轉自:https://blog.swineson.me/zh/cisco-aironet-ap3g1-ap3g2-ver-8-5-autonomous-web-portal-config-tutorial/
最近不少朋友上了淘寶AIR-CAP3502I/3602I/3702I這幾個AP的靈車。這幾代AP確實性能不錯,又便宜,特別適合買一兩個來家用,但是企業級設備配置相對復雜,因此寫個教程。
說明:
- 這里寫的教程只適用於胖(Autonomous)版本的固件;瘦AP固件需要配合AC使用,配置方法可以參見我之前寫的《年輕人的第一個無線網絡——Cisco vWLC基礎配置教程》
- 根據用戶需求,本文寫的方法盡量貼近家用,高級功能全都不配置了;但是既然上了賊船,小折騰一下總是難免的
- 企業級設備的快速設置功能都是不能用的,所以本文將不會使用Easy Setup功能
- 因為淘寶賣的工程垃圾很多Console口是壞的,本文將不涉及Console口的使用
部署硬件
這系列AP有一個支持802.11af PoE(48V)的千兆有線網口。如果你的AP沒有隨附電源或者部署的位置不便安放電源,可以考慮使用支持802.11af的交換機,或者購買PoE Injector(我們部署了一些TP-Link TL-POE150S,工作非常穩定)。
3xxx系列AP都是設計為掛在天花板上的,天線具有方向性,平放(倒着掛天花板上,或者正着平放都行)速率最快。豎立放置可能導致無線速率顯著降低。另外請不要用導熱不良的物體覆蓋AP或者將AP放在易燃物附近,因為AP工作時溫度較高。3xxx系列AP正面有一定防潑濺能力,但是請不要在室外或潮濕環境使用,也不要讓反面的端口接觸到水。
連接電源,LED燈將會按順序變化:綠色閃爍(正在加載系統)->黃綠色常亮(正在開機)->綠色常亮(開機完成,等待設備連入),整個過程大概三四分鍾的樣子。一個配置為空的AP在綠色燈常亮后就會嘗試DHCP獲取IP(默認主機名為ap,很好辨認)。
在綠色燈常亮后,打開瀏覽器,輸入AP的IP地址(http://192.168.1.x),使用默認用戶名Cisco和密碼Cisco(首字母均大寫)登錄,就可以訪問AP的管理面板了。
如果一切正常的話,你將看到以下頁面:
關於管理面板的注意事項:
- 訪問管理面板時請各位事先禁用廣告屏蔽插件(加白名單也行),並且允許彈出窗口,以免功能不正常
- 管理面板如果彈出“ERROR: Error occured while clearing Browser credentials.”的提示,可以直接忽略,不影響正常使用
- 管理面板響應慢、個別圖片加載不出來、短暫無法訪問都是正常的,請不要同時打開多個頁面,不要高速點擊不同的一級導航,不要快速頻繁刷新
- 管理面板右上角有一個“Save Configuration”按鈕;你對AP做的所有配置都會實時生效,但是只有點擊了這個按鈕,這些配置才會在下次開機的時候應用(這是一個安全機制:當你做了錯誤的配置導致你也無法連接上AP時,你肯定是無法保存配置的,這時直接重啟就會還原你剛才所做的更改)
- 本文中的配置在Apply時可能會彈出各種提示對話框,文中不再一一詳述,點擊確定即可
- 下文把網頁的頂部橫向導航欄稱為一級導航,左側的導航欄稱為二級導航;標注操作流程時會用“一級導航菜單項->二級導航菜單項”的寫法。每個一級導航都有對應的一個默認信息頁面;如果只寫了一級導航菜單項,那么就是需要進入這個信息頁面,無需點擊任何二級導航菜單項
更新固件
點擊一級導航上的SOFTWARE,可以查看AP的當前固件版本。本文全部按照ap3g1的最新固件15.3(3)JF9版本來作演示;如果你手上的AP固件版本低於這一版本,建議更新到最新版。
更新固件非常簡單,打開SOFTWARE->Software upgrade,在HTTP UPGRADE選項卡上點擊Choose File選擇固件文件,再點擊Upgrade即可。過程中會彈出三個網頁對話框,如果你沒有允許網頁彈出對話框,更新會失敗;關閉已經彈出來的框,在瀏覽器選項中手工允許所有彈框,然后重復這一過程即可。如果一切正常,你會看到如下圖所示的三個對話框:
更新完后AP會自動重啟。
啟用Telnet或SSH
網頁版有一些bug會導致一些功能無法正確設置(后面會講到),因此我們需要事先啟用Telnet或者SSH。AP默認會啟用Telnet。
前往SERVICES->Telnet/SSH,啟用其中至少一個。在管理面板啟用的SSH是SSHv1,已經不被大多數現代的SSH客戶端所支持,連接比較麻煩。為了方便教學,下文會使用Telnet;但是Telnet是不安全的明文協議,建議不要在非可信網絡環境中使用。文末會附上啟用相對安全的SSHv2協議的方法。
你需要下載一個Telnet或SSH客戶端。大多數操作系統都自帶一個Telnet客戶端;或者你可以使用PuTTY之類的第三方軟件。
無線網絡配置
每個無線網絡均需要按順序在VLAN,Encryption,SSID三處創建對應的設置。嚴格按照此步驟配置就不會出錯。
VLAN
每個無線網絡設置都從一個新VLAN開始。前往SERVICES->VLAN創建一個VLAN。如果你不知道VLAN是什么意思,那么請按照下圖所示填寫,然后點擊Apply。
如果你需要將無線終端設備置入特定的VLAN中,在這個頁面左側點擊<NEW>,填寫正確的VLAN ID,不要勾選Native VLAN,勾選上兩個Radio,點擊Apply即可。注意,即使無線客戶端不需要連入你的native VLAN,你也需要事先創建native VLAN,因為AP的網絡初始化和DHCP會在native VLAN上進行。如果你的管理網VLAN不是native VLAN,那么你還需要再創建一個管理VLAN,勾選上Management VLAN選項。
Encryption
我們要設置的第二項內容是這個VLAN對應的安全等級。前往SECURITY->Encryption Manager,在“
Set Encryption Mode and Keys for VLAN”一項中選擇剛剛創建的VLAN,在下面選擇你想要的加密等級。如果你對此頁面中的術語一無所知,並且希望在保證主流設備兼容性(這迫使我們關閉一些安全特性)的前提下使用較為現代的加密方式的話,可以按照下圖的設置:
- Encryption Modes選擇Cipher,並在后面的下拉選單中選擇AES CCMP
- Encryption Keys請保持默認,不需要填寫
- Global Properties請不要開啟其中任何功能
完成后點擊右下角的Apply。
SSID
這個頁面很長,主要分為兩個模塊:SSID Properties和Guest Mode/Infrastructure SSID Settings。前者需要在每次創建SSID的時候都設置一遍,后者只需要在創建完第一個SSID以后設置一次即可。
SSID Properties模塊
這里總共有四部分需要手工配置。
第一部分:SSID名稱和VLAN。左邊列表選擇<NEW>,填寫你想要的SSID,選擇對應的VLAN,勾選全部Interface即可。填好以后向下滾動。
第二部分:WEP設置。WEP是一個過時了的加密技術,我們一般用的WPA2加密要求禁用WEP,因此在這里我們選擇Open Authentication(不加密),后面的附加認證選項選擇<NO ADDITION>。其它選項保持默認即可,如下圖所示。
如果你想做MAC白名單,可以在這里的附加認證方式中配置with MAC Authentication,不詳述。
第三部分:WPA設置。一般我們會使用WPA2,那么如下圖所示設置:
- Key Management:Mandatory
- Enable WPA:勾選,然后在后面的下拉選單中選擇WPAv2
- WPA Pre-shared Key:輸入一般意義上的“Wi-Fi密碼“,並且在后面的單選按鈕組中選擇ASCII
- 11w Configuration:建議選擇Optional,這樣同樣支持此功能的客戶端就會開啟Management Frame保護功能,避免被deauth攻擊
- 下面的IDS Client MFP是Cisco的私有協議,功能和802.11w基本相同,一般用不到,建議關閉
第三部分往后有一大塊完全不需要配置的功能,請直接跳過。
第四部分:SSID廣播。如果你需要廣播SSID,則勾選Set SSID as Guest Mode;反之(隱藏SSID)則不勾選。
所有配置完成后,點擊本模塊的Apply按鈕(不是頁面最下方的Apply按鈕!)。
Guest Mode/Infrastructure SSID Settings模塊
在第一個SSID創建完成以后,需要配置一次本模塊;以后不需要更改配置。
這部分的配置很簡單,上下均選擇Multiple BSSID即可,然后點擊本模塊的Apply按鈕。
無線物理設置
這里我們將會啟用無線網卡,配置頻段和速率。
2.4G無線網卡設置
前往NETWORK->NETWORK INTERFACE->Radio0-802.11N 2.4GHz,在右邊選擇SETTINGS選項卡。這里需要設置的內容有:
- Enable Radio:Enable
- World Mode Multi-Domain Operation: Dot11d
- Country Code:選擇你所在的國家,右邊根據你的部署位置選擇Indoor和/或Outdoor
如果你需要配置AP工作在特定頻率上,在DefaultRadio Channel選項處配置。
配置完成后,點擊頁面右下角的Apply按鈕。
5G無線網卡設置
前往NETWORK->NETWORK INTERFACE->Radio1-802.11N 5GHz(由於bug,這里可能會彈出一個新網頁,在新網頁上操作,操作完關閉即可)。
5G無線網卡的大部分設置和上一節2.4G無線網卡完全相同。唯一一點需要注意的是,由於bug,MCS Rates可能會被意外關閉而導致5G速率極低。在保存完配置后請檢查MCS Rates部分,如果你看到的狀態和下圖類似,那么無需進行任何操作。
如果所有MCS Rate均被設為Disable,我們需要手工修改一下設置。打開Telnet客戶端,輸入AP的IP地址進行連接,使用和網頁相同的用戶名和密碼登錄,輸入命令enable,再輸入一次密碼,接下來粘貼以下命令:
如果操作無誤的話,屏幕將會有類似下圖的顯示:
此時關閉Telnet客戶端即可。
無線擴展模塊
如果你的3602i選裝了802.11ac無線擴展模塊,第三個無線網卡是不會出現在NETWORK->NETWORK INTERFACE列表里的,網頁管理面板也無法對其做任何有效配置。
無線安全模塊則對胖AP固件完全不兼容,想要玩的話還是老老實實搞個WLC。
修改管理員密碼
前往SECURITY->Admin Access。
首先創建一個新用戶:在Local User List里左邊列表點擊<NEW>,右邊填寫用戶名和密碼,Capability Settings選擇Read-Write,點擊右下角Apply按鈕。
然后刪掉系統默認用戶:在Local User List里左邊列表點擊Cisco用戶,點邊上Delete按鈕。
最后配置系統登錄認證方式為本地用戶:在頁面上方的Administrator Authenticated by處選擇Local User List Only (Individual Passwords),點擊該模塊的Apply按鈕。
驗證配置
如果你的配置正確,現在無線客戶端已經可以搜索到你剛剛創建的SSID了。嘗試連接一下,看是否能夠正常連接。如果AP連接了至少一個客戶端,LED指示燈會變成藍色。
保存設置
還記得嗎,你在任何地方更改的設置都僅對本次開機生效,除非你點擊了Save Configuration按鈕。現在立即去保存一次設置吧!保存設置有時候需要一些時間,不要着急,彈出下圖所示的窗口才算成功哦!
進階折騰
開啟SSH2
SNTP網絡自動對時
日志啊之類的時間不准,可以配置一下SNTP。參考下圖配置即可。
關閉LED燈
LED燈半夜會閃瞎眼,如果有需求的話可以關掉它。
Band Select
Band Select功能可以讓有5G能力但是連着2.4G網絡的無線客戶端自動連到5G上去,這是一個非常實用的功能。
首先去SERVICES->Band Select打開全局開關,然后去SECURITY->SSID Manager對每個需要此功能的SSID勾選Band Select即可。
無線網橋
兩個Cisco AP是可以當無線網橋使用的,工作模式選擇Bridge即可。雙頻AP還支持用一個頻段做無線網橋,另一個頻段還能當普通AP,允許普通無線客戶端連入。不詳述。
需要注意的是管理面板上的WDS功能並不是無線網橋,雖然有一些別的廠商把無線網橋功能也稱為WDS。
在命令行下保存設置
在退出configure模式以后可以使用write memory命令保存設置,功能和網頁版的Save Configuration相同。
新手折騰常見錯誤
- 開了group key update可能導致無線客戶端不斷反復連接/掉線,尤以Windows為多
- 開了ARP caching會有鬼故事
- 開了WDS你的AP會卡爆