在網路上減少 SSID 的數量已悄然成為一項熱門的競爭運動。在任何網路討論區度過一個下午,您都會發現強烈的觀點、廠商的經驗法則,以及偶爾針對「多少才算太多」進行的激烈爭論。有人說每個頻段應保持在三到四個。有人說現代無線基地台可以輕鬆處理更多。這些指導原則確實各不相同,因為最真實的答案取決於您的佈署情況。
以下是我們的看法。信標(beacon)所消耗的空口時間(airtime)是真實存在的,但只有當您有大量無線基地台在同一個頻道上重疊時,這才會成為問題。如果您的 AP 間距良好且同頻重疊極少,您可以運行多個 SSID 並保持完美的安全運作。在您拆除任何設備之前,請將您自己的數據輸入到我們的 信標與 SSID 開銷計算器 中,看看您的實際狀況如何。
儘管如此,我們也偏好整潔。即使效能損失微不足道,一次只增加一個網路而逐漸累積的 SSID 清單,也會變得更難記錄、更難保護,且更難移交給下一位工程師。因此,如果您確實想要進行整合,以下是我們一再推薦的設計:三個 SSID,每個都對應一種身分驗證方式,其他所有內容都由 VLAN 處理。
空口時間損耗在何處是真實存在,何處又非如此
不論是否有任何一個用戶端連線,每個頻段上的每個 SSID 每秒都會以最低強制基礎速率發送多次信標訊框(beacon frame)。該成本是按頻道計算的。一個在專屬頻道上廣播少數幾個 SSID 的無線基地台,很少會造成問題。麻煩始於多個無線基地台位於同一個頻道上且能互相偵測到彼此:此時它們的信標會競爭同一個空口時間,並且開銷會在它們之中的每一個 SSID 上重疊累積。
因此,真正的變數是「同頻重疊」,而非單純的 SSID 數量。在 2.4 GHz 上具有大量重疊網路資料池(cell)、基礎速率保持在 1 Mbps 且擁有八個 SSID 的密集佈署,確實會降低吞吐量。而少數幾個間隔良好的 AP 運行相同的八個 SSID 則可能完全沒問題。這是可以量化的,而非僅憑主觀意見:該 開銷計算器 會根據您每個頻段的 SSID 數量、信標間隔和基礎速率,計算出信標所消耗的頻道空口時間百分比。低於 2% 是健康的,2% 到 6% 值得留意,而超過 6% 則會開始產生不良影響。在決定是否有問題需要解決之前,請先檢查您的數據。
支持整潔的理由
假設計算機告訴您,您處於安全的健康範圍內。還有理由進行整合嗎?我們認為是的,而且這與空口時間(airtime)無關。SSID 是驗證邊界,而非區隔邊界。當您為每個新需求建立新的 SSID(收銀機專用、印表機專用、電子看板專用、承包商專用)時,最終會得到一個龐雜的清單,沒人能確定哪個網路是做什麼的、哪些金鑰仍在使用中,或者新裝置應該連到哪裡。將其縮減為三個,每個都與明確的身份驗證方式綁定,網路就會開始自我記錄。您可以使用 VLAN 和防火牆原則將收銀機、攝影機和本機裝置隔開,只有在一組裝置確實需要不同的驗證方法時,才運行獨立的 SSID。而這樣的方法只有三種。
SSID 1:帶有 Captive Portal 的開放式訪客網路
第一個 SSID 是開放的,這意味著任何裝置都可以在不輸入密碼的情況下進行關聯。相反地,傳統的 Captive Portal 會攔截連線並處理登入。此 SSID 的設計旨在收集用於行銷的使用者資料,或滿足公共場所的合規性與法律要求。
此網路必須適用於任何裝置(甚至是場地從未見過的訪客手機),因此唯一的運作要求是網頁瀏覽器。這也是行銷價值的所在:在連線時獲取符合 GDPR 規範且經使用者同意的數據。Purple 在超過 80,000 個場所中將此作為 Guest WiFi 運行,將訪客存取保持在無法看到後台的隔離 VLAN 上。
SSID 2:支援 Passpoint 的自動存取網路
第二個 SSID 運行於 Passpoint (Hotspot 2.0) 和 WPA2/3-Enterprise。此 SSID 可提供類似行動網路的安全連線。無需手動輸入憑證或尋找登入頁面,任何擁有 Purple App 或包含 Purple SDK 的應用程式的使用者,在步入場所時即可自動且安全地連線。
其他一切都由 VLAN 處理。當裝置關聯時,網路會驗證設定檔並將裝置分配到正確的 VLAN。這不僅適用於受信任的訪客或承包商;對於任何擁有匹配設定檔的使用者來說,這都是一個自動化且加密的閘道。由於它使用 EAP-TLS 或類似的安全協定,所有流量都會透過無線傳輸進行加密,從而保護使用者免受竊聽,且無需憑證管理的行政開銷。
SSID 3:適用於 IoT、承包商和 BYOD 整合的 xPSK
第三個 SSID 是針對無螢幕裝置(headless devices)、承包商和員工自攜裝置 (BYOD) 設定的整合網路。它使用單一裝置預共用金鑰(通常稱為 xPSK,或根據廠商不同稱為 iPSK 、PPSK、DPSK),將不同的裝置群組對應到單一 SSID 上的獨立隔離 VLAN。
此網路適用於所有無法執行瀏覽器或不支援 Passpoint 的裝置。物聯網(IoT)感測器、刷卡機、印表機和媒體螢幕都會獲得自己的金鑰,並被分配到隔離的 VLAN。攜帶自備裝置(BYOD)的承包商或員工會收到一個用來分割其流量的專屬金鑰。這樣一來,便能將原本需要五到六個獨立 SSID 的情況整合為一個。如果某個金鑰遭到破解,您只需輪換該特定金鑰,而不會影響網路的其他部分。
三個 SSID 如何涵蓋所有需求
將場域中的任何裝置對應至以下三個問題之一,即可為其找到歸屬:
- 這是不受信任且需要收集資料或符合合規性的訪客嗎? 使用帶有 Captive Portal 的開放式訪客 SSID。
- 使用者是否擁有 Purple App 或啟用了您 SDK 的 App? 使用具有自動安全連線與 VLAN 對應功能之 Passpoint SSID。
- 這是無介面的 IoT 裝置、承包商還是 BYOD 使用者? 使用整合式的 xPSK SSID,並搭配每個裝置專屬的金鑰。
其餘的一切都是網路分割,而分割是 VLAN 的工作。語音、CCTV、支付、看板、建築管理以及各租戶的隔離,全部都作為這三個 SSID 背後的 VLAN 存在,並由 RADIUS 屬性或裝置提供的金鑰進行引導。您不僅能保留原本使用十個 SSID 時所擁有的所有隔離功能,還能讓清單簡化到讓下一位工程師一目了然。
減少 SSID 真的能提升效能嗎?
有時可以,且主要是在同頻重疊度高的情況下。如果您的多個無線基地台(AP)共用頻道,將 SSID 從八到十個減少到三個,便能成比例地減少每個重疊射頻上的訊標訊框(Beacon Frame),而提高基本速率以加快訊標傳輸速度,則可倍增節省的效果。如果您的 AP 幾乎沒有重疊,效能提升就很有限,此時整潔度是更佳的執行理由。不論是哪種情況,都請將您前後的數據輸入至 開銷計算器 中,以便根據證據而非憑經驗法則做出決策。
訪客、IoT 和員工都需要不同的安全性,該怎麼辦?
他們確實需要不同的安全性,而這正是為什麼有三個 SSID 而不是一個的原因。每個 SSID 都是一種獨特的驗證方式:帶有 Portal 的開放式驗證、802.11u Passpoint 驗證,以及每個裝置專屬金鑰驗證,這也是唯一值得單獨進行廣播的理由。同一種驗證方式內的不同信任級別是透過 VLAN 和防火牆原則來處理的,而不是透過增加更多 SSID。這種方法比雜亂的做法能獲得更嚴格的隔離,因為每個邊界都是透過身分或金鑰來強制執行的,而不是寄望於沒有人猜到員工密碼。
簡短版本
SSID 數量是否會消耗您的空中傳輸時間(airtime),主要取決於您的基地台重疊程度,因此在做最壞打算之前,請先查看計算機。但過度建立 SSID 的成本很低,而整潔的網路更容易管理,因此當您進行整合時,請將每個 SSID 綁定到一種驗證方式,並將所有其他區分方式下放到 VLAN。場地只需要三個網路:帶有驗證門戶(portal)的開放式訪客網路、用於自動安全存取的 Passpoint,以及適用於物聯網(IoT)、承包商和自攜設備(BYOD)的 xPSK。它適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等品牌,因為只要您的基地台支援 RADIUS,Purple 就能與其完美協作。
想要在不失去任何網路細分的情況下,精簡過於龐大的 SSID 列表嗎? 與專家聯絡 ,我們將協助您將裝置對應到涵蓋它們的三個網路中。
