如何建置校園 WiFi 網路：大學 IT 指南

歡迎閱讀 Purple 企業網路簡報。今天我們要探討一個重大的基礎架構挑戰：如何建置校園 WiFi 網路。具體而言，我們將針對大學和大型場館的部署進行探討。如果您是技術長 (CTO)、IT 總監或網路架構師，這份簡報正是為您準備的。我們將拋開繁複的理論，專注於高密度無線環境中實際部署的現實狀況。 首先來談談背景脈絡。校園 WiFi 網路已不再只是提供便利，而是關鍵的基礎架構。學生在入學第一天就會攜帶三到四台裝置。教職員需要可靠的連線來進行視訊會議、使用雲端應用程式和建築管理系統。而且，校園本身正日益成為一個智慧環境——物聯網 (IoT) 感測器、數位看板和門禁控制系統全都運行在同一個無線基礎架構上。 挑戰不僅在於覆蓋範圍，更在於容量。而這個區別是本簡報中最重要的核心概念。 讓我們從基礎開始：現場勘測。 在校園環境中，使用平面圖進行的預測性勘測只是起步。您絕對需要進行主動的現場勘測。我們看到太多場館僅依賴軟體模型。十九世紀階梯教室的磚牆對訊號的衰減，與現代石膏板牆完全不同。一棟擁有厚石牆和高挑天花板的維多利亞時代建築，其訊號表現將與專門建造的現代校園大樓截然不同。 您的主動勘測應規劃出高密度區域——禮堂、學生會、圖書館、自助餐廳——並識別射頻 (RF) 干擾源。如果您沒有將微波爐、藍牙裝置甚至鄰近的網路納入考量，它們都可能會降低網路效能。 勘測的輸出結果應是一張熱圖，顯示每棟建築每層樓的訊號強度、通道利用率和干擾程度。這將成為您存取點 (Access Point) 部署規劃的基礎。 現在，在規劃存取點部署時，經驗法則是「容量重於覆蓋範圍」。這不再只是將訊號傳送到房間角落的問題，而是要在擁有三百個座位的階梯教室中，支援每位學生三台裝置。這意味著必須部署高密度存取點（通常是 WiFi 6 或 WiFi 6E），並積極管理通道重疊。 對於高密度空間，請考慮部署配備定向天線的存取點，將射頻能量向下集中到座位區，而不是使用會向所有方向發射訊號並導致相鄰 AP 之間產生干擾的全向天線。 接下來談談架構。 企業校園網路的標準架構是三層模型：管理層 (Management)、核心層 (Core) 和存取層 (Access)。 在最頂層，您擁有集中式的 WLAN 控制器 — 無論是地端部署還是雲端管理。這是網路的大腦，負責處理所有存取點（Access Point）之間的無縫漫遊、策略執行、射頻（RF）最佳化和韌體管理。雲端管理控制器已成為新部署的主流選擇，因為它們簡化了多站點管理並降低了地端硬體成本。 在中間層，您擁有核心與分佈交換架構。這些是高容量的交換器，負責匯聚來自存取層的流量，並將其路由至您的網際網路閘道器和內部資源。 在最底層，您擁有存取層：乙太網路供電（PoE）交換器以及無線存取點本身。對於新部署而言，PoE Plus 是最低標準，因為 WiFi 6 存取點比其前代產品消耗更多電力。 現在讓我們來談談使用者上網引導（Onboarding）與驗證 — 因為這是許多校園網路在實務上失敗的地方。 您有數以千計的臨時使用者：在校學生、教職員、訪問學者、會議代表以及一般大眾。每個群體都有不同的存取需求和不同的安全性考量。 對於教職員和在校學生，實施搭配 EAP 驗證的 802.1X 是不可妥協的。這會將無線存取連結到您現有的身分識別提供者 — 無論是 Active Directory、LDAP 還是雲端身分識別服務。使用者使用其機構憑證進行驗證，網路則會動態地將他們分配到相應的 VLAN。這提供了符合 ISO 27001 和 Cyber Essentials 等標準要求的加密、憑證式存取。 對於訪客和臨時使用者，您需要一個安全、合規且不會產生大量客服工單的 Captive Portal 解決方案。這正是專用訪客 WiFi 平台展現真正價值的地方。像 Purple 的 Guest WiFi 平台這樣的解決方案，提供了安全、符合 GDPR 規範的上網引導、可自訂的歡迎頁面（Splash Page），以及至關重要的場域使用狀況分析。您可以洞察人流量模式、停留時間和尖峰使用時段 — 這些情資具有真正的營運價值。 讓我們來討論 VLAN 和網路分段。 適當的 VLAN 分段對於安全性和效能都至關重要。您至少應該為教職員、學生、訪客和 IoT 設備劃分獨立的 VLAN。您的 IoT VLAN 尤為重要。智慧建築感測器、HVAC 控制器、數位看板和安全監控相機絕對不應與使用者設備共享同一個網路區段。帶有漏洞的 IoT 設備不應能夠與學生的筆記型電腦進行通訊。 現在讓我們來談談漫遊 — 因為無縫切換對於使用者體驗至關重要。 當使用者從圖書館走到餐廳時，他們的 VoIP 通話不應該中斷、視訊串流不應該緩衝、雲端應用程式也不應該逾時。要達到這種效果，需要仔細調整發射功率並實作快速漫遊標準。 您需要了解的三個標準是 802.11k、802.11v 和 802.11r。這些標準有時被合稱為快速漫遊三劍客。802.11k 允許存取點向用戶端提供鄰近 AP 的清單，以便裝置在需要漫遊之前就知道該往哪裡漫遊。802.11v 允許網路向用戶端建議應漫遊到更好的 AP。而 802.11r 則可實現快速 BSS 轉換，大幅縮短漫遊期間的驗證時間，這對於語音和即時應用程式至關重要。 但如果您的發射功率設定錯誤，這一切都無法發揮作用。如果您的 AP 以最大功率發射，即使有更近的 AP 可用，用戶端裝置仍會黏著在原本的 AP 上。這就是經典的「黏性用戶端」（sticky client）問題。裝置看到來自遠處 AP 的強訊號，拒絕漫遊到更近的 AP，導致該使用者的效能下降，並對遠處的 AP 造成不必要的負載。 解決方案是調整您的蜂巢大小。降低發射功率，使相鄰 AP 的覆蓋範圍剛好重疊（通常約為 15% 到 20%）。並在您的存取點上停用最低的數據傳輸速率（1、2 和 5.5 Mbps）。當您允許裝置以這些舊型速度連線時，它們會無限期地維持微弱的訊號。停用這些速率會強制裝置中斷連線並漫遊到訊號更強的 AP。 接下來，針對我們最常從客戶那裡聽到的問題進行快速問答。 問題一：我們是否應該將 IoT 裝置隔離到獨立的網路中？絕對應該。將 IoT 裝置（智慧顯示器、HVAC 感測器、門禁系統）放在具有嚴格防火牆規則的專用 VLAN 上。不要讓它們擁塞您的主要數據網路，也不要允許它們與使用者裝置進行橫向通訊。 問題二：我們該如何處理不支援現代驗證的舊型裝置？對於無法進行 802.1X 的裝置（例如學生宿舍中較舊的智慧電視或遊戲主機），請實作 MAC 驗證略過（MAB）。這允許您註冊特定的裝置 MAC 位址並將其分配給適當的 VLAN，而無需進行基於憑證的驗證。 問題三：戶外覆蓋範圍該如何處理？這非常重要，但往往被事後才想到。使用配備定向天線的強固型、防風雨存取點來覆蓋中庭、戶外座位區和體育設施。戶外 AP 需要應對極端溫度、潮濕和防破壞——切勿在戶外佈署室內型號。 問題四：我們如何處理管理平面的安全性？請確保您的控制器管理介面位於專用的管理 VLAN 上，且僅能從授權的管理員工作站存取。為所有管理員帳戶啟用多因素驗證。並定期審查您的存取點安全狀態。 總結今天簡報的關鍵要點： 第一：針對容量進行設計，而不僅僅是覆蓋範圍。在現代校園環境中，瓶頸幾乎從不是訊號強度，而是高效服務數百台同時連線裝置的能力。 第二：進行主動式、現場 RF 勘測。不要完全依賴預測模型。建材、干擾源和物理配置都需要在現實世界中進行驗證。 第三：實作具有集中式管理的三層式架構。雲端管理的控制器可讓您在整個園區內獲得可視性與控制力。 第四：對教職員和學生使用 802.1X，並對訪客使用安全的 Captive Portal。利用您的訪客 WiFi 平台來收集分析數據並推動營運智慧。 第五：調整您的網路以實現無縫漫遊。實作 802.11k、v 和 r。降低發射功率。停用舊版數據傳輸速率。消除黏性用戶端。 第六：使用 VLAN 進行網路分割。將 IoT、訪客、教職員和學生的流量分開。 如需更深入的技術探討，包括架構圖、實際範例和完整的實作檢查清單，請閱讀 Purple 網站上關於如何建置校園 WiFi 網路的完整指南。 感謝收聽 Purple 企業網路簡報。