老张家新装了双频路由器,想把客厅的旧千兆交换机和书房的NAS用无线网桥连起来,结果配完发现手机能连、电脑能传文件,但隔天就发现NAS里几份合同PDF被人下载过——没设加密的网桥,等于在自家院墙上开了扇不锁的窗。
网桥不是“连上就行”,默认配置最危险
很多用户以为网桥只要SSID、密码填对,两台设备“握手成功”就万事大吉。实际上,像TP-Link、华为AX3这类支持WDS或无线中继的路由器,默认启用的是WEP或无加密WDS模式。WEP密钥长度才10位十六进制,用手机跑个字典工具3分钟就能破开;更常见的是干脆选了“Open System”(开放系统),连密码都不验,谁靠近信号范围都能蹭进来搭桥。
三步实操:让网桥真正锁死
第一步:强制启用WPA2-PSK/AES加密
进主路由后台 → 无线设置 → WDS网桥 → 找到“加密方式”下拉菜单,务必选 WPA2-PSK,加密算法选 AES(别选TKIP/AES混合,老旧设备才用TKIP,安全性差一大截)。
第二步:密码得够硬,且两端一致
网桥两端设备(主路由+副桥)的预共享密钥必须完全相同,建议用12位以上组合:比如 ShuFang@NAS2024# 这类带大小写字母、数字、符号的,别用生日或“12345678”。
第三步:关掉不必要的功能
副桥设备进后台 → 无线设置 → 把“允许无线客户端接入此桥接设备”这个选项关掉(华为叫“桥接模式下禁止STA接入”,TP-Link叫“禁用无线接入点功能”)。这样桥本身不对外广播Wi-Fi,只干“摆渡”一件事,攻击面直接砍掉一半。
命令行党可验证加密是否生效(以OpenWrt为例)
iwinfo wlan0 info | grep -i encryption
## 正常返回应含:Encryption: WPA2 PSK (AES)如果看到 Encryption: none 或 WEP,立刻回后台重配。
再顺手检查下主路由的DHCP分配范围:网桥只是透传数据,别让副桥也开DHCP,否则内网出现两个网关,打印机连不上、视频会议掉线,问题全堆在“连得上但用不了”这种玄学状态里。
安全不是加个密码就完事,是让每个环节都卡住漏洞。你家的网桥,现在锁好了吗?