为 MDU 设计多租户 WiFi 架构

为 MDU 设计多租户 WiFi 架构 — Purple 技术简报。 欢迎来到 Purple 技术简报系列。今天，我们将深入探讨支撑企业环境中一些最复杂的 WiFi 部署的架构——适用于多住宅和多用途建筑的多租户 WiFi。 无论您是负责一家拥有 300 间客房的酒店，其中客人、员工和楼宇管理系统共享相同的物理基础设施，还是一个混合用途的零售和办公综合体，或是一个拥有数百名独立租户的学生宿舍楼，挑战从根本上来说是相同的：您如何在单个共享物理网络上为多个独立方提供可靠、安全、隔离的连接？ 这不是理论演练。您在架构阶段做出的决策将直接决定您的安全态势、您在 GDPR 和 PCI DSS 下的合规风险，坦率地说，还决定了您的支持台是否会在上线六个月后收到大量投诉。 那么，让我们开始吧。 任何多租户 WiFi 架构的基础都是网络分段——实现该分段的主要机制是 VLAN 标记，由 IEEE 802.1Q 定义。概念很简单：您将每个租户或每个流量类别分配到一个不同的虚拟 LAN。VLAN 10 上的流量无法到达 VLAN 20 上的流量，除非您通过路由或防火墙策略明确允许它。这种逻辑隔离是您的第一道防线。 但这就是架构师经常犯的第一个错误：他们将 VLAN 分段与安全性混为一谈。VLAN 提供的是隔离，而不是安全性。您仍然需要在 VLAN 之间设置防火墙策略，仍然需要访问控制列表，并且仍然需要仔细考虑您允许哪些 VLAN 间路由。一个配置错误的 Trunk 端口可以在几秒钟内摧毁您的整个分段模型。 现在，让我们谈谈物理层。在 MDU 环境中，您通常拥有共享的物理基础设施——布线、交换矩阵和接入点——为多个租户服务。接入点本身广播多个 SSID，每个映射到不同的 VLAN。因此，租户 A 连接到他们的 SSID，其流量在 AP 处被标记为 VLAN 10，穿过共享交换矩阵的 Trunk 端口，到达分布层，在那里路由到租户 A 的隔离子网。租户 B 的流量遵循相同的物理路径，但在第 2 层完全隔离。 这就是您选择接入点平台至关重要的地方。您需要支持多个 SSID 到 VLAN 映射、能够处理可能几十个近距离单元的射频管理、并与集中式控制器或云管理平台集成的 AP。控制器至关重要——它使您能够推送策略更改、监控每个租户的吞吐量，并在不接触单个 AP 的情况下响应事件。 在身份验证方面，企业级多租户部署的当前标准是 IEEE 802.1X 与 RADIUS 身份验证。每个租户根据自己的 RADIUS 服务器进行身份验证，或根据具有每个租户策略实施的共享 RADIUS 基础设施进行身份验证。WPA3-Enterprise 现在是推荐的加密标准——它为高敏感度环境提供 192 位安全模式，并消除了与 WPA2 四次握手相关的漏洞。 对于访客 WiFi 段——在 MDU 环境中，您几乎总是至少有一个——您通常考虑的是 captive portal 模型。访客连接到开放的或 WPA2-Personal SSID，被重定向到认证或条款接受页面，然后在隔离的 VLAN 上获得仅限互联网的访问。重要的是，该访客 VLAN 不能有通往任何租户 VLAN 的路由。零。从安全和 GDPR 的角度来看，这是不可协商的。 让我们花点时间谈谈射频环境，因为这是 MDU 部署真正变得复杂的地方。当您在相邻单元中有多个租户时——想想走廊两侧都有房间的酒店，或商店共用墙壁的购物中心——您就拥有了高密度的 RF 环境。同频干扰是您的敌人。您需要在部署前进行适当的 RF 规划：进行现场勘测，绘制信号传播图、识别干扰源并指导您的信道分配策略。 在大多数监管域中，2.4 GHz 频段为您提供三个非重叠信道——信道 1、6 和 11。5 GHz 频段提供了更多信道，这就是现代部署尽可能将客户端推向 5 GHz 的原因。Wi-Fi 6 和 Wi-Fi 6E 进一步扩展到 6 GHz 频段，为您提供了一个基本不受传统设备干扰的干净频谱。对于 2025 年及以后的新 MDU 部署，指定支持 Wi-Fi 6E 的 AP 是正确的选择——额外的频谱余量在密集环境中会带来红利。 一种在大型 MDU 部署中越来越受欢迎的架构模式是使用软件定义网络覆盖——特别是 SD-WAN 或 SD-LAN 方法，其中租户策略在中心定义并推送到边缘。这将策略层与物理基础设施解耦，这意味着您可以接入新租户、修改其带宽分配或撤销其访问权限，而无需触碰单个交换机命令行。对于管理数十或数百个租户的场地运营商来说，这种运营效率是变革性的。 IoT 是您无法忽视的另一个维度。在现代 MDU 中——无论是酒店、零售综合体还是住宅楼——您都有楼宇管理系统、HVAC 控制器、智能照明、门禁控制、闭路电视以及越来越多其他连接设备。这些必须位于自己隔离的 VLAN 上，与租户流量和访客流量完全分开。IoT 设备出了名地难以修补，并且代表着重要的攻击面。对它们进行分段、监控，并应用严格的出口过滤，以便它们只能与其指定的管理平台通信。 好了，让我们实际一些。以下是我处理绿地 MDU 部署的方法。 在接触任何硬件之前，从逻辑设计开始。规划您的租户数量、流量类别——管理、企业、访客、IoT、支付——并相应地分配 VLAN。记录您的 IP 寻址方案。定义您的 VLAN 间路由策略：什么可以与什么通信，什么是绝对禁止的。 然后进行 RF 规划。委托进行适当的现场勘测。不要依赖供应商的覆盖范围图——它们充其量是乐观的。您需要在物理空间中进行实际的信号测量，考虑墙壁材料、地板结构和邻近建筑的 RF 环境。 在指定硬件时，优先考虑支持集中式云管理的平台。在没有控制器的情况下管理分布式 AP 资产的运营开销在规模上是不可持续的。寻找能够为您提供每个 SSID 的带宽策略、每个租户的报告以及与您的 RADIUS 基础设施集成的平台。 关于陷阱：我看到的最常见的故障模式是 Trunk 端口配置不足。架构师设计了一个漂亮的 VLAN 方案，然后忘记在路径上的每个 Trunk 链路上明确允许相关的 VLAN。流量无声地丢弃，租户抱怨，支持团队花几天时间追踪问题。仔细记录您的 Trunk 配置，并在调试期间进行验证。 第二个陷阱是 SSID 泛滥。您广播的每个 SSID 都会消耗信标帧的空口时间。在密集环境中，每个 AP 广播八个或十个 SSID 会降低每个人的性能。将 SSID 数量保持在必要的最低限度——通常每个无线电不超过四个。使用 RADIUS 属性进行动态 VLAN 分配，而不是用单独的 SSID 来从单个 SSID 服务多个租户。 第三个陷阱是忽视管理平面。您的管理 VLAN——您的 AP、交换机和控制器在其上进行通信的 VLAN——必须与所有租户和访客 VLAN 完全隔离。如果租户可以访问您的管理平面，您就存在严重的安全漏洞。尽可能使用带外管理，并对管理流量应用严格的 ACL。 现在让我快速浏览一下这些部署中经常出现的一些问题。 单个 AP 可以支持多少租户？实际上，大多数企业 AP 在性能下降之前每个无线电可以处理 20 到 30 个并发活跃客户端。在密集的 MDU 中，计划每 15 到 20 个活跃设备配备一个 AP，而不是每个物理单元。 我需要为每个租户配备一个单独的 AP 吗？不——这正是基于 VLAN 的多租户的全部意义所在。多个租户共享同一个 AP，并在网络层实施流量隔离。 每个租户的适当带宽分配是多少？没有通用的答案，但常见的起点是保证 10 到 25 兆比特/秒，并能够突发到可用的上行链路容量。使用 QoS 策略来强制执行，并防止任何单个租户使共享上行链路饱和。 如何处理需要自己防火墙的租户？为他们提供专用的 VLAN 和路由移交点。他们将自己的 CPE 或防火墙连接到该移交点，其后的一切由他们负责。 总结一下：为 MDU 精心设计的多租户 WiFi 架构建立在四个支柱之上。首先，严格的 VLAN 分段，并在分段之间实施防火墙策略。其次，基于集中式控制器的管理，为您提供大规模的运营可见性和策略控制。第三，适当的 RF 规划工作，考虑到物理环境和部署密度。第四，从第一天起解决身份验证、加密、IoT 隔离和合规要求的安全模型。 做对了这些的组织会看到可衡量的成果：减少支持开销、加快租户入职、在审计中展示符合规定的态势，以及将连接作为服务盈利的能力，而不是将其视为成本中心。 如果您正在规划 MDU 部署，并希望探索 Purple 的平台如何在您的网络基础设施之上提供分析、访客 WiFi 管理和租户级报告层，指南中链接的资源是一个很好的起点。 感谢收听。下次再见。