統治全場的三個 SSID：顧客、Passpoint 與 IoT WiFi 設定指南

歡迎收看 Purple 技術簡報系列。今天我們將介紹三 SSID WiFi 設計——這是一種網路架構，將訪客存取、安全自動上網以及 IoT 裝置管理整合到三個專為特定目的建置的無線網路中。如果您在飯店、零售店面、體育場或會議中心營運 WiFi，這就是您在 2025 年及以後應該部署的設計。 [medium pause] 讓我先說明一下背景。我們遇到的大多數場域頂多仍只運行兩個 SSID——一個訪客網路和一個勉強稱為員工網路的網路。問題在於，這兩個網路最終承載了所有內容。刷卡機與訪客的智慧型手機處於相同的網段。承包商與您的數位看板連接到相同的 SSID。IoT 感測器與觀看串流影片的訪客共享頻寬。這不是一種安全態勢，而是一種隱患。 三 SSID 設計透過為每種型態的裝置和使用者提供其專用的網路、專屬的 VLAN 和專屬的驗證方式來解決這個問題。三個 SSID。三個 VLAN。一個統一的安全架構。 [medium pause] 我們來逐一介紹。 第一個 SSID 是您的開放式訪客 WiFi。這是傳統的 Captive Portal 網路——也就是您的訪客在打開手機並連線時會看到的網路。它是開放的，意味著沒有預先共用金鑰，因為您希望在連線時達到零阻力。驗證發生在入口網站層。訪客進行連線、被重定向到登入頁面、接受您的服務條款，並可選擇提供電子郵件地址或電話號碼。這就是符合 GDPR 合規性且具備明確選擇的同意加入。Purple 的平台原生支援此功能——該入口網站會擷取第一方數據、記錄同意時間戳記，並將該工作階段對應到 VLAN 10（即您的訪客網段）。VLAN 10 僅能存取網際網路。它無法存取您的 POS 系統、後台伺服器或任何其他內部資源。防火牆規則會在邊緣強制執行此限制。 從合規的角度來看，這個 SSID 承擔了大部分的工作。GDPR 要求您記錄同意、處理的法律依據以及時間戳記。Purple 會自動記錄所有這些資訊。如果您身處適用於 PCI DSS 規範的場域（例如客房內設有付款終端設備的飯店），訪客 SSID 必須與任何持卡人資料環境完全隔離。透過跨 VLAN 防火牆原則進行 VLAN 分割即可實現此一目標。 [medium pause] 第二個 SSID 是您的 Passpoint 網路，也稱為 Hotspot 2.0。這正是該設計真正有趣的地方。Passpoint 是一種 IEEE 802.11u 標準，允許裝置在沒有任何使用者互動的情況下自動偵測、驗證並連線到 WiFi 網路。無需入口網站。無需密碼提示。裝置會在背景使用 EAP（可延伸驗證協定）協商驗證，並從第一個封包開始就以加密方式進行連線。 裝置如何知道要進行連線？因為它安裝了 Passpoint 設定檔。透過 Purple，該設定檔可透過 Purple 應用程式或您嵌入在自訂品牌應用程式中的 SDK 來傳送。當回訪的訪客進入您的場域時，他們的裝置會偵測到您的 Passpoint SSID 正在廣播 ANQP 回應，並將其與已安裝的設定檔進行比對，接著就會自動連線。整個過程只需不到兩秒。使用者完全不需要碰手機。 驗證流程會根據您的設定，使用帶有 PEAP 的 EAP-TLS 或 EAP-TTLS。裝置會向您的 RADIUS 伺服器出示憑證（Purple 在雲端中扮演該 RADIUS 伺服器的角色），而伺服器會傳回含有 VLAN 指派屬性的 RADIUS Access-Accept。該屬性會告知無線基地台將該工作階段分配到哪一個 VLAN。因此，會員應用程式使用者可能會被分配到 VLAN 20（可存取您的會員平台與更豐富的內容）。而使用相同 Passpoint SSID 但使用不同憑證的員工，則會被分配到 VLAN 30（可存取內部系統）。單一 SSID。動態 VLAN 指派。依身分強制執行原則。 [medium pause] 第三個 SSID 是您的 xPSK 網路。xPSK 是一個統稱，涵蓋了 iPSK、PPSK、DPSK 和 MPSK——這些都是基於「每台裝置」或「每個群組」預先共用金鑰的相同概念所衍生的變體。這個概念非常簡單：與其為您的 IoT 裝置和承包商共用同一個密碼，不如讓每台裝置或每個群組都擁有自己專屬的唯一金鑰。該金鑰會對應到特定的 VLAN。當刷卡終端機使用其金鑰連線時，會被分配到 VLAN 40（亦即您的 PCI 範圍內付款網路）。當數位看板播放器使用其金鑰連線時，會被分配到 VLAN 50（可存取您的內容管理伺服器，但無法存取其他任何內容）。當承包商使用臨時金鑰連線時，會被分配到 VLAN 60（可存取網際網路，但無法存取任何內部系統）。當您撤銷該承包商的金鑰時，他們會立即中斷網路連線，完全不需要變更每台裝置上的密碼。 xPSK 背後的機制因廠商而異。在 Cisco Meraki 上，它被稱為 iPSK（Identity PSK），並透過 RADIUS 運作。在 HPE Aruba 上，對應的功能是 MPSK，同樣由 RADIUS 驅動。Ruckus 稱其為 DPSK（Dynamic PSK）。Juniper Mist 使用 PPSK，並透過 Mist 的雲端儀表板進行動態 VLAN 指派。Ubiquiti UniFi 在最近的韌體版本中支援針對每個用戶端指派 VLAN 的網路存取控制。Purple 與這五個平台皆有整合，可作為雲端 RADIUS 提供者。 [medium pause] 現在讓我們來談談導入順序。順序非常重要。 在開始調整無線設定之前，請先設計您的 VLAN。首先在交換器層定義您的 VLAN。在任何裝置連線之前，先設定好 VLAN 間的路由原則，並在防火牆上將其鎖定。這是我們最常看到的錯誤：團隊先設定無線網路，然後才試圖硬套 VLAN 分割。請反過來操作。 第二，設定您的 RADIUS 伺服器。在 Purple 的平台中，導覽至 RADIUS 設定區段，產生您的伺服器憑證，並記下主要與次要 IP 位址、驗證連接埠（通常為 1812）以及共用金鑰。 第三，建置您的 SSID。針對訪客 SSID，將安全性設為開放，啟用 Captive Portal 重新導向，並將重新導向 URL 指向您的 Purple 門戶。針對 Passpoint SSID，啟用 802.11u 並設定您的 ANQP 元素——包括您的 NAI 領域（NAI Realm）、若您參與 OpenRoaming 則需設定漫遊聯盟識別碼（Roaming Consortium OI），以及您的場域資訊。將安全性類型設定為 WPA2-Enterprise 或 WPA3-Enterprise。針對 xPSK SSID，設定廠商專屬的 MPSK 或 DPSK 設定，並將驗證指向您的 Purple RADIUS 端點。 第四，為訪客 SSID 設定圍牆花園（walled garden）。納入 Purple 的門戶網域、您的 DNS 解析程式，以及 iOS 與 Android 使用的 Captive Portal 偵測端點——即 Apple 的 captivedetect.apple.com 與 Google 的 connectivitycheck.gstatic.com。 [medium pause] 兩個真實案例。 一家位於倫敦市中心、擁有 350 間客房的飯店在執行 HPE Aruba 硬體的 28 個無線基地台（access points）部署了此架構。在部署之前，刷卡機終端與訪客裝置共用同一個網路區段，這違反了 PCI 合規性。透過三個 SSID 的重新設計，刷卡機終端被移至專用的 VLAN，並設定防火牆規則，僅允許向付款處理商發送連外 HTTPS 流量。隨後在下一次稽核中順利通過 PCI 稽核。由於門戶體驗更快且同意訂閱流程更乾淨，前三個月的訪客數據收集量增加了 34%。 一家在全英國擁有 80 家門市的零售連鎖店，將每家門市的 SSID 數量從平均 4.2 個減少到三個。EPOS 終端和電子看板移至 xPSK SSID，並透過 Purple 集中管理每台裝置的金鑰。員工則透過 EAP-TTLS 使用其 Microsoft Entra ID 憑證移至 Passpoint SSID。IT 團隊回報在推出後的第一個季度，與 WiFi 相關的支援工單減少了 60%。 [medium pause] 以下是一些需要留意的實作陷阱。 RADIUS 逾時設定：若您的無線基地台無法在設定的逾時時間內連入 Purple RADIUS 伺服器，它們將會拒絕連線。請務必同時設定主要與次要 RADIUS 伺服器位址。 幹線連接埠（trunk ports）上的 VLAN 標記：每個無線基地台的上行連接埠都必須設定為幹線，以傳輸您的 SSID 所使用的所有 VLAN。常見的錯誤是在控制器上設定了 VLAN，但忘記將其新增至交換器連接埠的幹線上。 Passpoint ANQP 設定：NAI 領域（NAI Realm）清單必須與裝置上安裝的 Passpoint 設定檔完全相符。若不符，裝置將在偵測過程中忽略您的網路。在部署到生產環境之前，請先使用已知正常的裝置進行測試。 xPSK 金鑰輪替：承包商的金鑰應在設定時配置過期日期。Purple 的儀表板讓您可以撤銷個別金鑰，而不會影響網路上的任何其他裝置。 [medium pause] 快速問答。 我可以在同一個無線基地台 (access point) 上運行所有三個 SSID 嗎？可以。請將每個基地台的 SSID 總數保持在 6 個或以下，以減少訊標 (beacon) 開銷。 Passpoint 需要特定的應用程式嗎？使用 Purple，它需要 Purple 應用程式或整合到您自有品牌應用程式中的 SDK。SDK 會在背景自動處理設定檔配置。 xPSK 是否符合刷卡機的 PCI 合規性？是的，前提是承載付款裝置流量的 VLAN 經妥善分割，且防火牆規則將流量限制為僅限付款處理商所需的內容。 如果訪客 SSID 門戶斷線會怎樣？請在無線基地台控制器上設定備用重新導向或本機登入頁面 (splash page)。Purple 平台的運作時間高達 99.999%，但雙重保險的設定向來是最佳實踐。 [medium pause] 總結來說。三 SSID 設計為您提供：一個配有合規 Captive Portal 以進行數據收集的訪客網路；一個透過 Purple 應用程式或 SDK 進行自動安全上網並具備動態 VLAN 分配的 Passpoint 網路；以及一個 xPSK 網路，將 IoT 裝置、刷卡機、數位看板、承包商和 BYOD 整合在對應到特定 VLAN 的單一裝置金鑰下。其結果是更清晰的安全態勢、更好的訪客體驗，以及一個真正具備規模化管理能力的網路。 從您的 VLAN 設計開始、設定 RADIUS、建立您的 SSID，並設定您的 walled garden。Purple 的引導上線團隊可以引導您完成特定硬體平台的設定。 完整的書面指南可在 purple.ai 取得。搜尋 "three SSIDs to rule them all"，即可獲取包含 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 等特定品牌詳細資訊的逐步設定說明。 感謝您的收聽。