智慧校园无线网络规划方案

本方案旨在为拥有约4500名师生的学校，构建一个稳定、高效、安全的无线网络环境。我们将采用华为S12700系列核心交换机与H3C胖AP，结合微信认证与访客认证机制，满足教学、办公及访客的多元化网络需求。

网络规划核心思路

在规划无线网络时，我们首先需要明确网络的核心需求，然后进行AP数量估算，接着设计网络架构，最后进行具体的设备配置。

AP数量规划与部署策略

考虑到学校环境（教室、功能室、办公室）的特殊性，我们采用“场景化覆盖”与“容量规划”相结合的方式来确定AP的数量。

1. AP数量估算

考虑到教室和功能室是主要的高密度区域，我们将采用以下估算方法：

教室区域 (90间): 90间教室是核心覆盖区域。每间教室建议部署1个AP以保证覆盖和容量。

功能室与办公室 (60间): 功能室和办公室是次高密度区域。每2-3间房间共享1个AP较为合理。我们按每2间配置1个AP计算，即 60 / 2 = 30个AP。

公共区域 (走廊、图书馆等): 公共区域需要补充覆盖，估算约需20个AP。

总计AP数量: 90 (教室) + 30 (功能/办公室) + 20 (公共区域) = 140个AP 。

冗余与未来扩展: 为应对未来设备升级和部分AP故障，建议增加10-15%的冗余。最终推荐采购 160个AP 。

2. AP部署策略

教室: 每个教室天花板中心或墙角部署1个H3C WA2620等室内AP，确保信号强度达到-75dBm以上。

功能室/办公室: 每2-3个房间集中部署1个AP，优先利用已有弱电井布线。

公共区域: 走廊、大厅等采用吸顶或壁挂方式均匀部署AP，确保无缝漫游。

网络架构设计

网络架构采用“核心-汇聚-接入”三层模型，核心设备为华为S12700系列交换机，接入层为H3C胖AP。

1. 核心层：华为 S12700 系列交换机

S12700系列具备强大的交换能力和丰富的业务特性，是构建高性能园区网的理想选择。

型号选择: 推荐采用 CloudEngine S12700E-8 型号，其交换容量高达19.04 Tbps，可管理超过10,000个AP和海量用户，完全满足需求。

角色定位: 作为整个校园网的核心交换机，负责所有无线和有线流量的高速转发。

2. 汇聚与接入层：H3C 胖 AP (WA2620)

设备选型: H3C WA2620系列室内AP支持802.11ac Wave2标准，理论速率高达1.73Gbps，内置蓝牙，支持PoE供电，便于部署。

模式选择: 采用胖AP模式，AP独立运行，无需AC集中管理，简化了网络结构，适合中小规模网络。

部署方式: 教室和功能室采用吸顶安装，办公室和公共区域采用壁挂或桌面安装。

认证方案设计

为满足不同用户群体的需求，设计了教师和访客两套独立的认证体系。

1. 教职工网络 (教师用WiFi)

采用 微信认证 ，用户体验友好。教职工连接SSID后，自动跳转至微信认证页面，关注指定公众号后点击链接完成认证。

2. 访客网络

采用 手机号码+验证码认证 ，安全可靠。访客连接SSID后，通过Portal页面输入手机号获取验证码，验证通过后获得上网权限。

华为交换机 (S12700E) 配置要点

核心交换机S12700E的配置主要包括VLAN划分、VxLAN部署、DHCP服务、ACL安全策略以及与上层网络的连接。

1. VLAN与VxLAN规划

为实现网络隔离与高效管理，规划如下VLAN：

VxLAN部署: 为支持未来无线业务扩展和灵活部署，建议启用VxLAN功能。

2. DHCP服务配置

在核心交换机上配置DHCP服务，为不同VLAN分配地址池。

交换机配置示例

dhcp enable

#dhcp server ip-pool STAFF_POOL

gateway-list 10.10.10.1

network 10.10.10.0 mask 255.255.255.0

dns-list 114.114.114.114

#dhcp server ip-pool GUEST_POOL

gateway-list 20.20.20.1

network 20.20.20.0 mask 255.255.255.0

dns-list 114.114.114.114

3. 安全策略 (ACL)

通过ACL限制不同VLAN间的互访，增强网络安全。

交换机配置示例

acl 2000

rule permit ip source 20.20.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 # 允许访客访问教师网络（可选）

rule deny ip source 20.20.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 # 禁止访客访问教师网络

rule permit ip source 20.20.20.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # 允许访客访问外网

rule permit ip source 10.10.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # 允许教师访问外网

#interface Vlanif10

description STAFF-WIFI

ip address 10.10.10.1 255.255.255.0

#interface Vlanif20

description GUEST-WIFI

ip address 20.20.20.1 255.255.255.0

#interface GigabitEthernet1/0/1

port link-type access

port default vlan 10

#interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

#user-acl 2000

H3C胖AP (WA2620) 配置要点

每个H3C胖AP需要独立进行基础网络、SSID、安全和认证相关的配置。

1. 基础网络配置

通过Console口或Telnet登录AP，为其配置管理IP地址，使其能与核心交换机通信。

AP配置示例

system-view

interface Vlan-interface1

ip address 192.168.1.100 255.255.255.0

#interface GigabitEthernet1

port link-mode bridge

port access vlan 10 # 教师SSID所属VLAN

#interface GigabitEthernet2

port link-mode bridge

port access vlan 20 # 访客SSID所属VLAN

#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 # 网关指向核心交换机

2. 无线SSID与安全配置

为教师和访客分别创建独立的SSID，并配置相应的安全策略。

AP配置示例

wlan

ssid-profile name STAFF_SSID

ssid name "School-Teacher"

ssid passphrase cipher MyTeacherWiFi123!

#ssid-profile name GUEST_SSID

ssid name "School-Guest"

ssid authentication-method wpa-wpa2

ssid wpa wpa2 authentication-method open

ssid wpa wpa2 cipher tkip

#vap-profile name STAFF_VAP wlan 1 ssid-profile STAFF_SSID

vap-profile name GUEST_VAP wlan 2 ssid-profile GUEST_SSID

#radio 0

channel 11

transmit-power 15

vap-profile STAFF_VAP wlan 1 radio 0

vap-profile GUEST_VAP wlan 2 radio 0

#radio 1

channel 36

transmit-power 15

vap-profile STAFF_VAP wlan 1 radio 1

vap-profile GUEST_VAP wlan 2 radio 1

3. 认证配置 (微信认证)

在AP连接的接入交换机（与AP直连的交换机）上配置Portal认证，将HTTP请求重定向到认证服务器。

交换机配置示例

#portal server WEIXIN_SERVER

server-ip 10.1.1.100 # 认证服务器IP

server-type weixin

server-key MyWeixinKey

#domain weixin-auth

authentication portal weixin

#interface Vlanif10

port access vlan 10

portal enable

portal server weixin-auth

#interface GigabitEthernet1/0/1

port link-type access

port default vlan 10

#ip http server

ip http secure-server

4. 认证配置 (访客手机验证码)

对于访客网络，配置Captive Portal认证，要求用户输入手机号获取验证码。

交换机配置示例

#portal server GUEST_SERVER

server-ip 10.1.1.101 # 认证服务器IP

server-type sms

#domain guest-auth

authentication portal guest

#interface Vlanif20

port access vlan 20

portal enable

portal server guest-auth

#interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

#ip http server

ip http secure-server

实施与优化建议

信道规划: 为避免干扰，需规划信道。2.4GHz频段使用1、6、11信道，5GHz频段使用36、149等非重叠信道。

漫游优化: 确保相邻AP的SSID名称相同，并设置相同的密码和加密方式，以支持无缝漫游。

监控与维护: 部署网络管理系统，定期监控AP状态、信道利用率和用户连接情况，及时调整。