TL;DR
本文分上下两篇,基于为少数派办公室优化无线网络的实际经历,介绍了如何分析复杂无线环境中出现的问题,企业级路由和普通家用路由的不同之处,以及优化无线网络的各个常用手段。主要包括:
- 痛点:高峰时段网页打不开、掉线,因为旧的 Orbi Mesh 各个路由器均采用同一信道,同频干扰严重,糟糕的漫游设计加剧了设备掉线的情况。
- 方案:采用 UniFi 旗下企业级硬件,整体产品线丰富、硬件和软件设计上更现代、社区生态丰富。网关控制器采用 UDM-SE,支持 PoE 供电,为未来 2.5 GbE 与 Wi-Fi 7 做好准备;搭配 2 个 U6 Pro 和 3 个 U6 Mesh,扩展覆盖面的同时接入更多设备。
- 监控:夜间,通过频谱扫描确认 AP 周边的信道占用情况,调整 AP 所在的信道;白天监控设备的重传率,确认当前的信道是否合理。辅以日志和相关图标进一步做优化。
- 策略:用 UniFi Design Center 导入平面图,按墙体材质模拟覆盖并确定 AP 位置。安装后调整细节,仅两台 AP 开启 2.4 GHz,固定 7/13 信道 20 MHz;5 GHz 因干扰严重全部 40 MHz,边角房间选 DFS 频段。进一步调整功率,并设定最小 RSSI -70 dBm,提高设备漫游积极性。
- 限制:通过「代理 ARP」「组播增强」「组播和广播控制」「IGMP 侦听」「租用时间」等手段抑制网络风暴,减少无线局域网被广播包占用的时间;针对 IoT 设备则启用「增强 IoT 连接」「mDNS」「mDNS 代理」等功能,并绑定到 2.4GHz Wi-Fi 上。
我派在搬迁到新的办公室以后一直饱受着无线网络的各种问题,同事们时不时就会遇到网页打不开、聊天软件显示无网络,甚至是完全连不上 Wi-Fi 的情况。尤其是在工作日白天的高峰时段,多人同时在线时更为明显,这些问题严重影响了日常办公效率。
为了解决这一困扰,我们开始从问题开始出发逐步解决、并改善办公室的无线的网络。
找问题
我们先回顾一下原来的方案,整个办公室的网络用的是一组 Netgear Orbi 的 Mesh 无线路由系统,由 1 个主路由搭配 4 个分身路由组成,使用有线回程,大概有近 100 个设备接在上面。这套方案在家庭里可能会还不错,但在办公室这样的场景里方案的缺点就会明显放大。
首先,也是我认为影响最大的问题——整个 Mesh 路由系统不能独立调整信道;不管是主路由还是分身,都会默认广播一个 2.4GHz 和 5GHz 的,且信道一样,而这会导致同频干扰。
因为 Wi-Fi 本质上半双工的原理,多个设备在同一信道上必须轮流发送数据。不是你说我听,而是「谁都别说,等我说完才能轮到下一个人说」的机制。
这里我们可以举个不太恰当的例子:我们在一个嘈杂的餐厅吃饭,如果周围的人都在大声说话,那我们想要让别人听到我们在说的话就需要加大嗓门;而开会的时候只要不是会议室太大,即使不用麦克风,每个人也都能听清楚。
换而言之,所有在同一信道上的信号发射器(接入点,后续简称 AP)和无线客户端,都必须「竞争」发言权,一个设备在传输时,其他设备必须保持静默。
而且这一个机制并不是跟着某一个具体的网络走的,而是跟着整个信道走的,即便不是同一个网络、甚至都不是 Wi-Fi 发出的信号,比如微波炉发出的信号就会影响 2.4GHz 网络。只要能「听到」,就得「让路」。「让路」的结果就是每个设备的数据吞吐量会被拉低,进而出现速度变慢、卡顿等情况。
通过 macOS 上的 WiFi Explorer 可以看到,Orbi 不仅在主路由、还在所有的分身上都打开了 2.4GHz 广播,频段也都统一是 9,这导致了非常高的同频干扰,具体表现为:非常高的噪声、信噪比(SNR)也只有很低的 15dB;至于 5GHz,也同样都在 40 这个频段上,哪怕信号很好,但噪声依旧很高,反应在 SNR 上也依然不高。
其次,Mesh 路由系统也不能单独调整每个节点的发射功率,这使得整个网络无法根据节点部署位置灵活控制信号覆盖范围。而设备主要依赖自己本身的信号强度(RSSI)阈值触发漫游,部分终端会因为信号还可以接受,「粘」原路由节点不切换,却不跳到最近的、设备接入更少的节点。
第三,Mesh 路由系统只支持最基础的 Band/Client Steering 漫游,这里技术细节受到篇幅限制就不做展开了。这个机制本质上被动「引导」设备去连接到附近的 AP,不保证终端一定会配合,如果终端不配合的话很容易依旧停留在旧的 AP 上,出现断流、卡顿的情况。
而且由于连接到 AP 这个流程存在安全认证、握手等手段,这种基础的漫游的方式还会打断串流、在线会议的体验,甚至跨越太多的 AP 的话还会出现踢得太频繁,让设备像是断网了一样。
当然,这种不依赖漫游上下文信息的漫游,还会出现会出现漫游问题,比如:建议设备连接到到带宽更高但信号很差的 AP、或者建议设备连接到空闲但距离很远的 AP、又或者建议设备反复在多个 AP 之间跳转。
第四,缺少能抑制局域网请求风暴的高级控制功能,在办公室内这样的环境很容易因为各种各样的广播信号(比如找出某个 IP 对应的 Mac 地址的 ARP 广播、DHCP 服务器发现广播、mDNS 等名称解析广播)占用大量的无线传输时间,导致实际能承载的设备会远比宣称的要少。
最后,Mesh 路由系统缺少监控系统,不管是 Orbi 网页后台还是 App 都仅显示在线设备、信号强度,但是没有吞吐、重传率、历史问题等可以帮助分析的数据,而重传率恰恰就是 AP 测能直接看到、并衡量用户侧体验的数据之一。
Orbi 的主路由和分身自然也支持不支持目前行业标准的漫游协议,这一点可以从 Advanced Details 中看到中的 2 个字段可以看出来。
当然,我还注意到 Orbi 后台显示总计接入了 100 个左右的设备,当我用有线直连 Orbi 主路由时,通过使用 iperf3 测速也会发现速度会降低。不难发现确实遇到了硬件性能瓶颈。因为 NAT 转换、路由表查询、防火墙、加解密、和子路由的链路维护都需要 CPU 开销的,从经验上来看,办公室的设备数量在——
- ≤ 20 台时,双核 ARM ≥ 1 GHz 且硬件 NAT≥1 Gbps 的设备就足以满足,日常网页、语音会议和轻量视频会议要求了;
- 20–100 台时,就需要四核 ARM ≥ 1.6 GHz 且硬件 NAT≥2.5 Gbps,此外 RAM 也需要至少 1.5 GB,来满足云盘同步、中频视频会议的场景;
- 100–200 台时,就需要四核 ARM ≥ 2 GHz 且有专门 NPU 加速单元的硬件,此外 RAM 也需要至少 2 GB,来满足多路 1080p、并发下载、直播等场景。
同时启用深度包检测(DPI)和入侵防御系统(IPS)时,还需要预留 30-50% 左右的余量。
而刚好 Orbi 使用的 CPU 也是带不动那么多设备的,这就导致了在白天高峰期很容易因为 CPU 和内存瓶颈导致转发失败,呈现在用户侧就是时不时出现的高延迟、设备掉线等现象。
为什么选择 UniFi
既然找到了问题,下面就要解决问题。既然 Mesh 形态的路由器不适合办公室环境,那么能选的也就是企业路由配合对应的接入点了。
企业路由配合 AP 的架构可以最大化整体性能。相比 Mesh 路由需要一机多用,企业路由器专注于数据转发、NAT、DHCP、ACL、VLAN 等核心网络功能,同时维护 MAC 地址表与 ARP 表,确保内外网数据高效流通。AP 则负责广播无线信号、处理客户端漫游、射频调度(如 Band Steering、Load Balancing)、功率控制,以及最小 RSSI 限制,确保终端始终连接信号质量最优的节点。
这种硬件分离的架构有效避免了 All-in-One 设备因 CPU 占用率高、散热不足或射频干扰而造成的性能瓶颈。同时,我们还可以根据实际需求灵活增加 AP,无缝扩展无线覆盖范围,并通过网线供电,提升部署的便捷性与扩展性。
有很多品牌的都有企业级路由和对应接入点(AP)产品线,甚至可以选择独立的物理硬件配上 pfSense、OPNSense、RouterOS 做路由器,但考虑到办公室有网络工程知识背景的人比较少,且不想需要 CLI 命令行才能设置的硬件,也更希望更偏好鼠标点点就能设置维护的设备。
UniFi 的产品线非常广泛,覆盖了路由、交换、AP、摄像、门禁、VoIP 电话等等场景,虽然我们目前为止只打算使用 UniFi 的路由器和 AP,但在未来可以根据日后的情况自由购入更多种类的设备。
UniFi 的软硬件设计也相当不错,风格也适合少数派整体的办公室,放在办公室里好看但不起眼。加上 UniFi OS 全线支持 Web/App 界面,无需额外的订阅费用,鼠标点点就能完成大部分的操作设计,对于没有网络知识的同事也能很好上手;加上需要时能额外打开的 CLI 命令行,遇到问题也能及时定位。
此外,UniFi OS 基于的是 Debian 操作系统,社区也相当活跃。有相当多的反馈和建议。而且基于 Debian 也让 UniFi OS 在社区里有非常多的第三方脚本、面板、插件,来帮助我们进一步定制 UniFi 的使用体验,如果你愿意折腾的话,也可以在 UniFi 上搭建出另一个网络解决方案。
关联阅读:《自建 UniFi 内网监控面板,家庭网络动态尽在掌握》
只不过 UniFi 在购入时的拥有成本可能会更高,硬件单价普遍会比业界平均水平高出 15-60%,且大多数硬件电源多为 PoE 且不提供单独的 USB 电源。不过好在后续没有额外的订阅费,也没有广告,所以随着使用年限的增加,平均拥有成本可能会更低。
所以我们一番讨论下来决定使用 UniFi 的路由器和 AP 作为我们本次升级的网络核心设备。
不过,我们的新办公室已经装修好了,也不可能因为网络大动干戈,所以我们就需要根据现有的网线情况做安排。这里我们将办公室的平面图导入了 Unifi 的 Design Center 中,画出不同类型的墙壁,模拟摆设 AP 后,我们就能在 Design Center 中看到信号大致的分布。
在整个模拟阶段,我们还需要决定哪些 AP。UniFi 的 Wi-Fi 6 系列在我看来分为 3 类:
- 吸顶式:需要一定改造的、覆盖范围是 360 度,比如:U6 Pro、U6 LR;
- 挂墙式:需要一定改造的、覆盖范围是 180 度、提供额外的 RJ45 接口,比如:U6 In-Wall;
- 自由式:可以不做改造、覆盖范围是 360 度,比如:U6 Mesh;只不过吸顶式的理论遮挡更少、信号也会更好。
考虑到办公室需要接入的设备很多,加之办公室也没额外需要接有线的设备,所以我们最终决定在有改造空间的地方使用 U6 Pro,在没有改造空间的地方则直接放置 U6 Mesh。而网关则选择了自带 PoE、支持 2.5GbE 的 Dream Machine Special Edition(后文简称 UDM-SE),这样当下所有的 AP 都不需要额外供电,而 2.5GbE 则为日后的升级 Wi-Fi 7 留下了充足的空间。
UniFi 基本设置
在实地摆放好 AP 以后,并连接到 UDM-SE 以后,我们就能进入 Unifi 最基本的设置环节。对于大多数的家用环境而言,这部分只用设置 PPPoE 和 Wi-Fi 名称就好了。但办公室中的设备很多,为了我们后续能更方便地管理设备,所以要更细致地设置。
互联网设置
互联网设置目前我们要关注的是「预期运营商速度」「VLAN ID」「智能队列」以及「IPv4/IPv6 配置」。其其中,「预期运营商速度」指的是用户与宽带运营商签订的网络速率,通常可在签约回执单中查看。该选项不仅会影响流量图表的显示,还会直接影响后续智能队列的带宽分配策略。
「VLAN ID」与「MAC 地址克隆」同样属于连接互联网的基础配置,部分运营商在签约时会提供对应的参数信息。如果未提供,可将这两项保持为空即可。
「智能队列」则主要是一种 QoS 流量控制策略,目的是在低带宽的前提下保证一些被识别的实时流量,比如视频通话、在线游戏,拥有更低的延迟。这个功能也比较依赖 CPU 性能,在 UDM-SE 这样的设备上只适合 300Mbps 以下的情况打开;具体设置上应该是实测带宽的 80–90%,这样「智能队列」可以控制带宽使用,有效防止单设备或单连接完全占满带宽的情况。
家里如果有 IPTV 的话,记得还要把 IGMP 代理给选上,不然看不了电视。至于「IPv4 配置」在大多数场景下都是 PPPoE,填写好用户名、密码保存即可;而「IPv6 配置」办公室没有 IPv6 就没有设置,一般而言选择 SLAAC、前缀代理和前缀代理大小即可完成 IPv6 网络的配置。
网络(子网)设置
互联网设置完毕以后,我们就要设置具体的网络了,但我更愿意称之为子网,也就是 VLAN。VLAN 我们可以理解为车道,它可以将局域网里的流量分成不同的组,可以根据不同需求隔离各个子网或将一个子网的流量转发到另一个子网。
可能有朋友会问:为什么需要 VLAN?原因在于,在同一个局域网内,所有终端默认互相可见。随着终端数量增加,不仅广播风暴的风险上升,也更难对不同角色实行差异化的访问控制。举个几个例子来说:
- 访客网络和公司内部的网络一定需要划分 VLAN,因为访客不应该看到公司内所有的设备的细节;
- 在一些公司,研发、财务等有各自的保密场景,划分 VLAN 可以分部门、场景部署 ACL 审计规则和防火墙规则;
- 每个 VLAN 仅接收自身广播,终端数量较多的环境下可减轻 CPU 负载;
- 不同 VLAN 可绑定不同带宽队列或 QoS 等级,保证特定场景的业务不受带宽的影响。
少数派办公室虽然有 100 个左右的设备,但去除监控、智能家居设备,总计有 80 个内部设备终端,加上部门之间并无隔离需求,因此我们认为没必要维护过多子网。
基于此,我们设立了一个「通用」VLAN,用于承载所有内部流量。同时,单独为智能家居设备设置了「IoT」子网,为访客配置了「访客」子网。而最初默认存在的「Default」子网,则预留给 UniFi 设备使用,方便对设备进行更有条理的归类与管理。
在 VLAN 的设置界面,名称、路由器、区域(需要更新固件)这些常规设置没什么可以说的,但是网关 IP/子网还是有点细节要了解。首先是网关 IP,通常情况下你会看到类似 192.168.x.1 的格式,这就是一个典型的私有 IP 地址(Private IP),它专门用于局域网内部通信,不会暴露到公共互联网中。目前常用的私有 IP 地址范围包括:
- 10.0.0.0 – 10.255.255.255 (10.0.0.0/8)
- 172.16.0.0 – 172.31.255.255 (172.16.0.0/12)
- 192.168.0.0 – 192.168.255.255 (192.168.0.0/16)
而子网又是也被称为子网掩码(Subnet Mask),通常设置为 24,例如 192.168.1.0/24。这里的 /24 表示子网掩码是 255.255.255.0,也就是说,这个网络内可用的 IP 地址共有 254个(192.168.1.1 到 192.168.1.254,减去 .0 的网络地址和 .255 的广播地址)。
之所以绝大部分情况下设置为 24 主要是因为容易记忆,刚好只有最后一位在 1 到 255 变动,而 253 个地址又能满足大多数子网的情况,还能避免更大网络导致的网络广播风暴问题。除非明确知道需要更多或更少的 IP 地址数量(比如用于大型企业网络或精细化网段划分),否则一般推荐使用 24 作为子网设置,便于网络的日常管理和维护。
接着我们要把「高级」改成「手动」来更好、更易懂地管理 VLAN,比如:
VLAN ID:可以改成 xxx.xxx.yyy.xxx 中的 yyy 部分,且我们每个 VLAN 之间还间隔里至少 9 个 /24 来为日后容纳更多设备的情况做准备;
- 隔离网络:「访客」子网可以把这个钩上,直接隔绝和其他子网的连接;
- 允许 Internet 访问:完全隔绝这个子网的互联网,如果「IoT」子网里没有任何需要连接互联网设备的话这个可以打开;
- 组播 DNS:将一个子网内设备发现与名称解析发送到其他子网,建议只在有 IoT 的子网里打开;
- DHCP 模式:如果你确定这个子网就由 UniFi 网关提供 DHCP 服务(DHCP 是一种自动为网络中的设备分配 IP 地址、子网掩码、默认网关和 DNS 服务器等网络参数的协议,无需每个设备手动设置),那么这里就选择 DHCP 服务器;如果你确定你需要你需要局域网内的另一个硬件提供 DHCP 服务的话,就可以设置成 DHCP 中继,并填入 IP。特别的,我推荐在所有子网里都打开 DHCP 防护功能,并在受信任的 DHCP 服务器里填入正确的 IP;
- 域名:这里指的是本地域名,通常用于局域网内设备名称的解析。例如,当你在子网中设置了 local 作为域名,那么网络中一台名为 printer 的设备,其完整主机名就会是 printer.local,方便通过域名快速访问子网里的设备。
如果有这时内网服务需要穿透到外网的话,记得去互联网设置里把 UPnP 选项给钩上,再选择特定的子网即可。
Wi-Fi 设置
设置好子网以后,我们就是要设置 Wi-Fi,整个流程基本也不复杂,设置 Wi-Fi 的名称、对应的密码、绑定的子网,以及需要广播这个 Wi-Fi 的 AP。通常一个名称绑定一个子网,比如 SSPAI_2023 就是绑定的全员的「通用」子网,且在所有的 AP 上发射。
不过在设置 Wi-Fi 的时候还是有点细节值得注意的:首先有多个 AP 的情况下, 5GHz/6GHz Wi-Fi 因为覆盖范围小、可选频段多,所以每个 AP 都发射,作为主力覆盖、使用的频段;而 2.4GHz 因为覆盖广、但干扰多,所以只选择 1-2 个距离比较远的 AP 发射,主要用于智能家居和一些过于老旧的硬件。
此外,我也不建议将 2.4GHz 和 5GHz 混合广播在同一个 Wi-Fi 名称下。由于两者在传输特性、速率和覆盖范围上存在显著差异,混播可能导致客户端更倾向连接信号较强但速率较低的频段,而不是性能更优的频段。这会影响设备在漫游过程中的连贯性,使频段切换变得不可控,实际使用体验也自然会变差。虽然有频段引导也不一定有效,更何况部分 IoT 或老旧设备在面对双频 Wi-Fi 名称时,也可能会出现无法连接、频繁掉线或功能异常等问题。采用单频 Wi-Fi 名称有助于最大程度减少这些兼容性风险。
所以在这里我们还需要打开「高级」改成「手动」,将频段根据 Wi-Fi 的具体情况设置为 5GHz 和 2.4GHz,主要使用的 Wi-Fi 还可以打开「快速漫游」。快速漫游也被称为 802.11r,这个可以帮助客户端更顺畅地在多个 AP 之间切换,降低漫游时的延迟。但部分较老或不支持 802.11r 标准的设备可能会出现连接异常,所以我这里只建议在主要使用的 Wi-Fi 里再打开。
「BSS 转换」也可以在主要使用的 Wi-Fi 里打开,这个功能也被称为 802.11v,它可以向客户端设备提供有关邻近 AP 的信息,帮助设备更智能、更快速地切换到信号更好的 AP,从而减少漫游时连接中断和延迟。在主要网络里我们还能打开「UAPSD」,这个功能可以让手机、笔记本电脑、智能音箱等这样受支持的设备延长无线的睡眠时间,来节约电量。
至于 IoT 这样的只广播 2.4GHz 的 Wi-Fi,我是更推荐直接把「增强 IoT 连接」给打开。启用该功能后,UniFi AP 会只工作在 2.4 GHz 频段,并针对 IoT 设备的特性对 Wi-Fi 参数做出了一系列调整,包括:强制使用 WPA2 加密、启用组播增强、禁用 UAPSD、禁用之前提到的快速漫游,来增强 IoT 硬件的稳定性。
如果你想让 Wi-Fi 名称列表看起来更干净点的话,可以用「私有预共享密钥」,可以在一个 Wi-Fi 名称下面用不同的密码接入不同的子网,比如:主网络的 2.4GHz 和 IoT 的 2.4GHz 网络就可以用这个方法合为一个;不同部门不同子网也可以用不同,在只显示一个 Wi-Fi 名称的情况下接入不同的子网。
在下篇中,我们将介绍更多高级配置,包括 AP、频段等参数的选择思路,以及防火墙等功能的设置。
