跳至主要內容

使用 NAC 與 MPSK 管理 IoT 裝置安全

本技術指南詳細介紹企業場域如何使用多重預共用金鑰 (MPSK) 架構與網路存取控制 (NAC) 來保護無周邊 (headless) IoT 裝置的安全。本指南提供了實現微分割、控制安全損害範圍以及在不犧牲擴充性的情況下維持合規性的具體實作步驟。

📖 5 分鐘閱讀📝 1,151 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收聽 Purple 技術簡報。我是您的主持人,今天我們將深入探討企業網路面臨的一個關鍵挑戰:使用網路存取控制 (NAC) 和多重預共用金鑰 (MPSK) 來管理 IoT 裝置安全。 讓我們首先說明背景。如果您是大型場域(例如擁有 500 間客房的飯店、零售連鎖店或體育場)的 IT 經理或網路架構師,您的網路已不再僅為筆記型電腦和智慧型手機提供服務。您還有智慧恆溫器、IP 攝影機、銷售點終端機、數位看板和環境感測器。問題在於,這些無周邊 IoT 裝置大多不支援 802.1X 驗證。它們無法處理憑證或企業級認證。 那麼,會發生什麼事?過去,IT 團隊在整個 IoT 網路中都依賴單一、全域的預共用金鑰(即傳統的 PSK)。這是一個巨大的安全風險。如果一個智慧燈泡被入侵,或者承包商帶著密碼離職,您的整個 IoT 子網路都會暴露在風險中。而更改該全域密碼意味著必須手動更新數百或數千台裝置,這根本無法擴充。 這正是結合 NAC 與 MPSK 扭轉局勢之處。 讓我們進行技術深挖。MPSK 允許您為每一個 IoT 裝置核發一個唯一的、裝置專屬的密碼,且全部在同一個 SSID 上廣播。當裝置連線時,無線控制器會與 RADIUS 伺服器(這是您 NAC 解決方案的一部分)進行通訊。NAC 引擎會查看所使用的特定密碼,識別出確切的裝置,並將其動態分配到具有相應安全策略的正確 VLAN 中。 想想這有多強大。您的 IP 攝影機被放入 VLAN 40,並配有嚴格的存取控制清單,僅允許它們與本機視訊伺服器通訊。您的智慧恆溫器進入 VLAN 50,且只能存取其特定的雲端閘道。如果某台攝影機被入侵,損害範圍會完全被限制在其微分割內。如果您需要撤銷存取權限,您只需刪除一個 MPSK,而不需要更改全域密碼。 實作此架構需要堅實的基礎。您需要一個強大的 NAC 策略引擎。Purple 的分析平台與這些企業環境無縫整合,提供對裝置行為的可視性。當您將 MPSK 與強大的 NAC 結合時,您不僅保護了邊緣安全,還獲得了細粒度的控制與可視性。 讓我們來看看一些實作建議和常見陷阱。 首先,自動化上線流程。不要手動產生 MPSK。使用自助服務入口網站或與您的 IT 服務管理工具進行 API 整合,來產生和分發金鑰。 其次,執行嚴格的設定檔分析。您的 NAC 應根據裝置的 MAC 位址和 DHCP 指紋對其進行設定檔分析,以確保使用 MPSK 的裝置確實是其所宣稱的裝置。如果分配給恆溫器的 MPSK 突然被筆記型電腦使用,NAC 應立即隔離該連線。 一個常見的陷阱是在部署 MPSK 之前未能規劃好您的 VLAN 結構。即使使用了唯一的金鑰,也不要只是將所有 IoT 裝置丟進同一個「IoT VLAN」中。請根據裝置類型和功能進行分割。 現在,針對常見的客戶問題進行快速問答。 問題 1:MPSK 是否需要新的硬體? 答案:通常不需要,前提是您的無線區域網路控制器和存取點執行支援 MPSK 或 Identity PSK 的較新韌體,並且您擁有功能完備的 RADIUS/NAC 伺服器。 問題 2:這對合規性有何影響? 答案:影響巨大。對於零售或旅宿業的 PCI DSS,MPSK 結合動態 VLAN 分配提供了嚴格的分割,這是將 POS 終端機與一般 IoT 流量隔離所必需的。 總結來說,管理 IoT 安全並非尋找支援企業驗證的裝置,而是建立一個無論如何都能保護它們安全的基礎架構。MPSK 和 NAC 提供了現代場域所要求的擴充性、微分割和損害範圍控制。 後續步驟?稽核您目前的 IoT SSID。如果您正在使用全域 PSK,是時候規劃向 MPSK 的遷移策略了。評估您的 NAC 功能,並開始定義您的微分割策略。 感謝收聽本次技術簡報。保持安全,並繼續建立具備彈性的網路。

header_image.png

कार्यकारी सारांश

Retail , Hospitality , और Transport स्थानों के एंटरप्राइज़ नेटवर्क में हेडलेस IoT डिवाइसों—जैसे पर्यावरण सेंसर और स्मार्ट थर्मोस्टेट से लेकर IP कैमरे और पॉइंट-ऑफ़-सेल टर्मिनल तक—का भारी विस्तार हो रहा है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए बुनियादी चुनौती यह है कि इनमें से अधिकांश डिवाइस एंटरप्राइज़-ग्रेड IEEE 802.1X प्रमाणीकरण का समर्थन नहीं करते हैं।

ऐतिहासिक रूप से, संगठन अपने संपूर्ण IoT SSID के लिए एकल, ग्लोबल प्री-शेयर्ड की (PSK) पर निर्भर रहे हैं। यह एक अस्वीकार्य सुरक्षा स्थिति पैदा करता है जहाँ एक भी समझौता किया गया डिवाइस या लीक हुआ पासवर्ड पूरे IoT नेटवर्क सेगमेंट में सेंध लगा देता है।

यह तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि एक मजबूत नेटवर्क एक्सेस कंट्रोल (NAC) पॉलिसी इंजन के साथ मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर को तैनात करने से यह चुनौती कैसे हल होती है। प्रति डिवाइस अद्वितीय क्रेडेंशियल जारी करके और डायनामिक VLAN असाइनमेंट का लाभ उठाकर, नेटवर्क टीमें हजारों एंडपॉइंट्स के लिए आवश्यक स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त कर सकती हैं, ब्लास्ट रेडियस को सीमित कर सकती हैं और सख्त अनुपालन (जैसे PCI DSS) बनाए रख सकती हैं। जब इसे Purple के Guest WiFi और WiFi Analytics जैसे प्लेटफॉर्म के साथ एकीकृत किया जाता है, तो यह दृष्टिकोण निर्बाध, सुरक्षित और अत्यधिक दृश्यमान नेटवर्क संचालन सुनिश्चित करता है。

तकनीकी डीप-डाइव

पारंपरिक PSK और 802.1X की सीमाएँ

एक मानक एंटरप्राइज़ वातावरण में, डिवाइस प्रमाणपत्र (EAP-TLS) या क्रेडेंशियल (PEAP) का उपयोग करके IEEE 802.1X के माध्यम से प्रमाणित होते हैं। हालाँकि, हेडलेस IoT डिवाइसों में आमतौर पर 802.1X के लिए आवश्यक सप्लिकेंट सॉफ़्टवेयर का अभाव होता है। पारंपरिक रूप से इसका विकल्प एकल PSK का उपयोग करके WPA2/WPA3-Personal रहा है।

ग्लोबल PSK की परिचालन वास्तविकता गंभीर है:

  1. शून्य सेगमेंटेशन: PSK पर सभी डिवाइस एक ही ब्रॉडकास्ट डोमेन साझा करते हैं जब तक कि उन्हें MAC पते द्वारा मैन्युअल रूप से मैप न किया जाए, जो परिचालन रूप से अस्थिर है।
  2. उच्च ब्लास्ट रेडियस: एक समझौता किया गया स्मार्ट बल्ब पूरे VLAN तक लेटरल मूवमेंट एक्सेस प्रदान करता है।
  3. की रोटेशन की समस्या: एक समझौता किए गए डिवाइस के लिए एक्सेस रद्द करने के लिए ग्लोबल PSK को बदलना और नेटवर्क पर हर दूसरे डिवाइस को मैन्युअल रूप से अपडेट करना आवश्यक होता है।

MPSK और NAC आर्किटेक्चर

MPSK (जिसे वेंडर आइडेंटिटी PSK या iPSK भी कहते हैं) मौलिक रूप से इस प्रतिमान को बदल देता है। यह एक एकल SSID को हजारों अद्वितीय पासवर्ड स्वीकार करने की अनुमति देता है। हालाँकि, इसकी बुद्धिमत्ता NAC या RADIUS सर्वर के साथ एकीकरण में निहित है।

जब कोई डिवाइस MPSK SSID से जुड़ता है, तो वायरलेस LAN कंट्रोलर (WLC) प्रमाणीकरण अनुरोध को NAC को अग्रेषित करता है। NAC इंजन उपयोग किए गए विशिष्ट पासवर्ड का मूल्यांकन करता है, इसे डिवाइस की पहचान (MAC पता, प्रोफाइलिंग डेटा) के साथ सहसंबंधित करता है, और विशिष्ट विशेषताओं—विशेष रूप से, VLAN ID और एक्सेस कंट्रोल लिस्ट (ACL) नीतियों—युक्त एक RADIUS एक्सेस-एक्सेप्ट संदेश लौटाता है।

nac_architecture_overview.png

यह आर्किटेक्चर डायनामिक VLAN असाइनमेंट को सक्षम बनाता है। एक स्मार्ट थर्मोस्टेट और एक IP कैमरा अलग-अलग पासवर्ड का उपयोग करके बिल्कुल एक ही SSID से कनेक्ट हो सकते हैं, और नेटवर्क इन्फ्रास्ट्रक्चर थर्मोस्टेट को VLAN 50 (क्लाउड गेटवे एक्सेस तक सीमित) और कैमरे को VLAN 40 (स्थानीय NVR सर्वर तक सीमित) में डाल देगा।

mpsk_vs_psk_comparison.png

ऑडियो ब्रीफिंग

इस आर्किटेक्चर पर हमारे वरिष्ठ सलाहकार की तकनीकी ब्रीफिंग सुनें:

कार्यान्वयन मार्गदर्शिका

NAC के साथ MPSK को तैनात करने के लिए स्केलेबिलिटी और सुरक्षा सुनिश्चित करने हेतु सावधानीपूर्वक योजना बनाने की आवश्यकता होती है। सफल रोलआउट के लिए इन चरणों का पालन करें।

चरण 1: इन्फ्रास्ट्रक्चर तत्परता मूल्यांकन

सुनिश्चित करें कि आपके वायरलेस कंट्रोलर और एक्सेस पॉइंट MPSK/iPSK का समर्थन करते हैं। अधिकांश आधुनिक एंटरप्राइज़ नेटवर्किंग वेंडर (Cisco, Aruba, Meraki, Ruckus) मूल रूप से इसका समर्थन करते हैं, बशर्ते फर्मवेयर अप-टू-डेट हो। सत्यापित करें कि आपका NAC समाधान RADIUS अनुरोधों के अपेक्षित लोड को संभाल सकता है और पासवर्ड मिलान के आधार पर डायनामिक VLAN असाइनमेंट का समर्थन करता है।

चरण 2: माइक्रो-सेगमेंटेशन नीतियां परिभाषित करें

एक भी कुंजी उत्पन्न करने से पहले, अपने VLAN आर्किटेक्चर को परिभाषित करें। IoT डिवाइसों को उनके कार्य और आवश्यक एक्सेस के आधार पर समूहीकृत करें।

  • VLAN 40 (सुरक्षा कैमरे): केवल स्थानीय NVR IP और विशिष्ट NTP सर्वर पर ट्रैफ़िक की अनुमति दें। इंटरनेट एक्सेस को ब्लॉक करें।
  • VLAN 50 (पर्यावरण सेंसर): विशिष्ट वेंडर क्लाउड एंडपॉइंट्स पर आउटबाउंड HTTPS ट्रैफ़िक की अनुमति दें। इंटर-VLAN रूटिंग को ब्लॉक करें।
  • VLAN 60 (पॉइंट ऑफ़ सेल): सख्त PCI DSS अनुपालन। सभी इनबाउंड ट्रैफ़िक को अस्वीकार करें; केवल पेमेंट गेटवे के लिए आउटबाउंड की अनुमति दें।

चरण 3: डिवाइस प्रोफाइलिंग और की जनरेशन

कुंजियों को मैन्युअल रूप से उत्पन्न न करें। प्रति डिवाइस अद्वितीय कुंजियाँ उत्पन्न करने के लिए NAC के API या सेल्फ़-सर्विस पोर्टल का उपयोग करें। प्रत्येक कुंजी को डिवाइस के MAC पते से बाइंड करें। यह सुनिश्चित करता है कि भले ही किसी थर्मोस्टेट से MPSK निकाल लिया जाए, इसका उपयोग नेटवर्क को स्पूफ करने वाले किसी दुष्ट लैपटॉप द्वारा नहीं किया जा सकता है।

चरण 4: एनालिटिक्स और गेस्ट नेटवर्क के साथ एकीकरण

हालाँकि IoT नेटवर्क अलग-थलग होते हैं, लेकिन समग्र प्रबंधन एकीकृत होना चाहिए। सुनिश्चित करें कि आपका NAC परिनियोजन आपकी व्यापक नेटवर्क रणनीति के अनुरूप है, जिसमें Guest WiFi प्रोविजनिंग शामिल है। जो प्लेटफ़ॉर्म WiFi Analytics प्रदान करते हैं, वे सभी सेगमेंट में डिवाइस घनत्व और नेटवर्क स्वास्थ्य के बारे में मूल्यवान जानकारी दे सकते हैं। नेटवर्क के मूल सिद्धांतों के बारे में अधिक जानने के लिए, Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 की समीक्षा करें।

सर्वोत्तम प्रथाएँ

  • MAC बाइंडिंग लागू करें: हमेशा MPSK को डिवाइस के विशिष्ट MAC पते से बाइंड करें। यदि कोई भिन्न MAC कुंजी का उपयोग करने का प्रयास करता है, तो NAC को प्रमाणीकरण अस्वीकार कर देना चाहिए。
  • DHCP फिंगरप्रिंटिंग लागू करें: डिवाइस प्रकारों को सत्यापित करने के लिए NAC के भीतर DHCP प्रोफाइलिंग का उपयोग करें। यदि 'स्मार्ट टीवी' को असाइन किया गया MPSK अचानक 'Windows 11' के रूप में फिंगरप्रिंटिंग करने वाले डिवाइस द्वारा उपयोग किया जाता है, तो स्वचालित क्वारंटाइन ट्रिगर करें。
  • जीवनचक्र प्रबंधन को स्वचालित करें: अपने IT सर्विस मैनेजमेंट (ITSM) प्लेटफ़ॉर्म के साथ MPSK जनरेशन को एकीकृत करें। जब एसेट रजिस्टर में किसी डिवाइस को डिकमीशन किया जाता है, तो संबंधित MPSK को API के माध्यम से स्वचालित रूप से रद्द कर दिया जाना चाहिए。
  • नियमित ऑडिटिंग: अनाथ कुंजियों की पहचान करने और उन्हें हटाने के लिए अपनी एसेट इन्वेंट्री के विरुद्ध सक्रिय MPSKs का त्रैमासिक ऑडिट करें。

समस्या निवारण और जोखिम न्यूनीकरण

सामान्य विफलता मोड

  1. RADIUS टाइमआउट समस्याएँ: यदि NAC इंजन पर अत्यधिक भार है या विलंबता अधिक है, तो हेडलेस डिवाइस टाइम आउट हो सकते हैं और कनेक्ट होने में विफल हो सकते हैं।
    • बचाव: यदि बड़ी रिटेल चेन जैसे अत्यधिक वितरित वातावरण से निपट रहे हैं, तो उच्च उपलब्धता और स्थानीयकृत RADIUS प्रॉक्सी सुनिश्चित करें।
  2. MAC स्पूफिंग: एक हमलावर अधिकृत IoT डिवाइस के MAC पते को क्लोन करता है और उसका MPSK निकाल लेता है।
    • बचाव: डीप पैकेट इंस्पेक्शन और व्यवहार संबंधी प्रोफाइलिंग पर भरोसा करें। यदि "थर्मोस्टेट" अचानक पोर्ट 22 (SSH) पर नेटवर्क को स्कैन करना शुरू कर देता है, तो NAC या IDS को तुरंत पोर्ट को अलग कर देना चाहिए।
  3. रोमिंग डिस्कनेक्ट: कुछ खराब डिज़ाइन किए गए IoT डिवाइस MPSK का उपयोग करके APs के बीच रोमिंग करते समय कनेक्शन छोड़ देते हैं।
    • बचाव: न्यूनतम बुनियादी दरों को समायोजित करें और उचित RF सेल ओवरलैप सुनिश्चित करें। गहन वायरलेस डिज़ाइन विचारों के लिए, BLE Low Energy Explained for Enterprise देखें।

ROI और व्यावसायिक प्रभाव

MPSK/NAC आर्किटेक्चर में परिवर्तन औसत दर्जे का व्यावसायिक मूल्य प्रदान करता है:

  • कम परिचालन व्यय (OpEx): जब कोई एक डिवाइस समझौता किया जाता है या बदला जाता है, तो ग्लोबल PSK को मैन्युअल रूप से अपडेट करने में IT टीमों द्वारा खर्च किए जाने वाले सैकड़ों घंटों को समाप्त करता है।
  • अनुपालन आश्वासन: रिटेल और हॉस्पिटैलिटी स्थानों के लिए, सख्त माइक्रो-सेगमेंटेशन PCI DSS की एक मुख्य आवश्यकता है। MPSK भुगतान टर्मिनलों को अलग करने के लिए एक सिद्ध, ऑडिट योग्य तंत्र प्रदान करता है, जिससे महंगे अनुपालन जुर्माने से बचा जा सकता है।
  • जोखिम न्यूनीकरण: किसी भी समझौता किए गए डिवाइस के ब्लास्ट रेडियस को उसके विशिष्ट माइक्रो-सेगमेंट तक सीमित करके, लेटरल-मूवमेंट रैंसमवेयर हमले के संभावित वित्तीय और प्रतिष्ठित नुकसान को काफी कम कर दिया जाता है।
  • भविष्य की तैयारी: जैसे-जैसे एंटरप्राइज़ नेटवर्क विकसित होते हैं, IoT सुरक्षा को व्यापक WAN रणनीतियों के साथ एकीकृत करना महत्वपूर्ण हो जाता है। व्यापक नेटवर्क आर्किटेक्चर के संदर्भ के लिए, SD WAN vs MPLS: The 2026 Enterprise Network Guide और The Role of SCEP and NAC in Modern MDM Infrastructure देखें।

關鍵定義

MPSK (Multiple Pre-Shared Key)

一種無線安全功能,允許在單一 SSID 上使用多個唯一的密碼,且每個密碼都能觸發不同的網路策略。

對於保護無法支援企業級 802.1X 驗證的無周邊 IoT 裝置至關重要。

NAC (Network Access Control)

一種安全解決方案,對嘗試存取網路的裝置執行策略,確保其在獲得存取權限之前符合安全要求。

作為 MPSK 背後的智慧引擎,根據所使用的密碼決定 VLAN 分配。

動態 VLAN 分配

網路交換器或無線控制器根據驗證憑證(而非實體連接埠或 SSID)將裝置分配到特定 VLAN 的過程。

可在同一個無線網路上廣播的 IoT 裝置之間實現微分割。

損害範圍 (Blast Radius)

攻擊者在入侵單一裝置或系統後所能造成的破壞程度或橫向移動範圍。

MPSK 和 NAC 透過將受駭的 IoT 裝置隔離在嚴格的微分割中,大幅縮小了損害範圍。

無周邊裝置 (Headless Device)

一種通常用於 IoT 部署的運算裝置,在沒有螢幕、鍵盤或使用者介面的情況下運作。

這些裝置無法提示使用者輸入憑證,因此無法進行傳統的 802.1X 驗證。

MAC 綁定

一種安全控制措施,將特定憑證(如 MPSK)的使用限制在單一、授權的 MAC 位址上。

防止攻擊者從智慧燈泡中竊取 MPSK 並將其用於惡意筆記型電腦上。

DHCP 指紋識別

NAC 系統使用的一種設定檔分析技術,根據裝置請求的特定 DHCP 選項順序來識別其作業系統和類型。

用於驗證使用 IoT MPSK 連線的裝置確實是 IoT 裝置,而非偽造的端點。

微分割 (Micro-segmentation)

一種安全技術,將網路劃分為細粒度、隔離的區域,以維持嚴格的存取控制並限制橫向移動。

為 IoT 安全部署 MPSK 和 NAC 的主要架構目標。

範例

一家擁有 300 間客房的飯店正在部署新的智慧電視、IP 門鎖和環境感測器。目前的基礎架構對所有非企業裝置使用單一全域 PSK。網路架構師應如何重新設計以實現最佳的安全性和可管理性?

架構師應部署 MPSK SSID(「Hotel-IoT」)。NAC 策略引擎必須配置三種不同的裝置設定檔。智慧電視接收唯一的 MPSK,並動態分配到 VLAN 100(僅限網際網路,啟用用戶端隔離)。門鎖接收唯一的 MPSK,綁定到其特定的 MAC 位址,並分配到 VLAN 110(僅限存取本機安全伺服器)。感測器接收唯一的 MPSK,並分配到 VLAN 120(僅限存取 HVAC 管理雲端)。所有金鑰均在裝置上線期間透過 API 產生。

考官評語: 此方法消除了全域 PSK 的安全漏洞。透過 NAC 進行動態 VLAN 分配,架構師實現了嚴格的微分割。將門鎖與 MAC 位址綁定,為關鍵基礎架構提供了不可或缺的安全防護層。

一家大型連鎖零售商需要在 50 個據點連接數百個無線銷售點 (POS) 掃描器和數位看板顯示器。他們如何在確保 PCI DSS 合規性的同時,將 IT 管理開銷降至最低?

實作結合 MPSK 的集中式 NAC 架構。為 POS 掃描器核發唯一的 MPSK,並將其歸類到高度受限、符合 PCI 規範的 VLAN 中,該 VLAN 拒絕所有橫向流量,且僅允許向外連線至付款處理閘道。數位看板顯示器使用獨立的 MPSK,並放入另一個僅具備網際網路存取權限的 VLAN 中以進行內容更新。金鑰生命週期管理與中央資產管理系統整合。

考官評語: 此解決方案透過確保付款裝置與一般 IoT 流量的嚴格邏輯分割,直接滿足了 PCI DSS 的要求。集中式金鑰管理減輕了分部 IT 人員的維運負擔。

練習題

Q1. 體育場 IT 團隊需要部署 200 個新的無線銷售點 (POS) 終端機。他們計劃使用 MPSK。為了確保最大安全性,NAC 在將 POS 終端機分配到安全 VLAN 之前,必須執行哪兩項設定檔檢查?

提示:思考如何防止被竊取的 MPSK 被用於非 POS 裝置上。

查看標準答案

NAC 必須執行 MAC 綁定(驗證特定的 MPSK 是否正由授權的 MAC 位址使用)和 DHCP 指紋識別(驗證請求 IP 位址的裝置是否展現出預期 POS 終端機作業系統的特徵,而非一般的筆記型電腦或智慧型手機)。

Q2. 在一次稽核中發現,分配給智慧恆溫器的 MPSK 被承包商的筆記型電腦成功用於獲取網路存取權限。NAC 將該筆記型電腦分配到了恆溫器的 VLAN。是什麼配置錯誤導致了這種情況?

提示:思考金鑰與裝置身分之間的關係。

查看標準答案

主要失敗原因在於缺乏 MAC 綁定。該 MPSK 未被限制在恆溫器的特定 MAC 位址上。此外,NAC 未能執行裝置設定檔分析(例如 DHCP 指紋識別),否則該分析會將承包商的筆記型電腦識別為該特定金鑰和 VLAN 的異常裝置類型。

Q3. 一家零售連鎖店正在從全域 PSK 遷移到 MPSK。他們擁有 5,000 台支援 WPA2-Personal 但無法更新以支援較新協定的舊款條碼掃描器。是否可以使用 MPSK 來保護這些裝置?如果可以,該如何實現?

提示:考慮用戶端對 MPSK 的需求。

查看標準答案

是的,可以使用 MPSK。從用戶端裝置(條碼掃描器)的角度來看,MPSK 與標準的 WPA2-Personal PSK 完全相同。智慧化和差異化完全發生在基礎架構端(WLC 和 NAC)。掃描器只需要配置新分配的唯一密碼即可。