最近不少朋友上了淘宝AIR-CAP3502I/3602I/3702I这几个AP的灵车。这几代AP确实性能不错,又便宜,特别适合买一两个来家用,但是企业级设备配置相对复杂,因此写个教程。
说明:
- 这里写的教程只适用于胖(Autonomous)版本的固件;瘦AP固件需要配合AC使用,配置方法可以参见我之前写的《年轻人的第一个无线网络——Cisco vWLC基础配置教程》
- 根据用户需求,本文写的方法尽量贴近家用,高级功能全都不配置了;但是既然上了贼船,小折腾一下总是难免的
- 企业级设备的快速设置功能都是不能用的,所以本文将不会使用Easy Setup功能
- 因为淘宝卖的工程垃圾很多Console口是坏的,本文将不涉及Console口的使用
部署硬件
这系列AP有一个支持802.11af PoE(48V)的千兆有线网口。如果你的AP没有随附电源或者部署的位置不便安放电源,可以考虑使用支持802.11af的交换机,或者购买PoE Injector(我们部署了一些TP-Link TL-POE150S,工作非常稳定)。
3xxx系列AP都是设计为挂在天花板上的,天线具有方向性,平放(倒着挂天花板上,或者正着平放都行)速率最快。竖立放置可能导致无线速率显著降低。另外请不要用导热不良的物体覆盖AP或者将AP放在易燃物附近,因为AP工作时温度较高。3xxx系列AP正面有一定防泼溅能力,但是请不要在室外或潮湿环境使用,也不要让反面的端口接触到水。
连接电源,LED灯将会按顺序变化:绿色闪烁(正在加载系统)->黄绿色常亮(正在开机)->绿色常亮(开机完成,等待设备连入),整个过程大概三四分钟的样子。一个配置为空的AP在绿色灯常亮后就会尝试DHCP获取IP(默认主机名为ap
,很好辨认)。
在绿色灯常亮后,打开浏览器,输入AP的IP地址(http://192.168.1.x
),使用默认用户名Cisco
和密码Cisco
(首字母均大写)登录,就可以访问AP的管理面板了。
如果一切正常的话,你将看到以下页面:
关于管理面板的注意事项:
- 访问管理面板时请各位事先禁用广告屏蔽插件(加白名单也行),并且允许弹出窗口,以免功能不正常
- 管理面板如果弹出“ERROR: Error occured while clearing Browser credentials.”的提示,可以直接忽略,不影响正常使用
- 管理面板响应慢、个别图片加载不出来、短暂无法访问都是正常的,请不要同时打开多个页面,不要高速点击不同的一级导航,不要快速频繁刷新
- 管理面板右上角有一个“Save Configuration”按钮;你对AP做的所有配置都会实时生效,但是只有点击了这个按钮,这些配置才会在下次开机的时候应用(这是一个安全机制:当你做了错误的配置导致你也无法连接上AP时,你肯定是无法保存配置的,这时直接重启就会还原你刚才所做的更改)
- 本文中的配置在Apply时可能会弹出各种提示对话框,文中不再一一详述,点击确定即可
- 下文把网页的顶部横向导航栏称为一级导航,左侧的导航栏称为二级导航;标注操作流程时会用“一级导航菜单项->二级导航菜单项”的写法。每个一级导航都有对应的一个默认信息页面;如果只写了一级导航菜单项,那么就是需要进入这个信息页面,无需点击任何二级导航菜单项
更新固件
点击一级导航上的SOFTWARE,可以查看AP的当前固件版本。本文全部按照ap3g1的最新固件15.3(3)JF9版本来作演示;如果你手上的AP固件版本低于这一版本,建议更新到最新版。
更新固件非常简单,打开SOFTWARE->Software upgrade,在HTTP UPGRADE选项卡上点击Choose File选择固件文件,再点击Upgrade即可。过程中会弹出三个网页对话框,如果你没有允许网页弹出对话框,更新会失败;关闭已经弹出来的框,在浏览器选项中手工允许所有弹框,然后重复这一过程即可。如果一切正常,你会看到如下图所示的三个对话框:
更新完后AP会自动重启。
启用Telnet或SSH
网页版有一些bug会导致一些功能无法正确设置(后面会讲到),因此我们需要事先启用Telnet或者SSH。AP默认会启用Telnet。
前往SERVICES->Telnet/SSH,启用其中至少一个。在管理面板启用的SSH是SSHv1,已经不被大多数现代的SSH客户端所支持,连接比较麻烦。为了方便教学,下文会使用Telnet;但是Telnet是不安全的明文协议,建议不要在非可信网络环境中使用。文末会附上启用相对安全的SSHv2协议的方法。
你需要下载一个Telnet或SSH客户端。大多数操作系统都自带一个Telnet客户端;或者你可以使用PuTTY之类的第三方软件。
无线网络配置
每个无线网络均需要按顺序在VLAN,Encryption,SSID三处创建对应的设置。严格按照此步骤配置就不会出错。
VLAN
每个无线网络设置都从一个新VLAN开始。前往SERVICES->VLAN创建一个VLAN。如果你不知道VLAN是什么意思,那么请按照下图所示填写,然后点击Apply。
如果你需要将无线终端设备置入特定的VLAN中,在这个页面左侧点击<NEW>,填写正确的VLAN ID,不要勾选Native VLAN,勾选上两个Radio,点击Apply即可。注意,即使无线客户端不需要连入你的native VLAN,你也需要事先创建native VLAN,因为AP的网络初始化和DHCP会在native VLAN上进行。如果你的管理网VLAN不是native VLAN,那么你还需要再创建一个管理VLAN,勾选上Management VLAN选项。
Encryption
我们要设置的第二项内容是这个VLAN对应的安全等级。前往SECURITY->Encryption Manager,在“
Set Encryption Mode and Keys for VLAN”一项中选择刚刚创建的VLAN,在下面选择你想要的加密等级。如果你对此页面中的术语一无所知,并且希望在保证主流设备兼容性(这迫使我们关闭一些安全特性)的前提下使用较为现代的加密方式的话,可以按照下图的设置:
- Encryption Modes选择Cipher,并在后面的下拉选单中选择AES CCMP
- Encryption Keys请保持默认,不需要填写
- Global Properties请不要开启其中任何功能
完成后点击右下角的Apply。
SSID
这个页面很长,主要分为两个模块:SSID Properties和Guest Mode/Infrastructure SSID Settings。前者需要在每次创建SSID的时候都设置一遍,后者只需要在创建完第一个SSID以后设置一次即可。
SSID Properties模块
这里总共有四部分需要手工配置。
第一部分:SSID名称和VLAN。左边列表选择<NEW>,填写你想要的SSID,选择对应的VLAN,勾选全部Interface即可。填好以后向下滚动。
第二部分:WEP设置。WEP是一个过时了的加密技术,我们一般用的WPA2加密要求禁用WEP,因此在这里我们选择Open Authentication(不加密),后面的附加认证选项选择<NO ADDITION>。其它选项保持默认即可,如下图所示。
如果你想做MAC白名单,可以在这里的附加认证方式中配置with MAC Authentication,不详述。
第三部分:WPA设置。一般我们会使用WPA2,那么如下图所示设置:
- Key Management:Mandatory
- Enable WPA:勾选,然后在后面的下拉选单中选择WPAv2
- WPA Pre-shared Key:输入一般意义上的“Wi-Fi密码“,并且在后面的单选按钮组中选择ASCII
- 11w Configuration:建议选择Optional,这样同样支持此功能的客户端就会开启Management Frame保护功能,避免被deauth攻击
- 下面的IDS Client MFP是Cisco的私有协议,功能和802.11w基本相同,一般用不到,建议关闭
第三部分往后有一大块完全不需要配置的功能,请直接跳过。
第四部分:SSID广播。如果你需要广播SSID,则勾选Set SSID as Guest Mode;反之(隐藏SSID)则不勾选。
所有配置完成后,点击本模块的Apply按钮(不是页面最下方的Apply按钮!)。
Guest Mode/Infrastructure SSID Settings模块
在第一个SSID创建完成以后,需要配置一次本模块;以后不需要更改配置。
这部分的配置很简单,上下均选择Multiple BSSID即可,然后点击本模块的Apply按钮。
无线物理设置
这里我们将会启用无线网卡,配置频段和速率。
2.4G无线网卡设置
前往NETWORK->NETWORK INTERFACE->Radio0-802.11N 2.4GHz,在右边选择SETTINGS选项卡。这里需要设置的内容有:
- Enable Radio:Enable
- World Mode Multi-Domain Operation: Dot11d
- Country Code:选择你所在的国家,右边根据你的部署位置选择Indoor和/或Outdoor
如果你需要配置AP工作在特定频率上,在DefaultRadio Channel选项处配置。
配置完成后,点击页面右下角的Apply按钮。
5G无线网卡设置
前往NETWORK->NETWORK INTERFACE->Radio1-802.11N 5GHz(由于bug,这里可能会弹出一个新网页,在新网页上操作,操作完关闭即可)。
5G无线网卡的大部分设置和上一节2.4G无线网卡完全相同。唯一一点需要注意的是,由于bug,MCS Rates可能会被意外关闭而导致5G速率极低。在保存完配置后请检查MCS Rates部分,如果你看到的状态和下图类似,那么无需进行任何操作。
如果所有MCS Rate均被设为Disable,我们需要手工修改一下设置。打开Telnet客户端,输入AP的IP地址进行连接,使用和网页相同的用户名和密码登录,输入命令enable
,再输入一次密码,接下来粘贴以下命令:
1 2 3 |
configure terminal interface Dot11Radio1 speed 6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 basic-54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. |
如果操作无误的话,屏幕将会有类似下图的显示:
此时关闭Telnet客户端即可。
无线扩展模块
如果你的3602i选装了802.11ac无线扩展模块,第三个无线网卡是不会出现在NETWORK->NETWORK INTERFACE列表里的,网页管理面板也无法对其做任何有效配置。
无线安全模块则对胖AP固件完全不兼容,想要玩的话还是老老实实搞个WLC。
修改管理员密码
前往SECURITY->Admin Access。
首先创建一个新用户:在Local User List里左边列表点击<NEW>,右边填写用户名和密码,Capability Settings选择Read-Write,点击右下角Apply按钮。
然后删掉系统默认用户:在Local User List里左边列表点击Cisco用户,点边上Delete按钮。
最后配置系统登录认证方式为本地用户:在页面上方的Administrator Authenticated by处选择Local User List Only (Individual Passwords),点击该模块的Apply按钮。
验证配置
如果你的配置正确,现在无线客户端已经可以搜索到你刚刚创建的SSID了。尝试连接一下,看是否能够正常连接。如果AP连接了至少一个客户端,LED指示灯会变成蓝色。
保存设置
还记得吗,你在任何地方更改的设置都仅对本次开机生效,除非你点击了Save Configuration按钮。现在立即去保存一次设置吧!保存设置有时候需要一些时间,不要着急,弹出下图所示的窗口才算成功哦!
进阶折腾
开启SSH2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
enable configure terminal ! 设置一个主机名(可选) hostname test-ap ! 如果 DHCP 没有下发搜索域,那么需要随便设定一个域名 ip domain name example.com ! 生成RSA密钥对 crypto key generate rsa ! 运行时会提示输入密钥位数,建议使用2048 ! 启用 SSH2 服务器 ip ssh version 2 |
SNTP网络自动对时
日志啊之类的时间不准,可以配置一下SNTP。参考下图配置即可。
关闭LED灯
LED灯半夜会闪瞎眼,如果有需求的话可以关掉它。
1 2 3 4 5 6 7 8 |
enable configure terminal ! 关灯 led display off ! 开灯 no led display off |
Band Select
Band Select功能可以让有5G能力但是连着2.4G网络的无线客户端自动连到5G上去,这是一个非常实用的功能。
首先去SERVICES->Band Select打开全局开关,然后去SECURITY->SSID Manager对每个需要此功能的SSID勾选Band Select即可。
无线网桥
两个Cisco AP是可以当无线网桥使用的,工作模式选择Bridge即可。双频AP还支持用一个频段做无线网桥,另一个频段还能当普通AP,允许普通无线客户端连入。不详述。
需要注意的是管理面板上的WDS功能并不是无线网桥,虽然有一些别的厂商把无线网桥功能也称为WDS。
在命令行下保存设置
在退出configure
模式以后可以使用write memory
命令保存设置,功能和网页版的Save Configuration相同。
新手折腾常见错误
- 开了group key update可能导致无线客户端不断反复连接/掉线,尤以Windows为多
- 开了ARP caching会有鬼故事
- 开了WDS你的AP会卡爆
无线扩展模块
如果你的3602i选装了802.11ac无线扩展模块,第三个无线网卡是不会出现在NETWORK->NETWORK INTERFACE列表里的,网页管理面板也无法对其做任何有效配置。
胖ap能用这个ac扩展模块吗?买它就为了ac扩展 无缝漫游。我买了2台但是现在无论如何也开不了ac。
外接电源。power部分没有问题。
文档上说这个模块是胖模式不支持的。
另外在胖模式配置802.11r本来就很奇怪,我试过,不仅会导致AP变很卡而且好像也没什么用。瘦模式下体验会好很多。
(当然,不要对802.11r有什么幻想,你会发现每个厂商的client实现或多或少有一些坑。)
瘦模式 需要ac支持
我安装了vWLC
但是要60天试用。如何破解呢。
只想2个ap放家里无缝漫游千兆网络。
我觉得您自己研究吧,我还不想被Cisco法务部门打死。
顺便说一句,您在您的个人网站上转载我的文章能不能至少写个来源呢?
sorry
已经删除
附上原文地址
谢谢你的回复。
我倒不反感转载,不过至少写一下作者和原文链接吧,不然看起来很像是恶意扒人文章的。我DMCA都差点发出去了,一看这网站注册人名字有点眼熟……
sorry
我的网站没有流量 就是我自己记录一下
不知道怎么没有写原文出处。一般情况我都会写。
转只是防止原文被删。存本地有时候分享给朋友不方便。索性建了个博客存。
带来不便深表歉意。
两台3602,DOT11R一直开不起来,SSID配置里只要选了WPA2 DOT11R,就连不上了。
客户端是IPHONE 8
iOS/macOS 的 11r 实现比较特殊,需要同时开 11k 和 11v 才可以,而且需要 AP 代码上做一些兼容,我不知道胖版本的系统支不支持这俩特性。
知不知道2702胖模式如何开启 组播支持?
极域电子教室需要组播,很奇怪默认配置下 2.4G可以用,5G卡爆。
同一个二层的组播不用配置也能用呀,不过你在Wi-Fi上组播,视AP配置会出现两种情况:
简而言之就是体验总会很差。我的建议是跑这种视频组播你就老老实实用有线网,一定要用无线的话,你是胖AP的话好像没有严格对应的设置,你可以尝试启动或者关闭icmp snooping看一下。
设置两个Vlan,其中只能一个选择Native VLAN,对应着两个SSID。现在问题是,其实一个SSID,对应的没有选择Native VLAN,无法DHCP分配到地址。
你需要AP上游的交换机/路由器交换接口支持VLAN功能,然后给那个VLAN配置DHCP服务器才行。如果你一定想要把两个SSID配置到一个二层里面呢,需要你AP上游的交换机支持strip VLAN tag。
你好!我的路由器是ROS RB3011U,中间接了一台交换机,在Ros能设置成功吗?
能吧,RouterOS里面开个VLAN interface在相应的bridge port上就好了,参考 https://blog.swineson.me/routeros-6-41-port-based-bridge-vlan-config/ 里面三层VLAN的配置。
谢谢!
你好!这台AP到ROS路由器,和隔着两台交换机,按你设置方法,在ROS可以实现吗?谢谢!
你接下来是不是要问中间隔着一百台交换机能不能实现了 🙂
如果你只要网能通当然是能实现的,只要在路由器上把 VLAN 给终结掉就好了。但是这对于你的使用场景来说不一定是个好选择,具体怎么样还得根据场景来看。
不太懂。路由器上把vlan终结掉,是什么意思?
就是让路由器来做跨 VLAN 路由的意思啦
难道不能两个ssid都设置为vlan1吗?