動態 VLAN 指派如何在多租戶建築中運作

執行摘要

對於管理多租戶建築（如商業辦公室、零售複合體或大型酒店場所）的 IT 經理和網路架構師來說，網路分段是一項關鍵挑戰。過去，隔離租戶流量意味著要部署獨立的實體基礎設施，或為每個租戶廣播唯一的 SSID。這兩種方法都存在根本缺陷。實體分離成本高昂且缺乏靈活性，而廣播多個 SSID 會由於管理幀開銷過大而嚴重降低 RF 效能。

動態 VLAN 指派透過將無線環境整合到單一的安全 SSID 來解決這個問題。利用 IEEE 802.1X 認證和 RADIUS，網路根據使用者身份而非選擇的網路，將使用者動態指派到他們專用的虛擬區域網路 (VLAN)。本指南提供全面的技術深入探討，涵蓋架構設計、部署和疑難排解動態 VLAN 指派，確保安全的 Layer 2 隔離，符合 PCI DSS 和 GDPR 等標準，並為場所營運商帶來穩健的投資報酬率。

技術深入探討

多重 SSID 的問題

在共享建築中，經常可以看到廣播數十個 SSID（例如「TenantA_Corp」、「TenantB_Secure」、「Building_Guest」）。每個由存取點 (AP) 廣播的 SSID 都必須以最低強制數據速率（通常為 1 Mbps 或 6 Mbps）傳輸信標幀。隨著 SSID 數量增加，管理開銷所佔用的通話時間比例會呈指數成長，留給實際數據傳輸的通話時間更少。這會導致高延遲、低吞吐量和糟糕的使用者體驗，無論底層網路連線速度多快。

802.1X 和 RADIUS 架構

動態 VLAN 指派將分段邏輯從 RF 層轉移到認證層。它依賴 IEEE 802.1X 標準進行基於連接埠的網路存取控制，並與 RADIUS（遠端認證撥入使用者服務）伺服器整合。

該架構包含三個主要組件：

1. 請求者： 要求網路存取的用戶端裝置（筆記型電腦、智慧型手機）。
2. 認證者： 網路存取裝置，通常是 WiFi 存取點或無線控制器，在認證成功之前會阻擋流量。
3. 認證伺服器： 驗證身份存放庫（例如 Active Directory、LDAP）中的憑證並決定網路策略的 RADIUS 伺服器。

認證流程

當請求者嘗試連線到統一的 SSID 時，會發生以下流程：

1. EAPOL 初始化： 請求者連線到 AP。AP 會阻擋所有流量，除了透過區域網路可擴展認證協定 (EAPOL) 封包。
2. RADIUS 存取請求： AP 封裝 EAP 數據，並將其作為 Access-Request 轉發到 RADIUS 伺服器。
3. 憑證驗證： RADIUS 伺服器驗證使用者的憑證（透過 EAP-TLS、PEAP 等方式）。
4. RADIUS 存取接受： 成功驗證後，RADIUS 伺服器會回覆 Access-Accept 訊息。關鍵的是，此訊息包含特定的 IETF 標準 RADIUS 屬性，指示 AP 應將使用者指派到哪個 VLAN。

動態 VLAN 指派所需的關鍵 RADIUS 屬性如下：

• Tunnel-Type (64)：設定為 VLAN（值 13）
• Tunnel-Medium-Type (65)：設定為 802（值 6）
• Tunnel-Private-Group-ID (81)：設定為特定的 VLAN ID（例如，租戶 A 為「20」，租戶 B 為「30」）

一旦 AP 收到這些屬性，它會將使用者的流量直接放入指定的 VLAN。上游網路交換器隨後處理該流量，就好像使用者已實際插入該租戶的專用連接埠一樣，確保完整的 Layer 2 隔離。

實作指南

部署動態 VLAN 指派需要無線基礎架構、邊緣交換器和身分提供者之間的仔細協調。請遵循以下與供應商無關的實作順序。

第一階段：網路基礎架構準備

1. VLAN 供應： 在您的核心路由基礎架構和 DHCP 伺服器上定義並建立必要的 VLAN。確保每個租戶 VLAN 都有自己獨特的子網路和適當的路由策略（例如，路由到網際網路，但捨棄 VLAN 間的流量）。
2. 交換器中繼： 這是關鍵步驟。連接到您的存取點的交換器連接埠必須設定為 802.1Q 中繼連接埠。您必須標記 AP 可能需要指派的所有潛在租戶 VLAN。如果 RADIUS 伺服器指派了 VLAN 40，但交換器連接埠上未標記 VLAN 40，則用戶端會通過認證但無法取得 IP 位址。
3. AP 設定： 將 AP 設定為廣播單一啟用 802.1X 的 SSID（例如，WPA3-Enterprise）。在您的無線控制器或 AP 上啟用允許它們接受 RADIUS 覆蓋屬性的特定設定（通常標記為「AAA 覆蓋」或「動態 VLAN」）。

第二階段：RADIUS 與身分整合

1. 身分存放庫整合： 將您的 RADIUS 伺服器連接到包含使用者身分及其租戶關聯的目錄服務。
2. 網路策略建立： 在 RADIUS 伺服器內建立將使用者群組對應到 VLAN ID 的策略。例如，一個策略說明：如果使用者屬於「Retail_Staff」群組，則返回 Tunnel-Private-Group-ID = 10。
3. 憑證管理： 如果使用 EAP-TLS（建議用於公司裝置），請部署用戶端憑證。如果使用 PEAP-MSCHAPv2（常見於自帶裝置），請確保 RADIUS 伺服器上安裝了有效的、受信任的伺服器憑證。

第三階段：測試與分階段推出

1. 試行測試： 使用不同租戶中的一小組裝置進行測試。驗證連線後，裝置是否從正確的子網路取得 IP 位址，且無法 ping 通其他租戶 VLAN 中的裝置。
2. 物聯網與無頭裝置： 對於不支援 802.1X 的裝置（印表機、智慧電視），實施 MAC 認證旁路 (MAB)。RADIUS 伺服器根據裝置的 MAC 位址對其進行認證，並指派適當的 VLAN。注意：由於 MAC 位址可以被偽造，請將這些裝置放在嚴格隔離的 VLAN 中。

最佳實務

• 整合 SSID： 目標是絕對不超過三個 SSID：一個用於所有租戶的 802.1X SSID，一個用於傳統物聯網裝置（使用 PSK 或 MAB），以及一個用於 訪客 WiFi （使用 captive portal）。
• 強制用戶端隔離： 在訪客網路和不受信任的租戶網路中，在 AP 層級啟用 Layer 2 用戶端隔離，以防止裝置彼此通訊，降低橫向移動風險。
• 運用進階分析： 將您的認證流程與穩健的 WiFi 分析 平台整合，以獲得場所使用率、停留時間和租戶網路效能的能見度。
• 標準化 WPA3： 在用戶端支援允許的情況下，強制 802.1X SSID 使用 WPA3-Enterprise，以確保最高等級的加密和防範字典攻擊。
• 行業背景： 根據垂直產業客製部署。在 零售 環境中，確保 POS 系統位於嚴格隔離的 VLAN，以維持 PCI DSS 合規性。在 酒店業 中，確保訪客 VLAN 與後場運營完全分離。

疑難排解與風險緩解

常見故障模式

1. 「已認證但無 IP」情境：

   • 症狀： 用戶端連線，認證成功，但裝置自我指派 APIPA 位址 (169.254.x.x)。
   • 根本原因： RADIUS 伺服器指派了 VLAN，但該 VLAN 未在 DHCP 伺服器上建立，或者更常見的是，該 VLAN 未在連接到交換器與 AP 的中繼連接埠上標記。
   • 修正： 檢查邊緣交換器上的 802.1Q 中繼設定。

2. RADIUS 逾時／無法連線：

   • 症狀： 用戶端卡在「連線中...」或反覆提示輸入憑證。
   • 根本原因： AP 無法連線到 RADIUS 伺服器，或者 AP 與伺服器之間的 RADIUS 共用密碼不符。
   • 修正： 檢查 AP 管理 IP 與 RADIUS 伺服器之間的網路連線。再次確認共用密碼。

3. 憑證過期：

   • 症狀： 所有使用 PEAP 或 EAP-TLS 的使用者突然大規模認證失敗。
   • 根本原因： RADIUS 伺服器憑證已過期，導致用戶端拒絕連線。
   • 修正： 實施對 RADIUS 憑證的主動監控和警示。至少在憑證過期前 30 天進行續約。

風險緩解策略

• 故障開放 vs. 故障關閉： 定義當 RADIUS 伺服器無法連線時的明確策略。對於租戶公司網路，為了安全起見，必須採用故障關閉（拒絕存取）。對於訪客存取，您可以設定故障開放策略，將使用者放入高度受限、僅限網際網路的「隔離」VLAN。
• 備援： 始終將 RADIUS 伺服器部署為高可用性 (HA) 配對，如果支援多個站點，最好在地理上分散放置。

投資報酬率與業務影響

實施動態 VLAN 指派能為場所營運商帶來顯著、可衡量的業務成果：

1. 降低營業費用： 集中管理單一 SSID 可大幅減少與個別租戶網路的供應、更新和疑難排解相關的 IT 開銷。
2. 最佳化 RF 頻譜： 消除過多的 SSID 可回收寶貴的通話時間。有關頻譜管理指南，請參閱我們的文章： Wi Fi 頻率：2026 年 Wi-Fi 頻率指南 。這將帶來更高的吞吐量，並減少關於「WiFi 速度慢」的支援工單。
3. 增強安全性與合規性： 嚴格的 Layer 2 隔離可確保單一租戶網路的安全漏洞不會擴散到其他租戶。這對於滿足 PCI DSS 和 GDPR 等法規要求至關重要。
4. 可擴展性： 引進新租戶無需對實體基礎架構或無線設定進行任何變更；只需在 RADIUS 伺服器中建立新策略即可。

如需更全面的共享空間網路設計策略，請參閱我們的指南： 為 MDU 設計多租戶 WiFi 架構 。