Wi-Fi corporativo: projeto e implementação para empresas — Duk

Por que Wi-Fi corporativo é diferente de Wi-Fi doméstico

Muitas empresas ainda tratam a rede sem fio como um item secundário da infraestrutura — compram dois ou três roteadores de varejo, espalham pelos cantos do escritório e esperam que funcione. O resultado é previsível: reclamações diárias de queda, videochamadas travando, dispositivos que se conectam mas não navegam, e um setor de TI que passa metade do dia atendendo chamados de "o Wi-Fi está ruim". O problema não é o equipamento em si, mas a natureza do projeto. Wi-Fi corporativo é uma disciplina de engenharia, não uma compra de ponto de venda.

Em um ambiente doméstico, o roteador precisa cobrir 100 m², atender 10 a 15 dispositivos e tolerar alguns segundos de instabilidade sem consequências. Em um ambiente corporativo de médio porte, a rede sustenta 200 a 500 dispositivos simultâneos — notebooks, smartphones, impressoras IP, câmeras, telefones VoIP, leitores de código de barras, relógios de ponto, sensores IoT e convidados. Cada um desses clientes tem um perfil de tráfego distinto, exige autenticação diferente e responde mal a latência. Uma queda de três segundos em uma chamada Teams derruba a reunião; em uma leitura de código de barras no estoque, gera fila no picking.

A diferença técnica fundamental está em três pilares: cobertura planejada (não improvisada), controle centralizado (não dispositivos independentes) e segurança por identidade (não senha única). Quem ignora esses três pilares acaba pagando duas vezes — a compra do equipamento ruim e a compra do projeto certo depois que algo dá errado.

Site survey: o passo que quase todo mundo pula

Antes de especificar um único access point, o primeiro passo de qualquer projeto sério é o site survey — a análise de cobertura e interferência do ambiente físico real. Existem três tipos: predictive (baseado em planta baixa e modelagem de materiais), passive (caminhando pelo espaço com um laptop medindo sinal existente) e active (com APs temporários emitindo sinal para medir propagação). Em projetos novos usa-se o predictive; em retrofits, combina-se passive e active.

O survey precisa responder a perguntas concretas: quantos APs são necessários, em que pontos do teto, em qual banda predominante (2,4 GHz, 5 GHz ou 6 GHz), com quais potências e canais. Drywall atenua sinal em torno de 3 dB, concreto armado em 12-15 dB, vidro metalizado em até 25 dB. Geladeiras industriais, microondas, motores de elevador e fornos de cozinha geram interferência fortíssima na banda 2,4 GHz. Um projeto feito de planta baixa sem considerar esses obstáculos erra em média 30% no número de APs necessários — para mais ou para menos, ambos custosos.

"A pior rede Wi-Fi corporativa não é a subdimensionada — é a superdimensionada. Excesso de APs transmitindo no mesmo canal gera co-channel interference, e o throughput real despenca mesmo com sinal aparentemente forte."

Outro erro comum é dimensionar pela área e não pela densidade. Uma sala de reunião de 40 m² com 20 pessoas em videoconferência exige mais capacidade que um galpão de 2.000 m² com 15 funcionários circulando. A métrica correta é "dispositivos simultâneos por AP" e "throughput agregado por zona", não "m² cobertos".

Arquitetura: controlador, APs e backbone

A arquitetura de Wi-Fi corporativo moderna tem três camadas bem definidas. A primeira é o backbone cabeado — switches PoE+ (Power over Ethernet Plus, 30 W por porta) ou PoE++ (60-90 W para APs Wi-Fi 6E e 7), cabeamento Cat6A mínimo até cada ponto de AP, e uplinks de 10 Gbps entre switches em ambientes de alta densidade. Sem um cabeamento estruturado adequado, o Wi-Fi nunca entrega o que o datasheet promete.

A segunda camada são os access points. Para ambientes corporativos, as opções viáveis em 2026 são Wi-Fi 6 (802.11ax), Wi-Fi 6E (adiciona a banda 6 GHz, liberada no Brasil em 2021) e Wi-Fi 7 (802.11be, com MLO — Multi-Link Operation). Wi-Fi 6 é o padrão mínimo aceitável hoje; Wi-Fi 6E é a melhor relação custo/benefício; Wi-Fi 7 se justifica em ambientes críticos de altíssima densidade ou que já planejam reforma para os próximos cinco anos. Marcas corporativas sérias incluem Cisco Meraki, Aruba (HPE), Ubiquiti UniFi, Ruckus (CommScope), Fortinet FortiAP e Mikrotik (este último com ressalvas de gestão).

A terceira camada é o controle. Existem três modelos: controladoras físicas on-premise (modelo clássico Cisco/Aruba), controladoras virtuais em servidor interno (UniFi, Omada) e gestão 100% em nuvem (Meraki, Aruba Central, FortiCloud). Para empresas de 30 a 500 colaboradores, o modelo cloud-managed é quase sempre o mais vantajoso — elimina hardware adicional, simplifica multi-site e permite provisionamento zero-touch de novos APs. O trade-off é a dependência da conexão de internet para alterações de configuração (o tráfego de dados dos usuários nunca passa pela nuvem, só o control plane).

Segurança: WPA3, 802.1X e segmentação de rede

Uma rede Wi-Fi corporativa que usa uma senha única compartilhada entre todos os colaboradores é um risco que nenhum responsável técnico deveria aceitar. Quando um funcionário sai, a senha não é trocada. Quando um celular é roubado, credenciais vazam. Quando um prestador pede "só por hoje", o "só" vira três anos. A resposta madura para isso é autenticação por identidade, não por segredo compartilhado.

• WPA3-Enterprise com 802.1X: cada usuário autentica com suas credenciais do Active Directory / Entra ID via RADIUS. Quando a conta é desativada, o acesso Wi-Fi cai no mesmo instante, sem ação extra.
• Segmentação por VLAN e SSID: no mínimo três SSIDs separados — corporativo (colaboradores), convidados (captive portal com expiração) e IoT (impressoras, câmeras, sensores em rede isolada sem acesso ao servidor).
• Certificate-based auth (EAP-TLS): em vez de senha, o dispositivo usa certificado digital emitido pela CA da empresa. Imune a phishing e credential stuffing.
• Rogue AP detection: a controladora identifica e alerta quando um AP não autorizado é conectado à rede, prevenindo ataques de evil twin.
• Client isolation na rede de convidados: convidados não enxergam uns aos outros, apenas a internet.

Ambientes regulados (escritórios de contabilidade, advocacia, saúde, fintechs) precisam considerar ainda requisitos da LGPD e, quando aplicável, PCI-DSS: registros de acesso (logs RADIUS) retidos por no mínimo 12 meses, separação lógica entre rede de dados sensíveis e rede geral, e criptografia WPA3 no lugar do WPA2 sempre que o parque de dispositivos suportar.

Implementação em fases: do piloto ao rollout

Um dos erros mais caros é trocar toda a rede Wi-Fi de uma vez, em um final de semana, confiando que "deve funcionar". A abordagem correta é por fases, com janelas de validação entre cada uma. Em projetos de médio porte (50 a 200 APs), o cronograma típico da Duk é de quatro a oito semanas, distribuídas em: semana 1-2 survey e projeto lógico; semana 2-3 adequação do cabeamento e switches PoE; semana 3-4 piloto em um andar ou setor; semana 4-6 rollout por zonas com usuários reais testando; semana 6-8 ajustes finos de potência, canais e roaming.

No piloto, os critérios de aceitação precisam ser objetivos e medidos, não subjetivos. Exemplos de métricas aceitáveis para ambientes corporativos: RSSI mínimo de -67 dBm em 95% da área útil, latência menor que 30 ms para gateway interno, jitter menor que 10 ms para tráfego de voz, tempo de roaming entre APs abaixo de 100 ms, e throughput real (não teórico) de 200 Mbps para clientes Wi-Fi 6 em condições normais.

Após o go-live, a operação não acaba — começa. Monitoramento contínuo precisa acompanhar saturação de canais, clientes com baixa qualidade de sinal, APs com reboot frequente e picos de latência. Uma rede Wi-Fi corporativa bem gerenciada mostra melhoria de performance ao longo dos meses, à medida que ajustes finos são aplicados com base em dados reais de uso.

Como a Duk Informática & Cloud executa projetos Wi-Fi corporativos

Há mais de 18 anos projetando e operando infraestrutura de TI em empresas brasileiras, a Duk Informática & Cloud já implementou redes Wi-Fi corporativas em mais de 550 clientes — de escritórios de 20 pessoas a operações industriais com cobertura de 15.000 m². Como Microsoft Gold Partner e parceira certificada de fabricantes de rede como Aruba, Cisco Meraki, UniFi e Fortinet, trabalhamos com a tecnologia adequada ao porte e ao orçamento de cada cliente — sem empurrar equipamento superdimensionado nem tolerar soluções domésticas em ambiente de produção.

Nosso método inclui site survey presencial obrigatório (predictive + passive), projeto lógico documentado com topologia, VLANs e políticas de segurança, implementação em fases com piloto validado, e suporte 24/7 com SLA de primeira resposta em 3,7 minutos em média. Integramos a autenticação Wi-Fi ao Active Directory ou Entra ID do cliente, configuramos segmentação adequada para LGPD, entregamos captive portal personalizado com identidade visual da empresa para convidados, e deixamos documentação completa — não amarramos o cliente ao fornecedor por falta de acesso.

Se sua empresa ainda convive com Wi-Fi instável, senha única, cobertura falha em áreas críticas ou não sabe quem está conectado à rede neste momento, está na hora de tratar o Wi-Fi como infraestrutura estratégica, não como acessório. Fale com um especialista da Duk pelo WhatsApp e agende um diagnóstico gratuito da sua rede sem fio.