跳至主要內容
繁體中文

如何在不購買新基地台的情況下提升 WiFi 速度

本指南詳細介紹企業場域如何在不購買新基地台的情況下,收回 30% 以上的 WiFi 頻寬。透過實施 DNS 過濾、頻段引導(band steering)和 QoS 策略,IT 團隊可以延長硬體壽命、降低資本支出(CapEx),並提升網路效能與安全性。

📖 4 分鐘閱讀📝 758 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
如何在不購買新基地台的情況下提升 WiFi 速度 Purple 技術簡報 — 長度約 10 分鐘 --- 導言與背景(約 1 分鐘) --- 歡迎來到 Purple 技術簡報系列。我是你們的主持人,今天我們要探討一個我經常與企業場域的 IT 總監和 CTO 討論的話題 — WiFi 容量問題。 您可能管理著一家飯店、一個零售物業、一個會議中心或一個體育場。您的顧客和員工正在抱怨 WiFi 速度慢。您的第一直覺 — 坦白說,也是您的基礎設施廠商所期待的直覺 — 就是購買更多基地台。新硬體、更大的部署規模、更龐大的帳單。 但事實是,在我評估過的大多數案例中,問題根本不在於基地台。問題在於流經它們的流量。這是一個軟體問題,意味著它需要一個軟體解決方案。 今天,我將帶您了解 DNS 過濾和軟體層優化如何具體收回現有頻寬的 30% 或更多 — 而無需動用任何一件硬體。我們將涵蓋技術架構、實際部署場景,以及您可以向 CFO 呈報的商業案例。 讓我們開始吧。 --- 技術深挖(約 5 分鐘) --- 首先,讓我們確立核心問題。當您查看典型企業顧客 WiFi 網路上實際消耗頻寬的內容時,其細分結果著實令大多數人感到驚訝。 廣告網路和第三方追蹤器 — 每個裝置上的每個應用程式不斷發送的背景遙測數據 — 佔典型顧客網路上 DNS 查詢量的 25% 到 40%。這些並非您的顧客自覺發起的請求。它們是自動運行的。每當有人在手機上打開新聞應用程式、社群媒體平台或零售應用程式時,該應用程式就會向廣告伺服器、分析平台和追蹤像素發送數十次 DNS 查詢。這些流量都沒有為您的顧客帶來價值,卻消耗了您的上行鏈路容量。 最重要的是,還有惡意軟體和殭屍網路流量。受感染的裝置 — 在大型顧客網路上,您一定會遇到受感染的裝置 — 不斷嘗試與命令與控制伺服器進行通訊。這種流量不僅浪費頻寬,還帶來了合規性和安全性風險。 因此,在任何合法的流量(如視訊通話、網頁瀏覽、支付交易)到達您的上行鏈路之前,您就已經在雜訊上消耗了三分之一到一半的可用容量。 現在,DNS 過濾在解析層運作。每個網路請求都始於 DNS 查詢 — 一種將網域名稱轉換為 IP 地址的查詢。DNS 過濾在查詢到達您的上行鏈路之前將其攔截。如果該網域解析為廣告網路、已知的惡意軟體主機或受策略限制的類別,則該查詢會在 DNS 層被阻擋。裝置會收到空回應。不傳輸任何資料,不消耗任何頻寬。 這與防火牆或代理伺服器有本質上的不同。防火牆在封包到達後進行檢查。代理伺服器在傳輸過程中攔截流量。而 DNS 過濾在請求開始之前就將其阻止 — 這就是為什麼頻寬收回效果如此顯著的原因。您不是在清理已經到達的流量,而是在源頭阻止其被請求。 從架構的角度來看,部署非常簡單。您只需設定 DHCP 伺服器,將用戶端裝置指向您的 DNS 過濾解析器,而非 ISP 的預設 DNS。這通常只需在您的 DHCP 設定中修改兩行內容。過濾規則是集中維護的 — 根據您的合規性要求,可以部署在雲端或本地 — 並統一套用到所有已連線的裝置,無論它們與哪個基地台關聯。 對於多站點營運商來說,這是一個關鍵點。擁有 200 家門市的零售連鎖店或擁有 50 家物業的飯店集團,可以從單一管理主控台在整個物業中部署一致的 DNS 過濾策略。無需現場工程師拜訪,無需針對每個站點進行設定。策略變更可在數分鐘內傳播完畢。 現在,這裡有一個重要的技術考量,我想為在座的架構師們特別指出。DNS over HTTPS(即 DoH)的出現,給傳統的 DNS 過濾帶來了挑戰。當裝置使用 DoH 時,它會加密其 DNS 查詢並將其直接發送到特定的解析器(通常由瀏覽器廠商營運),從而完全繞過您的網路級 DNS。這意味著您的過濾規則會被規避。 解決方案是在網路層級強制執行 DoH 攔截。這涉及識別 DoH 流量(該流量在連接埠 443 上運行到已知的解析器 IP 範圍),並將其阻擋或重導向到您自己支援 DoH 的過濾解析器。這是一個更進階的設定,但對於在 Chrome、Firefox 和 iOS 越來越預設使用加密 DNS 的現代網路上維持過濾效果至關重要。Purple 已經發布了一份關於 DNS over HTTPS 對公共 WiFi 過濾影響的詳細指南,我建議您與本次簡報一起閱讀。 除了 DNS 過濾之外,還有幾種輔助的軟體層優化值得同時實施。 頻段引導是影響最深遠的優化之一。大多數現代基地台都支援 2.4 GHz 和 5 GHz 頻段。5 GHz 頻段提供顯著提高的吞吐量,但傳輸距離較短。如果沒有主動的頻段引導,裝置通常會預設連線到 2.4 GHz 頻段 — 尤其是舊型裝置和 IoT 硬體 — 從而在已經擁擠了舊型流量的頻段上造成擁塞。在您的無線控制器中啟用頻段引導可以將支援該功能的裝置推向 5 GHz,為真正需要它的裝置釋放 2.4 GHz 空間。 SSID 整合是另一個可以快速見效的方案。您廣播的每個 SSID 都會透過信標訊框(每個範圍內的裝置都必須處理的管理流量)消耗空中時間。一個為不同部門、承包商和顧客級別運行 8 到 10 個 SSID 的場域,在管理開銷上消耗了可觀的空中時間比例。將其整合為 3 到 4 個 SSID(顧客、員工、IoT 和管理),並使用 VLAN 標記進行分割而非使用獨立的 SSID,可以立即回收這些空中時間。 QoS(服務品質)策略執行是第三個槓桿。如果沒有 QoS,單個觀看 4K 影片的顧客就可能使無線電單元飽和,從而降低該基地台上所有其他裝置的體驗。實施每用戶端速率限制和流量優先級排序 — 將 VoIP 和 POS 交易流量提升到大容量串流媒體之上 — 可確保業務關鍵流量即使在尖峰負載下也能受到保護。 最後是頻道規劃和發射功率優化。這些通常在初始部署期間設定後就再也沒有重新評估。隨著射頻環境的變化 — 新建築、新干擾源、裝置密度的變化 — 您的頻道分配可能會產生同頻道干擾,從而顯著降低吞吐量。進行被動射頻調查並重新優化頻道分配是一項零成本的干預措施,可以帶來實質性的吞吐量提升。 --- 實施建議與常見陷阱(約 2 分鐘) --- 讓我為中型場域(例如擁有 200 間客房的飯店或區域性零售配送中心)提供一個實用的部署順序。 第一步:從基準測量開始。在您更改任何內容之前,先配置您的網路以擷取按類別分類的 DNS 查詢量、每用戶端頻寬消耗以及按一天中不同時間段分類的上行鏈路利用率。這為您的 ROI 計算提供了「調整前」的狀態。大多數企業級 WiFi 分析平台都會原生呈現這些數據 — 例如,Purple 的分析平台提供裝置級別的可視性,使這項基準評估變得非常簡單。 第二步:在監控模式下部署 DNS 過濾。大多數企業級 DNS 過濾解決方案都支援被動模式,在此模式下會記錄查詢並進行分類,但不會予以阻擋。在您執行任何策略之前,先運行此模式 48 到 72 小時,以了解您的流量組成。這可以防止誤判在第一天干擾合法的流量。 第三步:分階段啟用阻擋。從置信度最高的類別開始 — 已知的惡意軟體網域、殭屍網路命令與控制以及廣告網路。這些是低風險但對頻寬影響巨大的阻擋。在第一週每天審查日誌,以捕獲任何意外的阻擋。 第四步:加入 QoS 和頻段引導。一旦 DNS 過濾穩定運行,即可實施每用戶端速率限制和頻段引導。在非尖峰時段測試這些變更,並驗證 POS 終端機、VoIP 手持裝置和其他業務關鍵裝置是否正常運作。 第五步:記錄與測量。30 天后,提取您的頻寬利用率指標並與您的基準進行比較。在大多數部署中,您會看到上行鏈路利用率減少 20% 到 40%。這就是您的 ROI 數據。 現在來談談陷阱。我最常看到的是過度阻擋。如果您在未先審查日誌的情況下啟用激進的內容過濾類別,您將會阻擋合法的服務。雲端儲存、企業 SaaS 應用程式,甚至某些金流處理網域都可能出現在廣泛的分類阻擋中。務必從保守開始,逐步擴大。 第二個陷阱是忽視 DoH 繞過。如果您在部署 DNS 過濾時沒有解決 DoH 問題,隨著越來越多的裝置預設使用加密 DNS,您會發現過濾效果隨著時間推移而下降。從第一天起就在網路策略層級解決這個問題。 第三個陷阱是未能分割 IoT 流量。IoT 裝置(智慧電視、建築管理系統、數位看板)通常會向製造商的遙測伺服器產生大量的 DNS 流量。如果您沒有將 IoT 分割到具有其自身過濾策略的獨立 VLAN 上,當您收緊過濾規則時,可能會無意中阻擋裝置的功能。 --- 快速問答(約 1 分鐘) --- 讓我解答一下我最常收到的問題。 「DNS 過濾會影響顧客體驗嗎?」在實際應用中,顧客根本不會注意到。被阻擋的網域是背景遙測,而不是他們主動請求的內容。如果說有什麼變化的話,那就是他們的體驗得到了提升,因為有更多頻寬可用於他們真正想做的事情。 「這需要對我們的基地台進行更改嗎?」不需要。DNS 過濾是在 DHCP 和 DNS 解析器層級設定的。您的基地台不會受到任何影響。 「這符合 GDPR 規範嗎?」DNS 過濾記錄的是網域查詢,而非內容。您沒有進行深層封包檢測。只要您有適當的資料保留策略,且您的隱私聲明涵蓋了網路監控(無論如何都應該涵蓋),DNS 過濾就完全符合 GDPR。對於公共部門和醫療保健部署,這通常是合規性要求,而非選擇。 「那 PCI DSS 呢?」DNS 過濾實際上透過阻止持卡人資料環境與已知惡意網域進行通訊,加強了您的 PCI DSS 安全態勢。這是一種積極的控制措施,而非風險。 --- 總結與後續步驟(約 1 分鐘) --- 總結一下:大多數企業 WiFi 效能問題並非硬體問題。它們是軟體問題 — 具體而言,是在 DNS 層缺乏智慧流量管理。 透過部署 DNS 過濾,您可以收回 30% 或更多的現有頻寬,將現有基地台基礎設施的營運壽命延長 2 到 4 年,並同時提升您的安全性和合規性態勢。部署時間以小時計算,而非以月計算。資本支出僅為硬體更新的一小部分。 實際的後續步驟非常簡單。本週在您的網路上執行一次 DNS 流量稽核 — 大多數企業平台都可以在無需任何額外工具的情況下為您提供這些數據。識別消耗頻寬最多的網域類別。然後針對這些類別評估 DNS 過濾解決方案。 如果您正在大規模營運顧客 WiFi 網路 — 飯店、零售、活動、公共部門 — Purple 的平台在單一部署中將 DNS 過濾與顧客 WiFi 管理和分析整合在一起。這意味著您可以從同一個平台(而非三個平台)獲得頻寬收回、合規性控制和顧客數據洞察。 感謝收聽 Purple 技術簡報。隨附的書面指南中提供了完整的實施指南、架構圖和應用範例。我們下次再見。

header_image.png

執行摘要

對於管理大型場域網路的 IT 總監和 CTO 而言,解決頻寬耗盡的預設做法通常是進行昂貴的硬體更新。然而,高達 40% 的訪客網路頻寬通常是被無附加價值的背景遙測、廣告追蹤器和惡意流量所消耗。藉由實施軟體層優化——特別是 DNS 過濾、智慧頻段導引(band steering)和 QoS 策略執行——場域可以在不部署任何新無線基地台的情況下,收回 30% 以上的現有頻寬。

本指南詳細介紹了如何實施這些優化,以延長現有硬體的壽命、降低資本支出(CapEx),並提升 旅宿業零售業醫療保健交通運輸 環境中的使用者體驗。

技術深度剖析

頻寬流失:遙測與追蹤器

在檢視典型 Guest WiFi 網路的流量特徵時,非使用者主動觸發的流量非常顯著。廣告網路和第三方追蹤器佔了 DNS 查詢量的 25% 到 40%。每次應用程式啟動都會觸發數十次針對分析平台和追蹤像素的背景查詢,這些查詢都無法為訪客帶來價值,卻都會消耗上行鏈路容量。

此外,網路中受感染的裝置會產生惡意軟體和殭屍網路流量,不斷嘗試與命令與控制(C&C)伺服器聯繫。這不僅浪費頻寬,還會帶來嚴重的合規與安全風險。

dns_bandwidth_breakdown.png

DNS 過濾解決方案

DNS 過濾運作於解析層。它在 DNS 查詢到達上行鏈路之前進行攔截。如果某個網域解析為廣告網路、已知的惡意軟體主機或受策略限制的類別,該查詢就會被阻擋,並向裝置傳回空回應。如此一來,既不傳輸數據,也不消耗頻寬。

與在封包到達後進行檢查的防火牆,或在傳輸中途進行攔截的代理伺服器不同,DNS 過濾能阻止請求的發起。這種架構優勢使其在回收頻寬方面極具效率。

解決 DNS over HTTPS (DoH) 問題

一個關鍵的技術考量是 DNS over HTTPS (DoH) 的興起。DoH 會加密 DNS 查詢,繞過網路層級的 DNS 並規避傳統的過濾規則。為了維持過濾效果,網路必須強制執行 DoH 攔截,方法是識別 DoH 流量(通常是在指向已知解析器的連接埠 443 上)並將其重導向至具備 DoH 功能的過濾解析器。如需更多詳細資訊,請參閱我們的指南: DNS Over HTTPS (DoH): Implications for Public WiFi Filtering (或葡萄牙語版本: DNS Over HTTPS (DoH): Implicações para a Filtragem de WiFi Público )。

architecture_overview.png

實施指南

部署軟體層優化非常簡單,多據點營運商可以利用 WiFi Analytics 等平台來監控成效,進行集中式管理。

  1. 基準測量:配置網路以擷取按類別分類的 DNS 查詢量以及每個用戶端的頻寬消耗。這為投資報酬率(ROI)計算奠定了基準。
  2. 監控模式:在被動監控模式下部署 DNS 過濾 48-72 小時,以在不阻擋的情況下了解流量組成,防止誤判。
  3. 分階段阻擋:首先對高信賴度的類別(例如已知的惡意軟體、殭屍網路、廣告網路)啟用阻擋。每日審查日誌以調整策略。
  4. 輔助優化
    • 頻段導引:將具備能力的裝置推向 5GHz 頻段,以釋放擁擠的 2.4GHz 頻段。
    • SSID 整合:透過整合 SSID 並使用 VLAN 標記進行區隔,以減少管理開銷。
    • QoS 執行:實施單一用戶端速率限制,以保護關鍵業務流量(例如 VoIP、POS)免受大量串流媒體的影響。
  5. 記錄與測量:30 天後,將頻寬使用情況與基準進行比較,以量化 ROI。

最佳實踐

  • 區隔 IoT 流量:IoT 裝置通常會產生大量的遙測數據。將它們放在獨立的 VLAN 中,並採用量身定制的過濾策略,以避免在收緊規則時破壞其功能。
  • 避免過度阻擋:從保守的阻擋策略開始,並根據日誌審查逐步擴大,以防止干擾合法的企業 SaaS 應用程式。
  • 定期進行射頻(RF)勘測:隨著物理環境的變化,定期重新優化頻道分配和發射功率,以減輕同頻道干擾。

疑難排解與風險緩釋

  • 合法服務被阻擋:如果使用者回報應用程式無法正常運作,請檢查 DNS 日誌中是否有影響所需網域(例如雲端儲存、金流閘道)的廣泛類別阻擋,並將其加入白名單。
  • 過濾效果下降:如果頻寬消耗再次攀升,請驗證 DoH 繞過策略是否正在主動攔截並重導向加密的 DNS 查詢。
  • 舊版裝置連線問題:如果較舊的裝置在啟用頻段導引後難以連線,請確保 2.4GHz 頻段仍有足夠的配置,並考慮調整導引的積極度。

ROI 與商業影響

軟體優化能帶來即時的 ROI。雖然硬體升級可能需要花費 50,000 至 200,000 英鎊且耗時數月 即可部署,而 DNS 過濾與設定變更的成本僅為其一小部分,且在數小時內即可完成部署。場所通常可減少 30-40% 的上行鏈路使用率,將現有 AP 的使用壽命延長 2-4 年,同時強化 GDPR 與 PCI DSS 合規性。

roi_comparison_chart.png

收聽我們的完整技術簡報:

關鍵定義

DNS 過濾

在 DNS 解析階段阻擋對特定網域的存取,在資料傳輸之前阻止連線的過程。

用於在廣告、追蹤器和惡意軟體流量消耗上行鏈路容量之前將其阻止,從而收回頻寬。

頻段引導

一種無線網路功能,可引導具備雙頻能力的用戶端連線到較不擁擠的 5GHz 頻段,而非 2.4GHz 頻段。

對於在密集環境中優化空中時間(airtime)和提高吞吐量至關重要。

DNS over HTTPS (DoH)

一種透過 HTTPS 協定執行遠端網域名稱系統解析的協定,可對資料進行加密。

給網路管理員帶來了挑戰,因為它可以繞過傳統的、未加密的 DNS 過濾控制。

SSID 整合

減少廣播網路名稱(SSID)的數量,以將管理訊框(management frame)開銷降至最低。

每個 SSID 都會消耗空中時間;較少的 SSID 意味著有更多空中時間可用於實際的資料傳輸。

服務品質 (QoS)

管理資料流量以減少網路上封包遺失、延遲和抖動的技術。

用於將關鍵業務流量(如 POS 交易)的優先級置於顧客串流媒體之上。

VLAN 標記

在封包標頭中插入 VLAN ID 以識別該封包屬於哪個虛擬區域網路的做法。

允許對網路流量進行邏輯分割(例如:顧客 vs. 員工),而無需獨立的實體網路或 SSID。

信標訊框 (Beacon Frames)

基於 IEEE 802.11 的 WLAN 中的管理訊框,其中包含有關網路的資訊。

廣播過多的 SSID 會產生過多的信標訊框,消耗寶貴的空中時間並降低網路速度。

同頻道干擾

來自使用相同頻率頻道的兩個不同無線電發射器的串音(Crosstalk)。

透過適當的頻道規劃和發射功率優化來減輕干擾,以確保基地台之間不會互相干擾。

範例

一家擁有 200 間客房的飯店在晚上尖峰時段遭遇嚴重的 WiFi 客訴。基礎設施廠商建議花費 80,000 英鎊升級基地台。軟體優化該如何解決這個問題?

  1. 部署 DNS 過濾以阻擋廣告網路和惡意軟體,收回約 30% 的頻寬。2. 啟用頻段引導,將支援該功能的裝置移至 5GHz。3. 實施 QoS,將每台用戶端的影片串流速率限制在 5Mbps,並優先處理 VoIP 和營運流量。4. 利用 VLAN 標記將 8 個 SSID 整合為 3 個。
考官評語: 此方法針對的是根本原因(流量組成與射頻管理開銷),而非表象。它延後了 8 萬英鎊的資本支出,同時帶來了即時的效能提升。

一家擁有 500 家門市的大型零售連鎖店需要提升 POS 終端機的網路效能,同時仍需提供 Guest WiFi。

  1. 將 POS 裝置和 Guest WiFi 劃分到不同的 VLAN。2. 在 Guest VLAN 上套用嚴格的 DNS 過濾,以阻擋高頻寬的非必要流量。3. 設定嚴格的 QoS 規則,使 POS VLAN 流量的優先級高於 Guest VLAN。4. 透過統一的儀表板進行集中式策略管理。
考官評語: 集中式管理對於零售規模至關重要。這確保了 POS 的可靠性(保護營收)而無需犧牲 Guest WiFi 體驗,從而避免了每家門市的硬體升級。

練習題

Q1. 體育場網路在 2.4GHz 頻段上遭遇嚴重擁塞,而 5GHz 頻段卻未得到充分利用。最即時的軟體層操作是什麼?

提示:考慮如何強制支援該功能的裝置使用更好的頻率。

查看標準答案

在無線控制器上啟用並設定頻段引導(Band Steering),以主動將具備雙頻能力的用戶端推向 5GHz 頻段,從而為舊型裝置釋放 2.4GHz 容量。

Q2. 部署 DNS 過濾後,您發現整體頻寬消耗僅下降了 5%,遠低於預期的 30%。最可能的技術原因是什麼?

提示:思考現代瀏覽器關於 DNS 的預設行為。

查看標準答案

用戶端裝置可能正在使用 DNS over HTTPS (DoH),繞過了網路的標準 DNS 解析器。必須將網路設定為攔截 DoH 流量並將其重導向至過濾解析器。

Q3. 醫院 IT 團隊想要實施 DNS 過濾,但擔心會阻擋來自 IoT 裝置的關鍵醫療遙測數據。他們應該如何規劃部署架構?

提示:如何對不同類型的裝置套用不同的規則?

查看標準答案

將 IoT 裝置劃分到專用的 VLAN。對 IoT VLAN 套用高度特定且寬鬆的 DNS 過濾策略,以允許所需的遙測數據,同時對 Guest 和 Staff VLAN 套用更嚴格的廣告/惡意軟體阻擋策略。

繼續閱讀本系列

理解 RSSI 與訊號強度以實現最佳頻道規劃

本指南深入探討 RSSI、訊噪比 (SNR) 及射頻 (RF) 傳播原理,以實現最佳頻道規劃。本指南為 IT 經理、網路架構師和場所營運總監提供實用策略,以減少同頻道與鄰頻道干擾、最佳化 AP 部署,並利用數據分析在旅宿、零售和公共部門環境中創造可衡量的商業效益。

閱讀指南 →

20MHz vs 40MHz vs 80MHz:您應該使用哪種頻道寬度?

本指南為 IT 經理、網路架構師和場域營運總監提供了一個權威且不限廠商的技術參考,協助他們在餐旅、零售、活動和公共部門環境的企業級部署中,選擇正確的 WiFi 頻道寬度(20MHz、40MHz 或 80MHz)。內容涵蓋底層的 IEEE 802.11 機制、實際的容量權衡,以及逐步部署指南,以協助團隊在本季度做出正確的決策。在任何無線 LAN 設計中,理解頻道寬度的選擇都是最具槓桿效應的決策之一,這會直接影響吞吐量、干擾、用戶端密度支援以及面向顧客服務的可靠性。

閱讀指南 →

Wi-Fi 6 對決 Wi-Fi 5:它能解決頻道干擾問題嗎?

本指南深入探討 Wi-Fi 6 (802.11ax) 如何透過 OFDMA 與 BSS Coloring 技術,解決高密度企業環境中的頻道干擾問題。它為 IT 經理、網路架構師和 CTO 提供了可行的部署策略、來自旅宿業和醫療保健業的真實案例研究,以及一個用於評估無線網路效能至關重要的場所中基礎設施升級投資報酬率(ROI)的框架。

閱讀指南 →