三大 SSID 搞定一切：訪客、員工與 IoT WiFi 設定指南

播客腳本：「掌控全局的三個 SSID：顧客、員工與 IoT WiFi 設定指南」 [簡介與背景 - 1 分鐘] 您是一位資深網路顧問，正在向客戶進行充滿自信且具權威性的簡報。請以清晰、沉穩、專業的口吻發言。展現冷靜的權威感，而非學術調性。口語化但精準。節奏穩定且從容： 歡迎收看 Purple WiFi Intelligence 技術簡報系列。今天我們將介紹三 SSID WiFi 設計——這種架構利用單一無線基礎設施，將顧客、員工和 IoT 流量分離到不同且相互隔離的網路中。 如果您管理飯店、零售物業、會議中心、體育場或任何同時運行面向公眾和營運網路的場域的 WiFi，本次簡報將與您密切相關。 [技術深挖 - 5 分鐘] 首先讓我說明一下背景。如今大多數企業級場域至少運行五到六個 SSID。一個給顧客，一個給員工，一個給 POS 刷卡機，一個給 IoT 裝置，可能還有一個隱藏的給承包商，通常還有一個沒人記得為什麼存在的舊系統專用 SSID。這些 SSID 中的每一個都會在無線電的最慢數據傳輸率下，每 100 毫秒廣播一次訊標訊框（beacon frame）。在同一個頻道上有 50 個存取點（AP）的高密度場域中，這意味著在傳輸任何一個位元組的使用者數據之前，每秒就有數百個管理訊框在消耗空中有線時間。業界共識非常明確：每個無線電廣播的 SSID 不要超過三個。三個是平衡安全隔離與無線效能的最佳數量。 因此，三 SSID 設計如下。SSID 1：一個具有 Captive Portal 的開放式 Guest WiFi 網路，供訪客存取。SSID 2：一個適用於員工和安全訪客的 WPA2 或 WPA3-Enterprise 網路，使用 802.1X 和 RADIUS 驗證。SSID 3：一個適用於 IoT 裝置、刷卡終端機、數位看板和印表機的 xPSK 網路，使用單一裝置預先共用金鑰（per-device pre-shared keys），根據裝置識別動態分配 VLAN。 三個 SSID。三個完全隔離的網路區段。一個實體無線基礎設施。 讓我們詳細了解每一個。 讓我們詳細了解每一個。 SSID 1 是您的 Guest WiFi。您將其設定為開放網路——沒有預先共用金鑰，也沒有 WPA2-Personal 密碼。存取點（AP）在關聯層廣播沒有加密的 SSID。當訪客連線時，他們的裝置會從您訪客 VLAN（通常是 VLAN 10）上的 DHCP 伺服器取得 IP 位址。每個 DNS 查詢和 HTTP 請求都會被無線控制器或專用的 Captive Portal 設備攔截，進而將訪客的瀏覽器重新導向到您的入口網站頁面。 這就是 Purple 平台整合的地方。Captive Portal 處理訪客的身分驗證——無論是社群媒體登入、電子郵件註冊、SMS 驗證還是憑證代碼。它在符合 GDPR 規範下取得同意，將訪客的詳細資料記錄為第一方數據，然後向控制器發出訊號以授予網際網路存取權限。訪客工作階段會被標記到 VLAN 10，且您的防火牆會執行嚴格的原則：僅限網際網路存取，並使用明確的拒絕所有規則，阻擋前往您內部 RFC 1918 位址空間的任何路由。 圍牆花園（Walled Garden）在此處是關鍵的配置步驟。在訪客完成 portal 登入之前，其裝置需要先存取到 portal 頁面本身。您需要配置圍牆花園——一個無需驗證即可存取的 IP 位址和網域名稱白名單。這必須包含您的 Captive Portal 伺服器的 IP 或主機名稱、其使用的任何 CDN 端點，以及任何社群登入提供業者的端點（例如 Facebook 的 OAuth 伺服器或 Google 的驗證端點）。 第二個 SSID 是您的員工 WiFi。這使用 WPA2-Enterprise 或 WPA3-Enterprise，這意味著 802.1X 驗證。當員工連接時，其裝置會與存取點（Access Point，AP）啟動 EAP 交換，AP 作為驗證者並將憑證轉發到您的 RADIUS 伺服器。RADIUS 伺服器會向您的身分識別提供者驗證該身分，並傳回 Access-Accept 訊息。 動態 VLAN 分配的金鑰是該 Access-Accept 訊息中的三個特定 RADIUS 屬性。屬性 64（Tunnel-Type）必須設置為值 13，這表示 VLAN。屬性 65（Tunnel-Medium-Type）必須設置為值 6，這表示 IEEE 802。而屬性 81（Tunnel-Private-Group-ID）則包含實際的 VLAN ID（字串格式）。當存取點收到這些屬性時，它會動態地將該工作階段標記上指定的 VLAN。財務團隊中的員工進行驗證後會進入 VLAN 20。承包商使用不同的憑證進行驗證，則會進入限制較多的 VLAN 30。相同的 SSID，相同的實體網路，卻是完全不同的邏輯網段。 Purple 的雲端 RADIUS 服務可為員工 WiFi 處理 RADIUS 驗證層，與您的身分識別提供者整合，並依據每位使用者傳回正確的動態 VLAN 屬性。 第三個 SSID 是您的 IoT WiFi。xPSK 解決了開放式網路與 802.1X 都無法乾淨俐落地解決的問題。IoT 裝置、刷卡機、數位看板播放器和印表機無法使用 802.1X 進行驗證。但您不能將它們放在使用單一共享密碼的扁平 WPA2-Personal 網路中，因為一旦某台裝置遭到入侵，將能存取該網段上的所有其他裝置。 xPSK 維護一個唯一密碼的資料庫，每個裝置或裝置群組一個。裝置使用其唯一金鑰進行連接。控制器驗證該金鑰並傳回動態 VLAN 屬性。刷卡機連接並進入 VLAN 50（您的 PCI DSS 隔離付款網路）。智慧溫控器連接並進入 VLAN 40（您的受限路由 IoT 網路）。 各家廠商的術語有所不同。Cisco Meraki 稱之為 iPSK。HPE Aruba 稱之為 MPSK。Ruckus 稱之為 DPSK。Juniper Mist 和 Ubiquiti UniFi 則皆稱之為 PPSK。這五家廠商的底層架構完全相同。 [導入建議與陷阱 - 2 分鐘] 您是一位資深網路顧問，正在向客戶進行自信且具權威性的簡報。請以清晰、沉穩、專業的口吻發言。展現冷靜的權威，而非學術教條。對話自然但精準。節奏穩定且從容： 現在，讓我們來談談導入時的陷阱與實際應用場景。 第一個陷阱是 Trunk 埠配置錯誤。承載多個 VLAN 的交換器連接埠必須配置為 802.1Q Trunk 埠，而非 Access 埠。如果 Trunk 埠不小心被設定為 Access 埠，所有流量都會塌陷到單一 VLAN 中，您的網路區隔就會在不知不覺中消失。請務必在進行任何變更後稽核您的交換器配置。 第二個陷阱是不完整的 Walled Garden（圍牆花園）。如果您的 Captive Portal 頁面因為未將正確的端點加入白名單而無法載入，訪客將會看到空白畫面，並認為 WiFi 壞了。在正式上線前，請使用沒有快取 DNS 的全新裝置測試您的 Walled Garden。 第三個陷阱是 MAC 位址隨機化。現代 iOS 和 Android 裝置在加入每個網路時都會使用隨機的 MAC 位址。如果您的 xPSK 系統依賴 MAC 位址綁定來將裝置與其唯一金鑰建立關聯，那麼當裝置輪替其位址時，您將會遇到驗證失敗。請採用將工作階段綁定到金鑰本身而非 MAC 的廠商解決方案。 讓我為您說明兩個實際應用場景。 情境一：一間擁有 200 間客房的飯店。該飯店需要為所有客房和公共區域提供顧客 WiFi、為前台、房務和管理人員提供員工 WiFi，並為智慧溫控器、IPTV 系統和門鎖控制器提供 IoT 連線。他們在其 Cisco Meraki 無線基地台部署了三個 SSID。第一個 SSID 為顧客網路，使用 Purple 的 Captive Portal，並具備電子郵件註冊和符合 GDPR 規範的同意書簽署功能。顧客通過驗證後會進入 VLAN 10，並獲得僅限網際網路的存取權限，每位用戶端的速限為每秒 20 Mbps。第二個 SSID 為員工網路，使用 WPA3-Enterprise 以及針對 Microsoft Entra ID 的 RADIUS 驗證。前台人員進入 VLAN 20，可存取物業管理系統。房務人員進入 VLAN 21，且僅能存取房務應用程式。第三個 SSID 為 IoT 網路，使用 Meraki iPSK。每個智慧溫控器都有一個對應到 VLAN 40 的唯一金鑰。每個門鎖控制器都有一個對應到 VLAN 41 的唯一金鑰。IPTV 系統的金鑰則對應到 VLAN 42。所有 IoT VLAN 均無網際網路存取權限，且設有嚴格的防火牆規則，將通訊限制在其特定的管理伺服器。 [快速問答 - 1 分鐘] 現在進行一些快速問答。 我需要為 xPSK 配置獨立的 RADIUS 伺服器嗎？這取決於廠商和規模。對於小型部署，Cisco Meraki iPSK 和 HPE Aruba MPSK-Local 可以直接將金鑰儲存在控制器上，無需 RADIUS 伺服器。對於企業級規模，您需要一個集中式 RADIUS 伺服器——可以是您自己的 FreeRADIUS 或 NPS 執行個體，或是像 Purple 的雲端 RADIUS 服務。 WPA3-Enterprise 是強制性的嗎？目前還不是，但只要您的用戶端裝置支援，就建議部署。WPA3 的 192 位元安全性模式和保護管理畫面（Protected Management Frames）消除了 WPA2 中存在的數個攻擊媒介。在過渡模式下執行 WPA3 以保持回溯相容性。 如何處理員工 SSID 上的 BYOD？使用 PEAP-MSCHAPv2 進行基於認證憑證的驗證，這適用於個人裝置，無需部署憑證。如果您需要更高的安全性，請部署 EAP-TLS，並透過您的 MDM 推播憑證。 小型場地的最小可行設定是什麼？三個 SSID、三個 VLAN、一個具有 VLAN 間規則的防火牆，以及一個供顧客使用的 Captive Portal。這是您的基準。隨著裝置數量的增加，您可以添加 RADIUS 和 xPSK。 [總結與後續步驟 - 1 分鐘] 總結來說：三 SSID 設計為您提供了所需的分割，而不會產生運行五或六個獨立網路的通訊時間開銷。具備 Captive Portal 的顧客 WiFi 可處理訪客存取和 GDPR 合規性。具備 802.1X 和動態 VLAN 分配的員工 WiFi 可處理基於身分的存取控制。具備 xPSK 的 IoT WiFi 則可處理無螢幕裝置並提供單一裝置隔離。 您的後續步驟：審查您目前的 SSID 數量。如果您廣播的 SSID 超過三個，請規劃進行整合。審查您的 VLAN 設計和防火牆跨 VLAN 規則。如果您尚未採用符合 GDPR 規範且具備數據收集功能的託管 Captive Portal，這是您目前可以為訪客網路做出的最具價值的改變。 Purple 的平台在全球超過 80,000 個實際場域中支援這種三 SSID 架構。我們提供訪客 WiFi Captive Portal、用於員工 WiFi 的雲端 RADIUS，以及與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 的整合，使整個設計能作為單一託管系統運作。 感謝收聽來自 Purple 的技術簡報。完整書面指南和架構圖的連結已包含在節目說明中。