DD-WRT的WDS

公司的无线网络一直都没有好好设计过，这次决定好好的做一个比较正式的，为此年前专门写了无线网络的设计和管理规定，然后准备采购设备，因为DD-WRT或者Open WRT的良好的拓展性和功能，所以准备买几个DDWRT兼容的设备来刷DDWRT去实现公司能统一的单SSID的无线网络，其实这种实现用设备本身的WDS功能也能实现，不过因为DD-WRT offer更多的特色和改进的非常快速，所以还是准备采用DD-WRT作为ROM，选型的过程中发现了几个非常便宜的型号，但有着非常强的CPU和内存配置，以及11n的支持，最终我们选定了DLINK DIR-600这个型号。

买了5台之后就准备让公司的网管开始配置，到了年后一问，才知道碰到几个技术难题，最麻烦的一个是配置了WDS之后，客户端就无法连上AP了，无论如何都拿不到IP地址，我听他这么说，只好说我试验一下吧，拿了两个AP过来，都是刷了最新的DDWRT的，然后根据DDWRT的指导文章，一个一个参数的配置两个AP，配置的过程非常繁琐，最快的方式是最好有两台机器，都配双网卡和无线网卡，然后就会方便很多，像我这个一个笔记本，就要不停的插拔网卡来配置参数。

配置了WDS之后发现连接的很顺利，正如网管所说的一样，无法连上AP，然后就上网继续找，最终发现了一个论坛里关于这个WDS的讨论，除了所有WDS的关键设置之外，在最后加了一句，是“如果你想脸上WDS互联的两个路由或者AP的话，你必须重新在WLAN的interface上生成一个VLAN或者Virtual interface，然后设置不同的SSID和相同的加密方式，这样无线客户端就可以上来了”，我开始先研究VLAN的设置，后来发现很复杂，还需要懂得里面VLAN的很多port的参数以及路由，然后转去看virtual interface之后发现用这个非常简单，配置之后立刻就可以用了。

这个问题解决之后，还有一个问题是分布式的AP的MAC过滤器，无线网路的设置的一个重要的部分是不允许公司的同事使用无线网卡和有线网卡同时连接内网和无线网，因为无线网有点类似于DMZ Zone，这样的话就必须在AP上加MAC地址过滤，问题是单个AP的MAC地址过滤好加，而做了WDS之后的MAC地址过滤虽然被证明有用，但没法通过广播的方式升级其他的AP的过滤列表，这个搞的比较头疼，不过因为没有很多时间，所以有两个设想，第一个是：在网关上加限制，对非法MAC不让上网。第二个是采用Telnet命令行的方式，batch升级MAC地址的Filter列表，这样就可以同步控制了，这两个方法都各有优缺点，不过看以后的测试结果了。