Nama guild iPSK: 企業全方位指南

執行摘要

傳統的 WiFi 安全機制迫使企業在兩種不夠完善的方案中做出選擇。標準的 WPA2 個人版（Personal）雖然簡單，但無法提供個別責任歸屬。只要有一個密碼外洩，整個網路的安全就會受到威脅，而且若要取消單一住戶的存取權限，就必須更改所有人的密碼。使用 IEEE 802.1X 的 WPA2 企業版（Enterprise）或 WPA3 企業版（Enterprise）雖然能提供針對每個使用者的控制，但會導致遊戲主機、智慧電視及無法處理數位憑證的 IoT 設備失去連線能力。

Identity Pre-Shared Key (iPSK) 解決了這一矛盾。它在單一 SSID 上為每個使用者或設備分配唯一的密碼，並透過中央 RADIUS 伺服器實現動態 VLAN 分配和 Layer 2 隔離。對於租賃住宅（BTR）營運商、房產開發商和房東而言，iPSK 是多租戶連線服務的終極標準。它支援 100% 的住戶設備，為每個住戶單元建立專屬的 Private Area Network（個人區域網路），並透過與 Microsoft Entra ID、Okta 或 Google Workspace 等身分驗證提供者整合，實現自動化生命週期管理，藉此進行無縫擴充。Purple 協助在超過 80,000 個實際場域中將此完整工作流程自動化，並與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 進行整合。

技術深度解析

Identity PSK 的運作原理

iPSK 修改了標準的 WPA2 四向 EAPOL 握手協定。當用戶端設備使用特定的預共用金鑰與存取點（Access Point）建立關聯時，存取點不會立即授予存取權限。相反地，它會向中央驗證伺服器發送一個 RADIUS 請求訊息。此請求包含特定廠商的屬性。以 Cisco Meraki 而言，即為 Meraki-IPSK 屬性。RADIUS 伺服器會針對其已設定的 iPSK 資料庫進行字典檢查。如果找到相符的項目，它會回應一個 access-accept 訊息，其中包含密碼，以及最關鍵的 - 透過 Tunnel-Private-Group-Id 屬性進行動態 VLAN 分配。

此架構不需要任何憑證基礎設施。用戶端設備將其視為標準的 WPA2 個人版網路，並使用密碼進行連線。複雜的處理程序完全在存取點與 RADIUS 伺服器之間完成。這就是為什麼 iPSK 能夠支援 100% 的消費級設備 - 遊戲主機、智慧電視、無線印表機和 IoT 感測器，都能使用與在家中一樣簡單的密碼體驗進行連線。

Layer 2 隔離與 Private Area Networks

在多租戶環境中，跨數百間公寓使用單一 SSID 有利於射頻（RF）規劃，但若無適當的隔離，將會產生嚴重的安全風險。iPSK 可為每位住戶建立專屬的專用區域網路（PAN）。

當住戶使用其唯一的 iPSK 進行驗證時，RADIUS 伺服器會將其裝置分配到特定的 VLAN。網路基礎架構會強制執行這些 VLAN 之間的 Layer 2 隔離。如此一來，住戶的 iPhone 可以看到自己的印表機或 Chromecast，但隔壁公寓的住戶則無法偵測這些裝置或與其互動。這種微隔離（micro-segmentation）對於符合 GDPR 規範以及維持住戶信任至關重要。

由於每位住戶都有自己隔離的 VLAN，您可以在該特定 VLAN 內啟用 mDNS 反射（reflection）。mDNS 是支援 AirPlay、Chromecast 投放和無線列印的協定。在每位住戶的專用 VLAN 內啟用 mDNS 反射，可讓他們自己的裝置互相通訊，同時與所有其他住戶完全隔離。這能在共享的基礎架構上提供如同在家一般的體驗。

硬體廠商實作方式

各大企業級 WiFi 硬體廠商都支援單一裝置 PSK，但採用不同的產品名稱。下表將各廠商的術語與底層技術進行了對照。

Purple 具備硬體無關性，可在所有這些平台上提供統一的管理層。您不會被繫結於單一廠商，且無需重建驗證基礎架構即可遷移硬體。

實作指南

部署 iPSK 需要無線基礎架構、RADIUS 伺服器以及身分識別提供者之間的協調配合。請按照以下步驟進行正確部署。

步驟 1 - 規劃您的 VLAN 架構。 為每個住宅單位分配一個 VLAN。在擁有 300 個單位的開發案中，您需要 300 個 VLAN。標準的 802.1Q 支援 4,094 個 VLAN，這對大多數 BTR（建屋出租）開發案來說已足夠。對於更大規模的部署，請規劃 VXLAN 覆蓋網路（overlay）。

步驟 2 - 部署您的 RADIUS 伺服器。 Purple 提供具備 99.999% 可靠性的雲端託管 RADIUS 服務。將您的無線控制器指向 Purple 的 RADIUS 端點。設定無線基地台（Access Point）與 RADIUS 伺服器之間的共用金鑰（shared secret）。步驟 3 - 設定您的無線控制器。 建立具有 WPA2-PSK 安全性的單一 SSID。啟用特定廠商的 iPSK 或 PPSK 切換開關。啟用 AAA 覆蓋，以便 RADIUS 回應可以動態指派 VLAN。停用 SSID 層級的用戶端隔離 - 隔離功能將在每個 VLAN 獨立處理。

步驟 4 - 整合您的身分識別提供者。 將 Purple 連接到 Microsoft Entra ID、Okta 或 Google Workspace。Purple 會讀取住戶目錄，並為每位住戶自動配置唯一的 iPSK 和 VLAN 指派。

步驟 5 - 設定授權變更 (CoA)。 在 Purple 與您的無線控制器之間設定 CoA。這可讓 Purple 在住戶的租約終止時傳送中斷連線訊息，強制立即終止工作階段。

步驟 6 - 啟用每個 VLAN 的 mDNS 反射。 設定您的網路交換器和無線控制器，在每個 VLAN 邊界內反射 mDNS 流量。這可在每個公寓內啟用 AirPlay、Chromecast 和無線列印，且不會將探索流量洩漏到整棟建築物中。

如需深入了解如何設計整體 WiFi 架構，請參閱我們的指南 主宰一切的三個 SSID：訪客、Passpoint 和 IoT WiFi 。

最佳實踐

避免 MAC 位址隨機化失敗。 現代智慧型手機會隨機化其 MAC 位址以保護使用者隱私。如果您的 iPSK 實作依賴 MAC 位址本機旁路 (MAB)，隨機化將會破壞驗證。請確保您的基礎架構使用現代基於 EAPOL 的 iPSK 驗證，其中密碼本身就是驗證器，而非 MAC 位址。

規劃 RADIUS 效能。 由於 EAPOL 握手期間需要進行字典檢查，iPSK 對 RADIUS 伺服器造成的運算負載比標準 PSK 更重。請使用雲端託管的高效能 RADIUS 服務。Purple 的 RADIUS 基礎架構專為此工作負載而建，並在超過 80,000 個場所中維持 99.999% 的上線時間。

儘早處理 WPA3 相容性。 iPSK 目前在 WPA2 上運作。如果您在 6 GHz 頻段上部署 WiFi 6E 或 WiFi 7 存取點，您需要為這些用戶端制定獨立的 WPA3-Enterprise 策略。6 GHz 頻段強制要求 WPA3 安全性，目前不支援以相同方式運作的 iPSK。請規劃雙頻策略：2.4 GHz 和 5 GHz 採用 WPA2 iPSK，6 GHz 採用 WPA3-Enterprise。

自動化憑證傳遞。 請勿以純文字傳送密碼電子郵件。Purple 透過安全的品牌入口網站或透過 Purple 應用程式將憑證傳遞給住戶。這可建立可稽核的憑證傳遞記錄，並確保住戶可以在不聯絡技術支援中心的情況下自行重設密碼。

在正式上線前測試 mDNS 反射。 在 iPSK 部署後，最常見的住戶抱怨是他們的 Chromecast 或 AirPlay 無法運作。在啟用過程中測試每個 VLAN 中的 mDNS 反射。在交付之前，使用相同住戶 VLAN 上的筆記型電腦和 Chromecast，並驗證投放功能是否正常運作。 For related guidance on how your WiFi network creates a first impression for residents, see how to make a great first impression with your guest WiFi .

Troubleshooting and risk mitigation

Stale sessions after key revocation. The most common failure mode in an iPSK deployment. Revoking a key in the RADIUS database prevents future connections but does not drop active sessions. Configure CoA on your wireless controllers and ensure Purple sends a CoA disconnect message on every key revocation event.

VLAN exhaustion. In very large multi-tenant deployments, you can exhaust the 4,094 VLAN limit. Mitigate this by using VXLAN overlays or by sharing VLANs between non-adjacent units where the risk of cross-contamination is negligible.

RADIUS server unavailability. If your RADIUS server goes offline, no new devices can connect. Configure RADIUS failover with a secondary server. Purple's cloud RADIUS service includes built-in redundancy and a 99.999% uptime SLA.

Key synchronisation delays. When a new resident moves in, there can be a delay between the lease being signed in the property management system and the iPSK being provisioned in RADIUS. Integrate your property management system directly with Purple's API to automate provisioning and eliminate this gap.

ROI and business impact

Eliminating per-unit consumer routers transforms the economics of multi-tenant WiFi. A typical 300-unit BTR development might spend £150-£200 per unit on consumer routers, totalling up to £60,000 in hardware that needs replacing every three to five years. Centralised enterprise access points in corridors and common areas reduce hardware costs and eliminate the operational overhead of replacing broken consumer routers in occupied apartments.

More importantly, you deliver an instant-on resident experience. Residents connect to the WiFi the moment they walk in the door, using credentials delivered securely before move-in day. This premium amenity increases tenant satisfaction and supports higher rental yields. According to property industry research, managed WiFi is now cited by residents as one of the top three amenities they expect in a BTR development.

Purple's Multi-Tenant WiFi solution isolates traffic securely and supports resident smart devices, backed by 29 billion data points collected across our global network. Our WiFi Analytics platform gives property managers visibility into network utilisation, helping you right-size your infrastructure investment and demonstrate the value of the managed WiFi amenity to investors.

對於希望將住戶互動擴展至網路連線之外的 BTR 營運商而言，Purple 的 Guest WiFi 平台能與物業管理系統整合，以提供精準的溝通和忠誠度計畫。另請參閱我們的指南： 如何利用簡訊行銷增加回訪率 ，以獲取有關留住住戶的實用策略。