Wydajne i bezpieczne WiFi w firmie — kompletny przewodnik

Niestabilne WiFi to codzienność w wielu polskich firmach — zrywające się wideokonferencje, wolne transfery plików, martwe strefy na korytarzach. A do tego: czy Twoja sieć bezprzewodowa jest naprawdę bezpieczna? W tym przewodniku pokazujemy, jak zaprojektować sieć WiFi, która jest jednocześnie szybka, stabilna i odporna na ataki. Doradzamy firmom z Wrocławia i okolic na każdym etapie — od site survey po monitoring.

Dlaczego firmowe WiFi to nie „router z Allegro"?

Domowy router za 200 zł obsłuży 5–10 urządzeń. W firmie masz 30, 50, a czasem 200+ urządzeń — laptopy, telefony, drukarki, kamery, tablety, urządzenia IoT. Każde z nich wymaga stabilnego połączenia, odpowiedniej przepustowości i izolacji bezpieczeństwa.

Najczęstsze problemy firmowego WiFi:

• Przeciążenie access pointów — zbyt wielu klientów na jednym AP = spadek prędkości dla wszystkich
• Interferencje — sąsiednie sieci, mikrofale, Bluetooth, urządzenia przemysłowe zakłócają sygnał
• Martwe strefy — grube ściany, metalowe konstrukcje, regały magazynowe blokują sygnał
• Brak segmentacji — goście, pracownicy i urządzenia IoT w jednej sieci = zagrożenie bezpieczeństwa
• Przestarzały sprzęt — AP sprzed 5+ lat nie obsługuje WiFi 6/6E, WPA3, band steering

Projektowanie sieci WiFi — od czego zacząć?

1. Site survey — badanie terenu

Profesjonalne wdrożenie zaczyna się od badania radiowego (site survey). To pomiar i analiza warunków propagacji sygnału w Twojej lokalizacji. Przeprowadzamy badania site survey we Wrocławiu i na terenie całego Dolnego Śląska.

• Predictive survey — symulacja na planie budynku (przed zakupem sprzętu). Narzędzia: Ekahau, iBwave
• Active survey — pomiar z próbnym AP w terenie. Sprawdza rzeczywiste warunki: ściany, interferencje, materiały budowlane
• Post-deployment survey — weryfikacja po instalacji. Czy zasięg i wydajność spełniają założenia?

Koszt site survey: 1 500–5 000 zł (zależnie od powierzchni). Inwestycja, która oszczędza wielokrotnie więcej na unikaniu błędów.

2. Dobór access pointów

Jeden AP enterprise obsługuje 30–60 urządzeń jednocześnie (w porównaniu z 10–15 na domowym routerze). Kluczowe parametry:

Parametr	Biuro (20–50 os.)	Open space (50–150 os.)	Magazyn / hala
Standard WiFi	WiFi 6 (min.)	WiFi 6 / 6E	WiFi 6 (IP67)
Pasma	2.4 + 5 GHz	2.4 + 5 + 6 GHz	2.4 + 5 GHz
Liczba AP	3–6	8–20	4–12 (outdoor)
Zasilanie	PoE (802.3af)	PoE+ (802.3at)	PoE+ / PoE++
Polecani producenci	UniFi, Aruba Instant On	Aruba, Cisco Meraki, Ruckus	Ruckus, Aruba outdoor
Budżet na AP	500–1 500 zł/szt.	1 500–4 000 zł/szt.	2 000–5 000 zł/szt.

3. Infrastruktura przewodowa (backbone)

WiFi jest tak szybkie, jak sieć kablowa, do której jest podłączone. Nie ma sensu stawiać AP WiFi 6E, jeśli uplink to kabel Cat5e 100 Mbps.

• Okablowanie — minimum Cat6 (1 Gbps), rekomendowane Cat6A (10 Gbps) do AP
• Switche PoE — zasilają AP po kablu sieciowym, eliminując osobny zasilacz
• Uplink — 10 Gbps między switchami, SFP+ do serwera / firewalla
• Redundancja — dwa switche PoE z agregacją linków (LACP) eliminują single point of failure

Bezpieczeństwo WiFi — 10 zasad firmowej sieci bezprzewodowej

1. WPA3-Enterprise — obowiązkowy standard

WPA2-Personal (jedno hasło dla wszystkich) to standard domowy. W firmie wymagany jest WPA3-Enterprise z uwierzytelnianiem 802.1X — każdy użytkownik loguje się własnym kontem (AD/LDAP/RADIUS).

• Indywidualne poświadczenia = możliwość cofnięcia dostępu bez zmiany hasła dla wszystkich
• Serwer RADIUS (np. FreeRADIUS, NPS) weryfikuje tożsamość i przypisuje VLAN
• Certyfikaty EAP-TLS = najwyższy poziom bezpieczeństwa (bez haseł, tylko certyfikat na urządzeniu)

2. Segmentacja sieci (VLANy)

Nigdy nie łącz wszystkich urządzeń w jednej sieci. Minimum 3 oddzielne VLANy:

• VLAN Pracownicy — pełny dostęp do zasobów firmowych (serwery, drukarki, internet)
• VLAN Goście — tylko internet, izolacja od sieci firmowej, captive portal z regulaminem
• VLAN IoT / BYOD — kamery, czujniki, prywatne telefony — ograniczony dostęp, monitorowany

3. Captive portal dla gości

Sieć gościnna z portalem logowania — użytkownik akceptuje regulamin przed uzyskaniem dostępu do internetu. Opcje uwierzytelniania: kod SMS, voucher, social login.

4. Wireless Intrusion Prevention System (WIPS)

System wykrywający i blokujący:

• Rogue AP — nieautoryzowane access pointy podłączone do sieci firmowej przez pracowników
• Evil twin — fałszywy AP podszywający się pod firmową sieć WiFi
• Deauthentication attacks — ataki wymuszające rozłączenie klientów
• Client isolation — urządzenia w sieci gościnnej nie widzą się nawzajem

5. Monitoring i alerty

• Dashboard z mapą cieplną sygnału i obciążenia AP
• Alerty o nowych urządzeniach w sieci, spadku wydajności, interferencjach
• Logi uwierzytelnienia — kto, kiedy, z jakiego urządzenia, do którego AP
• Integracja z SIEM (np. Splunk, Graylog) dla centralnego monitorowania bezpieczeństwa

6–10. Dodatkowe zabezpieczenia

• 6. Ukrywanie SSID — nie dla sieci pracowników (niepraktyczne), ale rozważ dla sieci zarządzania
• 7. MAC filtering — jako dodatkowa warstwa (nie jako jedyne zabezpieczenie — adresy MAC łatwo sfałszować)
• 8. Automatyczne wyłączanie AP poza godzinami pracy — scheduling SSID redukuje okno ataku
• 9. Regularne audyty bezpieczeństwa WiFi — testy penetracyjne co 6–12 miesięcy
• 10. Aktualizacje firmware AP — automatyczne lub planowane co kwartał. Stare firmware = znane podatności

Optymalizacja wydajności — jak wycisnąć maksimum z WiFi

Band steering i load balancing

Band steering kieruje urządzenia obsługujące 5 GHz na to szybsze pasmo (zamiast zatłoczonego 2.4 GHz). Load balancing rozkłada klientów równomiernie między AP, gdy jeden jest przeciążony.

Planowanie kanałów

• 2.4 GHz — tylko kanały 1, 6, 11 (jedyne niepokrywające się). Unikaj auto-channel, jeśli masz wielu sąsiadów
• 5 GHz — więcej kanałów (36–165), mniej interferencji. Używaj kanałów 80 MHz lub 160 MHz dla wysokiej przepustowości
• 6 GHz (WiFi 6E) — „czyste" pasmo, brak starszych urządzeń = maksymalna wydajność

QoS (Quality of Service)

Priorytetyzacja ruchu gwarantuje, że krytyczne aplikacje działają płynnie nawet przy dużym obciążeniu:

• Wysoki priorytet: wideokonferencje (Teams, Zoom), VoIP, RDP/Citrix
• Średni priorytet: poczta, ERP, CRM, przeglądanie internetu
• Niski priorytet: aktualizacje Windows, streaming muzyki, social media

Roaming 802.11r/k/v (szybkie przełączanie między AP)

W biurze z wieloma AP użytkownik chodzi z laptopem / telefonem — przełączanie między AP musi być płynne (< 50 ms). Protokoły 802.11r (fast roaming), 802.11k (neighbor reports) i 802.11v (BSS transition) eliminują „zacięcia" przy zmianie AP.

Ile kosztuje profesjonalne WiFi w firmie?

Element	Małe biuro (do 30 os.)	Średnie biuro (30–100 os.)	Duże biuro / hala (100+ os.)
Site survey	1 500 zł	2 500–4 000 zł	4 000–8 000 zł
Access pointy (3–20 szt.)	2 000–5 000 zł	8 000–30 000 zł	30 000–80 000 zł
Switch PoE + okablowanie	1 500–4 000 zł	5 000–15 000 zł	15 000–40 000 zł
Konfiguracja i wdrożenie	2 000–4 000 zł	4 000–10 000 zł	10 000–25 000 zł
Licencje (controller / cloud)	0 zł (UniFi)	2 000–8 000 zł/rok	5 000–20 000 zł/rok
Łączny koszt wdrożenia	7 000–15 000 zł	20 000–65 000 zł	60 000–170 000 zł

Najczęstsze błędy przy wdrażaniu WiFi w firmie

1. Kupowanie domowych routerów — consumer-grade AP nie obsługuje VLANów, 802.1X, band steering, centralnego zarządzania. Oszczędność 500 zł = koszty przestojów x10
2. Brak site survey — stawianie AP „na oko" to loteria. Bez pomiaru nie wiesz, gdzie są martwe strefy i interferencje
3. Jedno hasło dla wszystkich (WPA2-Personal) — odchodzi pracownik? Musisz zmienić hasło na KAŻDYM urządzeniu. WPA3-Enterprise rozwiązuje ten problem
4. Goście w sieci firmowej — kontrahent podłącza się do Waszego WiFi i ma dostęp do serwerów, drukarek, NAS. Sieć gościnna z izolacją to minimum
5. Zbyt dużo AP w małej przestrzeni — więcej AP ≠ lepszy sygnał. Zbyt gęste rozmieszczenie powoduje co-channel interference (AP wzajemnie sobie przeszkadzają)
6. Ignorowanie pasma 5/6 GHz — 2.4 GHz to 3 kanały i tłok. Kieruj urządzenia na 5/6 GHz przez band steering
7. Brak aktualizacji firmware — luki w firmware AP to wektor ataku. Ustal harmonogram aktualizacji

Checklist — profesjonalna sieć WiFi w firmie

• ✓ Site survey przed zakupem sprzętu
• ✓ Access pointy enterprise z WiFi 6 / 6E
• ✓ Okablowanie Cat6A + switche PoE
• ✓ WPA3-Enterprise z uwierzytelnianiem 802.1X (RADIUS)
• ✓ Minimum 3 VLANy: pracownicy, goście, IoT
• ✓ Captive portal na sieci gościnnej
• ✓ QoS z priorytetem dla wideokonferencji i VoIP
• ✓ Band steering i fast roaming (802.11r/k/v)
• ✓ WIPS (wykrywanie rogue AP i ataków)
• ✓ Centralny dashboard z monitoringiem i alertami
• ✓ Harmonogram aktualizacji firmware
• ✓ Audyt bezpieczeństwa WiFi co 6–12 miesięcy

Podsumowanie

Profesjonalne WiFi w firmie to nie wydatek — to fundament produktywności. Stabilna, szybka i bezpieczna sieć bezprzewodowa zmniejsza przestoje, chroni dane firmowe i poprawia komfort pracy. Kluczem jest: badanie terenu przed zakupem, sprzęt enterprise, segmentacja i WPA3-Enterprise oraz ciągły monitoring.