Uu PPSK pdf: Comparing Features and Deployment Models

歡迎閱讀 Purple 技術簡報。今天我們將介紹 PPSK - Private Pre-Shared Key WiFi - 它是什麼、它與其他替代方案的比較，以及在多租戶住宅或商業物業中部署它的實際意義。 讓我們從它解決的問題開始。在標準的 WPA2 個人網路中，每台裝置都共用同一個密碼。這對家庭來說沒問題。但對於擁有 200 個單元的建商出租房地產、學生宿舍大樓，或擁有 300 間客房的飯店來說，這就是一種風險。當一位住戶搬走時，你要麼為所有人更改密碼 - 在此過程中會中斷所有其他住戶的智慧電視、恆溫器和遊戲機的連線 - 要麼讓舊住戶繼續保留存取權限。這兩種選擇都無法令人接受。 PPSK 透過為每位住戶、每間公寓或每個裝置群組提供自己唯一的 WiFi 金鑰來解決這個問題。他們都連接到相同的 SSID - 相同的網路名稱 - 但每個金鑰都對應到一個獨立的 VLAN。12 號公寓在 VLAN 10 上。13 號公寓在 VLAN 20 上。IoT 裝置在 VLAN 99 上。無線基地台會自動處理金鑰到 VLAN 的對應。基本模式不需要 RADIUS 伺服器，不需要憑證基礎架構，裝置上也不需要 802.1X 請求方。 現在我們來談談術語，因為它因供應商而異，這在市場上造成了真正的混淆。Aruba 稱之為 PPSK - Private Pre-Shared Key。Cisco Meraki 稱之為 iPSK - Identity PSK 或個人私有網路。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下開發該概念的 Extreme Networks 稱之為 Private PSK。Ubiquiti UniFi 則直接稱之為 PPSK。Cambium 也使用 ePSK。所有這些產品的底層機制都是相同的：一個 SSID、多個唯一金鑰，每個金鑰都綁定到一個 VLAN 或一個原則群組。 從技術上講，以下是關聯層發生的情況。當裝置連線時，它會在 WPA2 四向握手期間提供其預先共用金鑰。無線基地台 - 或其背後的雲端控制器 - 會在 PPSK 儲存庫中查詢該金鑰，識別其對應的 VLAN，並從此時起相應地標記該裝置的流量。該裝置看到的是正常的 WiFi 連線。它完全不知道自己已被置於隔離的網段中。它的 Chromecast 可以工作，它的智慧音箱可以配對，它的主機可以獲得正確的 NAT 類型。一切運作起來都像家庭網路 - 因為從裝置的角度來看，它就是家庭網路。 這是與 802.1X 的主要區別，802.1X 是員工網路和企業環境的企業標準。802.1X 需要 RADIUS 伺服器、身分識別提供者 - Microsoft Entra ID、Okta 或 Google Workspace - 以及每台裝置上的請求方。該請求方是處理 EAP 驗證交換的軟體元件。每台受管理的筆記型電腦、每支企業手機都有一個。但您住戶的智慧冰箱沒有，您大樓的 HVAC 控制器沒有，您的 IoT 感測器也沒有。PPSK 適用於所有這些裝置，因為它是在 WPA 個人層運作，而不是 WPA 企業層。 話雖如此，PPSK 在企業環境中並不能完全取代 802.1X。它是針對不同問題的另一種工具。如果您營運的是重視個人問責制的員工網路 - 需要知道特定的人在特定的時間進行了驗證，並需要在他們離職時立即撤銷其存取權限 - 那麼 802.1X 是正確的答案。如果您營運的是需要戶戶隔離、IoT 支援以及大規模營運簡便性的住宅網路，那麼 PPSK 則是正確的答案。 讓我們看看目前在生產環境中運作的三種主要部署模型。 第一種是雲端控制器模型，這是新部署中最常見的。您的存取點（無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet）都連接到雲端管理平台。PPSK 金鑰儲存庫位於雲端控制器中。當您配置新住戶時，您在入口網站中建立金鑰，將其指派給 VLAN，然後控制器會將策略推送到大樓中的每個存取點。住戶透過電子郵件、簡訊或歡迎禮包中的 QR code 取得金鑰並進行連接。當他們搬出時，您刪除該金鑰。他們的裝置就會停止連接，而其他任何人都受到影響。 第二種部署模型是搭配本地 RADIUS 後端的 PPSK。某些企業部署會使用 RADIUS 伺服器來儲存和驗證 PPSK 憑證，這為您提供了集中式記錄、稽核追蹤以及與身分管理平台的整合。這會增加基礎架構的開銷，但能帶給您 802.1X 的問責制與 PPSK 的裝置相容性。這適合混合環境的模型 - 例如，在共享辦公空間中，您同時擁有託管的企業裝置和會員擁有的 IoT 設備。 第三種模型是混合型：住戶和 IoT 使用 PPSK，員工和管理系統使用 802.1X。這是 Purple 針對租賃專用住宅（build-to-rent）和多戶住宅單位部署所推薦的架構。住戶使用 PPSK。大樓管理系統、CCTV 和存取控制則使用 PPSK 擁有自己的 IoT VLAN。物業管理團隊的裝置則對 Microsoft Entra ID 或 Okta 使用 802.1X。三種不同的驗證模型，三個不同的 VLAN，一個實體基礎架構。 現在我們來談談實作。如果您要為租賃專用住宅開發案或多戶住宅單位物業部署 PPSK，以下是行之有效的步驟順序。 在接觸硬體之前，先從邏輯設計開始。規劃出您的住戶數量、IoT 裝置類別以及任何員工或管理系統。指派 VLAN。典型的 BTR 部署看起來像這樣：VLAN 10 到住戶單位數量所需的任何 VLAN - 每個公寓一個 VLAN，或根據您的密度每個樓層一個 VLAN。VLAN 99 給 IoT。VLAN 100 給大樓管理。VLAN 200 給公共區域的訪客 WiFi。 然後記錄您的 IP 位址規劃方案。在一棟擁有 200 個聯網單位的建築中，您隨時需要面對網絡上三千到五千台的裝置。這是根據 British Property Federation 研究得出每戶 15 到 25 台裝置的數據。您的 DHCP 範圍需要容納這個數量。請使用 RFC 1918 私有定址，並為每個 VLAN 配置足夠的子網大小。/24 遮罩可提供 254 個可用位址。/23 遮罩可提供 510 個可用位址。請據此調整大小。 在硬體選擇方面：所有主要的企業級無線基地台平台都支援 PPSK。Cisco Meraki 稱其為 iPSK，並透過 Meraki 儀表板搭配每個 SSID 的金鑰策略來進行管理。HPE Aruba 在 ArubaOS 和 Aruba Central 中原生實作此功能。Ruckus 透過 SmartZone 和 Ruckus Cloud 平台支援。Juniper Mist 使用具有 AI 驅動射頻管理的 ePSK。Ubiquiti UniFi 自 2023 年起就支援 PPSK，但請注意目前僅支援 WPA2，且無法在 6 GHz 頻段上運作。Cambium 和 Extreme 均透過其各自的雲端平台支援此功能。 需要指出的一個關鍵限制是：UniFi 的 PPSK 實作僅限 WPA2。如果您正在規劃 WiFi 6E 無線基地台，並希望針對 PPSK 用戶端使用 6 GHz 頻段，您需要一個支援 WPA3-SAE 搭配 PPSK 的平台，或者您需要將 PPSK 用戶端限制在 2.4 和 5 GHz 頻段。Aruba、Ruckus 和 Meraki 都支援在 WPA3 設定上使用 PPSK。 現在我們來談談常見的陷阱。這些是我在實際部署中反覆看到的故障模式。 第一個是 SSID 激增。您廣播的每個 SSID 都會消耗信標訊框的空口時間。在密集的住宅建築中，如果您在每個無線基地台廣播六到八個 SSID，將會降低所有人的效能。請將每個射頻晶片的 SSID 數量控制在最多四個。請使用 PPSK 從單一 SSID 為多個住戶群組提供服務，而不是為每個公寓或每個樓層建立獨立的 SSID。 第二個陷阱是中繼埠 (Trunk Port) 設定不足。您設計了乾淨的 VLAN 方案、部署了無線基地台，但隨後流量卻無聲無息地中斷，因為有人忘記在分佈交換器和存取層之間的中繼鏈路上允許相關的 VLAN。請在啟用調試期間驗證每個中繼埠。記錄下來。在住戶入住之前，使用每個 VLAN 上的裝置進行測試。 第三個陷阱是金鑰發放。產生金鑰很容易。以安全且在營運上可管理的方式將金鑰交給住戶則較為困難。在迎新禮包中提供 QR code 非常適合入住當天使用。而一個能讓住戶擷取金鑰並新增裝置的住戶入口網站，則更適合日常營運。請在部署之前建立好金鑰發放工作流程，而不是在部署之後才做。 現在針對最常出現的問題進行快速問答。 單一基地台可處理多少個 PPSK 金鑰？大多數企業級平台支援每個 SSID 數千個金鑰。Cisco Meraki 支援每個網路最多 5,000 個 iPSK 項目。Aruba 支援類似的規模。Ubiquiti UniFi 支援每個網路最多 1,000 個 PPSK 項目。對於擁有 200 個住戶的建築物，不論使用哪個平台，都在限制範圍內。 PPSK 是否支援 WPA3？是的，在大多數企業級平台上皆可。與 WPA2-PSK 相比，WPA3-SAE 針對離線字典攻擊提供了更強大的防護，因此在用戶端裝置支援的情況下，於 WPA3 上部署 PPSK 是正確的做法。唯一的例外是 UniFi，其 PPSK 目前僅支援 WPA2。 我可以將 PPSK 與我的物業管理系統整合嗎？是的，可以透過廠商的 API 進行。Aruba Central、Meraki、Ruckus 與 Mist 皆為 PPSK 金鑰管理提供了 REST API。Purple 的 Multi-Tenant WiFi 平台建構在這些 API 之上，為所有硬體廠商提供單一管理層，並透過 Webhooks 自動觸發物業管理系統的金鑰配置與撤銷。 關於 GDPR 呢？PPSK 金鑰是憑證，其本身並非個人資料。然而，如果您將金鑰連結到已命名的住戶 - 基於營運原因您通常會這麼做 - 在 UK GDPR 規範下，該連結即屬於個人資料。請安全地儲存它，僅在需要時保留，並確保您與 WiFi 平台提供商的資料處理協議涵蓋此內容。Purple 已通過 ISO 27001 認證、符合 GDPR 規範，並獲得 Cyber Essentials 認證。 最後，讓我們總結以下關鍵要點。 第一：PPSK 是多租戶住宅環境的正確驗證模型。它能為您提供每個家庭的隔離、IoT 相容性以及營運簡易性，這是標準 PSK 與 802.1X 無法同時滿足的。 第二：各廠商的術語有所不同 - PPSK、iPSK、ePSK、個人專用網路 - 但其機制是相同的。不要讓名稱上的混淆延誤了您的採購決策。 第三：在接觸硬體之前先設計好您的 VLAN 方案。邏輯設計是最困難的部分，實體部署則是隨之而來的步驟。 第四：將您的 SSID 數量保持在每個射頻四個以下。使用 PPSK 將多個區段整合至單一 SSID 中，而不是激增網路名稱。 第五：在正式上線前建立好您的金鑰分發工作流程。入住當天不適合用來發現您的上線流程存有漏洞。 如果您想深入了解其中任何內容 - 諸如硬體選擇、特定物業的 VLAN 設計，或將 PPSK 與您的物業管理系統整合 - Purple Multi-Tenant WiFi 團隊可以引導您完成。您可以在 purple.ai 找到完整的書面指南與架構圖。感謝您的收聽。