PPSK 電源探針:比較功能與部署模型
本指南說明 PPSK (Private Pre-Shared Key) 技術如何在多租戶建築中提供每位住戶的網路隔離,以及如何將其用作即時診斷電源探針,在交付前驗證 VLAN 架構。本指南比較了 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme Networks 和 Ubiquiti UniFi 的實作方式,並詳細說明 BTR、MDU 和旅宿業大規模部署所需的雲端 RADIUS 架構。
收聽此指南
查看播客逐字稿
執行摘要
PPSK (Private Pre-Shared Key) 取代了單一共享的 WiFi 密碼,為每個裝置或用戶群組提供唯一的憑證。對於管理多租戶大樓的物業開發商、BTR 營運商和房東而言,PPSK 不僅僅是一種身分驗證機制 - 它還可作為即時診斷功能探索工具。每位住戶的金鑰都能即時驗證整個身分驗證路徑、VLAN 分配和流量隔離原則。本指南比較了 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme Networks 和 Ubiquiti UniFi 的 PPSK 實作,詳細介紹了大規模部署所需的雲端 RADIUS 架構,並說明了如何在住戶連線之前將 PPSK 用作偵錯工具。Purple 的 Multi-Tenant WiFi 可在所有這六個硬體平台上作為與硬體無關的雲端重疊運作,處理金鑰生命週期、RADIUS 身分驗證和分析,而無需您更換現有的存取點。
技術深造
什麼是 PPSK 及其運作方式
傳統的 WPA2-Personal 網路使用單一共享密碼。當該密碼遭到破解時,您必須同時為網路上的每個裝置旋轉密碼。PPSK 透過向每位住戶、裝置群組或用戶發放唯一的金鑰來解決此問題。當住戶連線時,存取點會使用其專用金鑰來識別他們,並將其分配給他們自己隔離的 VLAN。您撤銷一個金鑰,只有該特定裝置會失去存取權限。其他任何人都不受影響。
核心技術流程取決於 WPA2 四向交握。當裝置關聯時,存取點會將裝置 MAC 位址和 PSK 提示傳送至 RADIUS 伺服器。RADIUS 伺服器在其資料庫中查閱正確的每裝置金鑰,並將其傳回給存取點。存取點使用該金鑰完成四向交握,從傳回的 Pairwise Master Key 導出 Pairwise Transient Key。RADIUS 伺服器還會透過 Tunnel-Private-Group-ID 屬性傳回 VLAN 分配。這會建立一個每住戶的 WiFi 泡泡:住戶的裝置 - 手機、筆記型電腦、智慧電視、智慧音箱 - 可以互相偵測,但對大樓中的每位其他住戶完全隱形。
PPSK 這一術語是廠商的統稱。Cisco Meraki 稱之為 iPSK (Identity Pre-Shared Key)。HPE Aruba 稱之為 MPSK (Multiple Pre-Shared Key)。Ruckus 稱之為 DPSK (Dynamic Pre-Shared Key)。Juniper Mist 和 Extreme Networks 均使用 PPSK 這一術語。Ubiquiti UniFi 稱之為 Private PSK。所有廠商的概念完全相同;其實作在金鑰儲存位置、規模限制和 WPA3 相容性方面有所不同。
PPSK as a power probe
「PPSK power probe」一詞既描述了一種調試技術,也描述了一項產品功能。當您在多租戶建築中部署 PPSK 時,每個啟動的金鑰都是對您網路架構的即時探測。每次關聯都會記錄分配了哪個 VLAN、哪個存取點處理了連線、記錄了什麼訊號強度,以及四向交握是否順利完成。在將建築物移交給住戶之前,您可以使用測試裝置搭配啟動的 PPSK 金鑰走訪每個單位,並驗證 RADIUS 伺服器是否傳回正確的 VLAN、交換器連接埠是否正在彙整正確的 VLAN,以及用戶端隔離是否按設計運作。這種探測技術能在 VLAN 配置錯誤、DHCP 範圍錯誤和 RADIUS 屬性故障演變成住戶支援工單之前,搶先將其捕獲。
The WPA3 constraint
WPA3-Personal 以 SAE (Simultaneous Authentication of Equals) 取代了 WPA2 四向交握。SAE 是一種基於 Diffie-Hellman 的協定。在關聯完成之前,用戶端和存取點都會致力於從密碼衍生出的共享密碼元素。在 SAE 交換過程中,RADIUS 伺服器無法在任何節點為每個裝置注入不同的金鑰。這就是為什麼標準 WPA3 每個 SSID 僅允許一個金鑰。這是協定限制,而非韌體限制。
2026 年大多數部署的實際解決方案是 WPA3 轉換模式 (WPA2/WPA3 混合模式)。SSID 同時廣播 WPA2-PSK 和 WPA3-SAE。WPA2 用戶端使用四向交握並透過 RADIUS 接收每個裝置的金鑰。WPA3 用戶端則使用帶有單一共享密碼的 SAE。Ruckus DPSK3 進一步擴展了這一點:在以 Cloudpath 作為 RADIUS 後端的 WPA2/WPA3 混合模式下執行,它在執行韌體 7.0 或更新版本的 WiFi 6、6E 和 7 硬體上,提供了最接近原生 WPA3 每裝置 PSK 的可用近似值。自 FortiAP 韌體 8.0 起,Fortinet 的 MPSK 設定檔搭配 WPA3-SAE 轉換模式也提供了類似的功能。
請注意,6 GHz 無線頻段強制要求僅限 WPA3 運作。PPSK 與 6 GHz SSID 不相容。對於在 6 GHz 上需要每裝置金鑰驗證的裝置,正確的解決方案是使用與 Microsoft Entra ID、Okta 或 Google Workspace 整合的 802.1X 搭配 EAP-TLS。
Vendor implementations compared
Cisco Meraki (iPSK) 支援兩種模式。在沒有 RADIUS 的情況下,您直接在 Meraki 控制面板中設定最多五個唯一的 PSK,每個 PSK 對應到一個 VLAN。對於一個擁有 200 個單位的 BTR 大樓,您需要 RADIUS 模式(通常由 Cisco ISE 支援),這可擴充至數萬個金鑰。RADIUS 查詢會在四向交握完成之前發生,允許 AP 在正確的協定時刻替換正確的每台裝置金鑰。
HPE Aruba (MPSK) 提供 MPSK Local(金鑰儲存在控制器或 AP 叢集上)以及 MPSK with ClearPass(Aruba 的 RADIUS 和策略引擎)。ClearPass 可容納數萬個金鑰、分配動態 VLAN,並為每個金鑰套用基於角色的策略。截至 2026 年年中,WPA3 MPSK 支援正在開發中。
Ruckus (DPSK) 是目前最成熟的每台裝置 PSK 實作方案。DPSK3 - WPA3 延伸 - 在執行韌體 7.0 或更新版本的 WiFi 6、6E 和 7 基地台上以 WPA2/WPA3 混合模式運作。DPSK3 需要 Cloudpath 作為 RADIUS 後端,一般的 RADIUS 伺服器並不敷使用。
Juniper Mist (PPSK) 將金鑰儲存在雲端,每個站點限制為 5,000 個金鑰。Mist 的 Access Assurance 服務增加了基於 RADIUS 的 PSK 查詢,並已宣布支援 WPA3 RADIUS PSK,使其成為市場上較具前瞻性的實作之一。
Extreme Networks (PPSK) 透過 ExtremeCloud IQ 支援 AP 本機上的金鑰儲存(適用於連線受限的遠端站點),以及透過 ExtremeCloud IQ 雲端 RADIUS 服務進行基於 RADIUS 的查詢。MAC 繫結將 PPSK 與特定的裝置 MAC 位址綁定,以提供額外的安全性。
Ubiquiti UniFi (Private PSK) 將金鑰儲存在 UniFi Network 本機控制器中。截至 2026 年年中,Private PSK 僅適用於 2.4 GHz 和 5 GHz 的 WPA2 網路。不支援 WPA3 和 6 GHz。對於較小規模的部署,這是可以接受的,但對於任何計劃進行 WiFi 6E 或 WiFi 7 更新的物業來說,這是一個硬性限制。
| 廠商 | 品牌名稱 | 本機儲存 | RADIUS 支援 | WPA3 支援 | 每個金鑰對應 VLAN |
|---|---|---|---|---|---|
| Cisco Meraki | iPSK | 最多 5 個金鑰 | 是 (ISE) | 過渡模式 | 是 |
| HPE Aruba | MPSK | 是 (控制器) | 是 (ClearPass) | 開發中 | 是 |
| Ruckus | DPSK | 是 (控制器) | 是 (Cloudpath) | DPSK3 混合模式 | 是 |
| Juniper Mist | PPSK | 是 (雲端,每站點 5,000) | 是 (Access Assurance) | 已宣布 | 是 |
| Extreme Networks | PPSK | 是 (AP 本機) | 是 (ExtremeCloud IQ) | 部分支援 | 是 |
| Ubiquiti UniFi | Private PSK | 是 (控制器) | 否 | 否 | 是 |
實作指南
步驟 1:選擇您的部署模型
對於任何超過 50 個單位的建築物,請部署雲端 RADIUS。地端 RADIUS 硬體會增加維護開銷、引入單一故障點,且需要現場存取才能進行更新。雲端 RADIUS 提供 99.999% 的可用性(Purple 的服務水準協定 (SLA)),並可從單一主控面板跨多個物業進行集中式金鑰管理。
步驟 2:設計您的 VLAN 方案
為每位住戶或每個使用者群組分配一個 VLAN。在一棟擁有 200 個聯排單位的建築中,這意味著 200 個 VLAN。確保您的核心交換器支援所需的 VLAN 範圍,並且存取層與分佈層之間的所有主幹埠 (Trunk Port) 都承載這些 VLAN。將您的 DHCP 範圍規劃為每戶 15 到 25 台裝置 - 一棟擁有 200 個聯排單位的建築需要可容納 3,000 到 5,000 台並行裝置關聯的容量。
步驟 3:整合金鑰配置
透過 API 將您的物業管理系統連接到 WiFi 平台。當住戶簽署租約時,系統會自動產生一個唯一的 PPSK 並發送給該住戶。當住戶搬出時,系統會自動撤銷該金鑰。這消除了金鑰雜亂的問題,並確保您的審計追蹤準確無誤。
步驟 4:使用 PPSK 效能測試進行測試與驗收
在交付之前,攜帶測試裝置走訪每個單位。使用該單位分配的 PPSK 進行關聯並驗證:裝置是否從正確的子網路取得 IP 位址;RADIUS 伺服器記錄是否顯示正確的 VLAN 分配;該裝置是否無法發現使用其他住戶金鑰的任何裝置。記錄每個單位的測試結果。這份驗收報告是您證明網路設定正確的證據。
步驟 5:規劃您的 WPA3 遷移
對於 2026 年的大多數部署,WPA3 轉換模式是正確的選擇。在您的 SSID 上啟用 WPA2/WPA3 混合模式。在全棟推廣之前,先在試點區域進行測試。如果您使用的是運行韌體 7.0 或更高版本的 Ruckus 硬體,請評估搭配 Cloudpath 的 DPSK3,以獲得更接近原生的單一裝置 WPA3 金鑰支援。
最佳實踐
實施金鑰生命週期管理。 PPSK 只有在不再需要時被撤銷才是安全的。透過您的物業管理系統整合,在住戶搬出時自動執行撤銷。如果沒有這一點,您將累積孤立的金鑰,這既代表安全風險,也代表審計責任。
單獨隔離 IoT 流量。 在旅宿環境中,針對訪客裝置和場地 IoT 裝置使用不同的 PPSK 層級。將訪客分配到一個 VLAN,將智慧恆溫器、門鎖和 IPTV 系統分配到另一個 VLAN。這符合 PCI DSS 4.0 網路分段要求,並可防止遭受入侵的訪客裝置接觸到營運基礎設施。請參閱我們的指南 主宰一切的三個 SSID:訪客、Passpoint 和 IoT WiFi 以獲取完整的 SSID 設計架構。
針對裝置密度進行設計。 BTR 住戶平均每戶擁有 15 到 25 台裝置。一棟擁有 200 個單位的建築在任何給定時刻都有 3,000 到 5,000 台裝置連接在 WiFi 上。相應地規劃您的 DHCP 範圍、子網路遮罩和 AP 容量。每位住戶一個 /24 子網路可提供 254 個可用位址,這對於目前的裝置數量已足夠,並保留了未來的成長空間。 使用與硬體無關的雲端重疊網路 (cloud overlay)。 Purple 可作為雲端重疊網路運行於 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 之上。您能保留既有的硬體投資。Purple 則在最上層加入身分驗證層、RADIUS 驗證、金鑰生命週期管理以及 WiFi Analytics 。對於在混合硬體資產中管理多個物業的營運商而言,這是最合適的架構。
參考 IEEE 802.11 和 WPA3 標準。 WPA3 SAE 限制定義於 IEEE 802.11 - 2020 中。PCI-DSS 4.0 網路分段要求適用於任何傳輸持卡人資料的網路。GDPR 第 25 條 (從設計階段保護資料) 適用於 WiFi 註冊引導期間收集的住戶資料。請確保您的 PPSK 部署已對照這三項標準進行審查。
疑難排解與風險緩釋
PPSK 部署中最常見的失敗模式是 VLAN 設定錯誤。如果 RADIUS 伺服器未能傳回 VLAN 屬性,或者交換器主幹連接埠 (trunk ports) 未設定為傳輸所需的 VLAN,住戶將無法取得 IP 位址,或者會被分配到與其他住戶共用的預設 VLAN。在試運轉期間使用 PPSK 強力探測 (power probe) 技術,以便在移交前發現此問題。
第二常見的失敗是金鑰擴張。若沒有自動撤銷機制,孤立金鑰會隨時間累積。一棟擁有 200 個單元且年週轉率為 20% 的大樓,每年會產生 40 個孤立金鑰。五年後,200 名之前的住戶仍保有有效的 WiFi 存取權限。從第一天起,就將金鑰撤銷功能與您的物業管理系統相整合。
第三種失敗模式是 WPA3 相容性假設。在現有 PPSK SSID 上啟用 WPA3 的團隊通常會假設單一裝置金鑰將繼續運作。除非您使用的是特定廠商的 WPA3 混合模式實作,否則它們將無法運作。請先在試點站點進行測試。檢查 AP 韌體版本 - DPSK3 需要 Ruckus 韌體 7.0 或更新版本。檢查 RADIUS 伺服器相容性。
對於 飯店款待業 部署,請驗證您的 PMS 整合是否會在退房時處理金鑰撤銷,而不僅僅是在入住時。延長住宿的房客應保留其金鑰;已退房的房客則不應保留。在試運轉期間對這兩種情境進行測試。
ROI 與商業影響
在 BTR (建屋出租) 領域,將 WiFi 視為一項管理式便利設施可帶來可衡量的商業回報。根據英國物業聯盟 (British Property Federation) 的行業研究,營運商為高品質、即裝即用的 WiFi 每月每戶可多收 15 至 30 英鎊的租金溢價。管理式 WiFi 可減少 5 到 10 天的空置期,因為住戶無需等待寬頻供應商來安裝連線。當 WiFi 作為軟體重疊網路部署在自有硬體上時,每戶成本比按單元計費的寬頻合約低 30% 到 50%。
在 餐旅餐飲業 中,PPSK 可免除整棟建築的密碼定期更換,進而減少 IT 支援的營運開銷。在一棟擁有 300 個住宅單元的 BTR 大樓中,當以 PPSK 取代共用密碼時,有關 Chromecast 和智慧家居配對的支援工單,會從每週大約 15 件降至每週 2 件以下 - 這是根據 Purple 在全球超過 80,000 個實際營運場所的部署數據所呈現的結果。
對於 零售 和活動環境,PPSK 支援會自動過期的臨時群組存取權限。會議主辦方可以為 500 名與會者配置 PPSK 金鑰,這些金鑰會在活動結束時自動過期,無需手動清除。
Purple 自 2012 年開始營運,已在超過 80,000 個實際營運場所中收集了 290 億個數據點。我們持有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證。我們的 Guest WiFi 和多租戶 WiFi 平台可在您已擁有的硬體上運作。請與我們的網路架構師聯絡,為您的特定資產設計 PPSK 部署方案。另請參閱我們的 託管 WiFi 供應商指南 ,以取得評估 WiFi 託管服務選項的更廣泛框架。
關鍵定義
PPSK (Private Pre-Shared Key)
一種 WiFi 身分驗證方法,可在單一 SSID 上為每個使用者、裝置或裝置群組分配唯一的密碼。Juniper Mist 和 Extreme Networks 使用此術語;其他廠商則使用 iPSK、DPSK 或 MPSK 來表示相同的概念。
IT 團隊在為 BTR、MDU、旅宿或活動環境設計多租戶 WiFi 時會遇到 PPSK,這些環境需要針對每個使用者進行隔離,而不需要繁瑣的完整 802.1X 設定。
iPSK (Identity Pre-Shared Key)
Cisco Meraki 對於每台裝置 PSK 的實作。支援最多五個本機金鑰,或透過 RADIUS (Cisco ISE) 支援無限個金鑰。每個金鑰都會對應到一個 VLAN。
用於基於 Meraki 部署的訪客 WiFi、IoT 分割和多租戶住宅網路。
DPSK (Dynamic Pre-Shared Key)
Ruckus 的單一裝置 PSK 實作。為市場上最成熟的實作方式,其 DPSK3 將支援擴展至 WiFi 6、6E 和 7 硬體上的 WPA3 混合模式。
首選用於 Ruckus 硬體上大規模的旅宿和 MDU 部署,特別是計劃進行 WPA3 遷移的環境。
MPSK (Multiple Pre-Shared Key)
HPE Aruba 和 Fortinet 的單一裝置 PSK 實作。Aruba 的 MPSK 可與 ClearPass 整合以進行企業級部署。自 FortiAP 韌體 8.0 起,Fortinet 的 MPSK 支援 WPA3-SAE 轉換模式。
用於 Aruba 和 Fortinet 環境,以實現基於角色的網路分段與多租戶隔離。
Cloud RADIUS
一種作為託管雲端平台提供,而非本機硬體的 RADIUS (Remote Authentication Dial-In User Service) 驗證服務。為 WiFi 用戶端處理 AAA (驗證、授權與計費)。
對於大規模 PPSK 部署至關重要。可免除現場伺服器的維護工作,並跨多個場地提供集中式金鑰管理。
VLAN (Virtual Local Area Network)
在資料連結層 (IEEE 802.1Q) 隔離流量的邏輯網路分段。不同 VLAN 上的裝置在沒有第 3 層路由決策的情況下無法進行通訊。
在 PPSK 部署中,每位住戶的金鑰都會對應到一個專屬的 VLAN。這是防止住戶看到彼此裝置的技術機制。
SAE (Simultaneous Authentication of Equals)
WPA3 中引進的安全金鑰建立協定。一種基於 Diffie-Hellman 的交握,取代了 WPA2 四向交握。雙方在關聯完成前確認共享的密碼要素。
SAE 的設計可防止 RADIUS 伺服器在交握過程中插入單一裝置金鑰,這就是為什麼標準 WPA3 每個 SSID 僅支援一個金鑰的原因。
WPA3 transition mode
同時宣告 WPA2-PSK 和 WPA3-SAE 的 SSID 設定。WPA2 用戶端使用四向交握;WPA3 用戶端使用 SAE。亦稱為 WPA2/WPA3 混合模式。
在 2026 年為較新的用戶端裝置啟用 WPA3 支援的同時,維持 PPSK 功能的推薦方法。
Four-way handshake
從成對主金鑰 (PMK) 衍生出成對暫時金鑰 (PTK) 的 WPA2 協定交換。在 PPSK 部署中,RADIUS 伺服器會在交握完成前傳回單一裝置的 PMK。
瞭解四向交握即可解釋為什麼 PPSK 適用於 WPA2,但不適用於 WPA3-SAE。
Key sprawl
由於缺少撤銷程序,導致不再與目前住戶或裝置關聯的動態 PPSK 金鑰持續累積的現象。
若無自動復原機制,一棟住戶年離職率為 20% 的大樓每年會產生 40 個遺留金鑰。五年後,200 名搬離的住戶仍保有有效的 WiFi 存取權限。
範例
一家擁有 300 個單位的 Build-to-Rent 營運商在整棟建築中運行單一共享的 WiFi 密碼。每次有住戶搬出時,他們都必須更換密碼並通知所有住戶。Chromecast 和智慧家庭配對的支援工單每週約達 15 張。他們應該如何重新設計網路?
在現有的 Cisco Meraki 存取點上,透過 Purple 的雲端覆蓋部署 PPSK。將物業管理系統與 Purple 的 API 整合,以便在住戶入住時自動為其佈署唯一的 iPSK,並對應到專屬的 VLAN。為每位住戶配置 /24 的 DHCP 範圍,以支援每個家庭 15 到 25 台裝置。在每位住戶的 VLAN 內啟用 IoT 裝置探索。在住戶搬出時,物業管理系統會透過 API 自動觸發金鑰撤銷。
一家擁有 500 間客房並運行 Ruckus 硬體的酒店集團,需要在相同的實體基礎設施上為客房裝置和場所 IoT 裝置(智慧恆溫器、門鎖控制器、IPTV 系統)提供 WiFi,且客房流量與營運流量之間不能交叉干擾。該酒店還處理卡片支付,必須滿足 PCI DSS 4.0 網路分割要求。
在單一 SSID 上實作具有三個金鑰層級的 Ruckus DPSK。房客在每次入住時都會獲得一個專屬的 DPSK,對應到 VLAN 10,並在入住時由 PMS 自動佈署,在退房時撤銷。IoT 裝置在每個裝置類別中獲得一個獨立的 DPSK,對應到 VLAN 20,並在安裝時佈署一次。員工裝置在對應到 VLAN 30 的獨立 SSID 上使用 802.1X。部署 Cloudpath 作為 RADIUS 後端,以支援大規模的 DPSK。設定跨 VLAN 路由,以拒絕 VLAN 10 和 VLAN 20 之間的流量。
練習題
Q1. 您正在使用 Cisco Meraki 存取點在擁有 200 個單元的 BTR 大樓中部署多租戶 WiFi。您需要為每位住戶提供專屬網路分段,並確保當住戶搬離時能撤銷其存取權限,而不影響其他住戶。您應該使用哪項 Meraki 功能?需要什麼後端基礎架構?
提示:請考量部署規模以及 Meraki 硬體上本機金鑰儲存空間的限制。
查看標準答案
使用 RADIUS 模式下的 Cisco Meraki iPSK。本機 iPSK 儲存空間限制為五個金鑰,不足以因應 200 個單元。您需要一個 Cloud RADIUS 伺服器 (例如 Cisco ISE 或 Purple 的 cloud RADIUS) 來儲存所有住戶金鑰,並在驗證期間傳回正確的 VLAN 分配。將您的物業管理系統與 RADIUS 平台整合,以在遷入時自動核發金鑰,並在遷出時自動撤銷。
Q2. 客戶希望將其現有的 PPSK 網路升級為 WPA3 以提高安全性。他們期望在升級後,單一裝置金鑰能繼續無縫運作。您必須解釋哪些技術限制?推薦的做法是什麼?
提示:請思考 WPA2 四向交握與 WPA3 SAE 之間的差異,以及 RADIUS 伺服器何時可以介入。
查看標準答案
WPA3 使用 SAE (Simultaneous Authentication of Equals),這要求用戶端和存取點在關聯完成之前,必須先確認共用密碼。在該協定中,沒有任何掛鉤可讓 RADIUS 伺服器注入單一裝置的金鑰。標準 WPA3 僅支援每個 SSID 使用一個金鑰。建議的方法是 WPA3 轉換模式 (WPA2/WPA3 混合模式):WPA2 用戶端繼續透過 RADIUS 接收單一裝置金鑰;WPA3 用戶端則使用單一共用密碼的 SAE。在全棟部署之前,請先在試點區域進行測試。
Q3. 在擁有 150 個單元的新 MDU 部署調試階段,如何在住戶入住前驗證交換器連接埠主幹編組 (Trunking) 和 RADIUS VLAN 分配設定是否正確?您的調試流程應包含哪些具體檢查?
提示:思考將 PPSK 作為診斷探針,而非僅作為驗證機制的概念。
查看標準答案
使用作用中的 PPSK 金鑰作為診斷探針。攜帶測試裝置走訪每個單元,並使用該單元分配的 PPSK 進行連線。驗證:(1) 裝置從該 VLAN 的正確子網路取得 IP 位址;(2) RADIUS 伺服器記錄顯示正確的 VLAN 分配 (Tunnel-Private-Group-ID 屬性);(3) 裝置無法偵測到使用其他住戶金鑰的任何裝置;(4) 裝置可以連線至網際網路。記錄每個單元的測試結果。任何未能通過探針測試的單元,皆表示 VLAN 主幹設定錯誤、DHCP 範圍不正確或 RADIUS 屬性錯誤,必須在交付前解決。
Q4. 一家經營 300 間客房飯店的餐旅業者,希望在 Ruckus 硬體上將房客裝置與 IoT 裝置 (智慧溫控器、門鎖) 隔離,並符合 PCI DSS 4.0 網路分割要求。請設計其 PPSK 架構。
提示:考慮多個 DPSK 層級以及 PCI DSS 對持卡人資料環境與其他系統之間網路分割的要求。
查看標準答案
在單一 SSID 上實作具有三個金鑰層級的 Ruckus DPSK。第 1 層:房客 DPSK 金鑰,每次入住皆不相同,對應到 VLAN 10,由 PMS 在辦理入住時佈署,並在退房時撤銷。第 2 層:IoT DPSK 金鑰,每個裝置類別一個,對應到 VLAN 20,在安裝時佈署。第 3 層:員工裝置在獨立 SSID 上使用 802.1X,對應到 VLAN 30。部署 Cloudpath 作為 RADIUS 後端。設定跨 VLAN 路由以拒絕 VLAN 10 與 VLAN 20 之間的流量。這透過將房客流量與營運 IoT 流量隔離,在無需建立獨立實體網路的情況下,滿足了 PCI DSS 4.0 網路分割要求。
繼續閱讀本系列
Logo iPSK: a comprehensive guide for businesses
本指南說明身分預共用金鑰 (iPSK) 技術如何解決多租戶 WiFi 環境中的核心安全挑戰:在不破壞物聯網 (IoT) 裝置、遊戲主機和智慧家居技術相容性的情況下,提供企業級的隔離與單一使用者控制。本指南涵蓋了針對開發商、BTR 營運商和旅宿業 IT 團隊的完整技術架構、部署策略以及商業案例。
WiFi 託管服務:企業完整指南
WiFi 託管服務將企業無線網路的完整生命週期 - 從射頻 (RF) 設計和硬體採購到日常監控和韌體管理 - 移交給專業供應商。本指南說明了支援飯店、零售連鎖、BTR (建屋出租) 開發項目及公共部門場域提供可靠、安全部署的雲端託管架構、VLAN 隔離策略和認證標準。物業開發商、房東和 BTR 營運商將獲得有關隔離住戶流量、上線智慧裝置以及將網路連線轉化為可衡量商業資產的實用指導。
Spectrum 託管 WiFi 客服:企業完整指南
本完整指南詳細介紹聯排別墅或租賃(BTR)營運商及物業開發商如何佈署 Spectrum 託管 WiFi,為住戶提供安全、隔離的網路體驗。內容涵蓋雲端 RADIUS、VLAN 隔離和 iPSK 的技術架構,以及降低支援開銷的實用實施策略。