Skip to main content
简体中文

LAN vs WAN:理解WiFi部署中的差异

为IT领导者和场馆运营商提供的技术参考,关于企业WiFi部署中LAN和WAN的关键区别。本指南提供了可操作的架构见解、实施最佳实践,并阐明了理解这一区别如何推动访客WiFi的投资回报率和运营智能。

📖 6 min read📝 1,349 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
(Intro Music - Professional, upbeat, tech-focused tune, fades down after 5 seconds) **Host (Confident, authoritative, UK English voice):** 您好,欢迎收听Purple技术简报。我是您的主持人,在今天的节目中,我们将探讨一个基础概念,它对任何大规模WiFi部署都有重大影响:LAN与WAN之间的区别。对于IT经理和网络架构师来说,正确把握这一点是构建安全、高性能和具有成本效益的网络的关键。如果出错呢?那么,这将导致瓶颈、安全漏洞和糟糕的用户体验。在接下来的十分钟里,我们将简化理论,为您提供所需的实用指导。 **(Transition Music - Brief, subtle sound effect)** **Host:** 那么,让我们从基础开始。局域网,即LAN。将其视为您的私人王国。它是您四墙之内的网络——一个酒店、一家零售店、一个会议中心。它的特点是速度非常快,达到每秒数千兆比特,延迟极低。这个网络连接您的现场设备:WiFi接入点、销售点终端、员工电脑。因为您拥有它,您拥有完全的控制权。您可以使用WPA3和802.1X等标准实施强大的安全性,并可以使用VLAN将其划分为独立的安全区域。这绝对至关重要。您的客人WiFi流量永远不应该与您的企业或支付系统流量混合。这种隔离在LAN上实现。 现在,让我们将视野扩大到广域网,即WAN。如果说LAN是您的建筑,那么WAN就是连接您各个建筑以及通过互联网连接世界其他地方的高速公路。这是您通常从BT、Virgin Media或专业运营商等服务提供商处购买的作为服务的网络。它覆盖广阔的地理区域,与LAN相比,带宽更低,延迟高得多。它也更为昂贵。对于任何多站点企业,无论是零售连锁店还是酒店集团,挑战在于有效管理这种WAN连接。这就是SD-WAN等技术变得如此强大的原因。SD-WAN允许您智能地管理多条WAN链路,将关键的支付数据路由到高度可靠的光纤连接上,同时将不太重要的客人流量通过标准宽带链路发送,确保性能和弹性。 所以,关键区别在于:LAN是本地的、快速的、属于您的。WAN是全球的、较慢的、租用的。您的WiFi接入点位于LAN上。它们连接到您的本地交换机。但它们为客人提供的互联网连接完全依赖于您的WAN链路。如果通往互联网的管道饱和,再好的WiFi信号也无济于事。 **(Transition Music - Brief, subtle sound effect)** **Host:** 现在谈谈实施。设计网络时,始终从用户体验出发,逆向工作。您预计有多少用户?他们将做什么?对于高密度体育场,您需要的LAN设计与小咖啡馆截然不同。第一步是进行无线站点调查以确定AP的位置。不要猜测。进行建模。其次,您的VLAN策略。作为一个基准,您需要为客人、企业以及任何敏感系统(如支付或楼宇管理)设置单独的VLAN。这对于安全性和符合PCI DSS等标准是不可商量的。第三,您的WAN连接。不要只购买最便宜的链路。计算您预期的带宽需求,包括客人流量,并实施服务质量(QoS)。QoS是您的交通警察。它确保客人在YouTube上的突然流媒体激增不会使您的销售点系统陷入停顿。优先处理您的关键业务应用。一个常见的陷阱是WAN供应不足,或未能应用QoS。另一个陷阱是使用没有VLAN的平面网络。这些都是新手错误,可能使场馆陷入瘫痪。 **(Transition Music - Brief, subtle sound effect)** **Host:** 让我们进入快速问答环节。我经常被问到这些问题。 *问题一:Purple在其中扮演什么角色?* Purple是一个位于顶层的智能层。我们与您LAN的WiFi基础设施集成。captive portal和分析数据托管在我们的云中,您的网络通过其WAN连接进行访问。我们利用您的基础设施提供商业价值。 *问题二:我应该为所有客人使用单个大型VLAN吗?* 不,这是个坏主意。这会创建一个巨大的广播域和安全风险。最佳做法是在您的AP上启用客户端隔离。这可以阻止客户设备相互看到或攻击。 *问题三:SD-WAN只是炒作吗?* 绝对不是。对于任何多站点企业,它都是一个改变游戏规则的技术。它提供比传统WAN设置更好的性能、更高的可靠性,并且通常成本更低。这是一项战略投资。 **(Transition Music - Brief, subtle sound effect)** **Host:** 总结一下,您的LAN是您的基础。将其构建为健壮、安全和分段的。您的WAN是您与世界的连接。将其构建为具有弹性和应用感知的。理解它们之间的边界,并使用QoS和智能路由管理流量。通过正确构建此架构,您提供的不仅仅是WiFi;您正在构建一个用于商业智能、客户参与和运营卓越的平台。这才是真正的投资回报。 **(Outro Music - Fades in and plays to end)** **Host:** 感谢您收听本期Purple技术简报。要了解更多信息,请访问purple.ai。下次再见。

header_image.png

执行摘要

对于IT高管和网络架构师来说,局域网(LAN)和广域网(WAN)之间的区别是基础性的,但在大规模WiFi部署中的实际应用往往是导致显著复杂性和预算超支的根源。LAN在有限物理区域内提供高速、低延迟的连接——例如单个酒店、零售店或会议楼层。相比之下,WAN在大地理范围内连接多个LAN,使零售连锁店能够连接其门店或酒店集团将旗下物业连接到中央数据中心。误解这一边界会导致糟糕的网络设计,造成性能瓶颈、安全漏洞以及不佳的用户体验。本指南作为实用参考,揭示核心概念,并提供设计、部署和管理企业级WiFi网络的战略框架。我们将探讨架构决策、WPA3和PCI DSS等标准下的安全考虑,以及良好架构网络的业务影响,并说明像Purple这样的WiFi智能平台如何通过推动收入和了解客户行为来增加关键价值。

技术深度解析

理解LAN/WAN边界对于有效的WiFi网络设计至关重要。LAN是您的内部控制域,包含所有现场硬件,而WAN是连接您各个站点的外部结构,通常由互联网服务提供商(ISP)或电信运营商管理。

局域网(LAN):现场动力源

LAN是局限于单一地理位置的私有网络,如办公楼、体育场或酒店。其主要目的是促进该范围内互连设备之间的高速数据交换。在现代WiFi部署中,LAN不仅仅是关于电缆;它是由协同工作的组件构成的复杂生态系统。

  • 组件:关键硬件包括广播WiFi信号的无线接入点(AP)(例如,符合IEEE 802.11ax/Wi-Fi 6标准)、汇聚AP和其他有线设备流量的网络交换机,以及管理流量并将数据定向到目的地的中央路由器或三层交换机,包括发送到WAN网关。
  • 性能:LAN的特点是非常高的带宽(通常在以太网上为1 Gbps至10 Gbps或更高)和极低的延迟(通常低于毫秒)。这对于支持高密度环境(如会议中心)或需要实时数据的应用(如零售中的销售点(POS)系统)至关重要。
  • 控制与安全:由于LAN是私有的,IT团队对其架构和安全态势拥有完全控制权。这允许使用IEEE 802.1X实施细粒度访问控制,使用VLAN进行网络分段以将访客流量与公司流量隔离,以及使用WPA3等强大的加密协议保护传输中的数据。

lan_wan_architecture_diagram.png

广域网(WAN):连接企业

WAN将多个LAN连接起来,跨越广阔的地理区域,从几英里到全球范围。互联网本身是最大的WAN,但对于企业来说,WAN通常指用于连接分布站点的私有或公共链路。

  • 连接性:WAN链路从第三方服务提供商处采购,可能包括各种技术,如光纤线路、MPLS(多协议标签交换),或越来越多地采用SD-WAN(软件定义广域网)。SD-WAN提供了一种更灵活、更具成本效益以及应用感知的WAN连接管理方法,允许IT团队根据应用优先级,动态地将流量路由到多种链路类型(例如,MPLS、宽带、4G/5G)上。
  • 性能:WAN性能受限于服务提供商链路的成本和可用性。与LAN相比,带宽显著更低且更昂贵,由于物理距离原因,延迟也高得多。一条跨国链路可能有50-100毫秒的延迟,与LAN上低于1毫秒的延迟形成鲜明对比。
  • 安全与管理:保护WAN涉及网络边缘的防火墙、VPN(虚拟专用网络)和入侵检测系统。管理WAN很复杂,因为需要与多个运营商协调,并确保在所有站点实施一致的策略。这也是SD-WAN通过集中控制和简化的策略编排提供显著优势的另一个领域。

Purple在堆栈中的位置

Purple是一个叠加平台,运行在您现有的LAN和WAN基础设施之上。它与您LAN上的WiFi AP集成,通过captive portal管理访客用户体验。当访客连接时,其身份验证和随后的网络流量由Purple的云平台管理,该平台通过您站点的WAN连接进行访问。然后,Purple捕获匿名的位置和存在分析数据,在云中进行处理,并通过仪表板将其呈现给场馆运营商。这个智能层不会取代您的LAN或WAN基础设施,而是利用它来解锁对访客行为的强大洞察,使您能够提升忠诚度、增加收入并提高运营效率。

实施指南

  1. 定义站点需求:针对每个位置,记录物理区域、预计设备密度和应用性能需求。酒店需要覆盖客房和公共区域的无缝覆盖,而零售店需要支持POS系统、访客WiFi和员工设备。
  2. LAN设计与AP部署:进行无线站点调查,确定AP的最佳数量和位置。使用能够针对您的特定建筑布局模拟射频传播的工具。确保您的交换基础设施有足够的端口容量和以太网供电(PoE)预算来支持所有AP。
  3. 网络分段策略:实施VLAN以逻辑分离不同的流量类型。标准模型包括为以下各项设置单独的VLAN:访客WiFi、企业无线、物联网设备(例如智能恒温器、安全摄像头)和管理流量。
  4. WAN连接采购:根据站点重要性和带宽需求评估WAN选项。对于旗舰零售店,通过SD-WAN提供一个主光纤链路和4G/5G备份可实现高可用性。对于较小的卫星办公室,单个企业宽带连接可能就足够了。
  5. 边缘安全配置:在每个LAN的WAN边缘部署下一代防火墙(NGFW)。配置策略以执行访问控制、防止入侵,并在处理支付卡数据时确保符合PCI DSS等标准。
  6. 集成Purple:一旦底层网络稳定,将您的WiFi控制器或AP与Purple云平台集成。这通常涉及将captive portal或RADIUS身份验证设置指向Purple的服务端点。从连接到身份验证和互联网访问,彻底测试访客旅程。

最佳实践

  • 集中管理:使用基于云的网络管理平台,在所有站点配置和监控您的AP、交换机和防火墙。这简化了策略更新,并提供了一个故障排除的单一窗口。
  • 基于角色的访问控制(RBAC):执行最小权限原则。使用IEEE 802.1X验证用户和设备,将其分配到适当的VLAN,并根据其角色应用特定的访问策略。
  • 合规设计:在设计网络时,从一开始就建立满足法规要求的控制措施。对于GDPR,这意味着确保在captive portal上正确捕获访客同意。对于PCI DSS,需要将持卡人数据环境与所有其他网络(包括访客WiFi)严格分离。
  • 定期审计:定期审计您的网络配置、防火墙规则和访问日志,以识别潜在的安全漏洞或配置错误。自动化工具可以帮助简化这一过程。

guest_wifi_deployment.png

故障排除与风险缓解

  • 常见故障模式WAN链路饱和。一个常见问题是访客WiFi流量饱和了主WAN链路,影响关键业务应用。缓解措施:在您的边缘路由器/防火墙上实施服务质量(QoS)策略,优先处理关键业务流量(例如POS、语音),而非访客流量。对访客用户进行速率限制,设定合理的带宽上限。
  • 常见故障模式IP地址耗尽。在繁忙的场馆中,访客VLAN的DHCP作用域可能会耗尽可用IP地址,阻止新用户连接。缓解措施:为您的访客VLAN使用/22或/21子网,提供数千个可用地址。监控DHCP作用域利用率,当超过80%时设置警报。
  • 风险不安全的访客网络。配置不当的访客网络可能成为攻击者访问公司LAN的支点。缓解措施:确保

Key Definitions

局域网 (LAN)

一种覆盖小物理区域的私有计算机网络,例如家庭、办公室或园区内的单个建筑物。

这是您的现场网络。IT团队对LAN拥有完全控制权,使其成为高速、安全、内部通信和WiFi接入的领域。

广域网 (WAN)

一种覆盖大地理距离的计算机网络,将多个LAN连接在一起。

这是您不同站点(例如多家门店或酒店)相互连接并接入互联网的方式。性能和成本是关键考量,因为它依赖于第三方运营商。

接入点 (AP)

一种允许其他Wi-Fi设备连接到有线网络的硬件设备。AP充当无线射频信号的中心发射器和接收器。

这些是创建您WiFi网络的设备。AP的正确部署和配置对于确保良好覆盖和性能至关重要。

路由器

一种在计算机网络之间转发数据包的网络设备。路由器在互联网上执行流量引导功能。

路由器是您LAN的网关。它将您的内部网络连接到外部WAN(互联网),并决定将流量发送到何处。

交换机

一种在计算机网络上通过分组交换接收、处理和转发数据到目标设备,将设备连接在一起的网络设备。

交换机是您有线LAN的骨干,高速将您的AP、服务器和其他有线设备连接在一起。

VLAN (虚拟局域网)

虚拟局域网是在计算机网络的数据链路层(OSI第二层)进行分区和隔离的任何广播域。

VLAN是一种关键的安全工具。它们允许您在同一物理硬件上创建分离的、隔离的网络,例如,将访客流量与公司流量完全分开。

SD-WAN (软件定义广域网)

软件定义广域网是一种虚拟WAN架构,允许企业利用任意组合的传输服务(包括MPLS、LTE和宽带互联网服务)将用户安全地连接到应用程序。

对于拥有多个站点的企业,SD-WAN提供了一种比传统方法更智能、更具成本效益和更具弹性的WAN连接管理方式。

Captive Portal

公共访问网络的用户在获得访问权限之前必须查看并与之交互的网页。

这是客人在连接您的WiFi时看到的登录页面。Purple使用captive portal来管理身份验证、显示条款和条件以及提供营销选择加入。

Worked Examples

一家拥有200间客房的豪华酒店希望升级其WiFi,为客人提供无缝、高性能的体验,同时将此流量与其内部物业管理系统(PMS)安全分离。该酒店集团还希望集中管理其10家物业的客人数据分析。

解决方案涉及双管齐下的方法。在LAN上,每家酒店将部署高密度Wi-Fi 6(802.11ax)网络,在每个房间和公共区域安装AP。核心交换机汇聚流量,并使用VLAN创建逻辑分离的网络:VLAN 10用于客人,VLAN 20用于员工,VLAN 30用于物联网(智能锁、迷你吧),VLAN 40用于PMS。现场防火墙检查所有流量。对于WAN,每家酒店通过一个主1Gbps光纤链路和一个辅助5G无线链路连接到互联网,由SD-WAN设备管理。SD-WAN配置为通过安全、低延迟的光纤链路由Purple访客分析数据和PMS数据,而一般访客互联网流量可以在本地站点回传或直接路由到互联网。Purple与现场WiFi控制器集成,使用RADIUS根据其云平台验证客人身份,使酒店集团能够在单个仪表板中查看所有10家物业的分析数据。

Examiner's Commentary: 这种混合方法正确地平衡了现场性能与集中管理。使用SD-WAN是确保弹性和智能流量引导的关键,防止大量访客流量影响关键酒店运营。VLAN策略提供了强大的安全分段,这对于PMS的PCI DSS合规至关重要。通过Purple集中分析提供了酒店集团所需的商业智能,而不会影响单个物业的性能。

一家在英国拥有50家门店的零售连锁店需要部署客户WiFi以推动其忠诚度应用程序的采用。各门店的现场IT人员有限,公司需要确保在所有位置部署一致、安全的网络。

基于模板的零接触配置模型是最佳解决方案。对于LAN,每家门店获得一套标准化的硬件:5-10个AP和一个集成了路由、交换和防火墙功能的单一安全网关设备。配置通过云管理平台进行标准化。对于WAN,每个站点通过SD-WAN叠加管理的双宽带解决方案,提供经济高效且有弹性的连接。关键是集中配置:在云控制器中创建一个单一的网络模板。此模板定义了SSID、VLAN(访客、企业、POS)、防火墙规则和QoS策略。当新门店上线时,当地员工只需插入网关,然后网关会自动从云端下载其全部配置。Purple在模板级别集成,因此每家门店都会自动使用相同的品牌captive portal,该门户显眼地提供下载忠诚度应用程序的链接。

Examiner's Commentary: 此解决方案优先考虑可扩展性和一致性,这对50个站点的部署至关重要。零接触配置显著降低了部署成本以及对每个站点熟练技术人员的需求。使用云管理网络架构可确保安全策略得到统一执行,从而降低配置错误的风险。在模板级别集成Purple可确保一致的品牌体验,并确保核心业务目标——忠诚度应用程序采用——在每个地点都得到实现。

Practice Questions

Q1. 您正在为一个新的五层会议中心设计网络。该场地将同时举办多个活动,每层最多有1,000个并发用户。您将如何为访客网络构建VLAN和IP寻址策略?

Hint: 考虑设备数量、广播流量以及不同事件之间隔离的需求。

View model answer

为所有访客使用单个大型VLAN效率低下,并会产生巨大的广播域。更好的方法是为每层使用单独的VLAN(例如,1层VLAN 101,2层VLAN 102)。每个VLAN分配一个/21子网(例如10.101.0.0/21),提供2,046个可用IP地址,对于1,000个用户来说绰绰有余。为了在同一楼层的不同事件之间提供隔离,您可以使用私有VLAN或仅依赖AP客户端隔离。所有访客VLAN将通过共同的防火墙策略路由,该策略严格限制他们只能访问互联网。

Q2. 一家零售连锁店在高峰时段其门店的销售点(POS)交易时间变慢。每个站点只有一条100 Mbps的宽带连接,由POS终端、员工设备和免费访客WiFi共享。最可能的原因是什么?您应该立即采取哪些措施?

Hint: 考虑WAN链路上的流量争用。

View model answer

最可能的原因是WAN链路饱和,大量访客WiFi流量消耗了所有可用带宽,导致对延迟敏感的POS交易没有足够的带宽。应立即采取的步骤是:1) 在边缘路由器上实施服务质量(QoS)策略,为POS系统流量保证一定比例的带宽并给予最高优先级。2) 对访客WiFi用户应用带宽限制(例如每用户5 Mbps),以防止他们独占连接。长期解决方案是添加第二条WAN链路并使用SD-WAN,将POS流量路由到更可靠的链路上。

Q3. 您的公司正在100个体育场馆部署访客WiFi解决方案。首席信息安全官(CISO)担心每场活动允许50,000多个未知设备进入网络所带来的安全风险。必须在无线基础设施上启用哪项关键安全控制,以减轻此风险的很大一部分?

Hint: 如何防止已连接的访客相互攻击或攻击同一网络上的其他设备?

View model answer

在这种高密度、面向公众的场景中,最关键的安全控制是客户端隔离(也称为AP隔离或端口隔离)。在访客SSID上启用时,此功能可防止无线客户端在第二层直接相互通信。每个设备只能与网关(路由器)通信,而不能与同一WiFi网络上的任何其他设备通信。这有效地消除了受感染的访客设备尝试扫描、攻击或感染其他用户设备的风险,从而大大减少了访客网络的内部攻击面。