一个 UniFi 控制器上同时使用 PPSK 和 RADIUS 吗？可以。您可以同时运行一个 PPSK SSID 和一个 WPA2-Enterprise SSID。PPSK 是否支持 WPA3 过渡模式？不支持。PPSK 仅支持 WPA2。UniFi 中 PPSK 密钥的最大数量是多少？社区经验表明，在单个 SSID 上超过几百个密钥后，性能就会下降。对于大型部署，云端管理层才是正确的解决方案。 总结一下：对于需要 VLAN 细分而无需 RADIUS 基础设施的中小型部署，UniFi PPSK 是一个真正有用的工具。对于 50 套房源的建筑、精品酒店或拥有混合设备类型的型小型办公室，它是理想的选择。对于更大规模的部署 - 任何超过 100 套房源或需要自动化生命周期管理的项目 - 您需要像 Purple 这样的云端覆盖层才能使其在运营上切实可行。 核心决策框架非常简单。问自己三个问题：我需要多少个唯一的密钥？如果少于 100 个，原生 PPSK 即可满足需求。如果超过 100 个，则需要一个管理层。我需要 6 GHz 吗？如果是，PPSK 并不是您的答案。我是否需要与租户或 HR 系统绑定的自动配置？如果是，像 Purple 这样的云端覆盖方案则是正确的选择。 欲了解更多关于 Purple 的多租户 WiFi 解决方案及其如何在 UniFi 硬件上部署的信息，请访问 purple dot ai。感谢收听 Purple 技术简报。