Wi-Fi 路由器和接入点的推荐设置
为了获得最佳的安全性、性能和可靠性,建议你对用于 Apple 产品的 Wi-Fi 路由器、基站或接入点进行以下设置。
本文中的信息主要面向网络管理员以及其他管理自己网络的人员。有关如何加入无线局域网的信息,请参考以下文章:
关于无线局域网隐私和安全警告
如果你的 Apple 设备显示一个关于无线局域网的隐私警告或低安全性警告,则这个网络可能会暴露有关你设备的信息。如果你负责管理无线局域网,我们建议你更新无线局域网路由器的设置,以达到或高于本文所述的安全标准。如果你不负责管理无线局域网,请提醒网络管理员注意这些设置。
路由器设置
要更改路由器的设置、更新其固件或更改无线局域网密码,请使用路由器制造商提供的配置网页或 App。如需协助,请查阅相应的路由器说明文档,或者咨询其制造商或你的网络管理员。
在更改设置之前,请备份路由器的现有设置,以备恢复之需。此外,还请确保路由器的固件是最新的,并且为你的 Apple 设备安装最新的软件更新。更改设置后,你可能需要在之前加入过网络的每台设备上忽略网络。然后,设备在重新加入网络时会使用路由器的新设置。
为了有助于确保你的 Apple 设备能够安全可靠地连接到你的网络,请将以下设置统一应用于各个无线局域网路由器和接入点,以及双频、三频或其他多频路由器的各个频段:
安全性 |
|---|
设置为 WPA3 个人级(用于提高安全性),或设置为 WPA2/WPA3 过渡级(用于兼容旧款设备)。 |
安全性设置定义了你的路由器所用的认证和加密类型,以及通过路由器网络传输的数据的隐私保护级别。无论你选取哪种设置,务必要设置一个强密码来加入网络。
WPA3 个人级是目前可用于无线局域网设备的最新、最安全的协议。它适用于所有支持 Wi-Fi 6 (802.11ax) 的设备以及某些旧款设备。
WPA2/WPA3 过渡级是一种混合模式,能够将 WPA3 个人级应用于支持这种安全协议的设备,同时允许旧款设备使用 WPA2 个人级 (AES)。
WPA2 个人级 (AES) 是你在无法使用上述任何更安全的模式时的适当之选。在这种情况下,还要选取 AES 作为加密或密码类型(如果可用)。
避免在路由器上使用的低安全性设置
请勿创建或加入那些使用已弃用的旧安全协议的网络。这些协议都不再安全,会降低网络可靠性和网络性能,并会导致设备显示安全警告:
WPA/WPA2 混合模式
WPA 个人级
WEP,包括“开放式 WEP”、“共享式 WEP”、“WEP 过渡安全网络”或“动态 WEP”(使用 802.1X 的 WEP)
TKIP,包括名称中包含 TKIP 的任何安全性设置
另外,强烈建议不要使用关闭安全功能的设置,例如“None”(无)、“Open”(开放)或“Unsecured”(不安全)。关闭安全功能会停用认证和加密,并允许任何人加入你的网络、访问网络上的共享资源(包括打印机、电脑和智能设备)、使用你的互联网连接,以及监控你访问的网站和通过你的网络或互联网连接传输的其他数据。即使安全功能只是暂时关闭或只对客人网络关闭,依然存在这种风险。
网络名称 (SSID) |
|---|
设置为单个唯一名称(区分大小写)- 适用于所有频段。 |
SSID(服务集标识符)是你的网络用来向其他设备标识自己身份的名称,也是附近用户在他们设备的可用无线局域网列表中看到的名称。
确保你网络上的所有路由器对于支持的每个频段都使用相同的名称。如果你为 2.4GHz、5GHz 或 6GHz 频段指定不同的名称,设备可能无法可靠地连接到你的网络、网络上的所有路由器或者路由器的所有可用频段。如果路由器提供的是并非针对所有频段使用同一名称的 Wi-Fi 6E,则支持 Wi-Fi 6E 的 Apple 设备会将网络视为具有有限的兼容性。
请为你的网络选用唯一的名称。不要选用常见名称或默认名称,例如 linksys、netgear、dlink、wireless 或 2wire。否则,加入你网络的设备也更有可能遇到其他同名的网络,然后自动尝试连接到这些网络。
路由器可能会配置为隐藏网络名称 (SSID)。你的路由器可能会错误地使用“closed”(关闭)表示隐藏,使用“broadcast”(广播)表示未隐藏。
隐藏网络名称并不能隐藏网络使其不被发现,也无法保护网络免受未经授权的访问。此外,由于设备搜索和连接无线局域网的方式,使用隐藏网络可能会暴露一些信息,而通过这些信息有可能识别到你和你所使用的隐藏网络(例如你的家庭网络)。正是因为这种隐私风险,当连接到隐藏网络时,你的设备可能会显示隐私警告。
为确保安全访问你的网络,请改用适当的安全性设置。
MAC 地址过滤、认证或访问控制 |
|---|
设置为已停用。 |
启用这项功能后,路由器可设置为仅允许具有指定 MAC(媒体访问控制)地址的设备加入网络。出于以下原因,你不应依靠这项功能来防止网络受到未经授权的访问:
这一功能无法阻止网络观察程序监视或拦截网络上的流量。
可能很容易拷贝、伪造(假冒)或更改 MAC 地址。
为了协助保护用户隐私,有些 Apple 设备会在每个无线局域网上使用不同的 MAC 地址。
为确保安全访问你的网络,请改用适当的安全性设置。
自动固件更新 |
|---|
设置为已启用. |
如有可能,请将你的路由器设置为在有软件更新和固件更新可用时自动安装相应的更新。这些更新可能会影响你可用的安全性设置,还会在路由器的稳定性、性能和安全性方面带来其他重要改进。
无线模式 |
|---|
设置为全部(首选),或设置为无线局域网 2 到无线局域网 6 或更高版本。 |
无线模式设置可分别用于 2.4GHz、5GHz 和 6GHz 频段,能够控制路由器使用哪些版本的无线局域网标准进行无线通信。较新的版本可提供更佳的性能,而且支持更多的设备并行运行。
通常情况下,最好启用路由器提供的所有模式,而不是只启用这些模式中的一部分。所有设备(包括旧款设备)随后便可使用自身支持的最快无线模式进行连接。这也有助于减少附近的旧有网络和设备造成的干扰。
频段 |
|---|
启用路由器支持的所有频段. |
Wi-Fi 频段就像是一条可供数据流通的马路。频段越多,网络的数据承载能力和性能就越高。
信道 |
|---|
设置为自动。 |
路由器的每个频段都分为多个独立的通信信道,就像马路上的车道一样。在将信道选择设置为自动后,路由器将为你选择最合适的 Wi-Fi 信道。
如果你的路由器不支持自动信道选择,请选取在你的网络环境中性能最佳的信道。信道的性能会因网络环境中的无线局域网干扰而异,其中可能包括使用同一信道的其他路由器和设备造成的干扰。如果你有多台路由器,请将每台路由器配置为使用不同的信道,尤其是当这些路由器彼此靠近时。
信道宽度 |
|---|
设置为 20MHz - 适用于 2.4GHz 频段。设置为自动或所有宽度 - 适用于 5 GHz 和 6 GHz 频段。 |
信道宽度指定了传输数据时可用的“管道”大小。信道越宽,速度越快,但也更容易受到干扰的影响,并且更有可能干扰其他设备。
在 2.4 GHz 频段中使用 20 MHz 信道有助于避免出现性能和可靠性问题,尤其是在路由器附近有其他 Wi-Fi 网络和 2.4 GHz 设备(包括蓝牙设备)时。
在 5GHz 和 6GHz 频段中使用自动或所有信道宽度,可确保最佳性能以及与所有设备兼容。在这些频段中较少发生无线干扰问题。
DHCP |
|---|
设置为已启用(如果你的路由器是网络上唯一的 DHCP 服务器)。 |
DHCP(动态主机配置协议)将 IP 地址分配给网络上的设备。每个 IP 地址可标识网络上的一台设备,并且使这台设备能够与网络和互联网上的其他设备通信。网络设备需要 IP 地址,就像电话需要电话号码一样。
你的网络只应该有一台 DHCP 服务器。如果在多台设备上(例如,在你的线缆调制解调器和路由器上)均启用了 DHCP,则地址冲突可能会导致某些设备无法连接到互联网或使用网络资源。
DHCP 租期 |
|---|
设置为 8 小时(适用于家庭或办公网络)。设置为 1 小时(适用于热点或访客网络)。 |
DHCP 租期是指将分配给某台设备的 IP 地址留给这台设备使用的时长。
Wi-Fi 路由器通常只有数量有限的 IP 地址可以分配给网络上的设备。如果分完了这些 IP 地址,路由器就无法为新设备分配 IP 地址,从而使这些设备无法与网络和互联网上的其他设备进行通信。通过缩短 DHCP 租期,可让路由器更快地回收和重新分配不再使用的旧 IP 地址。
NAT |
|---|
设置为已启用(如果你的路由器是网络上唯一一台提供 NAT 的设备)。 |
NAT(网络地址转换)可在互联网与你的网络之间转换地址。NAT 可以理解为公司的快递收发部门,这个部门负责将寄到这家公司街道地址的员工包裹分发到办公楼内的员工办公室。
通常情况下,只在你的路由器上启用 NAT。如果在多台设备上(例如,在你的线缆调制解调器和路由器上)均启用了 NAT,则产生的“双 NAT”可能会导致设备无法访问网络或互联网上的某些资源。
WMM |
|---|
设置为已启用. |
WMM(Wi-Fi 多媒体)可确定网络流量的优先级,从而提高各种网络应用程序(如视频和语音)的性能。默认情况下,所有支持 Wi-Fi 4 (802.11n) 或更高版本的路由器应该都会启用 WMM。停用 WMM 会影响网络上设备的性能和可靠性。
DNS 服务器 |
|---|
继续使用默认 DNS 服务器,或指定不同的主服务器或辅助服务器。 |
为了轻松访问互联网上的网站,设备需要一个 DNS(域名系统)服务器来将域名(如 apple.com)转换为 IP 地址。默认情况下,你的路由器会使用互联网服务提供商 (ISP) 的 DNS 服务器。如果路由器被配置为使用不同的 DNS 服务器,你的设备在连接到路由器网络时将默认使用这个服务器。
如果设备警告你,网络正在阻止加密的 DNS 流量,你可以继续使用配置的 DNS 服务器,但设备在网络上访问的网站和其他服务器的名称将是未加密的,因此可能会由网络上的其他设备监控和记录。你可以联系 ISP 或其他 DNS 提供商以获取更多信息,但请先尝试以下解决方案:确保你的软件是最新的,并且已按照建议配置了安全设置。重新启动设备。重新启动路由器。忽略无线局域网,然后重新加入它。
可能影响无线局域网连接的功能
以下功能可能会影响你设置路由器(或连接到路由器的设备)的具体方式。
私有无线局域网地址
如果你从 iPhone、iPad、Apple Watch 或 Apple Vision Pro 连接到无线局域网,请了解如何在这些设备上使用私有无线局域网地址。
定位服务
确保你的设备为无线局域网打开了“定位服务”,因为每个国家或地区的法规都对当地允许的无线局域网信道和无线信号强度进行了规定。“定位服务”有助于确保你的设备能够可靠地发现和连接附近的设备,还能确保设备在使用无线局域网或依赖无线局域网的各项功能(例如“隔空播放”或“隔空投送”)时正常工作。
装有 macOS Ventura 或更高版本的 Mac
选取苹果菜单 >“系统设置”,然后点按边栏中的“隐私与安全性”。
点按右侧的“定位服务”。
滚动到 App 和服务列表的底部,然后点按“系统服务”旁边的“详细信息”按钮。
打开“网络和无线”,然后点按“完成”。
装有 macOS Monterey 或更低版本的 Mac
选取苹果菜单 >“系统偏好设置”,然后点按“安全性与隐私”。
点按窗口一角的锁形图标
,然后输入你的管理员密码。在“隐私”标签页中,选择“定位服务”,然后选择“启用定位服务”。
滚动到 App 和服务列表的底部,然后点按“系统服务”旁边的“详细信息”按钮。
选择“网络与无线”(或“Wi-Fi 网络”),然后点按“完成”。
iPhone、iPad 和 Apple Vision Pro
前往“设置”>“隐私与安全性”>“定位服务”。
打开“定位服务”。
滚动到列表的底部,然后轻点“系统服务”。
打开“网络与无线”(或“Wi-Fi 网络”)。
使用无线运营商 Wi-Fi 网络时自动加入
无线运营商 Wi-Fi 网络是由无线运营商及其合作伙伴建立的公共网络。你的 iPhone 或其他 Apple 蜂窝网络设备会将这些网络视作已知网络并自动进行连接。
如果你在无线局域网设置中看到运营商网络名称下方有隐私警告,则表示一旦你的设备尝试加入冒充运营商无线局域网的恶意热点,你的蜂窝网络识别码就可能会暴露。要避免出现这种情况,你可以通过以下操作来阻止 iPhone 或 iPad 自动重新加入运营商的 Wi-Fi 网络:
前往“设置”>“无线局域网”。
轻点无线运营商网络旁边的信息按钮
。关闭“自动加入”。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。
