受控型 AP 與雙路網路並存的變更流程

為何需要

• 當辦公場域同時存在主路徑與備援路徑時，若僅做連線切換而未做策略一致化，最容易出現「可連上但權限錯位」的問題。
• 受控型 AP 環境必須在控制器、交換器與閘道器三層同時維持一致策略，否則主備切換時會發生認證失敗、訪客隔離失效或流量繞行。
• 這篇流程重點在於把雙路網路切換從「操作行為」提升為「可驗證的策略變更流程」。

前置技術基準

1. 拓樸與路徑映射：先定義 AP、SSID、VLAN、上行交換器、Gateway 與主備路徑對應關係。
2. 策略一致性盤點：逐項比對 ACL、RADIUS、DNS、NTP、訪客隔離與內部流量規則是否一致。
3. 版本相容檢查：確認控制器、AP 韌體與網通設備組合在主備切換期間可穩定共存。
4. 回復基準建置：保存控制器與 AP 設定快照，作為回滾與差異分析基準。

變更流程

1. 先在低影響區域驗證：先選低風險區域驗證認證、漫遊、訪客隔離與內網存取行為。
2. 先備援再主路徑：先調整備援路徑與控制器策略，確認穩定後再套用主路徑。
3. 分批套用並觀測：依 AP 群組分批推送，每批觀測連線率、掉線率與認證失敗率。
4. 主備切換演練：執行切換並確認 DNS、RADIUS、核心業務服務都能維持可用。
5. 策略收斂與封版：穩定後收斂 ACL 與路由規則，完成版本封存，避免後續漂移。

常見問題與排除順序

1. 切換後認證失敗：先查 RADIUS 可達性與共享密鑰，再查備援路徑 ACL 是否漏放。
2. 漫遊品質下降：比對功率、信道、最小 RSSI 與 fast roaming 相關參數是否一致。
3. 訪客可連但無法上網：優先檢查 DNS、NAT 與訪客 VLAN 出口策略。
4. 特定時段掉線增加：檢查 PoE 供電穩定度與 AP 韌體異常，排除硬體層因素。

技術檢核清單

1. 主備策略（ACL、RADIUS、DNS）一致且具可驗證結果。
2. 分批變更具回復基準、變更紀錄與責任人。
3. 主備切換後關鍵服務與認證可用性正常。
4. 觀測期內掉線率與認證失敗率無持續上升。
5. 控制器與 AP 版本組合通過長期穩定性驗證。

參考資料

• UniFi WiFi Best Practices
  https://help.ui.com/hc/en-us/articles/221029967
• RFC 5216 (EAP-TLS)
  https://www.rfc-editor.org/rfc/rfc5216