技术方案写得再漂亮，到了现场一掀开天花板看到那些缠在一起的老网线，什么分层架构什么微服务全都得往后放。我在好几个老园区改造项目里吃过这个亏，所以现在去现场勘测的时候，第一件事不是去看机房，是去看天花板上面和弱电井里面。

网线不是六类线就别想跑千兆以上的认证流量

WiFi认证系统在物理层上的第一个硬约束就是综合布线。很多老园区当年铺的还是超五类线甚至五类线，短距离跑个千兆还能凑合，但POE供电和千兆数据同时跑的时候，线缆质量不够就会丢包。认证过程中的Portal页面加载、Radius报文交互，这些都对丢包非常敏感。如果在AP到交换机之间就出现了百分之一到百分之二的丢包率，那认证成功率可能掉到百分之八十以下。

有一个教学楼改造项目，原计划是在现有布线基础上加WiFi认证系统，AC旁挂到核心交换机上，不改动接入层。结果上线测试的时候发现，三楼以上所有AP的Portal认证成功率不到百分之六十。排查下来发现，三楼以上的网线是十五年前铺的，不仅不是六类线，而且水晶头和面板的氧化程度已经很严重了。Portal页面加载的时候因为丢包导致TCP重传，用户看到的页面不是白屏就是加载一半卡住。

这种物理层的问题，WiFi认证系统本身解决不了。唯一的方案就是换线。但换线的成本和时间不是一个小数目，一栋教学楼从勘测到施工验收可能要一个月。这个前置条件如果在项目立项的时候没有考虑进去，后面就会变成一个巨大的变更项和费用增量。

POE供电不足导致AP工作不稳定

另一个经常被忽略的问题是POE供电。WiFi 6的AP功耗普遍比上一代高，有的型号在满载发射功率下需要三十瓦以上的供电。但老园区的接入交换机很多只支持802.3af标准，单端口最大供电十五瓦。这就导致AP在省电模式下工作，射频功率降低，信号覆盖范围比设计值小一截。用户站在原本应该覆盖的区域，信号只有一格，Portal页面半天跳不出来，就会反复断开重连，认证系统那边不停地看到同一个设备在认证-失败-重新认证之间循环。

解决这个问题要么换交换机、要么加POE供电器、要么在AP侧做供电策略调整。但不管哪种方案，都是额外的工作量和成本。这些隐性成本在WiFi认证系统的方案报价里通常不会出现，但到了实施阶段就都冒出来了。

弱电间的空间和散热条件

还有一件说起来很小但做起来很烦的事情：弱电间。老园区改造上WiFi认证系统之后，因为要加AC控制器、加Radius服务器硬件（如果不用虚拟化部署的话）、加汇聚交换机，弱电间可能要多出来好几台设备。但老园区的弱电间通常又小又闷，门一关就是一个蒸笼。设备在这种环境下长期运行，寿命会大打折扣。

有一个园区就是因为弱电间温度太高，AC控制器在夏天频繁自动重启，每次重启都会导致所有连接在上面的AP重新注册，注册过程中用户的WiFi连接会短暂中断然后重新认证。用户那边看到的现象就是：每隔一段时间WiFi就掉一次，要重新连。这个问题查了很久，最后用了一个温度探头贴在弱电间墙上，发现下午两点到四点之间温度能到四十五度以上。

所以我现在去勘测的时候，不仅看网线、看POE、看弱电间，还要看现场的物理环境到底能不能支撑WiFi认证系统稳定运行。方案是放在纸上的，但设备是放在灰尘、高温和老网线中间的。不考虑这些，再好的方案到了现场都是一地鸡毛。 除了物理层面的改造困难，还有一件事很多人会上不提但现场一定躲不掉：老园区的配电系统和接地保护。AP和交换机需要稳定的供电，但很多老楼宇的配电箱容量本身就接近饱和，再加一批POE交换机可能导致跳闸。而且老旧建筑的接地系统往往不符合现在的弱电接地标准，雷雨季节AP容易被感应雷击穿网口。我们在一个老厂区改造项目中就遇到了这个问题，夏天第一场雷雨过后，三台AP的网口全烧了，排查发现是弱电井的接地电阻严重超标。后来补做了一套独立的弱电接地系统，成本比预想的多了两万多。这个坑其实在项目勘测阶段就能发现，但很少有人会带着接地电阻测试仪去勘测现场。所以在WiFi认证系统改造项目中，我强烈建议在勘测清单里加上配电容量评估和接地系统检测这两项，虽然麻烦，但比上线后设备被烧掉再返工划算得多。