UniFi PPSK: comparing features and deployment models

歡迎來到 Purple 技術簡報。今天我們將介紹 UniFi PPSK - 它是什麼、它在您的網路設計工具箱中扮演什麼角色，以及最重要的是，您何時應該使用它，而不是其他替代方案。 讓我為您說明一下情境。您是一位物業開發商、BTR 營運商，或是一位負責管理擁有數百名居民或租戶之大樓的 IT 經理。您需要一個能將每個住戶彼此隔離、支援智慧家庭設備，且不需要在每次有人搬出時都更換共享密碼的 WiFi 網路。這就是 PPSK 旨在解決的問題 - 在您決定採用之前，了解它的優勢和極限是非常值得的。 那麼，PPSK 究竟是什麼？PPSK 代表 Private Pre-Shared Key (個人預先共用金鑰)。這是 UniFi Network 內建的一項功能，可讓您在單一 WiFi SSID 上使用多個不同的密碼，其中每個密碼都對應到特定的 VLAN。這個概念非常簡單。您不需要為所有人提供一個共享密碼，而是為每個租戶、每個設備群組或每個使用案例核發不同的密碼。當設備使用該密碼連線時，UniFi 控制器會自動將其置於對應的 VLAN 中。不需要 RADIUS 伺服器，不需要憑證，也不需要複雜的 802.1X 基礎架構。 現在，您會聽到 PPSK 有不同的稱呼，這取決於您與哪家廠商洽談。Aruba 稱之為 MPSK。Cisco Meraki 稱之為 iPSK。Ruckus 稱之為 DPSK。所有這些方案的底層概念都是相同的：一個 SSID，多個金鑰，每個金鑰都綁定到一個網路區段。UniFi 的實作稱為 PPSK，它原生存在於 UniFi Network 控制器中，無需額外的授權費用。 讓我們深入了解技術架構。當您在 UniFi SSID 上啟用 PPSK 時，您正在建立一個具有多個預先共用金鑰的 WPA2-Personal 網路。每個金鑰都與您已在 UniFi 交換器和控制器中設定的特定 VLAN ID 相關聯。當用戶端設備使用其中一個金鑰進行驗證時，無線基地台會在將用戶端流量轉發到上游之前，為其加上對應的 VLAN ID 標籤。用戶端的行為就如同在專屬的 VLAN 上一樣 - 與其他 VLAN 上的用戶端隔離，並擁有自己的 DHCP 範圍和防火牆規則。 這在幾種場景中非常實用。在住宅大樓中，您給每個公寓專屬的 PPSK。該公寓中的所有設備 - 手機、筆記型電腦、智慧喇叭、遊戲主機 - 都使用相同的金鑰連線並進入相同的 VLAN。它們可以互相偵測、互相投影和配對，就像在家庭網路中一樣。但它們對於隔壁公寓來說是完全隱形的。 在飯店中，您可以使用 PPSK 來將房客流量與員工流量以及智慧電視和門鎖等 IoT 設備隔離開來 - 全部都在單一 SSID 上運作。在零售環境中，您可以將付款終端隔離在自己的 VLAN 上以支援 PCI-DSS 合規性，同時將員工設備和顧客 WiFi 保持在不同的區段上。 現在，在您繼續之前，需要了解一個關鍵的限制。PPSK 是一項僅支援 WPA2 的功能。它不適用於 WPA3。而且由於 6 GHz 頻段 - 用於 WiFi 6E 和 WiFi 7 - 強制使用 WPA3，因此您無法在 6 GHz 無線電上使用 PPSK。這並不是 UniFi 特有的限制。這是 802.11 標準的根本限制。WPA3 目前每個 SSID 僅允許單一預先共用金鑰，因此 PPSK 所依賴的多金鑰架構與 WPA3 完全不相容。 這在實務上意味著什麼？如果您在某個 SSID 上啟用 PPSK，該 SSID 將僅在 2.4 GHz 和 5 GHz 頻段上廣播。您較新的 WiFi 6E 和 WiFi 7 存取點將不會在該網路中使用其 6 GHz 無線電。對於目前大多數的住宅佈署來說，這是可以接受的。但這是您在規劃五年網路計劃時需要考量的限制，特別是隨著 WiFi 7 普及速度加快。 讓我們將 PPSK 與兩個主要的替代方案進行直接比較：使用 802.1X 的 RADIUS，以及像 Purple 這樣雲端託管的 iPSK 解決方案。 使用 802.1X 的 RADIUS - 也稱為 WPA2-Enterprise 或 WPA3-Enterprise - 是企業級驗證的黃金標準。每個使用者或裝置都擁有獨特的憑證。RADIUS 伺服器會驗證這些憑證並將用戶端動態分配至 VLAN。它支援 WPA3，可在 6 GHz 上運作，並可擴充至無限的使用者。缺點是複雜性。您需要一部 RADIUS 伺服器，不論是地端還是雲端代管。如果您使用 EAP-TLS，還需要管理憑證。而且至關重要的是，許多 IoT 裝置 - 智慧音響、遊戲主機、智慧家庭感測器 - 完全無法連線到 802.1X 網路。 UniFi PPSK 介於兩者之間。它比 RADIUS 更簡單 - 不需要伺服器基礎架構，不需要憑證，適用於所有裝置。但它的可擴充性較低。UniFi 原生的 PPSK 實作將金鑰儲存在本機控制器上。對於大多數佈署來說，實際限制大約在數百個金鑰以內。對於一個有 50 個戶數的 BTR（建造轉租）大樓來說，這沒問題。但對於一個有 500 個戶數的開發案，您很快就會遇到管理上的瓶頸。 這就是像 Purple 這樣的雲端重疊服務發揮關鍵作用的地方。Purple 的 Multi-Tenant WiFi 解決方案執行在您現有的 UniFi 硬體之上。它在雲端集中管理金鑰的生命週期。當新住戶搬入時，Purple 會自動配發其金鑰。當他們搬離時，Purple 會將其撤銷。該住戶的裝置會立即失去存取權限，而不會影響任何其他住戶。Purple 與 Microsoft Entra ID 和 Okta 整合，可將該生命週期完全自動化。 現在，讓我們來了解兩個實際的佈署情境。 案例一：擁有 120 個單位的 Build to Rent（建屋出租）建案。營運商希望住戶從第一天起就能享受居家般的 WiFi 體驗 - 無需等待寬頻工程師安裝，無共享密碼，且完整支援智慧家居。硬體全數採用 UniFi。每位住戶都會獲得透過 Purple 平台派發的唯一金鑰，並與其租約記錄綁定。他們的裝置會連接到專屬的 VLAN。Chromecast 可以正常運作。遊戲主機獲得開放式 NAT。智慧喇叭能正確配對。當住戶搬出時，金鑰會在數秒內被撤銷。營運商報告指出，在前三個月中，與 WiFi 相關的支援工單減少了 40%。 案例二：一間擁有 200 間客房且使用 UniFi 基地台的飯店。IT 團隊需要將訪客 WiFi、員工 WiFi 以及 IoT 裝置（智慧電視、門鎖、空調感測器）進行隔離，而無需為每個類別運行獨立的 SSID。他們在 UniFi 中原生啟用 PPSK。三組金鑰：一組給訪客、一組給員工、一組給 IoT。三個 VLAN。一個 SSID。結果：乾淨的射頻環境、更少的 SSID、清晰的流量隔離，且員工 VLAN 上的支付系統符合 PCI DSS 規範。 讓我為您說明需要注意的部署陷阱。 第一：啟用 PPSK 之前的 VLAN 設定。在建立 PPSK 條目之前，您必須先在 UniFi 交換器和控制器中設定好 VLAN。請務必先建立您的網路隔離架構。 第二：6 GHz 的陷阱。如果您正在部署 WiFi 6E 或 WiFi 7 基地台，並希望在高密度區域使用 6 GHz，您將無法在這些網路上使用 PPSK。請相應地規劃您的 SSID 架構。 第三：大規模的金鑰管理。如果您在沒有雲端管理平台的情況下，直接在 UniFi 中原生管理超過 100 個單位，您很快就會感受到手動派發金鑰的痛苦。 第四：mDNS 與裝置發現。預設情況下，位於不同 VLAN 的裝置無法互相發現。如果您希望 Chromecast 或 AirPlay 能在住戶的 VLAN 內正常運作，您需要啟用 mDNS 反射。UniFi 支援此功能，但必須針對每個 VLAN 進行明確設定。 快速問答。我可以在同一個 UniFi 控制器上同時使用 PPSK 和 RADIUS 嗎？可以。您可以同時運行一個 PPSK SSID 和一個 WPA2-Enterprise SSID。PPSK 是否支援 WPA3 過渡模式？不支援。PPSK 僅限 WPA2。UniFi 中 PPSK 金鑰的最大數量是多少？社群經驗顯示，在單一 SSID 上超過幾百個金鑰後，效能就會下降。對於大型部署，使用雲端管理層才是正確的解決方案。 總結來說：對於需要 VLAN 隔離但無 RADIUS 基礎設施的中小型部署，UniFi PPSK 是一個真正實用的工具。對於 50 個單位的建築、精品飯店或擁有混合裝置類型的小型辦公室，這是正確的選擇。對於更大規模的部署 - 任何超過 100 個單位或需要自動化生命週期管理的情境 - 您需要像 Purple 這樣的雲端管理平台才能使其在營運上切實可行。 關鍵的決策架構非常簡單。請問自己三個問題：我需要多少個唯一的金鑰？如果在 100 個以下，原生的 PPSK 即可運作。如果超過 100 個，您則需要一個管理層。我需要 6 GHz 嗎？如果是的話，PPSK 就不是您的解決方案。我是否需要與租戶或 HR 系統綁定的自動化配置？如果是，像 Purple 這樣的雲端覆蓋網路就是正確的選擇。 如欲瞭解更多關於 Purple 的多租戶 WiFi 解決方案及其在 UniFi 硬體上的部署方式，請造訪 purple.ai。感謝您收聽 Purple 技術簡報。