cisco 无线AP FAT（胖）版本命令配置指导

前言

一般小型企业或家庭部署思科ap时，为了节省开支可以不使用wlc控制器 通过刷fat固件开启本地转发模式。

下面我将以 AIR-CAP3702I型号为例。

首先你需要判断自己的ap固件类型，查看版本命令

1.show version

瘦版本为k9w8 ，FAT终端为k9w7，你需要确保你的版本为k9w7.，否则不能进行命令行配置。

image

进入配置模式

1.enable
2.configure terminal 

前置配置：开启日志同步 设置域名等

1.line con 0
2.logging synchronous
3.exit 
4.no enable sec
5.no ip domain-lookup
6.ip domain-name xxx.com
7.hostname XXXX-AP01

配置管理IP和网关

1.int bvi 1
2.no ipv6 enable
3.ip add 192.168.0.100 255.255.255.0
4.exit
5.ip default-gateway 192.168.0.1

配置ssh用rsa密钥，中间的no是为防止已生成rsa密钥，如未生成会报错，忽略即可*

1.crypto key gen rsa
2.no
3.1024

配置ssh版本以及web登陆时所用认证，并关闭http启用https安全登陆

1.ip ssh ver 2
2.no ip http ser
3.ip http auth local
4.ip http secure-ser 

配置用户名密码，删除默认账户

1.username cisco pri 15 se Cisco123

配置ssh登陆认证，日志同步，并限定只接受ssh安全登陆，此处配置与web登陆无关

lin vty 0 15
 logging synchronous
 login local
 transport preferred ssh
 transport input ssh
exit

配置时区，注意UTC为标准时区，如果输入CN等，由于未知时区，会报错，UTC为时区，非国家，注意

clock timezone UTC 8 0
sntp server 202.120.2.101

防止密码穷举，配置限定300秒内输入错误5次密码，禁止登陆120秒，记录登陆失败事件并发送至syslog

login block 300 att 5 with 120
login on-f log 

/配置日志审计，记录输入的配置命令（查看命令不在里面），隐藏输入密码，并发送syslog

arch
log config
hidekey
logg enable
notify syslog 

配置arp-cache 使AP缓存ARP并提供客户端解析记录，全局开启band-select（5G优先于2.4G）允许ssid使用

dot11 arp-cache
dot11 band-select parameters

配置SSID，认证，密码，广播ssid，vlanID,启用band-select/

dot11 ssid cisco
   vlan 1
   band-select
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   wpa ascii Cisco123
dot11 ssid cisco-5G
   vlan 1
   band-select
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   wpa ascii Cisco123

配置有线连接接口vlanID对应子接口,注意，此为g 0口的字接口，对于1131，1242这类802.11G的AP由于不存在千兆口顾请改为int f 0.110这样的百兆子接口

int g 0.1
enc dot 1
bridge-group 1 

2.4G对应VlanID的子接口

int dot 0.1
enc dot 1
bridge-group 1

/5G对应VlanID的子接口/

int dot 1.1
enc dot 1
bridge-group 1
int dot 0
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco
channel least-congested 2412 2437 2462
antenna gain 128
power local maximum
power client maximum
stbc
beamform ofdm 
/启用接口/
no shutdown

/启用5G接口。并配置ssid，以及ssid对应Vlan封装

int dot 1
encryption mode ciphers aes
encryption vlan 1 mode ciphers aes
ssid cisco-5G
channel least-congested
antenna gain 128
power local maximum
power client maximum
stbc
beamform o

查看上线用户

show dot11 associations 

image.png

最后电脑连上ap看wlan协商的速度

image.png

补充:如果你发现协商速度没有达到设定值，可以设置无线发出的频率带宽

1.int dot11Radio 1
2.channel width 80 
···
//有的ap支持40、80、160 Mhz可以打个问号看看（根据香农公式频率越高协商的速率越快但是无线覆盖面积也会相应减小）



end 。       
                                                                      By ———王静亚