无线覆盖部署案例（宿舍，室内AP部署方案）

本例中，采用独立AC（AC6605），AP使用室内放装型AP（AP2050DN-E）方案。该方案可以满足用户：

对于实现漫游，只需将所有AP的SSID和安全策略都配成一致即可。

对于认证方案，可采用MAC优先的Portal认证，从而达到漫游中简化认证的要求。

在室内高密场景中，建议开启智能漫游功能，当AP检测到STA的信噪比或接入速率低于指定的门限时，主动向STA发送解除关联报文，让STA重新连接或漫游，解决了STA在弱信号强度的情况下不会重新连接或漫游的问题。

为了保证核心层设备的可靠性，采用核心层设备做集群，并配置多主检测。

核心和汇聚之间通过部署跨框和跨板的Eth-trunk，确保在单板异常、单链路异常后，业务正常运行。

为了保证WLAN业务的可靠性，可在网络中部署2台AC设备，并配置AC的VRRP热备份。当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于待命状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行，从而提高了网络的可靠性。

在交换机与AP直接相连的接口上配置端口隔离，可解决不同AP间的WLAN用户二层互通的问题。

核心交换机S12700配置为根桥设备，同时在下行端口配置根保护，确保核心设备根桥的位置，防止其他下层设备被选举为根桥导致拓扑收敛异常。

网关设备建议去使能TC刷新ARP功能，并开启MAC刷新ARP功能。

实际部署时不建议使用VLAN 1作为业务VLAN，将各端口从VLAN1中退出。根据实际业务需求透传VLAN，禁止端口透传所有VLAN。

设备连接终端或AP的端口建议都配置为边缘端口。

使能设备的STA地址严格DHCP获取功能、ARP动态检测功能和IPSG功能，可防止非法用户的IP报文任意通过AP访问外部网络，提高设备安全性。

为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等，建议配置DHCP Snooping功能。如果网络中同时存在有线用户和无线用户，交换机连接AP的接口不建议使能DHCP Snooping，可能会造成交换机用户绑定表超规格，所以针对有线用户，建议基于VLAN配置DHCP Snooping，针对无线用户，建议在无线侧VAP模板上配置。

为了减小大量低速组播报文对无线网络造成的冲击，如果网络中没有组播业务时，建议配置组播报文抑制功能。

将所有设备不使用的端口Shutdown。

在室内高密场景中，建议开启短帧间间隔，可以提高802.11n和802.11ac的传输率。

在室内高密场景中，建议将无线用户的关联老化时间设置为1分钟，防止存在频繁离开整个无线网络覆盖的用户。

在室内高密场景中，建议开启Airtime调度功能，通过在同一业务下计算每个用户的无线信道占用时间，优先调度占用无线信道时间较少的用户，保证每个用户相对公平的占用无线信道，提升用户体验效果。

在高校室内高密场景下，建议使用RTS-CTS模式，RTS/CTS（Request To Send/Clear To Send）握手协议，可以避免信道冲突导致的数据传输失败。

本例中，认证方案采用MAC优先的Portal认证，学生通过在Portal页面上输入账户名、密码来登录网络，同时进行计费。