最近不少朋友上了淘宝AIR-CAP3502I/3602I/3702I这几个AP的灵车。这几代AP确实性能不错，又便宜，特别适合买一两个来家用，但是企业级设备配置相对复杂，因此写个教程。

说明：

• 这里写的教程只适用于胖（Autonomous）版本的固件；瘦AP固件需要配合AC使用，配置方法可以参见我之前写的《年轻人的第一个无线网络——Cisco vWLC基础配置教程》
• 根据用户需求，本文写的方法尽量贴近家用，高级功能全都不配置了；但是既然上了贼船，小折腾一下总是难免的
• 企业级设备的快速设置功能都是不能用的，所以本文将不会使用Easy Setup功能
• 因为淘宝卖的工程垃圾很多Console口是坏的，本文将不涉及Console口的使用

部署硬件

这系列AP有一个支持802.11af PoE（48V）的千兆有线网口。如果你的AP没有随附电源或者部署的位置不便安放电源，可以考虑使用支持802.11af的交换机，或者购买PoE Injector（我们部署了一些TP-Link TL-POE150S，工作非常稳定）。

3xxx系列AP都是设计为挂在天花板上的，天线具有方向性，平放（倒着挂天花板上，或者正着平放都行）速率最快。竖立放置可能导致无线速率显著降低。另外请不要用导热不良的物体覆盖AP或者将AP放在易燃物附近，因为AP工作时温度较高。3xxx系列AP正面有一定防泼溅能力，但是请不要在室外或潮湿环境使用，也不要让反面的端口接触到水。

连接电源，LED灯将会按顺序变化：绿色闪烁（正在加载系统）->黄绿色常亮（正在开机）->绿色常亮（开机完成，等待设备连入），整个过程大概三四分钟的样子。一个配置为空的AP在绿色灯常亮后就会尝试DHCP获取IP（默认主机名为ap，很好辨认）。

在绿色灯常亮后，打开浏览器，输入AP的IP地址（http://192.168.1.x），使用默认用户名Cisco和密码Cisco（首字母均大写）登录，就可以访问AP的管理面板了。

如果一切正常的话，你将看到以下页面：

关于管理面板的注意事项：

• 访问管理面板时请各位事先禁用广告屏蔽插件（加白名单也行），并且允许弹出窗口，以免功能不正常
• 管理面板如果弹出“ERROR: Error occured while clearing Browser credentials.”的提示，可以直接忽略，不影响正常使用
• 管理面板响应慢、个别图片加载不出来、短暂无法访问都是正常的，请不要同时打开多个页面，不要高速点击不同的一级导航，不要快速频繁刷新
• 管理面板右上角有一个“Save Configuration”按钮；你对AP做的所有配置都会实时生效，但是只有点击了这个按钮，这些配置才会在下次开机的时候应用（这是一个安全机制：当你做了错误的配置导致你也无法连接上AP时，你肯定是无法保存配置的，这时直接重启就会还原你刚才所做的更改）
• 本文中的配置在Apply时可能会弹出各种提示对话框，文中不再一一详述，点击确定即可
• 下文把网页的顶部横向导航栏称为一级导航，左侧的导航栏称为二级导航；标注操作流程时会用“一级导航菜单项->二级导航菜单项”的写法。每个一级导航都有对应的一个默认信息页面；如果只写了一级导航菜单项，那么就是需要进入这个信息页面，无需点击任何二级导航菜单项

更新固件

点击一级导航上的SOFTWARE，可以查看AP的当前固件版本。本文全部按照ap3g1的最新固件15.3(3)JF9版本来作演示；如果你手上的AP固件版本低于这一版本，建议更新到最新版。

更新固件非常简单，打开SOFTWARE->Software upgrade，在HTTP UPGRADE选项卡上点击Choose File选择固件文件，再点击Upgrade即可。过程中会弹出三个网页对话框，如果你没有允许网页弹出对话框，更新会失败；关闭已经弹出来的框，在浏览器选项中手工允许所有弹框，然后重复这一过程即可。如果一切正常，你会看到如下图所示的三个对话框：

更新完后AP会自动重启。

启用Telnet或SSH

网页版有一些bug会导致一些功能无法正确设置（后面会讲到），因此我们需要事先启用Telnet或者SSH。AP默认会启用Telnet。

前往SERVICES->Telnet/SSH，启用其中至少一个。在管理面板启用的SSH是SSHv1，已经不被大多数现代的SSH客户端所支持，连接比较麻烦。为了方便教学，下文会使用Telnet；但是Telnet是不安全的明文协议，建议不要在非可信网络环境中使用。文末会附上启用相对安全的SSHv2协议的方法。

你需要下载一个Telnet或SSH客户端。大多数操作系统都自带一个Telnet客户端；或者你可以使用PuTTY之类的第三方软件。

无线网络配置

每个无线网络均需要按顺序在VLAN，Encryption，SSID三处创建对应的设置。严格按照此步骤配置就不会出错。

VLAN

每个无线网络设置都从一个新VLAN开始。前往SERVICES->VLAN创建一个VLAN。如果你不知道VLAN是什么意思，那么请按照下图所示填写，然后点击Apply。

如果你需要将无线终端设备置入特定的VLAN中，在这个页面左侧点击<NEW>，填写正确的VLAN ID，不要勾选Native VLAN，勾选上两个Radio，点击Apply即可。注意，即使无线客户端不需要连入你的native VLAN，你也需要事先创建native VLAN，因为AP的网络初始化和DHCP会在native VLAN上进行。如果你的管理网VLAN不是native VLAN，那么你还需要再创建一个管理VLAN，勾选上Management VLAN选项。

Encryption

我们要设置的第二项内容是这个VLAN对应的安全等级。前往SECURITY->Encryption Manager，在“
Set Encryption Mode and Keys for VLAN”一项中选择刚刚创建的VLAN，在下面选择你想要的加密等级。如果你对此页面中的术语一无所知，并且希望在保证主流设备兼容性（这迫使我们关闭一些安全特性）的前提下使用较为现代的加密方式的话，可以按照下图的设置：

• Encryption Modes选择Cipher，并在后面的下拉选单中选择AES CCMP
• Encryption Keys请保持默认，不需要填写
• Global Properties请不要开启其中任何功能

完成后点击右下角的Apply。

SSID

这个页面很长，主要分为两个模块：SSID Properties和Guest Mode/Infrastructure SSID Settings。前者需要在每次创建SSID的时候都设置一遍，后者只需要在创建完第一个SSID以后设置一次即可。

SSID Properties模块

这里总共有四部分需要手工配置。

第一部分：SSID名称和VLAN。左边列表选择<NEW>，填写你想要的SSID，选择对应的VLAN，勾选全部Interface即可。填好以后向下滚动。

第二部分：WEP设置。WEP是一个过时了的加密技术，我们一般用的WPA2加密要求禁用WEP，因此在这里我们选择Open Authentication（不加密），后面的附加认证选项选择<NO ADDITION>。其它选项保持默认即可，如下图所示。

如果你想做MAC白名单，可以在这里的附加认证方式中配置with MAC Authentication，不详述。

第三部分：WPA设置。一般我们会使用WPA2，那么如下图所示设置：

• Key Management：Mandatory
• Enable WPA：勾选，然后在后面的下拉选单中选择WPAv2
• WPA Pre-shared Key：输入一般意义上的“Wi-Fi密码“，并且在后面的单选按钮组中选择ASCII
• 11w Configuration：建议选择Optional，这样同样支持此功能的客户端就会开启Management Frame保护功能，避免被deauth攻击
• 下面的IDS Client MFP是Cisco的私有协议，功能和802.11w基本相同，一般用不到，建议关闭

第三部分往后有一大块完全不需要配置的功能，请直接跳过。

第四部分：SSID广播。如果你需要广播SSID，则勾选Set SSID as Guest Mode；反之（隐藏SSID）则不勾选。

所有配置完成后，点击本模块的Apply按钮（不是页面最下方的Apply按钮！）。

Guest Mode/Infrastructure SSID Settings模块

在第一个SSID创建完成以后，需要配置一次本模块；以后不需要更改配置。

这部分的配置很简单，上下均选择Multiple BSSID即可，然后点击本模块的Apply按钮。

无线物理设置

这里我们将会启用无线网卡，配置频段和速率。

2.4G无线网卡设置

前往NETWORK->NETWORK INTERFACE->Radio0-802.11N 2.4GHz，在右边选择SETTINGS选项卡。这里需要设置的内容有：

• Enable Radio：Enable
• World Mode Multi-Domain Operation: Dot11d
• Country Code：选择你所在的国家，右边根据你的部署位置选择Indoor和/或Outdoor

如果你需要配置AP工作在特定频率上，在DefaultRadio Channel选项处配置。

配置完成后，点击页面右下角的Apply按钮。

5G无线网卡设置

前往NETWORK->NETWORK INTERFACE->Radio1-802.11N 5GHz（由于bug，这里可能会弹出一个新网页，在新网页上操作，操作完关闭即可）。

5G无线网卡的大部分设置和上一节2.4G无线网卡完全相同。唯一一点需要注意的是，由于bug，MCS Rates可能会被意外关闭而导致5G速率极低。在保存完配置后请检查MCS Rates部分，如果你看到的状态和下图类似，那么无需进行任何操作。

如果所有MCS Rate均被设为Disable，我们需要手工修改一下设置。打开Telnet客户端，输入AP的IP地址进行连接，使用和网页相同的用户名和密码登录，输入命令enable，再输入一次密码，接下来粘贴以下命令：

如果操作无误的话，屏幕将会有类似下图的显示：

此时关闭Telnet客户端即可。

无线扩展模块

如果你的3602i选装了802.11ac无线扩展模块，第三个无线网卡是不会出现在NETWORK->NETWORK INTERFACE列表里的，网页管理面板也无法对其做任何有效配置。

无线安全模块则对胖AP固件完全不兼容，想要玩的话还是老老实实搞个WLC。

修改管理员密码

前往SECURITY->Admin Access。

首先创建一个新用户：在Local User List里左边列表点击<NEW>，右边填写用户名和密码，Capability Settings选择Read-Write，点击右下角Apply按钮。

然后删掉系统默认用户：在Local User List里左边列表点击Cisco用户，点边上Delete按钮。

最后配置系统登录认证方式为本地用户：在页面上方的Administrator Authenticated by处选择Local User List Only (Individual Passwords)，点击该模块的Apply按钮。

验证配置

如果你的配置正确，现在无线客户端已经可以搜索到你刚刚创建的SSID了。尝试连接一下，看是否能够正常连接。如果AP连接了至少一个客户端，LED指示灯会变成蓝色。

保存设置

还记得吗，你在任何地方更改的设置都仅对本次开机生效，除非你点击了Save Configuration按钮。现在立即去保存一次设置吧！保存设置有时候需要一些时间，不要着急，弹出下图所示的窗口才算成功哦！

进阶折腾

开启SSH2

SNTP网络自动对时

日志啊之类的时间不准，可以配置一下SNTP。参考下图配置即可。

关闭LED灯

LED灯半夜会闪瞎眼，如果有需求的话可以关掉它。

Band Select

Band Select功能可以让有5G能力但是连着2.4G网络的无线客户端自动连到5G上去，这是一个非常实用的功能。

首先去SERVICES->Band Select打开全局开关，然后去SECURITY->SSID Manager对每个需要此功能的SSID勾选Band Select即可。

无线网桥

两个Cisco AP是可以当无线网桥使用的，工作模式选择Bridge即可。双频AP还支持用一个频段做无线网桥，另一个频段还能当普通AP，允许普通无线客户端连入。不详述。

需要注意的是管理面板上的WDS功能并不是无线网桥，虽然有一些别的厂商把无线网桥功能也称为WDS。

在命令行下保存设置

在退出configure模式以后可以使用write memory命令保存设置，功能和网页版的Save Configuration相同。

新手折腾常见错误

• 开了group key update可能导致无线客户端不断反复连接/掉线，尤以Windows为多
• 开了ARP caching会有鬼故事
• 开了WDS你的AP会卡爆