為 MDU 設計多租戶 WiFi 架構

為 MDU 設計多租戶 WiFi 架構 — Purple 技術簡報。 歡迎收聽 Purple 技術簡報系列。今天我們將深入探討支撐企業環境中一些最複雜 WiFi 部署的架構——多住宅和多用途建築的多租戶 WiFi。 無論您是負責一個擁有 300 間客房的飯店，其中賓客、員工和建築管理系統都共享相同的實體基礎架構，一個混合用途的零售和辦公複合體，還是一個擁有數百名獨立租戶的學生宿舍區塊，挑戰本質上是相同的：您如何透過單一共享的實體網路，為多個獨立方提供可靠、安全、隔離的連線？ 這不是理論上的練習。您在架構階段所做的決定將直接決定您的安全態勢、在 GDPR 和 PCI DSS 下的合規風險，以及坦白說，您的支援櫃檯在上線六個月後是否會被投訴淹沒。 那麼，讓我們開始吧。 任何多租戶 WiFi 架構的基礎都是網路分割——實現該分割的主要機制是 VLAN 標記，定義在 IEEE 802.1Q 下。概念很直觀：您將每個租戶或每個流量類別分配給一個獨特的虛擬區域網路。VLAN 10 上的流量無法到達 VLAN 20 上的流量，除非您透過路由或防火牆策略明確允許它。這種邏輯隔離是您的第一道防線。 但這就是架構師經常犯的第一個錯誤：他們將 VLAN 分割與安全性混為一談。VLAN 提供隔離，而非安全性。您仍然需要 VLAN 之間的防火牆策略，您仍然需要存取控制列表，並且您仍然需要仔細考慮您允許哪些 VLAN 間路由。一個設定錯誤的幹道埠可能在幾秒鐘內使您的整個分割模型崩潰。 現在，讓我們談談實體層。在 MDU 環境中，您通常擁有共享的實體基礎架構——佈線、交換器結構和存取點——為多個租戶提供服務。存取點本身廣播多個 SSID，每個對應到不同的 VLAN。因此，租戶 A 連接到他們的 SSID，他們的流量在 AP 上被標記為 VLAN 10，透過幹道埠穿越共享的交換器結構，到達分佈層，然後路由到租戶 A 的隔離子網路。租戶 B 的流量遵循相同的實體路徑，但在第 2 層完全隔離。 這就是您選擇存取點平台至關重要的地方。您需要支援多個 SSID 至 VLAN 對應的 AP，能夠處理可能緊密相鄰的數十個單元之間的無線頻率管理，並且能與集中式控制器或雲端管理平台整合。控制器至關重要——它讓您能夠推送策略變更、監控每個租戶的吞吐量，並在不接觸個別 AP 的情況下回應事件。 在驗證方面，企業級多租戶部署的現行標準是 IEEE 802.1X 搭配 RADIUS 驗證。每個租戶針對自己的 RADIUS 伺服器進行驗證，或針對具有每個租戶策略執行的共享 RADIUS 基礎架構進行驗證。WPA3-Enterprise 現在是推薦的加密標準——它為高敏感度環境提供 192 位元安全模式，並消除了與 WPA2 四次握手相關的漏洞。 對於訪客 WiFi 區段——在 MDU 的環境中，您幾乎總是至少有一個——您通常會採用 Captive Portal 模式。訪客連接到一個開放或 WPA2-Personal SSID，被重新導向到一個登入頁面進行驗證或接受條款，然後在隔離的 VLAN 上獲得僅限網際網路的存取。關鍵的是，該訪客 VLAN 必須沒有通往任何租戶 VLAN 的路由。零。從安全和 GDPR 的角度來看，這是不容妥協的。 讓我們先談談射頻環境，因為這是 MDU 部署真正變得複雜的地方。當您在相鄰單元中有多個租戶時——想想飯店走廊兩側都有房間，或者購物中心商店共享牆壁——您就處於高密度射頻環境中。同頻干擾是您的敵人。您需要在部署之前進行適當的射頻規劃演練：進行場地調查，繪製訊號傳播圖，識別干擾來源，並為您的頻道分配策略提供資訊。 2.4 GHz 頻帶在大多數監管領域提供三個非重疊的頻道——頻道 1、6 和 11。5 GHz 頻帶提供顯著更多的頻道，這就是為什麼現代部署盡可能將客戶端推向 5 GHz 的原因。Wi-Fi 6 和 Wi-Fi 6E 進一步將此擴展到 6 GHz 頻帶，為您提供一個乾淨的頻譜，基本上不受傳統裝置干擾。對於 2025 年及以後的新 MDU 部署，指定支援 Wi-Fi 6E 的 AP 是正確的選擇——額外的頻譜餘量在密集環境中帶來巨大回報。 在大規模 MDU 部署中獲得顯著採用的一種架構模式是使用軟體定義網路覆蓋層——特別是 SD-WAN 或 SD-LAN 方法，在這些方法中，租戶策略在中央定義並推送到邊緣。這將策略層與實體基礎架構分離，這意味著您可以加入新租戶、修改其頻寬分配或撤銷其存取權限，而無需觸碰任何一個交換器的命令列。對於管理數十或數百個租戶的場地運營商來說，這種營運效率具有變革性。 IoT 是您不容忽視的另一個面向。在現代 MDU 中——無論是飯店、零售複合體還是住宅區——您都有建築管理系統、HVAC 控制器、智慧照明、門禁控制、監視器和越來越多的其他連網裝置。這些裝置必須位於其自己的隔離 VLAN 上，與租戶流量和訪客流量完全分開。IoT 裝置出了名地難以修補，並代表著顯著的攻擊面。對它們進行分割、監控，並實施嚴格的出口過濾，以便它們只能與其指定的管理平台通訊。 好，讓我們進到實務。以下是我進行全新 MDU 部署的方法。 在您接觸任何硬體之前，先從邏輯設計開始。規劃出您的租戶數量、流量類別——管理、公司、訪客、IoT、支付——並相應地分配 VLAN。記錄您的 IP 定址方案。定義您的 VLAN 間路由策略：哪些可以與哪些通訊，以及哪些是絕對禁止的。 然後進行您的射頻規劃。委託進行適當的場地調查。不要依賴廠商的覆蓋地圖——它們頂多是樂觀的。您需要在實體空間中進行實際的訊號測量，考慮牆壁材料、地板結構以及來自鄰近建築物的射頻環境。 當您指定硬體時，優先考慮支援集中式雲端管理的平台。在沒有控制器的情況下管理分散式 AP 資產的在規模上是不具可持續性的。尋找能提供每個 SSID 頻寬策略、每個租戶報告以及與您的 RADIUS 基礎架構整合的平台。 關於陷阱：我看到最常見的故障模式是幹道埠設定不足。架構師設計了一個漂亮的 VLAN 方案，然後忘記在路徑上的每個幹道鏈路中明確允許相關的 VLAN。流量無聲地丟棄，租戶抱怨，支援團隊花費數天追蹤問題。仔細記錄您的幹道設定並在試運轉期間驗證它們。 第二個陷阱是 SSID 的氾濫。您廣播的每個 SSID 都會消耗無線信標訊框的通話時間。在密集環境中，每個 AP 廣播八到十個 SSID 會降低每個人的效能。將您的 SSID 數量保持在最低必要限度——通常每個無線電不超過四個。使用透過 RADIUS 屬性的動態 VLAN 分配，而不是獨立的 SSID，從單一 SSID 為多個租戶提供服務。 第三個陷阱是忽略管理平面。您的管理 VLAN——您的 AP、交換器和控制器通訊的那個——必須與所有租戶和訪客 VLAN 完全隔離。如果租戶可以到達您的管理平面，您就存在嚴重的安全漏洞。在可能的情況下使用帶外管理，並對管理流量套用嚴格的 ACL。 現在讓我來回答在這些部署中經常出現的一些問題。 單一 AP 可以支援多少個租戶？實際上，大多數企業級 AP 在效能下降之前可以處理每個無線電 20 到 30 個並行活躍客戶端。在密集 MDU 中，規劃每個 AP 對應 15 到 20 個活躍裝置，而不是每個實體單元。 我需要為每個租戶使用獨立的 AP 嗎？不——這正是基於 VLAN 的多租戶的重點。多個租戶共享相同的 AP，流量隔離在網路層強制執行。 每個租戶的正確頻寬分配是多少？沒有通用的答案，但常見的起點是保證每秒 10 到 25 兆位元，並具備突發能力，最多可達可用的上行鏈路容量。使用 QoS 策略來強制執行此限制，並防止任何單一租戶耗盡共享的上行鏈路。 我該如何處理需要自有防火牆的租戶？為他們提供專用的 VLAN 和一個路由交接點。他們將自己的 CPE 或防火牆連接到該交接點，其後的一切由他們自行負責。 總結來說：為 MDU 設計良好的多租戶 WiFi 架構建立在四個支柱上。第一，嚴格的 VLAN 分割，並在各區段之間強制執行防火牆策略。第二，基於集中式控制器的管理，為您提供大規模的營運可見性和策略控制。第三，適當的射頻規劃演練，考慮實體環境和部署的密度。第四，一個從第一天起就處理驗證、加密、IoT 隔離和合規要求的安全模型。 做得對的組織會看到可衡量的成果：減少支援開銷、更快的租戶導入、可供稽核的明顯合規態勢，以及將連線作為服務進行貨幣化的能力，而非將其視為成本中心。 如果您正在規劃 MDU 部署，並想探索 Purple 的平台如何能在您的網路基礎架構之上提供分析、訪客 WiFi 管理和租戶級別的報告層，指南中連結的資源是一個很好的起點。 感謝您的收聽。下次見。