Uu PPSK hukumonline: 比較功能與部署模型

歡迎來到 Purple 技術簡報。今天我們將介紹 PPSK WiFi - Private Pre-Shared Key - 它是什麼、它與其他替代方案的比較，以及在哪些實際場景中適合佈署它。 讓我們從它解決的問題開始。在傳統的 WPA2 Personal 網路中，網路上的每個裝置都共享相同的密碼。這對家庭來說沒問題。但對於擁有 200 個單位的 Build to Rent（建屋出租）建案、學生宿舍大樓或是有 300 間客房的飯店來說，這是一個安全隱憂。當一個住戶搬走時，你要麼為所有人更改密碼 - 在這個過程中會中斷其他所有住戶的智慧電視、恆溫器和遊戲機的連線 - 要麼就讓搬走的住戶繼續保有存取權限。這兩種選擇都無法令人接受。 PPSK 透過為每個住戶、每個公寓或每個裝置群組提供其專屬的唯一 WiFi 金鑰來解決這個問題。他們都連線到同一個 SSID - 相同的網路名稱 - 但每個金鑰都對應到一個獨立的 VLAN。12 號公寓在 VLAN 10 上。13 號公寓在 VLAN 20 上。IoT 裝置在 VLAN 99 上。無線基地台會自動處理金鑰到 VLAN 的對應。不需要 RADIUS 伺服器。不需要憑證基礎架構。裝置上也不需要 802.1X 請求方（supplicant）。 現在讓我們來談談術語，因為各家廠商的說法不同，這在市場上造成了真正的混淆。Aruba 稱之為 PPSK - Private Pre-Shared Key。Cisco Meraki 稱之為 iPSK - Identity PSK。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下開發此概念的 Extreme Networks 稱之為 Private PSK。Ubiquiti UniFi 則簡單地稱之為 PPSK。Cambium 也使用 ePSK。所有這些技術的底層機制都是相同的：一個 SSID、多個唯一金鑰，每個金鑰綁定到一個 VLAN 或策略群組。 在技術上，以下是關聯層發生的情況。當裝置連線時，它會在 WPA2 四向交握期間提供其預先共享金鑰。無線基地台 - 或其背後的雲端控制器 - 會在 PPSK 儲存庫中查找該金鑰，識別其對應的 VLAN，並相應地標記該裝置的流量。裝置端看到的是普通的 WiFi 連線。它完全不知道自己已被放入一個隔離的分段中。它的 Chromecast 可以運作。它的智慧喇叭可以配對。它的遊戲機可以取得正確的 NAT 類型。一切運作起來都像家用網路一樣 - 因為從裝置的角度來看，它確實就是。 這是與 802.1X 的關鍵區別，後者是員工網路和企業環境的企業標準。802.1X 需要 RADIUS 伺服器、身分識別提供者 - Microsoft Entra ID、Okta 或 Google Workspace - 以及每個裝置上的請求方。該請求方是處理 EAP 驗證交換的軟體元件。每部受管的筆記型電腦、每支企業手機都有一個。但您住戶的智慧冰箱沒有。您大樓的 HVAC 控制器沒有。您的 IoT 感測器也沒有。PPSK 適用於所有這些裝置，因為它是在 WPA Personal 層運作，而不是 WPA Enterprise 層。 話雖如此，PPSK 在企業環境中並非 802.1X 的替代品。它是解決不同問題的不同工具。如果您正在營運員工網路，且個人的可追溯性至關重要，802.1X 是正確的答案。如果您正在營運住宅網路，且需要每戶隔離、IoT 支援以及大規模的營運簡化，PPSK 則是正確的答案。 讓我們來看看部署模式。目前在實際生產中主要有三種模式。 第一種是雲端控制器模式，這是新部署中最常見的模式。您的存取點（無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet）都連接到雲端管理平台。PPSK 金鑰庫位於雲端控制器中。當您配置新住戶時，您會在入口網站中建立金鑰，將其指派給 VLAN，然後控制器會將該原則推送到大樓中的每個存取點。住戶透過電子郵件、簡訊或歡迎禮包中的 QR code 取得金鑰並進行連接。當他們搬出時，您只需刪除金鑰，他們的裝置就會停止連接，其他人則完全不受影響。 第二種模式是搭配本地 RADIUS 後端的 PPSK。某些企業部署使用 RADIUS 伺服器來儲存和驗證 PPSK 認證憑證，這為您提供了集中式記錄、稽核追蹤以及與身分識別管理平台的整合。這雖然增加了基礎架構的開銷，但卻為您帶來了 802.1X 的可追溯性與 PPSK 的裝置相容性。 第三種模式是混合式：住戶和 IoT 使用 PPSK，員工和管理系統則使用 802.1X。這是 Purple 為「新建出租住宅（Build to Rent）」和多住戶單元部署所推薦的架構。住戶使用 PPSK。大樓管理系統、CCTV 和門禁控制則使用 PPSK 擁有專屬的 IoT VLAN。物業管理團隊的裝置則透過 802.1X 對接 Microsoft Entra ID 或 Okta。三種不同的驗證模式，三個不同的 VLAN，單一實體基礎架構。 現在我們來進入實作。在接觸硬體之前，先從您的邏輯設計開始。規劃出您的住戶人數、您的 IoT 裝置類別，以及任何員工或管理系統。指派 VLAN。典型的 BTR 部署如下：VLAN 10 到您住戶單元數量所需的任何 VLAN，根據您的密度，每戶一個 VLAN 或每層樓一個 VLAN。VLAN 99 給 IoT。VLAN 100 給大樓管理。VLAN 200 給公共區域的訪客 WiFi。 在一棟擁有 200 個單元的大樓中，您隨時會面臨網路上有 3,000 到 5,000 台裝置的情況。這符合英國房產聯合會（British Property Federation）研究中每戶 15 到 25 台裝置的數據。您的 DHCP 範圍必須容納這個數量。請使用 RFC 1918 私有定址，並為每個 VLAN 規劃足夠的子網路大小。/24 提供 254 個可用位址。/23 提供 510 個可用位址。請據此調整大小。 在硬體選擇方面：PPSK 已受到所有主要企業級無線基地台平台的支援。Cisco Meraki 將其稱為 iPSK，並透過 Meraki 儀表板進行管理。HPE Aruba 則在 ArubaOS 與 Aruba Central 中提供原生支援。Ruckus 透過 SmartZone 支援。Juniper Mist 使用搭配 AI 驅動 RF 管理的 ePSK。Ubiquiti UniFi 自 2023 年起即支援 PPSK，不過目前僅限 WPA2。Aruba、Ruckus 與 Meraki 皆支援在 WPA3 設定上使用 PPSK。 接下來是常見陷阱。第一是 SSID 激增。您廣播的每個 SSID 都會消耗信標訊框（beacon frames）的空閒時間。請將每個射頻（radio）的 SSID 限制在最多四個。請使用 PPSK 從單一 SSID 為多個住戶區段提供服務，而不是為每個公寓建立獨立的 SSID。 第二個陷阱是中繼埠（trunk port）設定不足。您設計了乾淨的 VLAN 架構，部署了無線基地台，但接著流量卻在無聲無息中中斷，因為有人忘記在中繼鏈路上允許相關的 VLAN。在調試期間請驗證每個中繼埠。在住戶遷入前，請使用每個 VLAN 上的裝置進行測試。 第三個陷阱是金鑰發送。產生金鑰很簡單，安全地將金鑰送達住戶手中卻比較困難。在迎新禮包中提供 QR code 非常適合遷入當天使用。對於持續的營運，住戶入口網站則是更好的選擇。請在部署之前建立好金鑰發送工作流程，而不是在部署之後。 接下來是快速問答。單一無線基地台可以處理多少個 PPSK 金鑰？Cisco Meraki 每個網路支援多達 5,000 個 iPSK 項目。Aruba 支援類似的規模。Ubiquiti UniFi 每個網路支援多達 1,000 個 PPSK 項目。對於擁有 200 個單位的建築，在任何平台上都綽綽有餘。 PPSK 是否支援 WPA3？是的，在大多數企業級平台上皆支援。WPA3-SAE 可針對離線字典攻擊提供更強大的保護。唯一的例外是 UniFi，其 PPSK 目前僅支援 WPA2。 我是否可以將 PPSK 與我的物業管理系統整合？是的，可透過廠商的 API 進行整合。Purple 的 Multi-Tenant WiFi 平台可作為雲端重疊網路，架構在您現有的硬體之上，並透過單一儀表板處理金鑰佈署、VLAN 分配和住戶上網引導 - 同時還能整合至物業管理平台，實現自動化的遷入與遷出工作流程。 總結來說，對於多住戶住宅環境、學生宿舍以及需要考慮裝置相容性（而非憑證型身分識別）的 IoT 密集部署而言，PPSK 是正確的驗證模式。它能提供每戶獨立的網路隔離，支援每種裝置類型，且無需 RADIUS 基礎架構即可擴展至數千個金鑰。混合模式 - 針對住戶使用 PPSK，針對員工使用 802.1X - 讓您在單一實體網路上兼顧兩者的優勢。 從第一天起就必須做對的三件事是：您的 VLAN 設計、您的金鑰發送工作流程，以及您的中繼埠設定。做對這三件事，其餘的就水到渠成了。 如需深入瞭解 Purple 的多租戶 WiFi 平台，以及該平台如何進行大規模的 PPSK 佈署，請造訪 purple dot ai。感謝您的收聽。