您可能在您自己的大楼里也见过同样的场景。
访客到达后打开笔记本电脑,加入错误的 SSID,被推送到 Captive Portal 页面,重复输入两次电子邮件地址,最后选择放弃并切换到移动数据。员工向前台询问 WiFi 密码。承包商拿到了一个与其他三人共享的密码。技术上每个人都“连接”了,但没人会觉得这很顺畅。
这就是为什么随处可用的 WiFi(WiFi from anywhere)在场所层面的含义与在消费者指南中完全不同。它不是指在包里随身携带一个热点。它是指构建一种感觉像移动服务一样自动的网络体验,同时让您对安全性、身份识别和运营拥有更多控制权。
“随处可用的 WiFi”到底是什么?
对“随处可用的 WiFi”的最初想法通常会转向手机热点、旅行路由器或咖啡馆的登录页面。那是消费者版本。它在短时间内为单个设备或小群体解决了一个个人问题。
场所所有者面临着不同的问题。您需要成百上千的人快速、安全地连接,且不会给您的前台、IT 团队或支持人员带来额外的工作。
在实践中,现代意义上的随处可用的 WiFi 很简单。一个人走进您的酒店、体育场、办公室、诊所或住宅大楼,他们的设备就会自动加入正确的网络。无需寻找密码。没有 Captive Portal 循环。每次返回时无需重复登录。
这种期望并非凭空出现。在英国,根据 此处引用的互联网接入调查 ,2024 年大不列颠有 96% 的成年人每天或几乎每天使用互联网。当几乎每个人每天都处于在线状态时,可靠的连接就不再是一项不错的额外配置,而是开始感觉像是基础建筑设施。
从接入到连续性的转变
以前的问题是,“人们可以在这里上网吗?”
现在更好的问题是,“当他们在空间中移动时,他们能否安全且无中断地保持连接?”
这是一个重大的区别。传统的访客网络专注于准入。现代的漫游 WiFi 体验则专注于连续性。其目标是让 WiFi 表现得更像是一项值得信赖的服务,而不是临时的礼遇服务。
实用规则: 如果用户必须索要密码、从多个 SSID 中进行选择,并且在每次访问时重新登录,那么您就没有实现随处可用的 WiFi。您拥有的只是某个时间点上的 WiFi。
为什么场所所有者会弄错这一点
许多场所仍然将 WiFi 视为幕后的公用事业。他们安装接入点,在墙上贴上密码,然后就认为工作完成了。
但用户衡量的是整体体验,而不是硬件数量。他们会记住在网络大堂、客房、酒吧、会议区域,以及在下一次光临时网络是否顺畅。他们会注意到自己的手机是瞬间连接,还是需要再次被催促输入凭据。
如果您想了解 wireless connection 背后基础原理的通俗易懂的概述,可以从那里开始。对运营商而言,重要的一点是,现在可靠的连接不仅取决于无线覆盖,还取决于身份和认证设计。
一个更好的思维模型
将传统的公共WiFi想象成一个带有一把共享钥匙的密码箱。任何拥有钥匙的人都可以进入,而你却不知道是谁最后使用了它。
将现代漫游WiFi想象成与特定住客和员工角色相关联的酒店房卡。准入迅速,但仍然受到控制。系统知道谁属于哪里、访问何时开始以及何时应该停止。
这就是 Passpoint 、 OpenRoaming 和基于身份的网络准入背后的模型。它们将WiFi从“请重新登录”转变为“您已被识别、已获得授权并已连接”。
无缝WiFi连接的三大支柱
可靠的WiFi并非源于单一功能,而是源于三个协同工作的系统。缺少任何一个,体验就会分崩离析。
自动且安全的切换
第一大支柱是无需先让用户暴露于开放网络即可自动连接。Passpoint实现了这一点。
Passpoint最容易被理解为WiFi的数字钥匙卡。一旦设备拥有有效的配置文件,它就可以识别参与的网络并自动进行认证。用户无需扫描SSID或输入共享密码。
在运营繁忙的场所之前,这听起来可能微不足道。每一个额外的点击都会增加摩擦。每一个手动步骤都会创造故障点。
使用传统的Captive Portal:
- 用户在开始时犹豫:他们必须发现网络并判定其是否值得信赖。
- 设备表现不一致:手机、平板电脑、笔记本电脑、智能电视和扫描仪处理门户网站的方式各不相同。
- 支持请求堆积如山:前台和IT团队最终要解决本不应该存在的登录问题。
使用Passpoint,网络会广播其支持已识别、安全的准入方式。兼容的设备可以在后台加入正确的服务,就像它们在移动网络上所做的那样。
全球漫游联盟
第二大支柱是组织之间的漫游信任。在这里,OpenRoaming 发挥着至关重要的作用。
如果说 Passpoint 是门禁卡,那么 OpenRoaming 就是场所之间的协议,它允许相同的受信任凭证在多个地点使用。最贴切的商业类比是银行卡。一张卡可以在许多商家处使用,因为信任框架已经存在。
这对于连锁店、校园、交通场所、医疗集团和综合体物业组合来说非常重要。人们不会从建筑物和后台系统的角度去思考。他们考虑的是连续性。他们希望昨天使用的连接今天能继续使用。
关于人们如何 连接到 WiFi 的实用解释,有助于说明为什么漫游如此重要。用户不想在每次进入新站点时都做出全新的信任决策。漫游联盟消除了这一重复步骤。
OpenRoaming 将许多独立的访客网络转变为行为更像一个受信任生态系统的网络。
统一身份管理
第三个支柱最不明显,但也最重要。那就是身份。
现代场所网络需要快速回答三个问题:
| 问题 | 为什么重要 |
|---|---|
| 这位用户是谁? | 没有身份,就无法应用有意义的策略。 |
| 他们应该访问什么? | 访客、员工、承包商、居民和设备需要不同的权限。 |
| 访问权限应该持续多久? | 良好的安全性包括自动过期和吊销。 |
云端身份验证、RADIUS 服务以及 Microsoft Entra ID、Google Workspace 或 Okta 等身份提供商在此汇聚。网络不再将每个人视为 “访客 VLAN 上的一个设备”,而是将访问视作已验证身份与策略之间的关系。
为什么这些支柱相辅相成
如果登录方式繁琐,场所即使拥有极佳的覆盖范围,也仍然会提供糟糕的体验。
如果每个站点的行为都不同,即使拥有强大的身份验证,场所也仍然会让用户感到沮丧。
如果访问没有与已知身份绑定,即使支持漫游,场所也仍然会带来风险。
现在的标准是三者缺一不可:
- 自动准入
- 受信任的漫游
- 基于身份的策略
正是这种结合,让 WiFi 对用户而言感觉如同无形,对运营者而言易于管理。
为什么无缝 WiFi 对您的场所至关重要
许多业主仍然认为更好的 WiFi 主要是一项 IT 升级。其实不然。它改变了人们体验场所的方式、员工的工作方式以及团队每天承受的操作拖累。
在英国,政府支持的 Wi-Fi UK 计划于 2014 年启动,旨在帮助公共部门机构在公共建筑中部署免费 WiFi,正如这份 互联网关键里程碑摘要 中所指出的那样。这很重要,因为它有助于使公众的期望常态化。人们习惯于走进共享空间并发现网络连接已经存在。
无论是否有所规划,私人场所现在都在与这种期望进行竞争。
适用于酒店和活动场所
当 WiFi 正常工作时,宾客很少会予以赞扬。只有在阻碍他们使用时,他们才会注意到它。
集成模式消出了客户旅程中的首要摩擦点之一。在酒店中,这可能意味着宾客在酒店大堂连接网络,并在办理入住、进入客房、用餐和参加会议时保持连接状态。在体育场或竞技场中,这意味着可以减少花在与门户网站抗争上的时间,并有更多时间使用场所的数字化服务。
致力于提高出席率、忠诚度和现场体验的团队通常会使用更广泛的指导,例如这本 旨在提高球迷参与度的现代场所剧本 ,因为网络连接是一切的基础。如果接入方式笨拙,其余的数字化旅程也会受到影响。
适用于企业和运营团队
共享密码会带来混乱。它们传播到了目标群体之外,难以干净地撤销,并且模糊了员工、宾客和第三方之间的界限。
基于身份的访问控制以一种实用的方式解决了这个问题:
- 员工入职变得更简单:访问权限跟随个人的工作身份。
- 离职流程变得更干净:当目录访问权限发生变化时,网络访问权限也可以随之改变。
- 策略变得更精确:财务人员、接待团队、临床医生、承包商和宾客设备不需要相同的网络权限。
适用于住宅和混合用途物业
居民不想要 “酒店 WiFi”。他们想要感觉像家一样的互联网接入。这意味着简单的加入方式、单位之间的隐私保护,以及对手机、笔记本电脑、游戏机和智能家居设备混合组合的支持。
在新建租赁房、学生公寓和多租户物业中,网络成为了产品的一部分。如果连接感觉是临时的或暴露的,建筑的品质感就会降低。
无缝 WiFi 的商业价值不仅仅是减少投诉。它是更清洁的客户旅程、更少的操作摩擦以及对谁在使用您的网络的更强控制力。
商业现实
场馆所有者已经在室内装潢、标识、服务设计和数字化触点上进行了投入,因为这些决定了人们对品牌的看法。而网络连接现在也属于这一范畴。
用户不会将“品牌体验”与“网络体验”割裂开来。如果连接 WiFi 的过程很繁琐,他们会直接降低对该场馆的评价。
现代漫游网络架构
理解现代漫游 WiFi 最快的方法,就是追踪一台设备进入大楼时的全过程。
用户携带已装有信任配置文件的手机或笔记本电脑走进场馆。接入点广播其支持安全漫游框架。设备识别到该信号,检查该网络是否匹配其信任的身份之一,并自动开始身份验证。
由于这一决定在用户看到登录页面之前就已经做出,因此不会弹出任何门户页面。
边缘设备的作用
在场馆边缘,部署了来自 Meraki, Aruba, Ruckus, Mist 或 UniFi 等厂商的企业级接入点。它们的工作不仅是提供无线信号覆盖。在这种模式下,它们还会宣告对 Passpoint 等身份驱动型接入方式的支持。
这种宣告至关重要。它告诉兼容的设备:“你可以信任我来发起安全的身份验证交换,而不是仅仅连接到一个开放的 SSID 然后寄希望于一切顺利。”
随后,接入点将身份验证过程移交给可以评估凭证的后台服务。
中间环节发生了什么
大多数运营商现在不再需要庞大的本地身份验证技术栈。他们需要一个可靠的控制平面,以便能够评估身份、应用策略并在各个站点之间进行扩展。
简单来说,流程如下:
- 设备检测到参与的网络
- 设备出示凭证或配置文件
- 身份验证服务验证该身份
- 根据用户身份应用策略
- 会话以正确的访问级别启动
该凭证可能来自运营商合作关系、企业身份提供商、居民入网流程,或者之前建立的访客配置文件。
为什么云身份改变了设计
传统的访客 WiFi 通常会迫使运营商陷入尴尬的选择。要么通过共享密码保持简单但不够安全,要么构建一个更复杂的企业身份验证方案,但对于访客和多站点使用来说显得过于沉重。
基于云的身份服务改变了这种平衡。它们让场所能够集中进行认证、策略制定和报告,而无需将所有逻辑都放在每个建筑物内部。
其中一个例子是 Purple,它为访客、员工和多租户环境提供基于云的 WiFi 认证和身份工作流,包括对 OpenRoaming 的支持以及与目录服务的集成。在实际应用中,这意味着运营商可以使用现有的企业 WiFi 硬件,同时将用户信任决策移动到中央身份层中。
现代漫游网络不是“AP 加上互联网”。它是将 AP、身份、策略和分析作为一个系统协同工作。
为什么射频设计仍然至关重要
身份验证无法解决糟糕的射频设计问题。如果无线层很脆弱,用户体验依然会很差。
这就是为什么合理的工程选择比营销标签更重要。Wi-Fi 6/6E 的性能严重依赖于信道宽度。根据这份关于 Wi-Fi 6 信道宽度行为的技术分析 ,80 MHz 信道上的典型 2x2 客户端可实现约 900 Mbps 的实际吞吐量,而 160 MHz 可以使峰值容量翻倍,但在拥挤的英国环境中通常不太实用。
对于场所所有者来说,经验很简单。不要只买一个标准的名称就以为大功告成。容量规划、信道复用、建筑布局、干扰和客户端组合仍然决定了“无缝”体验是否顺畅。
OpenRoaming 世界中的安全与合规
如果您的参考标准是开放式公共 WiFi,“漫游”听起来可能会有风险。
这种担忧是合理的。许多公共网络仍然依赖于一个薄弱的模式:先加入一个开放的 SSID,然后在浏览器中完成登录。在此过程中,用户很难验证该网络是否真实,而运营商对连接者的信任度也很有限。
更有价值的问题不是人们是否能在办公室外连接 WiFi。而是他们能否以符合企业安全和治理要求的方式进行连接。这就是为什么关于 保持 WiFi 连接的指南 重要的不是旅行提示本身,而是背后的警告:开放的公共网络和共享的凭据会增加数据被截获的风险。
为什么基于身份的漫游有所不同
传统的访客 WiFi 通常在用户通过门户后就将网络视为受信任网络。而基于身份的漫游颠覆了这一逻辑。
之所以授予访问权限,是因为用户或设备出示了有效的身份,并且系统可以根据策略对其进行评估。网络不会先信任再事后询问。
这正符合零信任思维:
- 每个会话都经过单独评估
- 访问权限可因用户类型而异
- 吊销比更改共享密码更干净利落
- 日志与身份挂钩,而不仅仅是设备
开放并不意味着匿名
许多人听到“开放漫游”就以为是“开放访问”。这两者并不是一回事。
开放漫游意味着在参与的网络中,体验可以更加广泛和无缝。这并不意味着每个连接都是匿名或不受管理的。在设计良好的部署中,信任关系更强,因为系统知道如何在开始完全访问之前验证凭证。
一个简单的对比有助于理解:
| 模式 | 典型弱点 | 基于身份的替代方案 |
|---|---|---|
| 共享密码 WiFi | 密码重复使用且问责制差 | 每用户或每设备凭证 |
| 带有门户的开放 SSID | 信任决策滞后 | 认证开始得更早、更干净 |
| 通用访客网络 | 策略控制有限 | 针对访客、员工和承包商的不同规则 |
合规是运营,而不仅是法律
对于英国组织而言,合规性讨论通常会被推给法律或采购部门。在实践中,网络团队每天都在通过访问控制、日志记录、细分和保留选择来塑造合规性。
如果您正在审查您的控制措施,一份扎实的 network security best practices 清单会非常有用,因为它将策略想法与运营习惯联系在一起。漫游 WiFi 的关键点很简单。与公告栏上的密码相比,对具名用户或受管设备进行身份验证的网络能为您提供更清晰的审计轨迹。
只有当便利性和控制力融入同一个设计,而不是被视为竞争目标时,安全漫游才能发挥作用。
部署最佳实践与真实案例
在开展“随时随地使用 WiFi”项目时,最容易犯的错误就是从欢迎页面、SSID 名称或硬件品牌开始。相反,应该从身份开始。
询问谁需要访问权限、他们应该如何进行身份验证、他们应该访问哪些系统,以及访问应该如何结束。一旦这些答案明确,设计的其余部分就会变得更简单。
切实可行的部署步骤
合理的部署通常遵循以下顺序:
- 首先定义访问组:访客、员工、居民、承包商、IoT设备和临时用户不应全部套用相同的策略。
- 检查硬件兼容性:如果现有企业级接入点支持所需的漫游和认证功能,许多场所可以直接使用现有设备。
- 选择身份源:访客入网、目录服务、证书和设备凭据分别适用于不同的用户群组。
- 为二次到访进行设计:最佳的用户体验通常体现在第二和第三次到访时,此时设备会自动重新连接。
- 谨慎接入分析系统:如果 WiFi 数据需要支持 CRM 或业务系统,请尽早决定收集哪些数据以及收集的原因。
按场所类型划分的典型模式
酒店集团可能会使用漫游 WiFi,这样注册过一次的访客在旗下的其他合作酒店中即可自动重新连接。这带来的商业效益不仅仅是便利,更是登记入住、会员忠诚度和客房服务等各触点上的一致体验。
企业总部可能会将员工 WiFi 访问与 Microsoft Entra ID 进行绑定,以便员工使用现有的工作身份,而不是静态的办公室密码。这让 IT 团队在员工入网时更加便捷,并在员工角色发生变更时能够更快速地撤销权限。
长租公寓(build-to-rent)可能会对无法良好支持更丰富身份认证方法的设备使用 iPSK。居民可以使用私人凭据享受类似于家庭网络的设置,同时运营商也能保持各单元之间的网络隔离。
运营商经常忽略的回传问题
许多场所团队认为移动网络覆盖可以弥补室内 WiFi 的不足。其实不然。
根据 Ofcom's Connected Nations 2024 的报告,来自至少一家运营商的 5G 室内覆盖率已达到英国标准家庭的 85%,这使得蜂窝回传在许多情况下成为一种可行的选择,但室内体验仍然取决于信号穿透力和当地环境,正如这份 Connected Nations 2024 参考资料中所概述的那样。这意味着 5G 可以成为一个有用的 WAN 选项或弹性备份层,但它并不能免除对设计良好的室内 WiFi 的需求。
项目启动首日的理想状态
如果出现以下情况,说明您的部署已步入正轨:
- 员工不再共享密码
- 访客登录的阻碍显著减少
- 支持团队处理的“无法连接”问题变少
- 策略变为基于角色(role-based),而非针对整个网络(network-wide)
- 用户在场内移动时无需手动重新连接
我们的目的不是为了让 WiFi 华而不实,而是为了让它像电梯、照明和门禁系统一样,悄无声息地融入背景之中。
如果您正在重新审视访客、员工或多租户的连接体验, Purple 作为一个一站式平台,非常适合评估基于身份的 WiFi、OpenRoaming 支持以及跨场所环境的云端托管身份验证。
