Ppsk-kiosk: comparing features and deployment models

歡迎來到 Purple 技術簡報。今天我們將介紹 PPSK-kiosk 部署 - 什麼是 PPSK-kiosk、它們與其他方案的比較，以及在哪種場景下最適合部署。 讓我們從問題開始說起。在傳統的 WPA2 Personal 網路中，每個裝置都共用相同的密碼。這在自家住宅中沒有問題，但在擁有 200 個單位的租賃住宅（Build to Rent）開發項目、擁有 300 間客房的飯店，或連續舉辦活動的會議中心裡，這就是一種安全隱患。當一位住戶搬出或一位顧客辦理退房時，您要不就是更改所有人的密碼 - 這會中斷大樓內其他所有裝置的連線 - 要不就是讓舊的憑證繼續有效。這兩種選擇都無法令人接受。 PPSK 透過為每位住戶、每間公寓或每個裝置群組提供其專屬的唯一 WiFi 金鑰來解決這個問題。他們都連線到相同的 SSID - 也就是相同的網路名稱 - 但每個金鑰都會對應到獨立的 VLAN。12 號公寓位於 VLAN 10，13 號公寓位於 VLAN 20，而 IoT 裝置則位於 VLAN 99。無線基地台會自動處理金鑰到 VLAN 的對應。不需要 RADIUS 伺服器，不需要憑證基礎架設，裝置上也不需要 802.1X 請求方（supplicant）。 現在，kiosk（自助服務機）元素是讓物業開發商和場地營運商在營運上產生興趣的地方。PPSK-kiosk 是一種自助服務終端 - 通常是固定支架上的平板電腦 - 放置在大廳、接待處或公共區域。訪客或新住戶走上前，輸入他們的姓名或掃描 QR code，kiosk 就會現場產生並發行一組唯一的 PPSK。該金鑰與他們的身份記錄綁定，具有定義的到期時間，並對應到其存取層級正確的 VLAN。不需要櫃檯人員參與，不需要 IT 支援工單，也不需要將共用密碼寫在白板上。 讓我們來談談術語，因為各家廠商的說法不同，這常造成真正的混淆。Aruba 稱之為 PPSK - Private Pre-Shared Key。Cisco Meraki 稱之為 iPSK - Identity PSK。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下開發此概念的 Extreme Networks 稱之為 Private PSK。Ubiquiti UniFi 則簡單地稱之為 PPSK。Cambium 也使用 ePSK。所有這些技術的底層機制都是相同的：一個 SSID、多個唯一的金鑰，每個金鑰都綁定到一個 VLAN 或一個策略群組。 技術上來說，以下是關聯層（association layer）所發生的事情。當裝置連線時，它會在 WPA2 四向交握（four-way handshake）期間提供其預先共用金鑰。無線基地台 - 或其背後的雲端控制器 - 會在 PPSK 儲存庫中查詢該金鑰，識別其對應的 VLAN，並從此時起相應地標記該裝置的流量。該裝置看到的是正常的 WiFi 連線，它完全不知道自己已被放入隔離的網路區段中。它的 Chromecast 可以正常運作、智慧喇叭可以配對、遊戲主機可以取得正確的 NAT 類型。一切都像家用網路一樣運作 - 因為從裝置的角度來看，它確實就是家用網路。 這與 802.1X 有著關鍵的區別，後者是員工網路和企業環境的企業級標準。802.1X 需要一台 RADIUS 伺服器、一個身分識別提供者 - Microsoft Entra ID、Okta 或 Google Workspace - 以及每台裝置上的用戶端（supplicant）。該用戶端是處理 EAP 驗證交換的軟體元件。每台受管理的筆記型電腦、每部公司手機都配有一個。但您住戶的智慧冰箱沒有。您大樓的 HVAC 控制器沒有。您的 IoT 感測器也沒有。PPSK 適用於所有這些裝置，因為它運作於 WPA 個人層，而非 WPA 企業層。 話雖如此，PPSK 並不是要在企業環境中取代 802.1X。它是針對不同問題的不同工具。如果您正在營運需要個人問責制的員工網路，802.1X 是正確的選擇。如果您正在營運需要按戶隔離、IoT 支援以及大規模營運簡便性的住宅網路，PPSK 則是正確的選擇。 讓我們來看看目前實際運作中的三種部署模式。 第一種是雲端控制器模式。您的基地台 - 無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 還是 Fortinet - 都連接到雲端管理平台。PPSK 金鑰儲存庫位於雲端控制器中。當您配置新住戶時，您會在入口網站中建立金鑰，將其指派給 VLAN，然後控制器會將此原則推送到大樓內的所有基地台。住戶會透過電子郵件、簡訊或歡迎包中的 QR code 取得金鑰並進行連線。當他們搬離時，您只需刪除該金鑰。他們的裝置就會停止連線。其他人都不會受到影響。 第二種模式是搭配本地 RADIUS 後端的 PPSK。某些企業部署使用 RADIUS 伺服器來儲存和驗證 PPSK 認證，這為您提供了集中式記錄、稽核追蹤以及與身分管理平台的整合。這雖然增加了基礎架構開銷，但卻能為您提供 802.1X 的問責制與 PPSK 的裝置相容性。 第三種模式是混合式：針對住戶和 IoT 使用 PPSK，針對員工和管理系統使用 802.1X。這是 Purple 針對「建屋出租」（Build to Rent）和多戶住宅單位部署所推薦的架構。住戶使用 PPSK。大樓管理系統、CCTV 和門禁控制擁有自己專屬的 IoT VLAN 並使用 PPSK。物業管理團隊的裝置則對 Microsoft Entra ID 或 Okta 使用 802.1X。三種不同的驗證模式，三個不同的 VLAN，單一實體基礎架構。 現在讓我們來看看常見的陷阱。這些是我在實際部署中反覆看到的失敗模式。 第一個是 SSID 激增。您廣播的每個 SSID 都會消耗信標訊框（beacon frames）的通訊時間。在密集的住宅大樓中，如果每個存取點廣播六到八個 SSID，就會降低所有人的網路效能。請將每個射頻（radio）的 SSID 限制在最多四個。使用 PPSK 從單一 SSID 為多個住戶區域提供服務，而不是為每間公寓或每個樓層建立獨立的 SSID。 第二個陷阱是中繼埠（trunk port）設定不足。您設計了乾淨的 VLAN 方案、部署了存取點，但隨後流量卻悄無聲息地中斷，因為有人忘記在分佈交換器與存取層之間的中繼鏈路上允許相關的 VLAN。在試運行期間驗證每個中繼埠。記錄下來。在住戶入住前，使用每個 VLAN 上的裝置進行測試。 第三個陷阱是金鑰發放。產生金鑰很簡單。但以安全且在營運上易於管理的方式將金鑰交給住戶則較為困難。在迎新禮包中提供 QR code 對於搬入當天非常有效。而能讓住戶擷取金鑰並新增裝置的住戶入口網站，對於持續營運來說則更佳。請在部署之前建立金鑰發放工作流程，而不是在部署之後。 讓我給您兩個實際案例，說明這在實務中是如何運作的。 情境一：位於市中心、擁有 180 個單元的「租賃專用住宅（Build to Rent）」開發案。營運商希望將 WiFi 作為一項設施包含在租金中，並提供入住當天啟用和完整的智慧家庭支援。他們部署了透過 Aruba Central 管理的 HPE Aruba 存取點。每間公寓在簽訂租約時都會產生一組專屬的 PPSK 金鑰。該金鑰會透過電子郵件發送給住戶，並附上一個 QR code。他們掃描後，所有裝置都會連線，且其 Chromecast、智慧喇叭和遊戲主機都能立即運作。當住戶搬出時，物業經理會在入口網站中刪除該金鑰。新住戶在搬入時會獲得新的金鑰。營運商表示，與先前部署的共享密碼相比，與 WiFi 相關的支援工單減少了 30%。 情境二：一棟擁有 400 個床位的專門建造學生宿舍（PBSA）。這裡的挑戰在於新學期入住週，數百名學生同時抵達，所有人都試圖同時連線數十台裝置。營運商使用了配備 SmartZone 的 Ruckus 存取點，部署了每間房一組金鑰的 PPSK。金鑰已預先產生，並包含在抵達前寄出的迎新禮包中。學生在抵達時掃描 QR code，並在幾秒鐘內完成連線。網路順利處理了搬入潮且效能未受影響，因為每位學生的流量都被隔離在各自的 VLAN 區段中。 現在針對最常出現的問題進行快速問答。 單一存取點可以處理多少個 PPSK 金鑰？大多數企業級平台每個 SSID 支援數千個金鑰。Cisco Meraki 每個網路支援多達 5,000 個 iPSK 項目。Aruba 支援類似的規模。Ubiquiti UniFi 每個網路支援高達 1,000 個 PPSK 項目。對於一棟擁有 200 個單元的大樓，在任何平台上都遠未達到限制。 PPSK 是否支援 WPA3？是的，在大多數企業級平台上皆支援。與 WPA2-PSK 相比，WPA3-SAE 針對離線字典攻擊提供了更強大的防護，因此在用戶端裝置支援的情況下，在 WPA3 上部署 PPSK 是正確的做法。唯一的例外是 UniFi，其目前在 PPSK 上僅支援 WPA2。 我能否將 PPSK 與我的物業管理系統進行整合？是的，可透過廠商的 API 進行整合。Aruba Central、Meraki、Ruckus 和 Mist 均提供用於 PPSK 金鑰管理的 REST API。Purple 的平台作為雲端重疊網路，負責處理對底層硬體的 API 呼叫，因此無論您使用的是哪家存取點廠商，您的物業管理系統都只需與單一端點進行通訊。 那 GDPR 合規性呢？PPSK 金鑰產生過程中會收集身份資料 - 姓名、電子郵件、單位編號。根據 UK GDPR，這些資料的收集需要有合法依據、明確的保留政策以及安全儲存。Purple 可依您的選擇將資料儲存在歐盟、英國或美國地區，並在註冊流程中內建可設定的保留期限和同意書取得機制。 總結來說，當您需要針對每位使用者或每個家庭進行 WiFi 隔離、支援 IoT 裝置以及進行大規模自助服務註冊時，PPSK kiosk 是正確的架構。它運作於您可能已經擁有的硬體上 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet。對於需要個人稽核追蹤的員工網路，它並不能取代 802.1X。而 kiosk 元素 - 即自助服務終端 - 正是使其在擁有 200 個單位的 BTR 開發案或 500 名代表的會議規模下，在營運上切實可行的關鍵。 如果您正在規劃部署並希望討論其架構，Purple 的團隊已服務超過 80,000 個場所，能針對您特定的物業類型規劃最合適的模式。相關連結已隨附於指南中。感謝您的聆聽。