為多租戶辦公大樓設計 WiFi 網路
本指南為 IT 經理、網路架構師和 CTO 提供了一個中立於廠商的藍圖,用於在多租戶辦公大樓中設計可擴展、安全且隔離的 WiFi 網路。內容涵蓋 IEEE 802.1Q 下的 VLAN 劃分、透過 802.1X 和 RADIUS 進行的動態 VLAN 分配、高密度環境的 RF 規劃,以及 GDPR 和 PCI-DSS 下的合規性考量。場地營運商和建築經理將獲得實用的架構指導、真實案例研究,以及在部署前需要避免的配置陷阱。
收聽此指南
查看播客逐字稿

執行摘要
對於管理多租戶辦公大樓的 CTO 和網路架構師而言,挑戰非常明確:如何透過單一共享的實體網路,向多個獨立組織提供可靠、安全、隔離的連線。在多租戶環境中,扁平化網路架構(flat network architecture)是嚴重的安全隱患。這擴大了您在 GDPR 和 PCI DSS 規範下的合規範圍,使租戶面臨橫向安全威脅,並造成隨著租戶數量增長而難以擴展的維運負擔。
本指南為設計多租戶 WiFi 架構提供了與供應商無關的藍圖。透過導入 IEEE 802.1Q VLAN 分段、基於 802.1X 的動態 VLAN 分配(Dynamic VLAN Assignment)以及嚴謹的 RF 規劃,您可以消除 SSID 激增的問題、減少高達 20% 的空口時間(airtime)開銷,並在租戶之間實施嚴格的 Layer 2 隔離。我們詳細介紹了技術標準、跨供應商(包括 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist)的硬體考量,以及保護基礎設施安全所需的路由策略。只要正確實施,此架構便能減少支援開銷、簡化合規稽核,並讓您將連線服務轉化為可獲利的加值服務。
技術深度剖析
反對扁平化網路的理由
扁平化網路將所有裝置(不論租戶、流量類型或安全層級為何)置於單一廣播網域中。每個裝置都會接收到每個廣播封包。單一受駭的訪客裝置即可掃描並接觸到 POS 終端機、大樓管理系統和企業工作站。這會讓您整個網路都落入 PCI DSS 的稽核範圍。這並非理論上的風險,而是許多在無線網路密度成為設計考量前便完成配線的多租戶大樓的預設狀態。
解決方案是邏輯分段。您不需要為每個租戶提供獨立的實體基礎設施;您需要的是設計良好的 VLAN 架構、配置妥當的防火牆和集中管理平台。
IEEE 802.1Q 與 VLAN 標記
虛擬區域網路(VLAN,標準化為 IEEE 802.1Q)允許您將單一實體交換器架構劃分為多個隔離的邏輯網路。當用戶端連線到 WiFi 存取點(AP)時,AP 會使用 12 位元的 VLAN 識別碼(VID)來標記該用戶端的訊框(frame)。交換器讀取此標記,並確保除非有明確的防火牆路由規則允許,否則來自某個 VLAN 的流量絕不會被轉發到另一個 VLAN 的連接埠上。
標準的多租戶辦公大樓至少需要四個 VLAN:
| VLAN | 流量類別 | 路由策略 |
|---|---|---|
| VLAN 10 | 企業租戶 A | 僅限網際網路 + 租戶特定資源 |
| VLAN 20 | 企業租戶 B | 僅限網際網路 + 租戶特定資源 |
| VLAN 30 | 訪客 WiFi (captive portal) | 僅限網際網路,完全無法存取任何租戶 VLAN |
| VLAN 40 | IoT 與 BMS | 僅限出口至指定的管理平台 |
對於擁有更多租戶的大樓,您可以擴展此模型。每個新增的租戶都會分配到一個專用的 VLAN 和相應的防火牆策略。實體基礎設施仍保持共享。

透過 802.1X 與 RADIUS 進行動態 VLAN 分配
過去,網路工程師會為每個租戶建立獨立的 SSID。這種方法會降低效能。每個 SSID 都會以最低的基本強制資料速率廣播管理訊框 (beacons),以確保舊型裝置可以連線。在單一存取點上廣播六或七個 SSID,在傳輸任何使用者資料之前,就可能消耗 20% 到 30% 的可用無線空中時間。在密集的多租戶大樓中,這是無法接受的。
現代標準是動態 VLAN 分配。您可以使用 IEEE 802.1X 驗證廣播單一安全的 SSID。當使用者連線時,其裝置 (supplicant) 會透過存取點 (authenticator) 與 RADIUS 伺服器交換憑證。RADIUS 伺服器會比對身分識別提供者 - Microsoft Entra ID、Okta 或 Google Workspace - 驗證憑證,並向存取點回傳 Access-Accept 訊息。該訊息包含三個 IETF 標準 RADIUS 屬性:
- Tunnel-Type (屬性 64):設定為 VLAN
- Tunnel-Medium-Type (屬性 65):設定為 802
- Tunnel-Private-Group-ID (屬性 81):該使用者組織的特定 VLAN ID
存取點收到這些屬性後,會動態地將該使用者的流量導向其指定的 VLAN。租戶 A 的員工和租戶 B 的員工連線到同一個 SSID。他們的流量在 Layer 2 實現完全隔離。交換器對待他們的方式就像是插在完全獨立的實體網路上一樣。
對於訪客區段,將流量透過專用的訪客 VLAN 路由至 captive portal。Purple 的 Guest WiFi 平台在隔離的區段上處理符合 GDPR 規範的同意管理、安全引導和 WiFi Analytics ,且對企業網路的路由存取權為零。如需存取控制架構的更廣泛概述,請參閱我們的 網路存取控制系統指南 。
WPA3-Enterprise 與加密標準
WPA3-Enterprise 是多租戶部署中推薦的加密標準。它提供 192 位元安全性模式,消除了 WPA2 四向交握中的漏洞,並在 IEEE 802.11w 下強制使用受保護管理幀 (PMF)。對於處理付款卡資料或敏感企業資訊的環境,使用 EAP-TLS(基於憑證的雙向驗證)的 WPA3-Enterprise 完全消除了憑證盜竊的管道。
對於無法部署憑證的訪客區段,WPA3-SAE (Simultaneous Authentication of Equals) 提供了向前安全性,確保遭到破解的金鑰不會暴露歷史流量。
高密度環境中的 RF 規劃
同通道干擾 (CCI) 是多租戶辦公大樓中 WiFi 效能不佳的主要原因。當相鄰的存取點在相同的頻率通道上廣播時,裝置必須等待空閒的空中時間才能進行傳輸。在擁有多個租戶和極高裝置密度的建築物中,未規劃的通道分配會造成擁擠的 RF 環境,這是再多頻寬也無法解決的。
在部署前進行主動的現場 RF 調查至關重要。廠商的覆蓋範圍地圖通常過於樂觀。您需要在實體空間中進行實際的訊號量測,將牆壁材質、地板結構以及來自鄰近建築物的 RF 環境納入考量。

在大多數監管領域中,2.4 GHz 頻段提供三個不重疊的通道(1、6 和 11)。5 GHz 頻段提供顯著更多的容量。WiFi 6E 擴展至 6 GHz 頻段,提供了基本上不受舊型裝置干擾的乾淨頻譜。對於新的多租戶部署,指定使用來自 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 或 Ubiquiti UniFi 且支援 WiFi 6E 的存取點,可提供高密度環境所需求之頻譜裕度。
IoT 隔離
現代辦公大樓包含建築管理系統、HVAC 控制器、智慧照明、存取控制和 CCTV。這些裝置眾所皆知難以修補,且代表了龐大的攻擊面。它們必須隔離在專用的 VLAN 上,並具有嚴格的出口過濾,僅允許向外通訊至其指定的管理平台。零路由存取任何租戶 VLAN。零路由存取訪客 VLAN。不論是從安全性還是 GDPR 的角度來看,這都是不可妥協的。
實作指南
步驟 1:在接觸硬體之前設計您的邏輯架構。 規劃您的租戶數量和流量類別(企業、訪客、IoT、付款、管理)並分配 VLAN。記錄您的 IP 位址配置方案。定義您的跨 VLAN 路由原則:什麼可以與什麼通訊,以及什麼是絕對禁止的。
第 2 步:委託進行主動式 RF 場地勘測。 絕不要依賴廠商的覆蓋範圍圖。您需要在物理空間中進行實際的訊號測量,以指導 AP 部署和通道分配。
第 3 步:配置您的核心防火牆並採用預設拒絕(Default-Deny)策略。 預設封鎖所有 VLAN 間路由。僅新增明確、特定連接埠的例外情況。每條 VLAN 間的路徑都必須經過合理化評估與記錄。
第 4 步:在所有 Trunk 連接埠上停用 VLAN 1。 將 Trunk 連接埠上的原生 VLAN 變更為未使用的、不可路由的 VLAN ID。這可以防止利用預設原生 VLAN 的 VLAN 跳躍攻擊。
第 5 步:驗證 Trunk 連接埠配置。 在從存取點到分佈層路徑上的每個 Trunk 連結上,明確允許每個必要的 VLAN ID。遺失 VLAN 標記會導致無聲的流量遺失,這需要花費數小時才能診斷出來。
第 6 步:部署集中式雲端管理。 來自 Cisco Meraki、HPE Aruba、Juniper Mist 和 Ruckus 的平台提供每個 SSID 的頻寬策略、每個租戶的報表,以及與您 RADIUS 基礎架構的整合。在沒有控制器的情況下管理分散式 AP 資產會帶來營運開銷,這在規模化時是無法持續的。
第 7 步:依區段設定 DHCP 租期。 企業 VLAN:8 至 24 小時。訪客 WiFi VLAN:1 至 2 小時。訪客區段上的短租期可防止在人員流動率高的環境中耗盡 IP 位址。
第 8 步:隔離管理平面。 您的管理 VLAN 必須與所有租戶和訪客 VLAN 完全隔離。對管理流量套用嚴格的 ACL。如果租戶可以存取您的管理平面,您就存在嚴重的安全性漏洞。
最佳實踐
下表總結了合規多租戶 WiFi 部署的金鑰配置標準。
| 控制項目 | 標準 | 原理 |
|---|---|---|
| VLAN 分割 | IEEE 802.1Q | 租戶之間的 Layer 2 隔離 |
| 身分驗證 | 搭配 WPA3-Enterprise 的 IEEE 802.1X | 消除憑證遭竊取的途徑 |
| 動態 VLAN 分配 | 帶有通道屬性的 RADIUS | 減少 SSID 數量,保留空中傳輸時間 |
| 訪客引導 | 包含 GDPR 同意書的 Captive Portal | 合規性與資料收集 |
| IoT 隔離 | 具有出口 ACL 的專用 VLAN | 限制未修補裝置的受攻擊面 |
| RF 規劃 | 主動式場地勘測 | 減輕同通道干擾 |
| 漫遊 | 802.11r 快速 BSS 轉換 | AP 之間的無縫切換 |
| 原生 VLAN | 不可路由、未使用的 VLAN ID | 防止 VLAN 跳躍攻擊 |
對於 飯店客房 部署,訪客 VLAN 隔離至關重要。對於 零售 環境,在專用 VLAN 上隔離 POS 終端機可以直接縮減 PCI DSS 稽核範圍。對於 交通運輸 樞紐和 醫療保健 機構,套用相同的分割原則,並需額外注意同時連線量和裝置類型的多樣性。 對於考慮採用衛星寬頻 WAN 上行鏈路的場域,Purple 的指南 如何在 Starlink 上設定 Captive Portal 涵蓋了針對偏遠與海上環境的特定考量。
疑難排解與風險緩釋
無聲流量丟棄。 這是多租戶部署中最常見的故障模式。原因在於 Trunk 埠上遺失了 VLAN 標記。使用者透過 802.1X 成功驗證,RADIUS 伺服器將其指派給 VLAN 40,但 Trunk 埠上不允許 VLAN 40。流量因此被丟棄,使用者無法取得 IP 地址。請務必仔細記錄 Trunk 組態,並在啟用測試期間進行驗證。
SSID 激增。 您廣播的每個 SSID 都會消耗信標訊框(beacon frame)的空閒時間。在密集環境中,每個 AP 有 8 到 10 個 SSID 會降低所有人的網路效能。請將每個射頻(radio)的 SSID 保持在不超過 4 個。請使用透過 RADIUS 屬性的動態 VLAN 指派,而非使用個別的 SSID 來服務多個租戶。
管理層面暴露。 如果您的管理 VLAN 未隔離,獲得存取權限的租戶就可以修改 AP 組態、中斷服務或攔截管理流量。請盡可能使用帶外管理(out-of-band management),並對所有管理介面套用嚴格的 ACL。
IoT 裝置漫延。 大樓營運商經常在未通知網路團隊的情況下新增 IoT 裝置。請實施網路存取控制(NAC)原則,要求在任何新裝置於 IoT VLAN 上取得 IP 地址之前,必須先獲得明確授權。
訪客 VLAN 上的 DHCP 耗盡。 在高流動性的環境中,裝置在斷開連線後仍會保留 DHCP 租期。一個 /24 子網路提供 254 個地址。在繁忙的會議中心或共同工作空間中,這些地址很快就會耗盡。請將租期時間設定為 1 到 2 小時,並調整訪客 VLAN 子網路的大小以容納高峰期的同時在線裝置數量。
ROI 與商業影響
規劃完善且區隔良好的多租戶 WiFi 架構可在三個維度上帶來可衡量的成果。
降低合規成本。 根據 Purple 自身的部署數據,將 POS 和付款終端機隔離在具有嚴格防火牆控制的專用 VLAN 上,可將 PCI-DSS 稽核範圍縮減約 70%。這直接降低了年度稽核成本以及您的 IT 團隊花在合規文件上的時間。
營運效率。 集中式雲端管理降低了管理分散式 AP 資產相關的營運成本(OpEx)。免設定上線(Zero-touch provisioning)、全域原則強制執行以及各租戶報表,免除了現場變更組態的需求。租戶上線時間從幾天縮短到幾小時。
創造營收。 安全且高效能的網路讓大樓營運商能夠將連線能力轉化為服務來營利。分級頻寬方案、針對每個租戶的 SLA 以及由數據分析驅動的洞察,將 WiFi 從成本中心轉變為營收來源。Purple 在全球超過 80,000 個實體場域運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年),提供支援此規模化模型的分析基礎架構。
欲進一步了解 WiFi 連線如何支援更廣泛的數位包容目標,請參閱我們關於 World WiFi Day 2026 的文章。如需了解與多據點部署相關的 WAN 架構考量入門知識,請參閱我們的 WAN 電腦網路定義指南 。
關鍵定義
IEEE 802.1Q
定義乙太網路訊框 VLAN 標記的網路標準。它在每個訊框中添加一個 4 位元組的標記,其中包含 12 位元的 VLAN 識別碼 (VID),使交換器能夠在共享的實體基礎設施上維護多個隔離的廣播網域。
多租戶網路劃分的基礎協定。每個企業級交換器和存取點都支援 802.1Q。如果沒有它,租戶之間的邏輯隔離將無法實現。
Dynamic VLAN Assignment
一種在 802.1X 認證成功後,RADIUS 伺服器向使用者或裝置分配特定 VLAN 的方法,使用 IETF RADIUS 屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)來指示無線基地台將使用者放入哪個 VLAN。
從單一 SSID 為多個租戶提供服務的標準方法。消除 SSID 激增並保留無線空中傳輸時間,同時保持租戶之間完整的 Layer 2 隔離。
IEEE 802.1X
基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它定義了三方認證模型:申請者(用戶端裝置)、認證者(無線基地台或交換器)和認證伺服器 (RADIUS)。在申請者通過認證之前,認證者會阻擋所有流量。
用於執行 Dynamic VLAN Assignment 的認證框架。WPA3-Enterprise 部署所必需。與身份識別提供商整合,包括 Microsoft Entra ID、Okta 和 Google Workspace。
RADIUS
遠端用戶撥入驗證服務。一種提供集中化認證、授權和計費 (AAA) 管理的網路協定。在 WiFi 部署中,RADIUS 伺服器會驗證使用者憑證並將 VLAN 分配屬性傳回給無線基地台。
執行 Dynamic VLAN Assignment 的伺服器基礎設施。可以部署在本地或作為雲端服務。透過 LDAP、SAML 或 SCIM 與身份識別提供商整合。
同頻干擾 (CCI)
當兩個或多個無線基地台在彼此的訊號範圍內,於相同的頻率頻道上進行廣播時所造成的干擾。裝置必須等待空閒的空中傳輸時間才能進行傳送,這會降低該頻道上所有使用者的有效吞吐量。
高密度多租戶大樓中 WiFi 效能不佳的主要原因。透過主動的 RF 現場勘測以及在 2.4 GHz、5 GHz 和 6 GHz 頻段上進行仔細的頻道分配來減輕干擾。
Native VLAN
802.1Q Trunk 連接埠上傳輸未標記流量的 VLAN。預設情況下,大多數交換器使用 VLAN 1 作為 Native VLAN,這為 VLAN 跳躍創造了一個眾所皆知的攻擊媒介。
在每個多租戶部署中都必須解決的安全風險。將所有 Trunk 連接埠上的 Native VLAN 變更為未使用的、不可路由的 VLAN ID,以防止 VLAN 跳躍攻擊。
Captive Portal
使用者在獲得網路存取權限之前必須與之互動的網頁。在 WiFi 部署中,使用者連接到開放或 WPA2-Personal SSID,被重導向至展示頁面進行認證或接受條款,然後在隔離的 VLAN 上獲得僅限網際網路的存取權限。
訪客 WiFi 區段的標準引導加入機制。支援符合 GDPR 規範的同意收集、身份驗證和分析。必須部署在對企業或租戶網路具有零路由存取權限的 VLAN 上。
WPA3-Enterprise
由 Wi-Fi Alliance 標準化的最新企業網路 Wi-Fi 安全協定。提供 192 位元加密強度 (CNSA 套件),需要 802.1X 認證,強制執行 IEEE 802.11w 規範下的保護管理訊框 (PMF),並消除了 WPA2 四向交握中的漏洞。
多租戶企業 WiFi 區段推薦的加密標準。處理付款卡資料或敏感企業資訊的環境所必需。受到所有主流企業 AP 廠商的支援。
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security。一種基於憑證的 802.1X 驗證方法,要求用戶端和 RADIUS 伺服器雙方皆出示 X.509 數位憑證,以提供雙向驗證並消除基於密碼的憑證竊取風險。
最安全的 802.1X 認證方法。用於憑證遭竊為主要擔憂的高安全性多租戶環境。需要公開金鑰基礎建設 (PKI) 來發行和管理用戶端憑證。
MAC Authentication Bypass (MAB)
一種備用驗證方法,當裝置不支援 802.1X 時,使用該裝置的 MAC 位址作為其身分識別。RADIUS 伺服器會查閱 MAC 位址並將裝置分配到預先定義的 VLAN。
適用於無法進行 802.1X 驗證的 IoT 裝置、印表機和其他設備。由於 MAC 位址可以被偽造,MAB 必須一律與所分配 VLAN 上的嚴格防火牆規則結合使用。
範例
一家擁有 12 家物業、共 350 間客房的酒店集團需要確保其網路安全。目前,房客的智慧型手機、員工筆記型電腦、POS 終端和建築管理系統都共用一個單一的扁平網路。由於整個網路都在稽核範圍內,IT 團隊每個月需要花費 40 個小時在 PCI-DSS 合規性文件上。CTO 希望在下一次稽核之前減少合規性開銷並改善安全防護態勢。
透過集中式雲端管理平台,在所有 12 家物業中部署使用 IEEE 802.1Q 的四個 VLAN 架構。VLAN 分配如下:VLAN 10 用於員工企業網路(經 802.1X 驗證,路由至內部資源和網際網路)、VLAN 20 用於訪客 WiFi(Captive Portal,僅限網際網路)、VLAN 30 用於 POS 終端(經 802.1X 驗證,僅路由至付款處理商端點),以及 VLAN 40 用於 IoT 和 BMS(MAC 驗證繞過,僅出口至 BMS 管理平台)。在所有 VLAN 之間配置「預設拒絕」的防火牆策略。在 VLAN 20 上整合 Purple 的訪客 WiFi 平台,以進行符合 GDPR 的同意管理和分析。在試運行期間,驗證路徑上每個交換器上的 Trunk 埠配置。
一家共享辦公營運商管理著一棟擁有 40 家獨立會員公司的 15 層辦公大樓。每家公司都需要自己獨立的 WiFi 網路。目前的架構為每家公司廣播一個獨立的 SSID,導致每層樓有 40 個 SSID。儘管有 10 Gbps 的光纖上行鏈路,但整棟大樓的 WiFi 效能仍然很差。網路團隊希望在不更換硬體的情況下解決效能問題。
使用 WPA3-Enterprise 和 IEEE 802.1X 驗證整合為單一安全 SSID。部署與大樓的身分識別提供者(Microsoft Entra ID 或 Okta)整合的 RADIUS 伺服器。將 RADIUS 伺服器配置為針對每個已驗證的使用者返回動態 VLAN 分配屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID),將他們歸入其公司專屬的 VLAN 中。保留一個帶有 Captive Portal 的獨立訪客 WiFi SSID 供訪客存取。這將每個射頻頻段的 SSID 數量從 40 個減少到兩個。在 SSID 整合後進行主動 RF 現場勘測,以驗證頻道分配和 AP 部署。
練習題
Q1. 您正在為一棟新的綜合用途大樓部署 WiFi,該大樓一樓有 20 個獨立的零售租戶,1 到 5 樓有 10 個辦公室租戶。大樓業主希望每個租戶都有自己專屬的安全 WiFi 網路,外加一個供訪客使用的共享 Guest WiFi 網路。最有效的架構方法是什麼?每個存取點最多應廣播幾個 SSID?
提示:請考慮廣播 30 個獨立 SSID 對無線空中傳輸時間的影響。思考 Dynamic VLAN Assignment 如何透過單一 SSID 為多個租戶提供服務。
查看標準答案
為所有企業租戶部署一個使用 WPA3-Enterprise 和 IEEE 802.1X 驗證的單一安全 SSID。使用與大樓身分驗證提供者整合的 RADIUS 伺服器來執行 Dynamic VLAN Assignment,在驗證後將每個租戶的裝置置於其專屬的隔離 VLAN 中。為帶有 Captive Portal 的 Guest WiFi 部署第二個 SSID。如此一來,每個無線電波段只需兩個 SSID,遠低於四個 SSID 的最大上限。30 個租戶中的每一個都會收到一個專用 VLAN,並附帶相應的預設拒絕(Default-Deny)防火牆策略。Guest WiFi VLAN 對任何租戶 VLAN 的路由存取權限皆為零。
Q2. 在對一棟多租戶辦公大樓進行部署後稽核期間,您發現來自 Guest WiFi VLAN(VLAN 30)的流量可以成功 ping 通 IoT VLAN(VLAN 40)上的裝置。兩者皆位於獨立的 VLAN 上。最可能的原因是什麼?立即的補救步驟是什麼?
提示:VLAN 在 Layer 2 隔離廣播網域。什麼負責處理 Layer 3 不同子網路之間的流量路由?
查看標準答案
核心路由器或防火牆缺少預設拒絕(Default-Deny)的 VLAN 間路由策略。預設情況下,路由器會在所有連接的子網路之間傳遞流量。立即的補救措施是在防火牆上設定一條明確的拒絕規則,阻擋從 VLAN 30 到 VLAN 40 的所有流量。同時稽核所有其他 VLAN 間路由策略,以確認不存在其他非預期的路徑。長期解決方案是在所有 VLAN 上實施預設拒絕策略,僅允許明確且有記錄的例外情況。
Q3. 多租戶辦公大樓中的某個租戶回報,他們的裝置可以成功驗證到 WiFi 網路,但始終無法取得 IP 位址且無法存取網際網路。同一存取點上的其他租戶運作正常。RADIUS 伺服器記錄顯示受影響的租戶已成功驗證並分配到 VLAN 50。您首先應該檢查什麼設定?
提示:思考帶有 VLAN 標記的流量從存取點到核心交換器所經過的實體路徑。必須在該路徑上進行什麼設定才能讓 VLAN 50 流量通過?
查看標準答案
檢查連接到存取點的交換器連接埠上的 802.1Q trunk 連接埠設定。確認 VLAN 50 已明確列在 trunk 的允許 VLAN 清單中。如果 trunk 不允許 VLAN 50,交換器將丟棄所有帶有 VLAN 50 標記的訊框,用戶端將永遠收不到 DHCP 回應。將 VLAN 50 新增到 trunk 的允許 VLAN 清單中,並確認用戶端收到 IP 位址。同時確認存在適用於 VLAN 50 子網路的 DHCP 範圍。
Q4. 大樓營運商希望新增 50 個新的 IoT 感測器來監控多租戶辦公大樓的能源消耗。這些感測器不支援 802.1X 驗證。您應該如何安全地上網這些設備,以及應對其 VLAN 應用什麼防火牆策略?
提示:考量無法進行 802.1X 驗證的裝置可用的驗證方法,以及該方法的安全性影響。
查看標準答案
使用 MAC Authentication Bypass (MAB) 來上網 IoT 感測器。在 RADIUS 伺服器中註冊每個感測器的 MAC 位址,並配置伺服器將通過驗證的 MAC 位址分配給專用的 IoT VLAN(例如 VLAN 40)。由於 MAC 位址可能會被偽造,因此請對 VLAN 40 應用嚴格的出站防火牆規則:僅允許出站流量傳送到指定的能源管理平台 IP 位址,並封鎖所有其他出站流量和所有入站流量。應用嚴格的 ACL,以防止 VLAN 40 上的任何設備與任何租戶 VLAN 或管理 VLAN 建立連線。
繼續閱讀本系列
證明清白的時間:如何證明問題不在 WiFi
證明清白的時間(MTTI)是定義 IT 團隊花費多少時間來證明網路問題並非其責任的關鍵指標。本指南詳細介紹了五步驟的可觀測性方法,以消除多租戶環境中的推諉現象,用共同證據取代互相指責,從而降低平均修復時間(MTTR)。
共享 WiFi 基礎設施的法律與合規要求
本權威技術參考指南概述了部署和管理共享 WiFi 基礎設施的關鍵法律、法規和架構要求。它為 IT 經理、網路架構師和場地營運商提供了實用的框架,以確保使用企業標準實現強大的數據保護、嚴格的支付安全合規性以及高效能的租戶隔離。
共同工作空間中的頻寬管理與服務品質 (QoS)
本指南為 IT 經理、網路架構師和場域營運總監提供權威的技術參考,介紹如何在共同工作環境中部署強健的頻寬管理與服務品質 (QoS) 架構。內容詳細說明網路分段、流量優先級排序、與廠商無關的設定以及實際的 ROI 指標,以提供企業級的連線品質。本指南涵蓋 IEEE 802.11e/WMM 標準、VLAN 設計、單一用戶限速以及具備可衡量業務成效的疑難排解策略。