PPSK USM Kubang Kerian：功能與部署模式比較

歡迎來到 Purple 技術簡報。今天我們將介紹 USM Kubang Kerian 的 PPSK - 它是什麼、與其他替代方案的比較，以及在大型健康科學園區中實際佈署的具體情況。 讓我們從背景資訊開始。位於吉蘭丹州 Kubang Kerian 的馬來西亞理科大學（Universiti Sains Malaysia）健康校區，是東南亞最複雜的 WiFi 環境之一。在同一個校區內，有擁有 747 張床位的教學醫院、多所醫學與健康科學學院、學生宿舍、研究實驗室和臨床設施 - 全部共享相同的實體網路基礎架構。使用者群體涵蓋醫學生、臨床人員、行政團隊、訪問研究員、患者及其家屬。設備群體更加多樣化：受控管的筆記型電腦、個人手機、醫療設備、IoT 傳感器、CCTV 系統和智慧建築控制器。 在這種校區中，每位 IT 主管最終都會面臨一個問題：如何在不為每個網段佈署獨立 SSID 的情況下，為每個使用者群體提供安全、隔離的網路體驗？因為如果這樣做 - 在如此規模的校區中廣播 8 到 10 個 SSID - 將會降低所有人的 WiFi 效能。每個 SSID 都會消耗信標訊框（beacon frames）的空中時間。在密集環境中，SSID 增生是效能殺手。 答案越來越傾向於 PPSK - Private Pre-Shared Key（個人預共用金鑰）。這就是我們今天將深入探討的內容。 那麼，PPSK 究竟是什麼？它是一種 WiFi 認證模式，其中每個使用者、每個設備群體或每個部門都擁有自己專屬的預共用金鑰。他們都連接到同一個 SSID - 相同的網路名稱 - 但每個金鑰都對應到不同的 VLAN。基地台會自動處理金鑰與 VLAN 的對應。 各家廠商的術語有所不同，這在市場上造成了不小的混淆。HPE Aruba 稱其為 PPSK（Private Pre-Shared Key）。Cisco Meraki 稱其為 iPSK（Identity PSK）。Juniper Mist 使用 ePSK。Ruckus 稱其為 DPSK（Dynamic PSK）。在 Aerohive 品牌下開發此概念的 Extreme Networks 則稱其為 Private PSK。Ubiquiti UniFi 簡單地稱其為 PPSK。其底層機制是完全相同的：一個 SSID、多個唯一金鑰，每個金鑰綁定到一個 VLAN 或策略組。 現在，讓我們將 PPSK 與您最常被問到的兩種替代方案進行比較。第一種是標準 PSK - 整個網路使用同一個共用密碼。這是大多數舊型校區佈署仍在使用的方式。它佈署簡單，但存在單一故障點。一個密碼洩露意味著整個網路都暴露在外。您無法在不為所有人更改密碼的情況下撤銷單一使用者的存取權限。在擁有數千名使用者的校區中，這根本是無法管理的。 第二種替代方案是 802.1X Enterprise - 這是企業裝置驗證的金級標準。802.1X 使用 RADIUS 伺服器、識別提供者（例如 Microsoft Entra ID、Okta 或 Google Workspace），以及每台裝置上的 supplicant（用戶端軟體）。該 supplicant 是處理 EAP 驗證交換的軟體元件。每台受管理的筆記型電腦都具備此元件，但您學生的智慧冰箱沒有，您的臨床 IoT 感測器沒有，您的建築管理控制器也沒有。802.1X 是員工網路和受管理裝置群的正確選擇，但對於 IoT 裝置、個人裝置以及健康科學園區中常見的混合使用環境而言，它並非合適的解決方案。 PPSK 則介於兩者之間。它為您提供單一使用者隔離和 VLAN 分配，而無需憑證基礎架構或在每台裝置上安裝 supplicant。它適用於任何支援 WiFi 的裝置，包括無法支援 WPA Enterprise 的舊型醫療設備。這是在醫療和教育環境中的關鍵優勢。 讓我們來看看技術驗證流程。當裝置連線至 SSID 時，它會在 WPA2 四向交握期間提供其預先共用金鑰。無線基地台（或其背後的雲端控制器）會在 PPSK 儲存庫中查詢該金鑰，識別其對應的 VLAN，並從該時間點起對該裝置的流量進行相應的標記。該裝置看到的只是普通的 WiFi 連線，完全不知道自己已被放入隔離的網路區段中。它的應用程式正常運作，其服務正常配對，一切都如預期般運作。 在以 RADIUS 為後盾的部署中（這也是 Purple 針對同時線上使用者超過 200 人的任何園區所推薦的方案），控制器會針對每次新連線向外部 RADIUS 伺服器發送查詢。RADIUS 伺服器會傳回包含金鑰驗證和 VLAN 分配的 Access-Accept 回應。這為您提供了集中式記錄、稽核軌跡，以及透過從 RADIUS 儲存庫中移除金鑰來立即撤銷存取權限的能力。裝置將在下一次重新驗證時中斷連線，無需在無線基地台層級進行任何手動干預。 現在讓我們來談談部署模式，因為目前實際應用中存在三種不同的方法，而正確的選擇取決於您的園區規模、您的 IT 資源以及您現有的硬體。 第一種是控制器本機 PPSK。不重複的金鑰直接儲存在無線控制器上，不需要外部 RADIUS 伺服器。這適用於較小規模的部署（最多約 200 個同時線上使用者），且操作最為簡單。Ubiquiti UniFi 原生支援此功能。其限制在於擴充性。大多數控制器的本機 PPSK 項目上限為幾百個，而且您會失去讓 PPSK 在大規模營運中發揮可行作用的集中式生命週期管理。對於像 USM Kubang Kerian 這樣規模的園區，此模式並不適用。 第二種模式是基於 RADIUS 的 PPSK。金鑰存儲在外部 RADIUS 伺服器中，控制器會針對每個新連線查詢 RADIUS 伺服器。這可擴展至數千名使用者。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支援此模式。雖然營運開銷較高，但可擴充性和生命週期管理功能明顯更好。這是大型校園部署的正確模式。 第三種模式 - 也是 Purple 為沒有專用 RADIUS 基礎架構的機構所推薦的模式 - 是雲端 RADIUS-as-a-Service。RADIUS 基礎架構由外部代管和管理，您透過雲端重疊網路將其與存取點連線。Purple 的平台建置在您現有的硬體之上 - 無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 或 Fortinet - 並為金鑰配置、生命週期管理和使用者引導提供協調層。金鑰生命週期完全自動化。學生註冊時，其金鑰會透過與學生管理系統的整合進行配置。他們畢業或退學時，其金鑰會立即被撤銷。無需手動介入，無安全漏洞。 特別針對 USM Kubang Kerian，推薦的架構是混合模式：針對學生、住宿生和 IoT 裝置使用 PPSK，針對臨床人員和使用託管裝置的行政團隊使用 802.1X。三種不同的身分驗證模式，三個不同的 VLAN 區段，一個實體基礎架構。學生位於 VLAN 10 透過世代規模所需的任何設定。臨床人員在 802.1X 上針對大學的身分識別提供者進行驗證。IoT 和大樓管理系統位於具有出口過濾功能的專用 IoT VLAN 上。公共區域的訪客 WiFi 則透過獨立 VLAN 上的 Captive Portal 提供。 在您指定硬體之前，需要標記一個關鍵限制：Ubiquiti UniFi 的 PPSK 實作目前僅支援 WPA2。如果您正在部署 WiFi 6E 存取點，並希望將 6 GHz 頻段用於 PPSK 用戶端，您需要一個支援 WPA3-SAE 搭配 PPSK 的平台 - Aruba、Ruckus 和 Meraki 都支援此功能。6 GHz 頻段是 WPA3 專用的，因此 6 GHz 上的任何 PPSK 部署都需要 WPA3-SAE 相容性。在您向廠商下單之前，請在硬體規格中對此進行規劃。 讓我逐一介紹實作中常見的陷阱，因為這些是我在生產部署中反覆看到的故障模式。 首先是 SSID 激增。您廣播的每個 SSID 都會消耗信標訊框（beacon frames）的空中傳輸時間。在密集的校園環境中，如果您在每個存取點上廣播六個或八個 SSID，您就會降低所有人的效能。請將每個無線電頻段的 SSID 限制在最多四個。使用 PPSK 從單一 SSID 為多個使用者區段提供服務，而不是為每個部門或每個樓層建立單獨的 SSID。 第二個常犯錯誤是中繼埠 (Trunk Port) 設定不全。您設計了乾淨的 VLAN 架構，部署了基地台，但流量卻悄悄中斷，因為有人忘記在分佈交換器與存取層之間的中繼鏈路上允許相關的 VLAN。請在啟用過程中驗證每個中繼埠。做好記錄。在用戶上線之前，使用每個 VLAN 上的裝置進行測試。 第三個常犯錯誤是 MAC 位址隨機化。自 iOS 14、Android 10 和 Windows 11 起，裝置出於隱私考量，預設會使用隨機 MAC 位址。如果您的 RADIUS 伺服器正在進行 MAC 查詢，而裝置提供的是隨機位址，則查詢會失敗且裝置無法連線。解決方案是設定您的 SSID 要求用戶端使用其永久硬體 MAC 位址，或者實施預先註冊工作流程，讓使用者在連線前先註冊其裝置。Purple 的平台可自動處理此問題，並作為使用者引導流程的一部分。 第四個常犯錯誤是金鑰分發。產生金鑰很簡單，但要以安全且在營運上可管理的方式將金鑰提供給使用者則較為困難。在歡迎手冊中提供 QR Code 對於搬入當天非常有效。而讓使用者可以檢索其金鑰並新增裝置的自助服務入口網站，對於持續營運來說則更具效益。請在部署之前（而非之後）建立金鑰分發工作流程。 現在，讓我們來看看與 USM Kubang Kerian 這樣的校園直接相關的兩個實際案例。 情境一：一棟擁有 400 個床位的專用學生宿舍。挑戰在於每年的學生流動。每個學年，數百名學生遷出，數百名新學生遷入，且通常在同一週內發生。在使用共享 PSK 模式的情況下，這意味著整棟大樓的密碼變更會影響到每位留宿的居民。而使用 PPSK，則意味著撤銷遷出學生的金鑰，並為遷入的新學生配置新金鑰 - 這一切都可以透過與學生管理系統的整合來自動化完成。一位採用此模式的營運商報告指出，在第一學期中，與 WiFi 相關的支援工單減少了 70%，這主要是因為完全消除了先前困擾共享 PSK 部署的裝置配對問題。 情境二：擁有混合裝置類型的臨床研究機構。這裡的挑戰在於同時支援使用 802.1X 的受管臨床工作站，以及無法支援 WPA Enterprise 的舊型醫療設備。混合模式 - 對於受管裝置使用 802.1X，對於舊型和 IoT 設備使用 PPSK - 解決了這個問題，且不需要獨立的實體基礎設施。臨床工作站透過 EAP-TLS 向大學的識別碼提供者進行驗證。舊型設備則獲得一個專用的 PPSK 金鑰，該金鑰對應到受限制的 VLAN，並對其需要存取的臨床系統進行出口過濾，且不允許存取其他任何系統。如此一來既能維持安全性，營運複雜度也完全在可控範圍內。 在進入快速問答之前，讓我給您三個實用的經驗法則。 原則一：如果您的校園或建築物有超過 200 個同時在線用戶，請使用 RADIUS 支援的 PPSK，而不是控制器本地 PPSK。控制器本地 PPSK 的可擴充性上限會在啟用後的 12 個月內為您帶來困擾。 原則二：從第一天起就針對 MAC 位址隨機化進行規劃。在您的用戶加入流程中內建預先註冊工作流。不要假設設備預設會提供其永久 MAC 位址，它們並不會。 原則三：自動化金鑰生命週期。相較於共享 PSK，PPSK 的營運價值完全取決於金鑰是否能自動發放和撤銷。大規模的手動金鑰管理是行不通的。從一開始就要與您的學生管理系統或人力資源系統進行整合。 好的，接下來是快速問答。這些是常被問到的問題。 PPSK 支援 WPA3 嗎？支援，在大多數企業級平台上都支援。與 WPA2-PSK 相比，WPA3-SAE 對於離線字典攻擊提供了更強的防護，因此在您的用戶端設備支援的情況下，在 WPA3 上部署 PPSK 是正確的方法。唯一的例外是 Ubiquiti UniFi，其目前 PPSK 僅支援 WPA2。 單一 SSID 可以支援多少個 PPSK 金鑰？搭配外部 RADIUS 伺服器，實際限制取決於您的 RADIUS 資料庫容量。Cisco Meraki 每個網路支援高達 5,000 個 iPSK 項目。Purple 的雲端 RADIUS 服務可擴充至數萬個同時在線的金鑰。 PPSK 可以取代 802.1X 嗎？不行。對於需要個人問責和基於憑證驗證的完全託管企業設備群，802.1X 仍然是正確的解決方案。對於物聯網設備、個人設備以及不適合部署 802.1X 的混合使用環境，PPSK 則是正確的解決方案。 我可以將 PPSK 與我的學生管理系統整合嗎？可以，透過廠商的 API。Aruba Central、Meraki、Ruckus 和 Mist 都為 PPSK 金鑰管理提供了 REST API。Purple 的平台提供了預建的整合功能，可根據註冊狀態自動進行發放和撤銷。 總結來說：PPSK 是適合 USM Kubang Kerian 這種複雜、混合使用校園的正確驗證模型。它為您提供單一用戶隔離和 VLAN 分配，而無需在每台設備上安裝憑證基礎架構。混合模型 - 學生和物聯網使用 PPSK，教職員使用 802.1X - 是在大規模環境下同時實現安全性和營運簡便性的架構。從第一天起就自動化金鑰生命週期、規劃 MAC 隨機化、將每個射頻的 SSID 數量維持在 4 個以下。如果您要大規模部署，請使用雲端 RADIUS 服務，而不是自己管理基礎架構。 以上是針對 USM Kubang Kerian 的 PPSK 技術簡報。如果您想深入了解其中任何主題，可以在 purple.ai 取得完整的書面指南。感謝您的收聽。