与客人共享Wi-Fi只是一件礼貌的事情，但这并不意味着你想让他们完全开放地访问你的整个局域网。请继续阅读，我们将向您展示如何为双SSID设置您的路由器，并为您的访客创建单独的(且安全的)接入点。

我为什么要这么做？

要将您的家庭网络设置为具有双接入点(AP)，有几个非常实际的原因。

对于最多的人来说，最实用的应用程序的原因就是简单地隔离您的家庭网络，这样访客就不能访问您希望保持隐私的东西。几乎每个家庭Wi-Fi接入点/路由器的默认配置都是使用单个无线接入点，授权访问该AP的任何人都可以访问网络，就像他们通过以太网直接连接到AP一样。

换句话说，如果您向您的朋友、邻居、房客或任何人提供了您的Wi-Fi AP的密码，那么您也为他们提供了访问您的网络打印机、您的网络上任何打开的共享、您的网络上不安全的设备等的权限。您可能只想让他们查看电子邮件或在线玩游戏，但是您已经给了他们在您的内部网络上想要的任何地方漫游的自由。

现在，虽然我们大多数人肯定没有恶意的黑客作为朋友，但这并不意味着建立我们的网络是不谨慎的，这样客人就可以留在他们属于的地方(在围栏的免费互联网接入一侧)，不能去他们不属于的地方(在家庭服务器/个人共享的围栏一侧)。

使用两个SSID运行AP的另一个实际原因是不仅可以限制访客AP可以访问的位置，而且可以限制访问时间。例如，如果您是家长，想要限制您的孩子在计算机上熬夜的时间，您可以将他们的计算机、平板电脑等放在辅助AP上，并对整个子SSID设置互联网访问限制，比如晚上9点以后

我需要什么？

我们今天的教程重点是使用DD-WRT兼容路由器来实现双SSID。因此，您需要以下东西：

1台具有适当硬件版本的DD-WRT兼容路由器(我们将向您展示如何检查)。 1个已在所述路由器上安装的DD-WRT副本

这不是为您的家庭网络设置双SSID的唯一方法。我们将在无处不在的Linksys WRT54G系列无线路由器上运行我们的SSID。如果您不想经历刷新旧路由器上的自定义固件和执行额外配置步骤的麻烦，您可以改为：

购买开箱即可支持双SSID的较新路由器，例如ASUS RT-N66U。 购买第二台无线路由器并将其配置为独立接入点。

除非您已经拥有支持双SSID的路由器(在这种情况下，您可以跳过本教程，只阅读您设备的手册)，否则这两个选项都不太理想，因为您必须额外花钱，并且在第二个选项的情况下，执行大量额外配置，包括将辅助AP设置为不干扰和/或与您的主AP重叠。

有鉴于此，我们非常乐意使用我们已经拥有的硬件(Linksys WRT54G系列无线路由器)，并跳过现金和额外的Wi-Fi网络调整费用。

如何知道我的路由器是否兼容？

要成功学习本教程，您需要检查两个关键的兼容性元素。第一个也是最基本的是检查您的特定路由器是否支持DD-WRT。您可以在这里访问DD-WRT维基的路由器数据库进行检查。

一旦您确定您的路由器与DD-WRT兼容，我们需要检查您的路由器芯片的修订版号。例如，如果您有一台非常旧的Linksys路由器，它可能在所有方面都是完美的、可维护的路由器，但芯片可能不支持双SSID(这使得它与本教程根本不兼容)。

路由器的修订版号有两种兼容性。一些路由器可以执行多个SSID，但它们不能将SSID分割成不同的绝对唯一的接入点(例如，每个SSID有一个唯一的MAC地址)。在某些情况下，这可能会导致某些Wi-Fi设备出现问题，因为它们不知道应该使用哪个SSID(因为它们都有相同的MAC地址)。不幸的是，没有办法预测哪些设备会在您的网络上运行不正常，所以我们不能直截了当地建议您，如果您发现您的设备不支持离散SSID，请避免使用本教程中概述的技术。

您可以通过在谷歌上搜索特定型号的路由器以及信息标签(通常位于路由器底部)上打印的版本号来检查修订号，但我们发现这种技术不可靠(标签可能被误用，网上发布的有关型号和生产日期的信息可能不准确，等等)。

检查路由器内部芯片修订版号的最可靠方法是实际轮询路由器以找出答案。为此，您需要执行以下步骤。打开telnet客户端(PuTTY之类的多用途程序或基本的Windows Telnet命令)，然后telnet到您路由器的IP地址(例如192.168.1.1)。使用管理员登录名和密码登录路由器(请注意，对于某些路由器，即使您键入“admin”和“mypassword”以登录路由器上基于Web的管理门户，也可能必须键入“root”和“mypassword”才能通过telnet登录)。

登录路由器后，在提示符下键入以下命令：

这将以以下格式返回路由器中芯片的核心修订版号：

上面的输出意味着我们的路由器有一个无线电(wl0，没有wl1)，并且该无线电芯片的核心修订版是9。您如何解释输出？修订号与我们的指南相关，含义如下：

0-4路由器不支持多个SSID(具有唯一标识符或其他)。 5-8路由器支持多个SSID(但不带唯一标识符)。 9+-路由器支持多个SSID(具有唯一标识符)

正如您从上面的命令输出中看到的，我们很幸运。我们路由器的芯片是支持具有唯一标识符的多个SSID的最低版本。

一旦您确定您的路由器可以支持多个SSID，您将需要安装DD-WRT。如果您的路由器配备了DD-WRT，或者您已经安装了DD-WRT，那就太棒了。如果您还没有安装它，我们建议您从DD-WRT网站下载合适的版本，并跟随我们的教程：使用DD-WRT将您的家庭路由器变成超级动力路由器。

除了我们的教程之外，我们也不能强调广泛且维护良好的DD-WRT维基的价值。请阅读有关您的特定路由器以及将新固件刷新到该路由器的最佳实践。

为多个SSID配置DD-WRT

您有一个兼容的路由器，您已经将DD-WRT闪存到它，现在是开始设置第二个SSID的时候了。就像您应该始终通过有线连接刷新新固件一样，我们强烈建议通过有线连接处理您的无线设置，这样更改就不会迫使您的无线计算机断开网络。

在通过以太网连接到路由器的计算机上打开Web浏览器。导航到默认路由器IP(通常为198.168.1.1)。在DD-WRT界面中，导航到“无线”->“基本设置”(如上面的屏幕截图所示)。您可以看到，我们现有的Wi-Fi AP具有SSID“HTG_Office”。

这个虚拟接口被搭载到您现有的无线电芯片上(请注意新条目标题中的wl0.1)。即使SSID中的速记也表明了这一点，默认SSID末尾的“vap”代表虚拟接入点。让我们细分一下新的Virtual Interface下的其余条目。

您可以将SSID重命名为您想要的任何名称。为了与我们现有的命名约定保持一致(并使我们的访客生活更轻松)，我们将把SSID从默认更改为“HTG_Guest”-记住，我们的主要Wi-Fi AP是“HTG_Office”。

使无线SSID广播保持启用状态。不仅许多老式计算机和支持Wi-Fi的设备不能很好地使用秘密的SSID，而且隐藏的访客网络也不是一个非常吸引人/有用的访客网络。

AP隔离是一项安全设置，我们将由您自行决定是否启用。如果启用AP隔离，访客Wi-Fi网络上的每个客户端都将完全相互隔离。从安全的角度来看，这很棒，因为它可以防止恶意用户窥探其他用户的客户端。然而，对于企业网络和公共热点来说，这更是一个令人担忧的问题。实际上，这也意味着如果你的侄女和侄子结束了，他们想要在他们的任天堂DS设备上玩Wi-Fi连接的游戏，他们的DS设备将无法看到对方。在大多数家庭和小型办公室应用中，几乎没有理由隔离AP。

网络配置中的未桥接/桥接选项是指Wi-Fi AP是否桥接到物理网络。尽管这与直觉不符，但您需要将其设置为Bridge。我们不会让路由器固件处理(相当笨拙)的解除链接过程，而是自己手动解除所有事情，以获得更干净、更稳定的结果。

更改SSID并查看设置后，单击保存。

接下来导航到无线->无线安全：

默认情况下，第二个AP上没有安全性。您可以将其暂时保留用于测试目的(我们让我们的密码一直打开到最后)，这样您就不必在测试设备上键入密码了。然而，我们不建议让它永久开放。无论此时您是否选择将其保持打开状态，您都需要单击保存，然后应用设置以使我们在上一节和本节中所做的更改生效。请耐心等待，更改可能需要2分钟才能生效。

现在是确认附近的Wi-Fi设备可以同时看到主要和次要AP的大好时机。打开智能手机上的Wi-Fi接口是快速检查的好方法。以下是我们Android手机Wi-Fi配置页面的视图：

我们还不能连接到辅助AP，因为我们需要对路由器进行更多更改，但是在列表中看到它们总是很好。

下一步是通过向访客Wi-Fi设备分配唯一的IP地址范围，开始分离网络上的SSID的过程。

导航到设置->网络。在“桥接”部分下，单击“添加”按钮。

首先，将初始插槽更改为“br1”，其余值保持不变。您现在还不能看到上面看到的IP/子网条目。单击“应用设置”。新网桥将位于桥接部分，IP部分和子网部分可用。将IP地址设置为常规网络IP之外的一个值(例如，您的主网络是192.168.1.1，因此将该值设为192.168.2.1)。将子网掩码设置为255.255.255.0。再次单击页面底部的“应用设置”。

将访客网络分配给网桥

注：感谢读者Joel指出了这一部分，并给我们提供了添加到教程中的说明。

在“分配给桥”下，单击“添加”。从第一个下拉列表中选择您创建的新网桥，并将其与“wl0.1”接口配对。

现在点击“保存”和“应用设置”。

应用更改后，再次滚动到页面底部的DHCPD部分。单击“添加”。将第一个插槽切换为“BR1”。保持其余设置不变(如下面的屏幕截图所示)。

再次单击“应用设置”。一旦您完成了Setup->Networking页面中的所有任务，您就应该可以进行连接和DHCP分配了。

注意：如果您为双SSID配置的Wi-Fi AP是在另一台设备上搭载的(例如，您在家里或办公室有两个Wi-Fi路由器来扩展您的覆盖范围，并且您正在设置访客SSID的路由器是链中的#2)，您将需要在服务部分设置DHCP。如果这听起来像您的设置，那么是时候导航到Services->Services部分了。

在服务部分，我们需要向DNSMasq部分添加一些代码，以便路由器能够正确地为连接到访客网络的设备分配动态IP地址。向下滚动DNSMasq部分。在“Additional DNSMasq Options”框中，粘贴以下代码(减去解释每行功能的#注释)：

单击页面底部的“应用设置”。

无论您使用的是技巧一还是技巧二，都要等待几分钟才能连接到您的新访客SSID。当您连接到来宾SSID时，请检查您的IP地址。您应该有一个在我们用上面指定的范围内的IP。同样，使用智能手机查看也很方便：

一切看起来都很好。第二个AP在适当的范围内分配动态IP，我们可以上网--我们在这里做笔记，取得了巨大的成功。

然而，唯一的问题是辅助AP仍然可以访问主网络的资源。这意味着所有网络打印机、网络共享等仍然可见(您现在可以测试它，尝试在辅助AP上从您的主网络中查找网络共享)。

如果您希望辅助AP上的访客能够访问这些内容(并遵循本教程，以便您可以执行其他双SSID任务，如限制访客带宽或允许他们使用互联网的时间)，那么您实际上已经完成了本教程。

我们可以想象，你们中的大多数人都希望阻止你的客人在你的网络中闲逛，并温和地驱使他们坚持使用Facebook和电子邮件。在这种情况下，我们需要通过解除辅助AP与物理网络的链接来完成该过程。

导航到管理->命令。您将看到一个标有“Command Shell”的区域。将以下命令(不带#注释行)粘贴到可编辑区域：

单击“保存防火墙”并重新启动路由器。

这些额外的防火墙规则只是阻止两个网桥(专用网络和公共/访客网络)上的所有设备进行通信，并拒绝访客网络上的客户端与路由器上的telnet、SSH或Web服务器端口之间的任何联系(从而限制它们尝试访问路由器的配置文件)。

简单介绍一下如何使用命令shell以及启动、关闭和防火墙脚本。首先，按顺序处理iptables命令。改变个人线条的顺序可以显著改变结果。其次，DD-WRT支持的路由器有几十个，根据您的特定路由器和配置，您可能需要调整上面的iptables命令。该脚本适用于我们的路由器，并且它使用尽可能广泛和简单的命令来完成任务，因此它应该适用于大多数路由器。如果没有，我们强烈建议您在DD-WRT论坛中搜索您的特定路由器型号，看看其他用户是否遇到过与您相同的问题。

至此，您已经完成了配置，可以享受双SSID以及运行它们带来的所有好处了。您可以轻松地提供访客密码(并随意更改)，为访客网络设置QoS规则，或者以最不会影响主网络的方式修改和限制访客网络。