減少網路上的 SSID 數量已悄悄成為一種競技運動。只要在任何網路論壇上度過一個下午,您就會發現強烈的觀點、廠商的經驗法則,以及偶爾針對「多少才算太多」展開的激烈爭論。有人說每個射頻(radio)應保持在三到四個。有人說現代的無線基地台可以輕鬆處理更多。這些指引確實因人而異,因為最真實的答案取決於您的部署情況。
以下是我們的看法。信標(beacon)所消耗的空中時間是真實存在的,但只有在大量基地台在相同頻道上重疊時,才會成為問題。如果您的 AP 之間間隔適當,且幾乎沒有同頻道重疊,那麼您可以運行多個 SSID,並且保持完全安全。在您拆除任何設備之前,請將您自己的數據輸入到我們的 信標與 SSID 負載計算器 中,看看實際情況如何。
話雖如此,我們也偏好整潔。即使效能影響微乎其微,但隨著一個個網路增加而膨脹的 SSID 清單,會變得更難記錄、更難維護安全,也更難交接給下一位工程師。因此,如果您確實想要進行整合,以下是我們一再推崇的設計:三個 SSID,每個 SSID 各自對應一種驗證方式,其他所有事項則由 VLAN 處理。
空中時間損耗在何處是真實存在,又在何處並非如此
無論是否有任何用戶端連線,每個射頻上的每個 SSID 都會以最低的強制基本速率,每秒發送多次信標訊框(beacon frame)。該成本是按頻道計算的。單一無線基地台在其專用頻道上廣播少數幾個 SSID,極少會造成問題。麻煩在於當多個無線基地台位於相同頻道並互相接收到訊號時:它們的信標現在會競爭相同的空中時間,而且負載會在其中每一個基地台的每個 SSID 上不斷累積。
因此,真正的變數是同頻道重疊,而不是原始的 SSID 數量。在 2.4 GHz 頻段上具有大量重疊信號單元的密集部署、基本速率維持在 1 Mbps,且運行八個 SSID,確實會降低傳輸量。而少數間隔良好的 AP 運行相同的八個 SSID 則可能完全沒問題。這是可以量化的,而非僅憑主觀意見: 負載計算器 會根據您每個射頻的 SSID 數量、信標間隔及基本速率,計算出您的信標所消耗的頻道空中時間百分比。低於 2% 是健康的,2% 到 6% 值得留意,而高於 6% 則是會開始產生不良影響的臨界點。在您認定有問題需要解決之前,請先檢查您的數據。
保持整潔的理由
假設計算機顯示您完全處於健康範圍內。是否仍有整合的理由?我們認為有,且這與空中時間無關。SSID 是驗證邊界,而非區隔邊界。當您為每個新需求建立新的 SSID 時(一個給收銀機、一個給印表機、一個給電子看板、一個給外包商),最後會得到一個龐雜的列表,沒有人能確定哪個網路是做什麼用的、哪些金鑰仍在使用中,或者新裝置應該連到哪裡。將其縮減為三個,每個都與明確的身分驗證方式相連結,網路就會開始自動生成記錄。您可以使用 VLAN 和防火牆原則將收銀機、攝影機和居民區隔開來,並且只有在一組裝置確實需要不同的驗證方法時,才運行獨立的 SSID。而這樣的方法只有三種。
SSID 1:具有 captive portal 的開放式訪客網路
訪客網路是開放的,因此任何裝置都可以在不使用預先共用金鑰的情況下進行關聯,並由 captive portal 處理登入。品牌專屬的歡迎頁面、自主選擇加入、社群媒體或電子郵件或簡訊登入,然後透過無法存取您後台辦公室的隔離 VLAN 連線到網際網路。
這是唯一必須適用於場域從未見過之手機的網路,因此門檻僅為瀏覽器,別無其他。這也是商業價值所在:在連線時擷取經用戶同意、符合 GDPR 規範的第一方數據,並直接推送至您的 CRM。Purple 在超過 80,000 個場域中將此功能作為 Guest WiFi 運行,且無論背後有多少個租戶或區域,它都保持為一個 SSID。
SSID 2:適用於員工和安全訪客的 WPA2/3-Enterprise
第二個 SSID 是加密且基於身分的。它運行結合 802.1X 的 WPA2/3-Enterprise,並由 RADIUS 支援,在同一個廣播中為兩種客群提供服務:您的員工和您信任的訪客。
這就是讓單一 SSID 同時執行兩項任務的關鍵所在。當裝置進行驗證時,RADIUS 不僅僅回覆允許或拒絕,它還會傳回該身分所屬的 VLAN。員工使用其現有的 Microsoft Entra ID、Okta 或 Google Workspace 認證資訊登入一次,對受管筆記型電腦使用 EAP-TLS ,對舊型裝置使用 PEAP,即可進入員工 VLAN。外包商或長期停留的訪客使用獲發的專屬認證資訊進行驗證,並進入獨立且受限的 VLAN。相同的 SSID、相同的加密,兩個完全隔離的網路,在連線那一刻根據每個身分決定。
這就是白板上的共享密碼與妥善存取控制之間的差異。當有人離職時,您只需在身份識別提供者中停用其帳戶,他們的 WiFi 存取權限就會在當天終止——無需更換整個大樓的金鑰,也不會留下不應被信任的裝置。Purple 以雲端 RADIUS 提供此功能作為 Staff WiFi ,而 IT 團隊通常會在取消密碼後,發現 WiFi 支援工單減少約 80%。此功能通過 ISO 27001 認證,並可與您現有的存取點(AP)搭配運作。
SSID 3: 適用於收銀機、螢幕、印表機及 IoT 的 xPSK
第三個 SSID 是給所有無法執行 Captive Portal 且無法進行 802.1X 的裝置使用:刷卡機、數位看板、標籤與發票印表機、建築感測器、智慧電視,以及其他各類型的 ad-hoc IoT 裝置。這些裝置沒有瀏覽器,也沒有 802.1X 客戶端(supplicant),但它們可以儲存預先共用金鑰,因此解決方案是採用每台裝置專屬的金鑰,而非所有裝置共用一組密碼。
每個主要廠商對此技術都有自己的稱呼。Cisco Meraki 稱之為 iPSK ,HPE Aruba 稱之為 MPSK,Ruckus 稱之為 DPSK,而 Juniper Mist 和 Ubiquiti UniFi 則將其呈現為單一裝置或多個預先共用金鑰。其統稱為 xPSK。其運作機制在各家廠商皆相同:一個 SSID、多個不重複的金鑰,每個金鑰綁定至特定裝置或擁有者,並對應至特定的 VLAN。
因此,付款終端機會取得將其分配到 PCI 隔離 VLAN 的金鑰;數位看板會取得進入無橫向移動存取權限之內容 VLAN 的金鑰;而新的 IoT 感測器則會取得其專屬金鑰,您可以單獨撤銷該金鑰而不會影響其他任何設備。如果某個金鑰洩漏,您只需更換該特定金鑰,絕不需要關閉整個網路。在住宅和多租戶場所中,這與將每個住戶裝置放入其專屬隔離氣泡的預先共用金鑰身份識別模型相同——詳細資訊請參閱我們的 多租戶 WiFi 指南 。
三個 SSID 如何涵蓋一切需求
將場所中的任何裝置對應至以下三個問題之一,即可找到其歸屬:
- 它能否開啟網頁,且屬於不受信任的訪客? 使用帶有 Captive Portal 的開放式訪客 SSID。
- 它是否屬於您所管理之身份識別的個人? 使用 WPA2/3-Enterprise SSID,並依身份識別劃分 VLAN。
- 它是否為僅能儲存金鑰的無螢幕/無輸入介面(headless)裝置? 使用 xPSK SSID,並依金鑰劃分 VLAN。
其餘一切皆為網路區隔(segmentation),而網路區隔是 VLAN 的工作。語音、CCTV、付款、看板、建築管理以及每戶租戶的隔離,皆作為這三個 SSID 背後的 VLAN 存在,並由 RADIUS 屬性或裝置提供的金鑰進行引導。您保留了先前使用十個 SSID 時所擁有的所有隔離保護,同時維持了足夠簡短的清單,讓下一位工程師一目了然。
減少 SSID 數量真的能提升效能嗎?
有時會,主要是在同通道重疊高的時候。如果您有多個存取點(AP)共用通道,將 SSID 從八到十個減少到三個,會按比例減少每個重疊射頻上的信標訊框(beacon frames),而提高基本速率以使信標傳輸更快,則能進一步節省開銷。如果您的 AP 幾乎沒有重疊,則效益極小,而整潔是這樣做的更好理由。無論哪種情況,請將調整前後的數據輸入至 開銷計算器 ,以便根據證據而非憑經驗做出決定。
那訪客、IoT 和員工都需要不同的安全性,該怎麼辦?
他們確實需要不同的安全性,而這正是為什麼需要三個 SSID 而不是一個的原因。每個 SSID 都是一種獨立的驗證方式——帶有 Portal 的開放式網路、802.1X 以及每設備金鑰(per-device key)——這是唯一能合理化單獨廣播的理由。同一種驗證方式內的不同信任級別是透過 VLAN 和防火牆原則來處理的,而不是透過增加更多 SSID。您將獲得比散亂方法更嚴格的隔離,因為每個邊界都是透過身份或金鑰來強制執行的,而不是寄望於沒有人猜到員工密碼。
簡短版
您的 SSID 數量是否會浪費空口時間(airtime),主要取決於您的存取點重疊程度,因此在做最壞的打算之前,請先查看計算器。但過度建立 SSID 的成本很低,而整潔的網路更容易管理,因此當您進行整合時,請將每個 SSID 與一種驗證方式綁定,並將所有其他區分下放到 VLAN。場所只需要三個:帶有 Portal 的開放式訪客網路、適用於人員的 WPA2/3-Enterprise,以及適用於設備的 xPSK。這適用於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi 等品牌,因為只要您的存取點支援 RADIUS,Purple 就能與其相容。
想要在不失去任何細分的情況下,精簡過度增長的 SSID 列表嗎? 諮詢專家 ,我們將協助您將設備對應到涵蓋它們的三個網路中。
