Uu PPSK hukumonline：功能与部署模式对比

欢迎来到 Purple 技术简报。今天我们将介绍 PPSK WiFi - Private Pre-Shared Key - 它是什么，它与替代方案相比如何，以及在何处部署它才真正具有实际意义。 让我们先从它解决的问题开始。在传统的 WPA2 个人网络中，网络上的每台设备都共享同一个密码。这在家里没有问题。但在拥有 200 个单元的 Build to Rent（建设转租赁）开发项目、学生公寓楼或拥有 300 间客房的酒店中，这就是一种安全隐患。当一位住户搬走时，你要么为所有人更改密码 - 在此过程中会中断其他所有住户的智能电视、温控器和游戏机的连接 - 要么让搬走的住户继续拥有访问权限。这两种选择都是无法接受的。 PPSK 通过为每个住户、每个公寓或每个设备组分配其专属的唯一 WiFi 密钥来解决这个问题。他们都连接到同一个 SSID - 即同一个网络名称 - 但每个密钥都会映射到不同的 VLAN。12 号公寓在 VLAN 10 上，13 号公寓在 VLAN 20 上，IoT 设备在 VLAN 99 上。接入点会自动处理密钥到 VLAN 的映射。无需 RADIUS 服务器，无需证书基础设施，设备上也不需要 802.1X 客户端。 现在我们来谈谈术语，因为不同厂商的称呼有所不同，这在市场上引起了真正的混淆。Aruba 称其为 PPSK - Private Pre-Shared Key。Cisco Meraki 称其为 iPSK - Identity PSK。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下开发该概念的 Extreme Networks 称其为 Private PSK。Ubiquiti UniFi 简称为 PPSK。Cambium 也使用 ePSK。所有这些背后的基本机制是完全相同的：一个 SSID，多个唯一的密钥，每个密钥绑定到一个 VLAN 或策略组。 从技术上讲，以下是关联层发生的情况。当设备连接时，它会在 WPA2 四步握手期间出示其预共享密钥。接入点 - 或其背后的云控制器 - 会在 PPSK 存储中查找该密钥，识别其映射到哪个 VLAN，并相应地标记该设备的流量。设备看到的是普通的 WiFi 连接。它完全不知道自己已被放入一个隔离的网络分段中。其 Chromecast 可以正常工作，其智能音箱可以配对，其游戏机可以获得正确的 NAT 类型。一切表现都像家庭网络一样 - 因为从设备的角度来看，它就是家庭网络。 这是与 802.1X 的关键区别，802.1X 是员工网络和企业环境的企业级标准。802.1X 需要 RADIUS 服务器、身份提供商 - 如 Microsoft Entra ID、Okta 或 Google Workspace - 以及每台设备上的客户端。该客户端是处理 EAP 身份验证交互的软件组件。每台受管理的笔记本电脑、每部企业手机都有一个客户端。但您住户的智能冰箱没有，您建筑的 HVAC 控制器没有，您的 IoT 传感器也没有。PPSK 适用于所有这些设备，因为它运行在 WPA 个人层，而不是 WPA 企业层。 即便如此，PPSK 并不能在企业环境中替代 802.1X。它是针对不同问题而设计的不同工具。如果您运行的是注重个人责任的员工网络 - 802.1X 是正确的解决方案。如果您运行的是住宅网络，需要实现单户隔离、IoT 支持以及大规模的运营简化，PPSK 则是正确的解决方案。 让我们来看看部署模型。目前在生产环境中有三种主要模式。 第一种是云控制器模型，这是新部署中最常见的一种。您的接入点 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 还是 Fortinet - 都会连接到一个云管理平台。PPSK 密钥存储在云控制器中。当您配置新住户时，在门户中创建一个密钥，将其分配给一个 VLAN，控制器就会将该策略推送到大楼中的每个接入点。住户通过欢迎包中的电子邮件、短信或二维码获取其密钥并进行连接。当他们搬走时，您只需删除该密钥，他们的设备就会停止连接。其他任何人都不会受到影响。 第二种模型是带有本地 RADIUS 后端的 PPSK。一些企业部署使用 RADIUS 服务器来存储和验证 PPSK 凭据，这为您提供了集中日志记录、审计追踪以及与身份管理平台的集成。这增加了基础设施开销，但让您在拥有 PPSK 设备兼容性的同时，也获得了 802.1X 的可追溯性。 第三种模型是混合模型：面向住户和 IoT 采用 PPSK，面向员工和管理系统采用 802.1X。这是 Purple 为长租公寓（Build to Rent）和多住户单元部署所推荐的架构。住户使用 PPSK。楼宇管理系统、CCTV 和门禁控制拥有自己专属的、采用 PPSK 的 IoT VLAN。物业管理团队的设备则通过 802.1X 对接 Microsoft Entra ID 或 Okta。三种不同的认证模型，三个不同的 VLAN，一个物理基础设施。 现在让我们进入实施阶段。在接触硬件之前，先从您的逻辑设计开始。规划好您的住户数量、IoT 设备类别以及任何员工或管理系统。分配 VLAN。一个典型的 BTR 部署如下所示：从 VLAN 10 开始，一直到您的住户单元数量所需的额度，根据您的密度，每个公寓分配一个 VLAN，或者每层楼分配一个 VLAN。VLAN 99 用于 IoT。VLAN 100 用于楼宇管理。VLAN 200 用于公共区域的访客 WiFi。 在一个拥有 200 个单元的大楼中，您将面临网络上随时有 3,000 到 5,000 台设备在线的情况。这符合英国房地产联合会研究中每户 15 到 25 台设备的数据。您的 DHCP 作用域需要适应这一需求。使用 RFC 1918 私有地址，并为每个 VLAN 提供充足的子网大小。/24 提供 254 个可用地址。/23 提供 510 个。请据此进行规划。 关于硬件选择：PPSK 在所有主要企业级接入点平台上均受支持。Cisco Meraki 将其称为 iPSK，并通过 Meraki 仪表板进行管理。HPE Aruba 在 ArubaOS 和 Aruba Central 中原生实现。Ruckus 通过 SmartZone 物理支持。Juniper Mist 使用 ePSK 配合 AI 驱动的 RF 管理。Ubiquiti UniFi 自 2023 年起已支持 PPSK，但目前仅限 WPA2。Aruba、Ruckus 和 Meraki 都支持在 WPA3 配置上使用 PPSK。 现在来看看一些误区。首先是 SSID 激增。您广播的每个 SSID 都会消耗信标帧的空中时间。建议将每个射频的 SSID 限制在最多 4 个。使用 PPSK 通过单个 SSID 为多个居民群体提供服务，而不是为每个公寓创建一个单独的 SSID。 第二个误区是中继端口配置不足。您设计了清晰的 VLAN 方案、部署了接入点，但由于有人忘记在中继链路上允许相关的 VLAN，流量静默丢弃。在调试期间验证每个中继端口。在居民入住之前，使用每个 VLAN 上的设备对其进行测试。 第三个误区是密钥分发。生成密钥很简单。安全地将它们提供给居民则更为困难。在入住当天，欢迎包中的二维码效果很好。而对于日常运营，居民门户网站则是更好的选择。在部署之前而不是部署之后，构建好密钥分发工作流程。 现在进行快速问答。单个接入点可以处理多少个 PPSK 密钥？Cisco Meraki 每个网络支持多达 5,000 个 iPSK 条目。Aruba 支持类似规模。Ubiquiti UniFi 每个网络支持多达 1,000 个 PPSK 条目。对于一个拥有 200 个单元的建筑，您在任何平台上都完全在限制之内。 PPSK 是否支持 WPA3？支持，在大多数企业级平台上。WPA3-SAE 针对离线字典攻击提供了更强的保护。UniFi 是个例外，目前其 PPSK 仅支持 WPA2。 我是否可以将 PPSK 与我的物业管理系统集成？是的，可以通过厂商的 API 进行。Purple 的多租户 WiFi 平台作为云叠加层运行在您现有的硬件之上，并通过单一仪表板处理密钥配置、VLAN 分配和居民入网 - 同时集成了物业管理平台，实现自动化的入住和退房工作流程。 总结一下。对于多租户住宅环境、学生公寓以及高度依赖 IoT 的部署，PPSK 是正确的认证模型，在这些环境中，设备兼容性比基于证书的身份验证更为重要。它提供每个住户的网络隔离，支持每种设备类型，并且在无需 RADIUS 基础设施的情况下可扩展至数千个密钥。混合模式（针对居民使用 PPSK，针对员工使用 802.1X）让您在单个物理网络上获得两全其美的效果。 第一天就需要做对的三件事是：您的 VLAN 设计、您的密钥分发工作流程以及您的中继端口配置。做对这三件事，其余的便水到渠成。 欲了解更多关于 Purple 的多租户 WiFi 平台及其如何大规模处理 PPSK 调配的信息，请访问 purple dot ai。感谢您的收听。