UniFi Network 中的 WiFi 设置页面让你可以在 SSID 级别控制你的无线网络如何运行。你可以通过导航到 Settings > WiFi 访问该页面。这包括类似 SSID 和密码等基础设置,也有关于性能、漫游及安全性的高级选项。

本文将解释每一项设置、它的作用及适用场景——涵盖 SSID 级和接入点(AP)级的射频与 IP 参数。

SSID 级设置

基础配置

  • 网络名称 (SSID)

SSID 是显示在附近设备上的 WiFi 网络名称。建议选择一个独特且容易辨认的名字,尤其是当你管理多个网络时。

  • 密码

定义用户加入网络时需要输入的 WiFi 密码。密码必须至少 8 个字符。建议使用包含字母、数字和符号的强密码以获得更好的安全性。

  • 广播 AP

选择哪些接入点 (AP) 会广播此 WiFi 网络:

  • All – 所有 AP 均广播此网络。
  • Specific – 手动选择广播此网络的 AP。
  • Groups – 按照已定义的 AP 组广播。

提示:为访客网络或 IoT 设备按物理位置隔离时,推荐使用 SpecificGroups 选项。

高级 WiFi 设置

连接性选项

这些设置控制设备如何连接网络,以及 UniFi 如何处理不同的连接类型。

  • 私有预共享密钥 (PPSK)

允许你为同一个 SSID 分配多个唯一密码,每个密码映射到特定 VLAN 或用户组。这对于需要在同一个网络名称下分隔不同用户(如访客、员工或设备)但基于密码实现流量隔离场景尤其有用。注意,PPSK 需要使用 WPA2 加密(请参阅 WPA2 部分)。

  • 热点模式

开启 UniFi 的 Captive Portal 或 Passpoint (Hotspot 2.0) 功能,允许你为用户展示欢迎页面或在他们访问网络前要求身份认证。此功能非常适合公众或访客 WiFi 场景,需要受控访问和品牌展示。

  • 增强型 IoT 连接

开启专用 AP 功能以提升对特定智能家居和 IoT 设备(尤其是功能有限的设备)的兼容性。现代网络通常不需要此设置,但对于难以长期连接的老旧或低功耗设备有助于解决兼容性问题。

频段选择

控制 WiFi 网络所使用的频段。每个频段有不同的覆盖范围和性能特性。

  • WiFi 频段 (2.4 GHz、5 GHz、6 GHz)

选择 SSID 运行在哪些频段上。

  • 2.4 GHz – 覆盖范围更广,速度相对较低。
  • 5 GHz – 覆盖范围较短,但速度更高。
  • 6 GHz – 仅 WiFi 6E/7 设备支持,速度高且干扰少。

通常推荐使用多频段 SSID 以保证广泛的设备兼容性和最佳性能——尤其是在使用 6 GHz 时。如果只创建 6 GHz SSID,许多客户端由于依赖 2.4 或 5 GHz 频道进行扫描和初始连接,可能会出现发现问题。

多链路操作 (MLO)

WiFi 7 新特性,允许支持的客户端设备同时通过多个频段连接,提升带宽和连接稳定性。仅当你的网络中包含可以利用此特性的 WiFi 7 客户端时,才建议开启。该功能同时启用 WPA3 安全协议,可能会影响部分 IoT 客户端的兼容性。

频段引导 (Band Steering)

引导连接在 2.4 GHz 的客户端转入性能更高的 5 GHz,通过 BSS transition 帧实现。这套标准化机制已取代原有的 AP 级频段引导,后者如今已完全废弃。开启后可减少干扰、提升速度,让支持更高频段的设备表现更佳。一般建议保持开启状态。

网络行为与可见性

这些设置控制你的网络如何被广播,以及连接设备间的交互方式。

隐藏 WiFi 名称 (SSID 广播)

关闭 SSID 名称的公开广播,使其他设备在正常 WiFi 扫描中无法看到该网络。用户需手动输入 SSID 进行连接。该功能有一定的安全作用,能降低网络暴露,但仍可被高级空口侦测工具发现。

客户端设备隔离

阻止同一接入点下的设备间通讯(又称“东西向流量”)。非常适合访客或 IoT 网络,这些设备彼此无需通信,同时可以大幅减少空中带宽占用并提升整体无线表现。

代理 ARP

允许 AP 在连接客户端发起的 ARP(IPv4)和 NDP(IPv6)请求时直接响应,有助于减少网络中的广播流量。这能够提升空中带宽效率、降低延迟,尤其对大型网络效果明显。需注意,开启后 AP 资源消耗将增加,通常用于广播最小化和空中效率优化。

漫游与切换

这些设置帮助终端设备更高效地在不同 AP 之间切换,从而提升多 AP 环境下的用户体验。

BSS 切换

引导客户端离开信号弱或负载高的 AP,自动连接到附近表现更好的 AP。能改进多 AP 网络中的漫游体验,确保用户移动时性能稳定。但一些非常老旧的设备可能对该功能支持不佳,开启后可能导致漫游问题。一般建议保持开启状态。

UAPSD(未调度自动省电传送)

支持的客户端设备(如手机或平板)可通过此功能更长时间停留在省电状态,仅在有实时流量(消息、通话、推送等)时唤醒,可延长电池寿命并减少不必要的唤醒。但对于某些非标准或老式客户端,开启后可能出现连接问题。

快速漫游 (802.11r)

让支持的终端在 AP 之间切换时保持会话不中断,提升如手机、笔记本等移动设备的漫游体验,减少卡顿或掉线。强烈建议在需要频繁移动的环境开启。但需注意,快速漫游与交换机端口隔离存在冲突,建议两个功能不要同时开启。我们强烈建议启用此功能。

性能优化

这些设置有助于提升带宽、减少干扰,并在高负载网络中优先保障关键流量。

WiFi 速率限制

允许对连接本 SSID 的客户端限速。适用于降低访客或 IoT 设备的优先级,确保更多带宽可用于重要或高性能终端。单客户端最大限制为 100 Mbps。

组播增强

将组播流量(如媒体流或设备发现协议)转为单播,提高可靠性和效率。对于有 Chromecast、Apple TV 或 Sonos 等设备的网络尤为有用,因这些环境下的频繁组播流量可能影响性能。

组播与广播控制

限制组播及广播流量仅转发至具备接收能力的选定客户端,从而减少不必要流量对空气使用率和干扰的影响,特别适合有大量 IoT 设备或密集环境。

速率与周期

这些设置影响设备间通讯频率及强制设备漫游的时机。

802.11 DTIM 周期

控制 AP 发送缓存组播/广播流量的频率,可针对每个 WiFi 频段分别配置,或设为自动。提高 DTIM 间隔能提升部分场景下的漫游效率,但可能损及空中效率、电池寿命及 IoT 设备连通性。

此为高级设置,仅在有针对性漫游调优或排查时建议调整。我们的默认值为 2.4Ghz 频段为 1,5/6Ghz 频段为 3,兼顾连通性与终端表现。

最小数据速率控制

定义客户端连接该 SSID 允许的最低速率。提高最小速率可减少空中占用、加快设备漫游,有助于提升大型或高密度网络总体效率,但也可能阻止依赖低速率的老设备或 IoT 设备。调整前请考虑网络中设备类型,因为即使是高性能终端在信号较弱时也可能降至低速率。

安全性设置

这些选项控制终端如何认证及 WiFi 连接的安全级别。

安全协议(WPA2/WPA3)

定义网络的加密与认证模式。

应用建议:

  • 大多数环境采用 WPA2/WPA3 混合模式,这是兼顾现代安全和老旧设备兼容性的最佳方案。支持新设备通过 WPA3 连接,同时让不支持 WPA3 的设备可降级到 WPA2。
  • MLO 场景下仅用 WPA3
  • 企业网络建议采用基于 RADIUS 的 Enterprise 模式
  • 仅用 WPA2 适用于一些老旧 IoT 设备,或开启 PPSK 等目前仅支持 WPA2 的功能。
  • 访客网络建议采用 OWE(开放式增强)配合开放网络,能让支持 WPA3 的新设备无须密码获得连接安全性。请注意,所有 6 GHz 网络均符合标准强制要求启用 OWE 或 WPA3——打开 UniFi Network 的 OWE 选项可为你的 2.4 和 5 GHz SSID 同步启用。

受保护管理帧 (PMF)

为 WiFi 管理流量(如关联/拆离等消息)加密,防止伪造与踢人攻击。PMF 是 WPA3 与快速漫游的必备组成部分,可配置为三种状态:

  • 可选 (默认):客户端支持时启用,兼容不支持该特性的旧设备。
  • 必需:强制对所有客户端启用 PMF,安全性最高。WPA3-only 和 OWE 网络下必须启用。
  • 禁用:完全关闭 PMF,仅建议用于为老旧或不兼容设备创建独立 WPA2 SSID。

PMF 对保障现代网络必不可少,不建议随意关闭,除非遇到特定设备无法连接的情况。

组重密钥间隔

定义用于广播流量加密密钥的刷新频率。强烈建议保持默认配置。

MAC 地址过滤

通过仅允许注册的 MAC 地址设备加入网络,加一层基础访问控制,允许名单可直接在 UniFi 界面管理。适合客户端不更换/伪造 MAC 地址的简单管控场景。若希望按设备灵活隔离(如分 VLAN),宜用 PPSK 替代。

RADIUS MAC 认证

通过外部 RADIUS 服务器校验 MAC 地址后,才允许设备连接,是企业级网络中集中策略管理与接入控制的常用方案。

与本地 MAC 地址过滤 不同,RADIUS MAC 认证支持集中化策略、可集成身份系统,并允许按 MAC 实现动态 VLAN 或策略分配。详细了解可见此处。

SAE 防阻塞保护

WPA3 认证必需,用于阻止利用握手请求导致 AP 拒绝服务(DoS)攻击。典型部署场景极少需手动调整,仅高安全环境或遭遇针对性攻击时需要。大多数网络可安全保持关闭,强烈建议勿调整其默认值。

SAE 同步时间

配置 WPA3 握手重试的超时时间,决定等待响应的时长后再断开本次握手。设计用于防御针对握手时序的拒绝服务(DoS)攻击。与 SAE 防阻塞保护类似,默认开启,仅在高安全环境或特定场景下需要手动调整。

WiFi 黑名单调度器

可按天/周自动关闭某 SSID,适用于工作时间外限制访客或 IoT 网络接入、减少不必要网络活动,或用于家庭场景的上网管控。每个 SSID 可单独设定调度,实现灵活管理。

单独 AP 设置

最小 RSSI

告知 AP 根据信号强度(dBm)自动断开客户端。用于通过限制 AP 信号覆盖范围(小区)来提升数据速率并防止粘连客户端。但如果设置不当,可能影响正常漫游,一些终端在连续被踢出后可能拒绝再次连接同一 AP。一般不建议使用,除非高密度部署。

干扰屏蔽

最小 RSSI 的扩展,对低于最低信号强度的全部连接视为噪声,AP 不会盲目尝试与这类客户端完成认证过程。高密度场景推荐使用。

漫游助手

Network 9.2 引入的新功能,利用 BSS transition 帧,当客户端信号低于一定阈值时主动告知其即将被“温和”踢出。与最小 RSSI 的“硬踢”不同,这种“软踢”方式更易被现代终端接受,一般建议设为 -70 dBm 以下。