Wi-Fi в офисе для 100+ человек: как сделать, чтобы не падал

Беспроводная сеть на сто человек — это не «большой домашний Wi-Fi». Это инженерная задача с радиофизикой, ёмкостью, безопасностью и управлением. Когда её решают «на глаз» — покупают пару точек подороже и вешают на стену — результат предсказуем: утром всё летает, к обеду половина офиса жалуется, что «интернет тормозит», хотя проводной канал в порядке. Дело не в канале, а в эфире.

Мы как ИТ-аутсорсер регулярно приходим на объекты, где Wi-Fi построен по домашней логике, и первым делом снимаем реальную картину эфира. Ниже — как устроен корпоративный Wi-Fi на много пользователей и что отличает сеть, которая держит нагрузку, от той, которая падает.

Почему домашние роутеры не тянут офис

Домашний роутер проектируется под квартиру: 10–20 устройств, один источник сигнала, никто не ходит по этажу с открытым видеозвонком. В офисе на 100 человек вводных три, и каждая ломает домашнюю модель.

Плотность устройств. На сотню сотрудников приходится не 100, а 200–300 активных устройств: ноутбук, смартфон, иногда планшет, плюс беспроводные принтеры, IP-телефоны, телевизоры в переговорках. Домашний роутер начинает захлёбываться уже на 30–40 клиентах: ему не хватает ресурсов обслуживать очередь запросов, и скорость проседает у всех сразу.

Радиоэфир — общий ресурс. Wi-Fi работает в воздухе, и эфир один на всех. Чем больше устройств в одной зоне, тем больше они «перебивают» друг друга. Один мощный роутер не решает проблему — наоборот, он сам себе создаёт помеху, «забивая» эфир на максимальной мощности. Правильно — много точек на умеренной мощности, поделивших между собой каналы и клиентов.

Роуминг. Сотрудник встал с ноутбуком и пошёл в переговорку. С одним роутером он держится за дальний слабый сигнал до последнего, и звонок рвётся. В корпоративной сети устройство должно бесшовно переключаться на ближайшую точку — а для этого точек должно быть несколько и ими должен управлять единый мозг.

Вывод простой: офис на 100 человек — это не про «мощный роутер», а про распределённую систему из точек доступа под общим управлением. Это отдельный класс оборудования и отдельная инженерная дисциплина.

Радиообследование: с чего начинается рабочий Wi-Fi

Радиообследование (site survey — обследование площадки) — это замер реального радиоэфира в конкретном помещении. Без него любой проект Wi-Fi — гадание. Бетонные стены, стеклянные перегородки, лифтовые шахты, металлические стеллажи на складе, соседние арендаторы со своими сетями за стенкой — всё это влияет на сигнал, и предсказать это по плану этажа в Excel невозможно.

Что делают на обследовании:

• Пассивный замер. Инженер с анализатором обходит этаж и снимает уровень сигнала, загруженность каналов, чужие сети, источники помех (микроволновки, Bluetooth-устройства, старое оборудование).
• Оценка ёмкости, а не только покрытия. Ключевая ошибка — проектировать «чтобы везде ловило». На сотню человек важнее не покрытие, а ёмкость: сколько устройств обслужит каждая зона в час пик. Open space на 60 рабочих мест и склад той же площади требуют принципиально разного числа точек.
• Учёт сценариев. Где будут видеозвонки, где склад со сканерами, где переговорки с трансляциями, где зона ресепшена с гостями. Под каждый сценарий — своя нагрузка.
• Предиктивная модель. На основе плана и замеров строится карта: где, сколько точек и на какой мощности ставить, какие каналы назначить, чтобы соседние точки не мешали друг другу.

Результат обследования — это проект: расстановка точек, схема прокладки кабеля (каждой точке нужен проводной порт и питание по PoE), назначение каналов и мощностей. На этом этапе становится понятно реальное число точек — а не «возьмём пять, должно хватить».

Контроллер и бесшовный роуминг

Когда точек больше пяти-шести, ими нельзя управлять поодиночке — нужен контроллер точек доступа. Это управляющий элемент, который превращает набор отдельных точек в единую сеть: раздаёт им конфигурацию, следит за эфиром, балансирует клиентов и обеспечивает бесшовный переход устройства от точки к точке.

Подробно про устройство и виды контроллеров — в отдельном материале про контроллер точек доступа. Здесь — что он даёт офису на практике.

Бесшовный роуминг. Сотрудник идёт по этажу с открытым видеозвонком, его ноутбук переключается между точками — и звонок не рвётся. Это работает благодаря стандартам быстрого роуминга (802.11r/k/v), которые контроллер включает и координирует на всех точках сразу. Без контроллера каждая точка «не знает» о соседях, и устройство цепляется за старую точку до последнего.

Балансировка нагрузки. Если в переговорку набилось 20 человек, контроллер не даёт всем повиснуть на одной точке — распределяет клиентов между ближайшими точками и диапазонами.

Автоматическая подстройка эфира. Контроллер постоянно мониторит помехи и сам меняет каналы и мощность точек, если рядом появилась чужая сеть или одна из точек вышла из строя (соседи увеличивают мощность, закрывая «дыру»).

Единое управление. Сменить пароль гостевой сети, добавить новый SSID (имя сети), обновить прошивку — одно действие на весь офис, а не обход каждой точки.

Контроллер бывает физической коробкой, виртуальной машиной на сервере или облачным сервисом. Для распределённой компании с несколькими офисами удобнее облачный или централизованный вариант — управление всеми площадками из одной панели.

Стандарты: Wi-Fi 6/6E, WPA3, 802.1X

Стандарт оборудования напрямую влияет на то, держит ли сеть плотную нагрузку.

Wi-Fi 6 (802.11ax) — текущий рабочий стандарт для офиса. Его главное преимущество не «больше мегабит на одно устройство», а умение обслуживать много клиентов одновременно. Технологии OFDMA и MU-MIMO позволяют точке параллельно общаться с десятками устройств, а не в порядке очереди, как раньше. Именно это критично для офиса на сотню человек.

Wi-Fi 6E добавляет диапазон 6 ГГц — широкий «чистый» эфир без legacy-устройств и соседских сетей. Для плотных open space и переговорок с трансляциями это серьёзный запас по ёмкости. Требует, чтобы и устройства поддерживали 6 ГГц, поэтому 6E закладывают на вырост.

WPA3-Enterprise и 802.1X — это про безопасность доступа. Вместо одного общего пароля на всех каждый сотрудник заходит под персональной корпоративной учётной записью или сертификатом. Уволился человек — отключили одной кнопкой в каталоге, остальным ничего менять не надо. Трафик каждого шифруется индивидуально. Как это устроено технически — в материале про WPA3-Enterprise и 802.1X. Для офиса с реальными данными (бухгалтерия, CRM, документы) это не опция, а базовый уровень гигиены.

Общая логика: оборудование — Wi-Fi 6 как минимум, аутентификация — корпоративная (802.1X), а общий пароль (PSK) оставляем максимум для гостевой сети, и то с оговорками.

Гостевая сеть и сегментация

В офисе всегда есть гости: клиенты, подрядчики, кандидаты на собеседовании. Им нужен интернет — но не нужен доступ к рабочим серверам, принтерам, кассам и компьютерам сотрудников. Здесь работают два механизма.

Гостевая сеть с порталом авторизации (captive portal). Это та самая страница, которая открывается при подключении к гостевому Wi-Fi — с кнопкой «принять условия», вводом телефона по SMS или просто приветствием компании. Captive portal решает две задачи: даёт контролируемый вход (по закону оператор связи обязан идентифицировать пользователя публичной сети) и отделяет гостей от рабочего контура.

Сегментация через VLAN. Гостевой трафик, рабочий трафик сотрудников, IP-телефония, видеонаблюдение — это разные сегменты сети, разделённые на виртуальные локальные сети (VLAN). Гость физически не видит рабочие устройства: его сегмент имеет выход только в интернет. Это значит, что заражённый ноутбук гостя не сможет добраться до бухгалтерии, а взлом гостевого Wi-Fi не открывает дверь во внутреннюю сеть.

Дополнительно гостевую сеть ограничивают по скорости, чтобы посетители на ресепшене не съедали канал, нужный отделу продаж. Хорошая практика — отдельный SSID для гостей, отдельный для сотрудников и, при необходимости, отдельный для устройств (IoT, принтеры, камеры), которым тоже не место в одной сети с рабочими станциями.

Типовые ошибки офисного Wi-Fi

1. Проектирование «по площади», а не по ёмкости. «Точка добивает на 30 метров, этаж 60 метров — берём две». На бумаге покрытие есть, на деле две точки не вытягивают 200 устройств. Считать надо плотность, а не квадратные метры.

2. Максимальная мощность на всех точках. Логика «чем мощнее, тем лучше» в Wi-Fi не работает. Точки на полной мощности глушат друг друга, клиенты цепляются за дальние точки и не роумятся. Правильно — умеренная мощность и продуманное распределение каналов.

3. Один SSID-пароль на всех без 802.1X. Удобно ровно до первого увольнения или утечки пароля. Дальше — менять пароль всему офису и переписывать его на полусотне устройств.

4. Гости в общей сети с рабочими устройствами. Классическая дыра в безопасности. Любой гостевой ноутбук — потенциальная точка входа во внутреннюю сеть.

5. Питание точек «как получится». Точкам нужно надёжное PoE-питание (питание по витой паре) от управляемого коммутатора, а не блоки питания в розетках за подвесным потолком. Иначе при скачке электричества половина точек уходит в перезагрузку.

6. Нет мониторинга. Сеть «работает, пока не пожаловались». Корпоративный Wi-Fi должен быть под наблюдением: контроллер показывает упавшие точки, перегруженные зоны, помехи — и проблему видно до того, как офис начнёт писать в поддержку. Эту и смежные ошибки мы разбирали в материале про 7 ошибок корпоративной сети.

Роль аутсорсера

Держать в штате инженера-беспроводника ради одной сети дорого и нерационально — такая нагрузка не загружает специалиста на полный день. Поэтому корпоративный Wi-Fi чаще отдают на ИТ-аутсорсинг. Что входит в работу аутсорсера по Wi-Fi:

• Радиообследование объекта и проект сети с расстановкой точек, схемой кабеля и питания.
• Подбор оборудования под задачу и бюджет — точки доступа, контроллер, PoE-коммутаторы. Здесь же учитывается доступность конкретных вендоров на дату проекта и влияние курса валют на стоимость импортного оборудования.
• Монтаж и пусконаладка — прокладка кабеля, установка точек, настройка контроллера, безопасной аутентификации и сегментации.
• Постпроектный замер — после монтажа повторное обследование подтверждает, что реальное покрытие и ёмкость совпадают с проектом.
• Мониторинг и поддержка по SLA — сеть под наблюдением NOC, инциденты ловятся раньше пользователей, есть зафиксированное время реакции.

Стоимость такого проекта качественно зависит от площади, числа точек, выбранной конфигурации оборудования и сложности монтажа, а также от курса на момент закупки импортных компонентов. Конкретная смета формируется после радиообследования — потому что именно оно показывает реальное число точек, а не «среднее по рынку».

Для распределённых компаний (несколько офисов, филиалы) Wi-Fi обычно проектируют в связке с межофисной сетью и удалённым доступом — об этом в материале про VPN для удалённых сотрудников и филиалов. А требования к помещению, где живут контроллер и сетевое ядро, разобраны в статье про серверную в офисе.

FAQ

Сколько точек доступа нужно на офис из 100 человек?

Точное число даёт только радиообследование, но как ориентир: одна современная точка уверенно держит 25–40 активных устройств. С учётом 2–3 устройств на сотрудника на 100 человек проектируют не «по площади», а «по плотности» — это чаще всего 6–12 точек на типовой открытый этаж плюс отдельные точки на переговорки. Главное — считать ёмкость, а не покрытие.

Почему обычный роутер не держит офис на 100 человек?

Домашний роутер рассчитан на 10–20 устройств и одну точку. В офисе на 100 человек одновременно работают 200–300 устройств, им нужен бесшовный роуминг, отдельная гостевая сеть, сегментация и единое управление. Один роутер физически не вытягивает такую плотность: эфир перегружается, клиенты отваливаются, скорость падает у всех сразу.

Что такое радиообследование и обязательно ли оно?

Радиообследование (site survey) — замер реального радиоэфира: где стены гасят сигнал, какие соседние сети мешают, где плотность людей выше. На его основе считают, сколько точек ставить, где и на какой мощности. Без обследования проект делается «на глаз», и часто это приводит к мёртвым зонам или взаимным помехам точек. Для офиса на 100+ человек обследование фактически обязательно.

Нужен ли контроллер точек доступа или можно без него?

На масштабе 100+ человек и 6+ точек контроллер нужен. Он даёт единое управление, бесшовный роуминг, балансировку клиентов и автоподстройку радиопараметров. Контроллер бывает коробкой, виртуальной машиной или облачным сервисом. Без контроллера каждая точка живёт сама по себе, и роуминг получается рваным.

Чем WPA3-Enterprise лучше обычного пароля на Wi-Fi?

Общий пароль (PSK) — один секрет на всех: уволился сотрудник или утёк пароль — меняй всем. WPA3-Enterprise с 802.1X выдаёт каждому персональный доступ через корпоративную учётную запись или сертификат. Сотрудника отключают одной кнопкой в каталоге, трафик каждого шифруется отдельным ключом. Для офиса с реальными данными это базовая гигиена безопасности.

Зачем гостевой Wi-Fi отделять от рабочего?

Гостевая сеть должна давать только выход в интернет и не видеть рабочие серверы, принтеры, кассы и компьютеры сотрудников. Если гости в той же сети, что и бухгалтерия, любой заражённый ноутбук гостя становится угрозой. Гостевую сеть выносят в отдельный сегмент (VLAN) с порталом авторизации и ограничением скорости.

Можно ли отдать корпоративный Wi-Fi на аутсорсинг?

Да, и для большинства компаний это разумнее, чем держать беспроводника в штате. Аутсорсер делает обследование, проектирует и монтирует сеть, настраивает контроллер и безопасную аутентификацию, а дальше держит её под мониторингом и реагирует по SLA. Wi-Fi превращается из головной боли в сервис с владельцем и зоной ответственности.

Вывод

Wi-Fi для офиса на 100+ человек не падает не потому, что там стоит «дорогой роутер», а потому, что сеть спроектирована как система: радиообследование показало реальную нагрузку, точек поставили столько, сколько нужно по ёмкости, ими управляет контроллер с бесшовным роумингом, доступ закрыт корпоративной аутентификацией, а гости изолированы в отдельном сегменте. Каждый из этих слоёв по отдельности кажется необязательным — но именно их сумма отличает сеть, которая держит час пик, от той, что отваливается к обеду.

Кибер Авангард проектирует и обслуживает корпоративный Wi-Fi под ключ: от радиообследования и проекта до монтажа, настройки безопасности и мониторинга по SLA. Мы не вендор и не навязываем конкретную марку — подбираем оборудование под вашу задачу, плотность и бюджет.

Если офисный Wi-Fi уже «не тянет» или вы только проектируете сеть в новом помещении — напишите нам, проведём радиообследование и покажем, сколько точек и какой конфигурации нужно именно вам.