与客人共享Wi-Fi只是礼貌之举，但这并不意味着你想让他们完全开放地访问你的整个局域网。请继续阅读，我们将向您展示如何为双ssid设置路由器，并为您的客人创建一个单独的（安全的）访问点。

我为什么要这么做？

想要将家庭网络设置为具有双接入点（AP）有几个非常实际的原因。

对于大多数人来说，最实用的应用程序就是简单地隔离家庭网络，这样客人就无法访问您希望保持隐私的内容。几乎每个家庭Wi-Fi接入点/路由器的默认配置都是使用单个无线接入点，任何有权访问该AP的人都可以访问网络，就像他们通过以太网直接连接到AP一样。

换句话说，如果你给你的朋友、邻居、房客，或者是任何人给你的Wi-Fi AP密码，你也让他们可以访问你的网络打印机、网络上的任何开放共享、网络上的不安全设备等等。你可能只是想让他们查看他们的电子邮件或在线玩游戏，但是你已经给他们自由漫游在他们想要的任何地方你的内部网络。

现在，虽然我们大多数人肯定没有恶意的朋友黑客，但这并不意味着建立我们的网络，让客人呆在他们属于的地方（在围栏的免费互联网接入端），而不能去他们不属于的地方（在围栏的家庭服务器/个人共享端）是不谨慎的。

使用两个ssid运行AP的另一个实际原因是，不仅可以限制来宾AP可以去哪里，还可以限制何时去哪里。例如，如果你是一个家长，你想限制你的孩子可以在电脑上呆到多晚，你可以把他们的电脑、平板电脑等放在辅助AP上，并在晚上9点之后对整个子SSID的互联网访问设置限制。

我需要什么？

我们今天的教程主要介绍如何使用与DD-WRT兼容的路由器来实现双SSID。因此，您需要以下内容：

• 1个DD-WRT兼容路由器，具有适当的硬件版本（我们将向您展示如何检查）
• 在所述路由器上安装1份DD-WRT副本

这不是为家庭网络设置双ssid的唯一方法。我们将在无处不在的Linksys WRT54G系列无线路由器上运行SSID。如果您不想经历在旧路由器上刷新自定义固件并执行额外配置步骤的麻烦，您可以改为：

• 购买一个新的路由器，支持双SSID的即时箱，如华硕RT-N66U。
• 购买第二个无线路由器，并将其配置为独立接入点。

除非您已经拥有一个支持双ssid的路由器（在这种情况下，您可以跳过本教程，只需阅读设备的手册），否则这两个选项都不太理想，因为您需要花费额外的钱，而且在第二个选项中，进行一系列额外的配置，包括设置辅助AP以避免干扰和/或与主AP重叠。

有鉴于此，我们非常乐意使用我们已经拥有的硬件（Linksys WRT54G系列无线路由器），并跳过现金和额外的Wi-Fi网络调整支出。

我怎么知道我的路由器是兼容的？

为了在本教程中取得成功，您需要检查两个关键的兼容性元素。首先，也是最基本的，是检查您的特定路由器是否支持DD-WRT。您可以访问DD-WRTwiki的路由器数据库进行检查。

一旦你确定你的路由器与DD-WRT兼容，我们需要检查你的路由器芯片的版本号。例如，如果您有一个非常旧的Linksys路由器，它可能是一个在各个方面都可以完美使用的路由器，但是芯片可能不支持双SSID（这使得它与教程基本不兼容）。

路由器的版本号有两个兼容度。一些路由器可以做多个SSID，但它们不能将SSID分割成不同的绝对唯一的访问点（例如，每个SSID有一个唯一的MAC地址）。在某些情况下，这可能会导致某些Wi-Fi设备出现问题，因为它们会混淆应该使用哪个SSID（因为它们都具有相同的MAC地址）。不幸的是，无法预测哪些设备将在您的网络上出现异常行为，因此如果您发现您的设备不支持离散ssid，我们不能完全建议您避免使用本教程中概述的技术。

你可以通过谷歌搜索你的路由器的具体型号以及信息标签上打印的版本号（通常在路由器下面）来检查版本号，但我们发现这种技术不可靠（标签可能被误用，网上发布的有关型号和生产日期的信息可能不准确等。）

检查路由器内部芯片版本号的最可靠方法是实际轮询路由器以找出答案。为此，您需要执行以下步骤。打开telnet客户端（PuTTY或基本Windows telnet命令等多用途程序）和telnet到路由器的IP地址（例如192.168.1.1）。使用管理员登录名和密码登录到路由器（请注意，对于某些路由器，即使键入“admin”和“mypassword”登录到路由器上基于web的管理门户，也可能需要键入“root”和“mypassword”通过telnet登录）。

登录路由器后，在提示符处键入以下命令：

nvram show|grep corerev

这将以以下格式返回路由器中芯片的核心版本号：

wl0_corerev=9 wl_corerev=

上面的输出意味着我们的路由器有一个无线电（wl0，没有wl1），而该无线电芯片的核心版本是9。你如何解释输出？与本指南相关的修订号是指：

• 0-4路由器不支持多个ssid（具有唯一标识符或其他标识符）
• 5-8路由器支持多个SSID（但不支持唯一标识符）
• 9+路由器支持多个SSID（具有唯一标识符）

从上面的命令输出可以看出，我们很幸运。我们的路由器芯片是最低版本，支持多个具有唯一标识符的ssid。

一旦您确定路由器可以支持多个SSID，您将需要安装DD-WRT。如果你的路由器附带DD-WRT或者你已经安装了它，那就太棒了。如果您尚未安装它，我们建议从DD-WRT网站下载适当版本，并遵循我们的教程：将您的家庭路由器转换为一个具有DD-WRT的超级电源路由器。

除了我们的教程，我们不能强调广泛和良好维护的DD-WRTwiki的价值。阅读你的特定路由器和最佳实践，为它刷新一个新的固件那里。

为多个ssid配置dd wrt

你有一个兼容的路由器，你已经闪DD-WRT到它，现在是时候开始设置第二个SSID了。就像您应该总是通过有线连接刷新新固件一样，我们强烈建议您通过有线连接进行无线设置，这样更改就不会迫使您的无线计算机脱离网络。

在通过以太网连接到路由器的计算机上打开web浏览器。导航到默认路由器IP（通常为198.168.1.1）。在DD-WRT界面中，导航至Wireless->Basic Settings（如上面的截图所示）。您可以看到，我们现有的Wi-Fi AP有SSID“HTG炣Office”。

At the bottom of the page, in the “Virtual Interfaces” section, click on the Add button. The previously empty “Virtual Interfaces” section will expand with this prepopulated entry:

这个虚拟接口搭载在您现有的无线电芯片上（请注意新条目标题中的wl0.1）。即使SSID中的简写也表明了这一点，默认SSID末尾的“vap”表示虚拟接入点。让我们将新虚拟接口下的其余条目分解。

可以将SSID重命名为任意内容。根据我们现有的命名惯例（并使客人生活更轻松），我们将把SSID从默认更改为“HTG\U Guest”–记住我们的主要Wi-Fi AP是“HTG_UOffice”。

使无线SSID广播保持启用状态。不仅许多老式计算机和支持Wi-Fi的设备不能很好地使用秘密SSID，而且隐藏的来宾网络不是一个非常吸引人/有用的来宾网络。

AP隔离是一种安全设置，您可以自行决定启用或禁用它。如果启用AP隔离，则来宾Wi-Fi网络上的每个客户端都将彼此完全隔离。从安全的角度来看，这是很好的，因为它可以防止恶意用户窥探其他用户的客户端。然而，这更是企业网络和公共热点关注的问题。实际上，这也意味着如果你的侄女和侄子结束了，他们想在任天堂DS设备上玩Wi-Fi连接的游戏，他们的DS设备将无法看到对方。在大多数家庭和小型办公室应用程序中，几乎没有理由隔离ap。

网络配置中的Unbridged/Bridged选项是指Wi-Fi AP是否将桥接到物理网络。尽管这是违反直觉的，但您需要将其设置为Bridged。与其让路由器固件处理（相当笨拙）断开链接的过程，不如我们自己手动断开所有连接，从而得到更干净、更稳定的结果。

更改SSID并查看设置后，请单击“保存”。

下一步导航到无线->无线安全：

默认情况下，第二个AP没有安全性。您可以暂时将其保留为测试目的（我们将其保留到最后），以避免在测试设备上键入密码。但是，我们不建议将其永久打开。无论此时是否选择将其保持打开状态，都需要单击“保存”，然后为我们在上一节和本节中所做的更改应用设置以使其生效。请耐心等待，更改可能需要2分钟才能生效。

现在是确认附近的Wi-Fi设备可以同时看到主AP和辅助AP的好时机。打开智能**上的Wi-Fi接口是快速检查的好方法。以下是我们Android**Wi-Fi配置页面的视图：

我们还不能连接到辅助AP，因为我们需要对路由器做更多的更改，但是在列表中看到它们总是很好的。

下一步是开始分离网络上ssid的过程，方法是为来宾Wi-Fi设备分配一个唯一的IP地址范围。

导航到设置->网络。在“桥接”部分下，单击添加按钮。

首先，将初始槽更改为“br1”，其余值保持不变。您还不能看到上面看到的IP/子网条目。单击“应用设置”。新网桥将在网桥部分与IP和子网部分可用。将IP地址设置为常规网络IP的一个值（例如，您的主网络是192.168.1.1，因此将此值设置为192.168.2.1）。将子网掩码设置为255.255.255.0。再次单击页面底部的“应用设置”。

将来宾网络分配到网桥

注：感谢读者乔尔指出这一部分，并给我们的指示，以添加到教程。

在“分配到桥”下单击“添加”。从第一个下拉列表中选择您创建的新桥，并将其与“wl0.1”界面配对。

现在单击“保存”和“应用设置”。

应用更改后，再次滚动到页面底部的DHCPD部分。单击“添加”。将第一个插槽切换到“br1”。其余设置保持不变（如下面的屏幕截图所示）。

再次单击“应用设置”。完成“设置”->“网络”页面中的所有任务后，就可以开始连接和DHCP分配了。

注意：如果您为双SSID配置的Wi-Fi AP正在另一个设备上进行备份（例如，您的家庭或办公室中有两个Wi-Fi路由器以扩展覆盖范围，而您正在设置来宾SSID的路由器在链中为ා2），则需要在“服务”部分中设置DHCP。如果这听起来像是您的安装程序，那么是时候导航到Services->Services部分了。

在服务部分中，我们需要向DNSMasq部分添加一点代码，以便路由器将正确地为连接到来宾网络的设备分配动态IP地址。向下滚动DNSMasq部分。在“附加DNSMasq选项”框中，粘贴以下代码（减去解释每行功能的注释）：

# Enables DHCP on br1 interface=br1 # Set the default gateway for br1 clients dhcp-option=br1,3,192.168.2.1 # Set the DHCP range and default lease time of 24 hours for br1 clients dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

单击页面底部的“应用设置”。

无论您使用的技术是一还是两种，请等待几分钟，以连接到新的来宾SSID。连接到来宾SSID时，请检查您的IP地址。您应该在我们指定的范围内拥有IP。同样，使用智能**检查：

一切看起来都很好。次要AP正在适当范围内分配动态IP，我们可以上网——我们在这里做了一个记录，巨大的成功。

然而，唯一的问题是，辅助AP仍然可以访问主网络的资源。这意味着所有联网打印机、网络共享等仍然可见（您现在可以进行测试，尝试在辅助AP上从主网络中查找网络共享）。

如果您希望次要AP上的来宾能够访问这些内容（并遵循本教程，以便您可以执行其他双SSID任务，如限制来宾带宽或允许他们使用Internet的次数），那么您就可以有效地完成本教程。

我们可以想象，你们中的大多数人都希望不让你的客人在你的网络上闲逛，并温和地引导他们坚持使用Facebook和email。在这种情况下，我们需要通过断开辅助AP与物理网络的链接来完成这个过程。

导航到“管理”->“命令”。您将看到一个标记为“Command Shell”的区域。将以下命令粘贴到可编辑区域中，无注释行：

#Removes guest access to physical network iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP #Removes guest access to the router's config GUI/ports iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

单击“保存防火墙”并重新启动路由器。

这些额外的防火墙规则简单地阻止了两个网桥（专用网络和公共/客户网络）上的所有东西进行通信，并拒绝客户网络上的客户机与telnet、SSH、，或路由器上的web服务器端口（从而限制它们尝试访问路由器的配置文件）。

关于使用命令shell和启动、关闭和防火墙脚本的一个词。首先，按顺序处理IPTABLES命令。改变个体行的顺序可以显著改变结果。第二，DD-WRT支持的路由器有几十种，根据您的具体路由器和配置，您可能需要调整上面的IPTABLES命令。该脚本适用于我们的路由器，它使用最广泛和最简单的命令来完成任务，所以它应该适用于大多数路由器。如果没有，我们强烈建议您在DD-WRT论坛中搜索您的特定路由器型号，看看其他用户是否遇到过与您相同的问题。

至此，您已经完成了配置，并准备好享受双ssid以及运行它们带来的所有好处。您可以轻松地发出来宾密码（并随意更改），为来宾网络设置QoS规则，或者以对主网络影响最小的方式修改和限制来宾网络。