跳至主要內容

為多租戶辦公大樓設計 WiFi 網路

本指南為 IT 經理、網路架構師和 CTO 提供了一個中立於廠商的藍圖,用於在多租戶辦公大樓中設計可擴展、安全且隔離的 WiFi 網路。內容涵蓋 IEEE 802.1Q 下的 VLAN 劃分、透過 802.1X 和 RADIUS 進行的動態 VLAN 分配、高密度環境的 RF 規劃,以及 GDPR 和 PCI-DSS 下的合規性考量。場地營運商和建築經理將獲得實用的架構指導、真實案例研究,以及在部署前需要避免的配置陷阱。

📖 9 分鐘閱讀📝 2,022 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
PURPLE 技術簡報 為多租戶辦公大樓設計 WiFi 網路 完整逐字稿 [第 1 節:引言與背景 - 1 分鐘] 歡迎收看 Purple 技術簡報。我是 Purple 的資深解決方案架構師,今天我們要深入探討企業網路中最具技術挑戰性的部署情境之一:為多租戶辦公大樓設計 WiFi 網路。 無論您是負責擁有十五個獨立租戶的 A 級商業大樓、結合零售與辦公空間的混合用途開發項目,還是靈活的共享辦公園區,面臨的挑戰基本上都是相同的。您需要透過單一共享的實體網路,為多個獨立組織提供可靠、安全且隔離的連線。而且,您必須以符合合規性要求、減少支援團隊的工作量、且不需要配置全職工程師來維護的方式來實現這一點。 讓我們深入了解技術架構。 [第 2 節:技術深入探討 - 5 分鐘] 任何多租戶 WiFi 設計的基礎都是網路分段。實現這一點的主要機制是 VLAN 標記(在 IEEE 802.1Q 標準下)。這個概念非常簡單:您將每個租戶或每個流量類別分配到一個獨立的虛擬區域網路。除非您透過防火牆原則明確允許,否則 VLAN 10 上的流量無法存取 VLAN 20 上的流量。這種邏輯隔離是您的第一道防線。 然而,這正是架構師經常犯下第一個錯誤的地方。他們將 VLAN 分段與安全性混為一談。VLAN 僅提供隔離,不提供安全性。您仍然需要 VLAN 之間的防火牆原則。您仍然需要存取控制清單。而且您仍然需要仔細思考允許哪些跨 VLAN 路由。一個設定錯誤的 Trunk 埠可能會在幾秒鐘內瓦解您的整個分段模型。 在多租戶辦公大樓中,您通常會擁有共享的實體基礎設施:為多個租戶提供服務的佈線、交換器架構和基地台。這些基地台會廣播多個 SSID,每個 SSID 都對應到不同的 VLAN。租戶 A 連線到其 SSID,其流量在基地台處被標記為 VLAN 10,透過 Trunk 埠穿過共享的交換器架構,並到達分發層,在此被路由到租戶 A 的隔離子網路中。租戶 B 的流量遵循相同的實體路徑,但在 Layer 2 處被完全隔離。 在過去,網路工程師通常透過為每個租戶建立唯一的 SSID 來進行環境分段。但 SSID 的過度擴增是效能殺手。您廣播的每個 SSID 都必須以最低的基本強制資料速率傳輸稱為指標(Beacon)的管理訊框。如果您在一個基地台上廣播六或七個 SSID,您很容易就會在管理開銷上消耗掉 20% 到 30% 的可用無線空中傳輸時間。而這是在傳輸任何實際用戶數據之前就發生的事。 現代企業標準是動態 VLAN 分配(Dynamic VLAN Assignment)。您不需要廣播多個 SSID,而是使用 IEEE 802.1X 驗證廣播一個安全 SSID。當使用者連線時,他們的裝置會與 RADIUS 伺服器交換認證資訊。RADIUS 伺服器會驗證使用者,並將 Access-Accept 訊息傳回至存取點。關鍵在於,此訊息包含特定的 IETF 標準屬性:Tunnel-Type、Tunnel-Medium-Type 以及包含該使用者組織專屬 VLAN ID 的 Tunnel-Private-Group-ID。 存取點收到這些屬性後,會動態地將該使用者的流量直接導入其專屬的 VLAN 中。企業主管和 IoT 裝置可以連線到完全相同的 SSID,但他們的流量在 Layer 2 被完全隔離。 在驗證方面,WPA3-Enterprise 是目前推薦的加密標準。它提供 192 位元安全性模式,並消除了與 WPA2 四向握手(four-way handshake)相關的漏洞。Microsoft Entra ID、Okta 或 Google Workspace 等身分識別提供者可與您的 RADIUS 基礎架構整合,以集中管理認證資訊。 現在我們來談談射頻(RF)規劃,因為這是多租戶辦公室部署真正變得複雜的地方。當您在相鄰空間中有多個租戶時,您就處於高密度的 RF 環境中。同頻道干擾是您的敵人。您在部署前需要進行適當的 RF 規劃:進行主動式場勘,繪製訊號傳播圖、識別干擾源,並為您的頻道分配策略提供依據。 2.4 GHz 頻段在大多數監管區域中為您提供三個互不重疊的頻道:頻道 1、6 和 11。5 GHz 頻段則為您提供顯著更大的容量。WiFi 6E 將其延伸到 6 GHz 頻段,為您提供基本上不受舊版裝置干擾的乾淨頻譜。對於新的多租戶部署,指定來自 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 等廠商且支援 WiFi 6E 的存取點是正確的決定。額外的頻譜空間在密集環境中能帶來豐厚的回報。 IoT 是另一個您不能忽視的維度。在現代多租戶大樓中,您擁有大樓管理系統、HVAC 控制器、智慧照明、門禁控制和 CCTV。這些必須放在自己隔離的 VLAN 上,與租戶流量和訪客流量完全分開。IoT 裝置眾所周知難以修補,且代表了顯著的受攻擊面。請對它們進行區段隔離、監控,並套用嚴格的出口過濾。 [第 3 節:實作建議與陷阱 - 2 分鐘] 讓我分享我在多租戶部署中看到的三個最常見陷阱。 第一個是中繼埠(trunk port)設定不足。架構師設計了完美的 VLAN 方案,卻忘記在路徑中的每個中繼鏈路上明確允許相關的 VLAN。流量無故中斷,租戶抱怨連連,支援團隊則花費數天時間追蹤問題。請務必仔細記錄您的中繼設定,並在啟用過程中進行驗證。 第二個陷阱是 SSID 濫增。請將每個射頻(radio)的 SSID 數量控制在不超過四個。請使用透過 RADIUS 屬性的動態 VLAN 分配(Dynamic VLAN Assignment),而不是使用獨立的 SSID 來服務多個租戶。 第三個陷阱是忽視管理層面(management plane)。您的管理 VLAN(即您的基地台、交換器和控制器進行通訊的網絡)必須與所有租戶和訪客 VLAN 完全隔離。如果租戶能夠存取您的管理層面,您就面臨了關鍵的安全漏洞。 我還要加上第四個:忽視訪客 VLAN 上的 DHCP 租期管理。在人員流動率高的環境中,裝置在斷開連線後仍會佔用租約。請將訪客 VLAN 的租期設定為一到兩個小時,以防止 IP 位址耗盡。 [SECTION 4: RAPID-FIRE Q AND A - 1 MINUTE] 讓我快速解答一些在這些佈署中經常出現的問題。 您是否需要為每個租戶配備獨立的實體基地台?不需要。這正是基於 VLAN 的多租戶架構之核心所在。多個租戶共享相同的基地台,並在網路層強制執行流量隔離。 如何處理不支援 802.1X 的舊型 IoT 裝置?結合使用 MAC 驗證繞過(MAC Authentication Bypass)與 WPA3-SAE。RADIUS 伺服器會透過 MAC 位址識別裝置,並將其分配到隔離的 IoT VLAN。在此網段套用嚴格的防火牆規則。 動態 VLAN 分配會影響漫遊嗎?如果您設定正確就不會。啟用 802.11r 以進行快速 BSS 轉換(Fast BSS Transition)和機會性金鑰快取(Opportunistic Key Caching)。驗證狀態會跨基地台進行快取,使用者可無縫漫遊,而不會有重新驗證的延遲。 [SECTION 5: SUMMARY AND NEXT STEPS - 1 MINUTE] 總結來說:為辦公大樓精心設計的多租戶 WiFi 架構建立在四個支柱之上。 第一,嚴格的 VLAN 切割,並在網段之間執行強制防火牆原則。第二,集中式基於控制器的管理,為您提供大規模的營運能見度和原則控制。第三,考量實體環境和佈署密度的適當射頻(RF)規劃。第四,從第一天起就解決驗證、加密、IoT 隔離和合規性要求的安全模型。 做好這些規劃的企業組織會看到顯著的成果:減少支援開銷、更快的租戶上線速度、用於稽核的具體合規表現,以及將網路連線作為一種服務進行獲利的能力,而不是將其視為成本中心。如果您正在規劃多租戶部署,並想探索 Purple 的平台如何在您的網路基礎架構之上提供分析、訪客 WiFi 管理和租戶級報表層,請造訪 purple dot ai。指南中連結的資源是一個很好的起步點。 感謝您的收聽。我們下次見。

header_image.png

執行摘要

對於管理多租戶辦公大樓的 CTO 和網路架構師而言,挑戰非常明確:如何透過單一共享的實體網路,向多個獨立組織提供可靠、安全、隔離的連線。在多租戶環境中,扁平化網路架構(flat network architecture)是嚴重的安全隱患。這擴大了您在 GDPR 和 PCI DSS 規範下的合規範圍,使租戶面臨橫向安全威脅,並造成隨著租戶數量增長而難以擴展的維運負擔。

本指南為設計多租戶 WiFi 架構提供了與供應商無關的藍圖。透過導入 IEEE 802.1Q VLAN 分段、基於 802.1X 的動態 VLAN 分配(Dynamic VLAN Assignment)以及嚴謹的 RF 規劃,您可以消除 SSID 激增的問題、減少高達 20% 的空口時間(airtime)開銷,並在租戶之間實施嚴格的 Layer 2 隔離。我們詳細介紹了技術標準、跨供應商(包括 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist)的硬體考量,以及保護基礎設施安全所需的路由策略。只要正確實施,此架構便能減少支援開銷、簡化合規稽核,並讓您將連線服務轉化為可獲利的加值服務。

技術深度剖析

反對扁平化網路的理由

扁平化網路將所有裝置(不論租戶、流量類型或安全層級為何)置於單一廣播網域中。每個裝置都會接收到每個廣播封包。單一受駭的訪客裝置即可掃描並接觸到 POS 終端機、大樓管理系統和企業工作站。這會讓您整個網路都落入 PCI DSS 的稽核範圍。這並非理論上的風險,而是許多在無線網路密度成為設計考量前便完成配線的多租戶大樓的預設狀態。

解決方案是邏輯分段。您不需要為每個租戶提供獨立的實體基礎設施;您需要的是設計良好的 VLAN 架構、配置妥當的防火牆和集中管理平台。

IEEE 802.1Q 與 VLAN 標記

虛擬區域網路(VLAN,標準化為 IEEE 802.1Q)允許您將單一實體交換器架構劃分為多個隔離的邏輯網路。當用戶端連線到 WiFi 存取點(AP)時,AP 會使用 12 位元的 VLAN 識別碼(VID)來標記該用戶端的訊框(frame)。交換器讀取此標記,並確保除非有明確的防火牆路由規則允許,否則來自某個 VLAN 的流量絕不會被轉發到另一個 VLAN 的連接埠上。

標準的多租戶辦公大樓至少需要四個 VLAN:

VLAN 流量類別 路由策略
VLAN 10 企業租戶 A 僅限網際網路 + 租戶特定資源
VLAN 20 企業租戶 B 僅限網際網路 + 租戶特定資源
VLAN 30 訪客 WiFi (captive portal) 僅限網際網路,完全無法存取任何租戶 VLAN
VLAN 40 IoT 與 BMS 僅限出口至指定的管理平台

對於擁有更多租戶的大樓,您可以擴展此模型。每個新增的租戶都會分配到一個專用的 VLAN 和相應的防火牆策略。實體基礎設施仍保持共享。

vlan_architecture_diagram.png

透過 802.1X 與 RADIUS 進行動態 VLAN 分配

過去,網路工程師會為每個租戶建立獨立的 SSID。這種方法會降低效能。每個 SSID 都會以最低的基本強制資料速率廣播管理訊框 (beacons),以確保舊型裝置可以連線。在單一存取點上廣播六或七個 SSID,在傳輸任何使用者資料之前,就可能消耗 20% 到 30% 的可用無線空中時間。在密集的多租戶大樓中,這是無法接受的。

現代標準是動態 VLAN 分配。您可以使用 IEEE 802.1X 驗證廣播單一安全的 SSID。當使用者連線時,其裝置 (supplicant) 會透過存取點 (authenticator) 與 RADIUS 伺服器交換憑證。RADIUS 伺服器會比對身分識別提供者 - Microsoft Entra ID、Okta 或 Google Workspace - 驗證憑證,並向存取點回傳 Access-Accept 訊息。該訊息包含三個 IETF 標準 RADIUS 屬性:

  • Tunnel-Type (屬性 64):設定為 VLAN
  • Tunnel-Medium-Type (屬性 65):設定為 802
  • Tunnel-Private-Group-ID (屬性 81):該使用者組織的特定 VLAN ID

存取點收到這些屬性後,會動態地將該使用者的流量導向其指定的 VLAN。租戶 A 的員工和租戶 B 的員工連線到同一個 SSID。他們的流量在 Layer 2 實現完全隔離。交換器對待他們的方式就像是插在完全獨立的實體網路上一樣。

對於訪客區段,將流量透過專用的訪客 VLAN 路由至 captive portal。Purple 的 Guest WiFi 平台在隔離的區段上處理符合 GDPR 規範的同意管理、安全引導和 WiFi Analytics ,且對企業網路的路由存取權為零。如需存取控制架構的更廣泛概述,請參閱我們的 網路存取控制系統指南

WPA3-Enterprise 與加密標準

WPA3-Enterprise 是多租戶部署中推薦的加密標準。它提供 192 位元安全性模式,消除了 WPA2 四向交握中的漏洞,並在 IEEE 802.11w 下強制使用受保護管理幀 (PMF)。對於處理付款卡資料或敏感企業資訊的環境,使用 EAP-TLS(基於憑證的雙向驗證)的 WPA3-Enterprise 完全消除了憑證盜竊的管道。

對於無法部署憑證的訪客區段,WPA3-SAE (Simultaneous Authentication of Equals) 提供了向前安全性,確保遭到破解的金鑰不會暴露歷史流量。

高密度環境中的 RF 規劃

同通道干擾 (CCI) 是多租戶辦公大樓中 WiFi 效能不佳的主要原因。當相鄰的存取點在相同的頻率通道上廣播時,裝置必須等待空閒的空中時間才能進行傳輸。在擁有多個租戶和極高裝置密度的建築物中,未規劃的通道分配會造成擁擠的 RF 環境,這是再多頻寬也無法解決的。

在部署前進行主動的現場 RF 調查至關重要。廠商的覆蓋範圍地圖通常過於樂觀。您需要在實體空間中進行實際的訊號量測,將牆壁材質、地板結構以及來自鄰近建築物的 RF 環境納入考量。

rf_planning_heatmap.png

在大多數監管領域中,2.4 GHz 頻段提供三個不重疊的通道(1、6 和 11)。5 GHz 頻段提供顯著更多的容量。WiFi 6E 擴展至 6 GHz 頻段,提供了基本上不受舊型裝置干擾的乾淨頻譜。對於新的多租戶部署,指定使用來自 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 或 Ubiquiti UniFi 且支援 WiFi 6E 的存取點,可提供高密度環境所需求之頻譜裕度。

IoT 隔離

現代辦公大樓包含建築管理系統、HVAC 控制器、智慧照明、存取控制和 CCTV。這些裝置眾所皆知難以修補,且代表了龐大的攻擊面。它們必須隔離在專用的 VLAN 上,並具有嚴格的出口過濾,僅允許向外通訊至其指定的管理平台。零路由存取任何租戶 VLAN。零路由存取訪客 VLAN。不論是從安全性還是 GDPR 的角度來看,這都是不可妥協的。

實作指南

步驟 1:在接觸硬體之前設計您的邏輯架構。 規劃您的租戶數量和流量類別(企業、訪客、IoT、付款、管理)並分配 VLAN。記錄您的 IP 位址配置方案。定義您的跨 VLAN 路由原則:什麼可以與什麼通訊,以及什麼是絕對禁止的。

第 2 步:委託進行主動式 RF 場地勘測。 絕不要依賴廠商的覆蓋範圍圖。您需要在物理空間中進行實際的訊號測量,以指導 AP 部署和通道分配。

第 3 步:配置您的核心防火牆並採用預設拒絕(Default-Deny)策略。 預設封鎖所有 VLAN 間路由。僅新增明確、特定連接埠的例外情況。每條 VLAN 間的路徑都必須經過合理化評估與記錄。

第 4 步:在所有 Trunk 連接埠上停用 VLAN 1。 將 Trunk 連接埠上的原生 VLAN 變更為未使用的、不可路由的 VLAN ID。這可以防止利用預設原生 VLAN 的 VLAN 跳躍攻擊。

第 5 步:驗證 Trunk 連接埠配置。 在從存取點到分佈層路徑上的每個 Trunk 連結上,明確允許每個必要的 VLAN ID。遺失 VLAN 標記會導致無聲的流量遺失,這需要花費數小時才能診斷出來。

第 6 步:部署集中式雲端管理。 來自 Cisco Meraki、HPE Aruba、Juniper Mist 和 Ruckus 的平台提供每個 SSID 的頻寬策略、每個租戶的報表,以及與您 RADIUS 基礎架構的整合。在沒有控制器的情況下管理分散式 AP 資產會帶來營運開銷,這在規模化時是無法持續的。

第 7 步:依區段設定 DHCP 租期。 企業 VLAN:8 至 24 小時。訪客 WiFi VLAN:1 至 2 小時。訪客區段上的短租期可防止在人員流動率高的環境中耗盡 IP 位址。

第 8 步:隔離管理平面。 您的管理 VLAN 必須與所有租戶和訪客 VLAN 完全隔離。對管理流量套用嚴格的 ACL。如果租戶可以存取您的管理平面,您就存在嚴重的安全性漏洞。

最佳實踐

下表總結了合規多租戶 WiFi 部署的金鑰配置標準。

控制項目 標準 原理
VLAN 分割 IEEE 802.1Q 租戶之間的 Layer 2 隔離
身分驗證 搭配 WPA3-Enterprise 的 IEEE 802.1X 消除憑證遭竊取的途徑
動態 VLAN 分配 帶有通道屬性的 RADIUS 減少 SSID 數量,保留空中傳輸時間
訪客引導 包含 GDPR 同意書的 Captive Portal 合規性與資料收集
IoT 隔離 具有出口 ACL 的專用 VLAN 限制未修補裝置的受攻擊面
RF 規劃 主動式場地勘測 減輕同通道干擾
漫遊 802.11r 快速 BSS 轉換 AP 之間的無縫切換
原生 VLAN 不可路由、未使用的 VLAN ID 防止 VLAN 跳躍攻擊

對於 飯店客房 部署,訪客 VLAN 隔離至關重要。對於 零售 環境,在專用 VLAN 上隔離 POS 終端機可以直接縮減 PCI DSS 稽核範圍。對於 交通運輸 樞紐和 醫療保健 機構,套用相同的分割原則,並需額外注意同時連線量和裝置類型的多樣性。 對於考慮採用衛星寬頻 WAN 上行鏈路的場域,Purple 的指南 如何在 Starlink 上設定 Captive Portal 涵蓋了針對偏遠與海上環境的特定考量。

疑難排解與風險緩釋

無聲流量丟棄。 這是多租戶部署中最常見的故障模式。原因在於 Trunk 埠上遺失了 VLAN 標記。使用者透過 802.1X 成功驗證,RADIUS 伺服器將其指派給 VLAN 40,但 Trunk 埠上不允許 VLAN 40。流量因此被丟棄,使用者無法取得 IP 地址。請務必仔細記錄 Trunk 組態,並在啟用測試期間進行驗證。

SSID 激增。 您廣播的每個 SSID 都會消耗信標訊框(beacon frame)的空閒時間。在密集環境中,每個 AP 有 8 到 10 個 SSID 會降低所有人的網路效能。請將每個射頻(radio)的 SSID 保持在不超過 4 個。請使用透過 RADIUS 屬性的動態 VLAN 指派,而非使用個別的 SSID 來服務多個租戶。

管理層面暴露。 如果您的管理 VLAN 未隔離,獲得存取權限的租戶就可以修改 AP 組態、中斷服務或攔截管理流量。請盡可能使用帶外管理(out-of-band management),並對所有管理介面套用嚴格的 ACL。

IoT 裝置漫延。 大樓營運商經常在未通知網路團隊的情況下新增 IoT 裝置。請實施網路存取控制(NAC)原則,要求在任何新裝置於 IoT VLAN 上取得 IP 地址之前,必須先獲得明確授權。

訪客 VLAN 上的 DHCP 耗盡。 在高流動性的環境中,裝置在斷開連線後仍會保留 DHCP 租期。一個 /24 子網路提供 254 個地址。在繁忙的會議中心或共同工作空間中,這些地址很快就會耗盡。請將租期時間設定為 1 到 2 小時,並調整訪客 VLAN 子網路的大小以容納高峰期的同時在線裝置數量。

ROI 與商業影響

規劃完善且區隔良好的多租戶 WiFi 架構可在三個維度上帶來可衡量的成果。

降低合規成本。 根據 Purple 自身的部署數據,將 POS 和付款終端機隔離在具有嚴格防火牆控制的專用 VLAN 上,可將 PCI-DSS 稽核範圍縮減約 70%。這直接降低了年度稽核成本以及您的 IT 團隊花在合規文件上的時間。

營運效率。 集中式雲端管理降低了管理分散式 AP 資產相關的營運成本(OpEx)。免設定上線(Zero-touch provisioning)、全域原則強制執行以及各租戶報表,免除了現場變更組態的需求。租戶上線時間從幾天縮短到幾小時。

創造營收。 安全且高效能的網路讓大樓營運商能夠將連線能力轉化為服務來營利。分級頻寬方案、針對每個租戶的 SLA 以及由數據分析驅動的洞察,將 WiFi 從成本中心轉變為營收來源。Purple 在全球超過 80,000 個實體場域運作,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年),提供支援此規模化模型的分析基礎架構。

欲進一步了解 WiFi 連線如何支援更廣泛的數位包容目標,請參閱我們關於 World WiFi Day 2026 的文章。如需了解與多據點部署相關的 WAN 架構考量入門知識,請參閱我們的 WAN 電腦網路定義指南

關鍵定義

IEEE 802.1Q

定義乙太網路訊框 VLAN 標記的網路標準。它在每個訊框中添加一個 4 位元組的標記,其中包含 12 位元的 VLAN 識別碼 (VID),使交換器能夠在共享的實體基礎設施上維護多個隔離的廣播網域。

多租戶網路劃分的基礎協定。每個企業級交換器和存取點都支援 802.1Q。如果沒有它,租戶之間的邏輯隔離將無法實現。

Dynamic VLAN Assignment

一種在 802.1X 認證成功後,RADIUS 伺服器向使用者或裝置分配特定 VLAN 的方法,使用 IETF RADIUS 屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)來指示無線基地台將使用者放入哪個 VLAN。

從單一 SSID 為多個租戶提供服務的標準方法。消除 SSID 激增並保留無線空中傳輸時間,同時保持租戶之間完整的 Layer 2 隔離。

IEEE 802.1X

基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它定義了三方認證模型:申請者(用戶端裝置)、認證者(無線基地台或交換器)和認證伺服器 (RADIUS)。在申請者通過認證之前,認證者會阻擋所有流量。

用於執行 Dynamic VLAN Assignment 的認證框架。WPA3-Enterprise 部署所必需。與身份識別提供商整合,包括 Microsoft Entra ID、Okta 和 Google Workspace。

RADIUS

遠端用戶撥入驗證服務。一種提供集中化認證、授權和計費 (AAA) 管理的網路協定。在 WiFi 部署中,RADIUS 伺服器會驗證使用者憑證並將 VLAN 分配屬性傳回給無線基地台。

執行 Dynamic VLAN Assignment 的伺服器基礎設施。可以部署在本地或作為雲端服務。透過 LDAP、SAML 或 SCIM 與身份識別提供商整合。

同頻干擾 (CCI)

當兩個或多個無線基地台在彼此的訊號範圍內,於相同的頻率頻道上進行廣播時所造成的干擾。裝置必須等待空閒的空中傳輸時間才能進行傳送,這會降低該頻道上所有使用者的有效吞吐量。

高密度多租戶大樓中 WiFi 效能不佳的主要原因。透過主動的 RF 現場勘測以及在 2.4 GHz、5 GHz 和 6 GHz 頻段上進行仔細的頻道分配來減輕干擾。

Native VLAN

802.1Q Trunk 連接埠上傳輸未標記流量的 VLAN。預設情況下,大多數交換器使用 VLAN 1 作為 Native VLAN,這為 VLAN 跳躍創造了一個眾所皆知的攻擊媒介。

在每個多租戶部署中都必須解決的安全風險。將所有 Trunk 連接埠上的 Native VLAN 變更為未使用的、不可路由的 VLAN ID,以防止 VLAN 跳躍攻擊。

Captive Portal

使用者在獲得網路存取權限之前必須與之互動的網頁。在 WiFi 部署中,使用者連接到開放或 WPA2-Personal SSID,被重導向至展示頁面進行認證或接受條款,然後在隔離的 VLAN 上獲得僅限網際網路的存取權限。

訪客 WiFi 區段的標準引導加入機制。支援符合 GDPR 規範的同意收集、身份驗證和分析。必須部署在對企業或租戶網路具有零路由存取權限的 VLAN 上。

WPA3-Enterprise

由 Wi-Fi Alliance 標準化的最新企業網路 Wi-Fi 安全協定。提供 192 位元加密強度 (CNSA 套件),需要 802.1X 認證,強制執行 IEEE 802.11w 規範下的保護管理訊框 (PMF),並消除了 WPA2 四向交握中的漏洞。

多租戶企業 WiFi 區段推薦的加密標準。處理付款卡資料或敏感企業資訊的環境所必需。受到所有主流企業 AP 廠商的支援。

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security。一種基於憑證的 802.1X 驗證方法,要求用戶端和 RADIUS 伺服器雙方皆出示 X.509 數位憑證,以提供雙向驗證並消除基於密碼的憑證竊取風險。

最安全的 802.1X 認證方法。用於憑證遭竊為主要擔憂的高安全性多租戶環境。需要公開金鑰基礎建設 (PKI) 來發行和管理用戶端憑證。

MAC Authentication Bypass (MAB)

一種備用驗證方法,當裝置不支援 802.1X 時,使用該裝置的 MAC 位址作為其身分識別。RADIUS 伺服器會查閱 MAC 位址並將裝置分配到預先定義的 VLAN。

適用於無法進行 802.1X 驗證的 IoT 裝置、印表機和其他設備。由於 MAC 位址可以被偽造,MAB 必須一律與所分配 VLAN 上的嚴格防火牆規則結合使用。

範例

一家擁有 12 家物業、共 350 間客房的酒店集團需要確保其網路安全。目前,房客的智慧型手機、員工筆記型電腦、POS 終端和建築管理系統都共用一個單一的扁平網路。由於整個網路都在稽核範圍內,IT 團隊每個月需要花費 40 個小時在 PCI-DSS 合規性文件上。CTO 希望在下一次稽核之前減少合規性開銷並改善安全防護態勢。

透過集中式雲端管理平台,在所有 12 家物業中部署使用 IEEE 802.1Q 的四個 VLAN 架構。VLAN 分配如下:VLAN 10 用於員工企業網路(經 802.1X 驗證,路由至內部資源和網際網路)、VLAN 20 用於訪客 WiFi(Captive Portal,僅限網際網路)、VLAN 30 用於 POS 終端(經 802.1X 驗證,僅路由至付款處理商端點),以及 VLAN 40 用於 IoT 和 BMS(MAC 驗證繞過,僅出口至 BMS 管理平台)。在所有 VLAN 之間配置「預設拒絕」的防火牆策略。在 VLAN 20 上整合 Purple 的訪客 WiFi 平台,以進行符合 GDPR 的同意管理和分析。在試運行期間,驗證路徑上每個交換器上的 Trunk 埠配置。

考官評語: 透過隔離 POS 區段,此方法將 PCI-DSS 稽核範圍縮減了約 70%。嚴格的防火牆策略可防止受感染的訪客裝置橫向移動至付款基礎設施。IT 團隊省下了先前每月花費在合規性文件上的 40 個小時。集中式雲端管理平台可在無需實地考察的情況下,在所有 12 家物業中實施一致的策略。

一家共享辦公營運商管理著一棟擁有 40 家獨立會員公司的 15 層辦公大樓。每家公司都需要自己獨立的 WiFi 網路。目前的架構為每家公司廣播一個獨立的 SSID,導致每層樓有 40 個 SSID。儘管有 10 Gbps 的光纖上行鏈路,但整棟大樓的 WiFi 效能仍然很差。網路團隊希望在不更換硬體的情況下解決效能問題。

使用 WPA3-Enterprise 和 IEEE 802.1X 驗證整合為單一安全 SSID。部署與大樓的身分識別提供者(Microsoft Entra ID 或 Okta)整合的 RADIUS 伺服器。將 RADIUS 伺服器配置為針對每個已驗證的使用者返回動態 VLAN 分配屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID),將他們歸入其公司專屬的 VLAN 中。保留一個帶有 Captive Portal 的獨立訪客 WiFi SSID 供訪客存取。這將每個射頻頻段的 SSID 數量從 40 個減少到兩個。在 SSID 整合後進行主動 RF 現場勘測,以驗證頻道分配和 AP 部署。

考官評語: 將每個射頻頻段的 SSID 數量從 40 個減少到兩個,消除了原本消耗 20% 到 30% 可用空中時間的訊標管理開銷。用戶端平均吞吐量顯著提高。動態 VLAN 分配方法可在不對實體基礎設施進行任何變更的情況下,保持所有 40 家會員公司之間的完整 Layer 2 隔離。RF 現場勘測可確保在配置變更後最佳化頻道分配。

練習題

Q1. 您正在為一棟新的綜合用途大樓部署 WiFi,該大樓一樓有 20 個獨立的零售租戶,1 到 5 樓有 10 個辦公室租戶。大樓業主希望每個租戶都有自己專屬的安全 WiFi 網路,外加一個供訪客使用的共享 Guest WiFi 網路。最有效的架構方法是什麼?每個存取點最多應廣播幾個 SSID?

提示:請考慮廣播 30 個獨立 SSID 對無線空中傳輸時間的影響。思考 Dynamic VLAN Assignment 如何透過單一 SSID 為多個租戶提供服務。

查看標準答案

為所有企業租戶部署一個使用 WPA3-Enterprise 和 IEEE 802.1X 驗證的單一安全 SSID。使用與大樓身分驗證提供者整合的 RADIUS 伺服器來執行 Dynamic VLAN Assignment,在驗證後將每個租戶的裝置置於其專屬的隔離 VLAN 中。為帶有 Captive PortalGuest WiFi 部署第二個 SSID。如此一來,每個無線電波段只需兩個 SSID,遠低於四個 SSID 的最大上限。30 個租戶中的每一個都會收到一個專用 VLAN,並附帶相應的預設拒絕(Default-Deny)防火牆策略。Guest WiFi VLAN 對任何租戶 VLAN 的路由存取權限皆為零。

Q2. 在對一棟多租戶辦公大樓進行部署後稽核期間,您發現來自 Guest WiFi VLAN(VLAN 30)的流量可以成功 ping 通 IoT VLAN(VLAN 40)上的裝置。兩者皆位於獨立的 VLAN 上。最可能的原因是什麼?立即的補救步驟是什麼?

提示:VLAN 在 Layer 2 隔離廣播網域。什麼負責處理 Layer 3 不同子網路之間的流量路由?

查看標準答案

核心路由器或防火牆缺少預設拒絕(Default-Deny)的 VLAN 間路由策略。預設情況下,路由器會在所有連接的子網路之間傳遞流量。立即的補救措施是在防火牆上設定一條明確的拒絕規則,阻擋從 VLAN 30 到 VLAN 40 的所有流量。同時稽核所有其他 VLAN 間路由策略,以確認不存在其他非預期的路徑。長期解決方案是在所有 VLAN 上實施預設拒絕策略,僅允許明確且有記錄的例外情況。

Q3. 多租戶辦公大樓中的某個租戶回報,他們的裝置可以成功驗證到 WiFi 網路,但始終無法取得 IP 位址且無法存取網際網路。同一存取點上的其他租戶運作正常。RADIUS 伺服器記錄顯示受影響的租戶已成功驗證並分配到 VLAN 50。您首先應該檢查什麼設定?

提示:思考帶有 VLAN 標記的流量從存取點到核心交換器所經過的實體路徑。必須在該路徑上進行什麼設定才能讓 VLAN 50 流量通過?

查看標準答案

檢查連接到存取點的交換器連接埠上的 802.1Q trunk 連接埠設定。確認 VLAN 50 已明確列在 trunk 的允許 VLAN 清單中。如果 trunk 不允許 VLAN 50,交換器將丟棄所有帶有 VLAN 50 標記的訊框,用戶端將永遠收不到 DHCP 回應。將 VLAN 50 新增到 trunk 的允許 VLAN 清單中,並確認用戶端收到 IP 位址。同時確認存在適用於 VLAN 50 子網路的 DHCP 範圍。

Q4. 大樓營運商希望新增 50 個新的 IoT 感測器來監控多租戶辦公大樓的能源消耗。這些感測器不支援 802.1X 驗證。您應該如何安全地上網這些設備,以及應對其 VLAN 應用什麼防火牆策略?

提示:考量無法進行 802.1X 驗證的裝置可用的驗證方法,以及該方法的安全性影響。

查看標準答案

使用 MAC Authentication Bypass (MAB) 來上網 IoT 感測器。在 RADIUS 伺服器中註冊每個感測器的 MAC 位址,並配置伺服器將通過驗證的 MAC 位址分配給專用的 IoT VLAN(例如 VLAN 40)。由於 MAC 位址可能會被偽造,因此請對 VLAN 40 應用嚴格的出站防火牆規則:僅允許出站流量傳送到指定的能源管理平台 IP 位址,並封鎖所有其他出站流量和所有入站流量。應用嚴格的 ACL,以防止 VLAN 40 上的任何設備與任何租戶 VLAN 或管理 VLAN 建立連線。