环境概述
固件版本: 7.1.064, Release 2624P01
SSID: VOLAN-H3C
安全: WPA3 Personal (向下兼容 WPA2)
Mesh 协议: H3C WLAN Mobility Group
一、基础系统配置
1.1 设备命名与时区
sysname NJ-HOME-WA6520-1
clock timezone Beijing add 08:00:00
每台 AP 设置唯一的主机名,便于后期管理和日志追踪。时区设为东八区。
1.2 管理服务开启
telnet server enable
ssh server enable
ip http enable
ip https enable
netconf soap http enable
netconf soap https enable
安全建议:生产环境建议关闭 Telnet,仅保留 SSH。示例配置中同时开启了 Telnet 和 SSH,内网环境可接受。
1.3 NTP 时间同步
ntp-service enable
ntp-service unicast-server pool.ntp.org
ntp-service unicast-server registry.h3c.com priority
ntp-service unicast-server time.nist.gov
ntp-service unicast-server time.windows.com
配置了多个 NTP 服务器,其中 registry.h3c.com 带有 priority 关键字表示优先使用。时间同步对 802.11w (PMF) 和 WPA3 的密钥协商至关重要。
1.4 LLDP 邻居发现
lldp global enable
lldp hold-multiplier 8
LLDP 用于发现邻居设备,在 Mesh 组网中帮助识别拓扑关系。
二、射频(Radio)配置
WA6520-Hi 为双频 AP,配置了两张射频卡:
2.1 射频接口配置
interface WLAN-Radio1/0/1
service-template 1
channel band-width 160
interface WLAN-Radio1/0/2
service-template 1
channel band-width 40
5 GHz 开启 160 MHz:WA6520-Hi 支持 802.11ax (Wi-Fi 6),160 MHz 频宽可提供更高的理论速率。
2.4 GHz 使用 40 MHz:兼顾兼容性和吞吐量,在家庭环境下 40 MHz 是个折中选项。
2.2 射频自动调优
wlan global-configuration
calibrate-channel self-decisive enable all
calibrate-power self-decisive enable all
calibrate-bandwidth self-decisive enable 5g
calibrate-power 5g power-range 1 to 27
calibrate-power 2.4g power-range 1 to 27
关键参数解读:
提示:
power-range 1 to 27将最大功率限制为 27 dBm (约 500 mW),这是中国无线电管理规定的上限。如果你的环境更小,可以进一步调低上限以减少干扰。
2.3 频段导航 (Band Navigation)
wlan band-navigation enable
开启频段导航后,AP 会优先将支持 5 GHz 的客户端引导至 5 GHz 频段,减少 2.4 GHz 的拥堵。
三、WLAN 服务模板 — SSID 配置
wlan service-template 1
ssid VOLAN-H3C
quick-association enable
akm mode psk
preshared-key pass-phrase cipher ...
cipher-suite ccmp
security-ie rsn
wpa3 personal optional
pmf optional
bss transition-management enable
service-template enable
3.1 安全配置详解
这套配置实现了一个向下兼容的 WPA3 过渡方案:
支持 WPA3 的设备 → 使用 WPA3-SAE 连接
只支持 WPA2 的设备 → 回退到 WPA2-PSK
PMF 对 WPA3 客户端强制启用,对 WPA2 客户端可选
3.2 快速漫游相关
quick-association enable
bss transition-management enable
这两个功能是无缝漫游的基础,配合后面的 Mobility Group 一起工作。
四、有线接口配置
WA6520-Hi 配备两个上行接口:
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 4000
port-isolate enable
broadcast-suppression pps 100
multicast-suppression pps 100
interface Smartrate-Ethernet1/0/1
port link-type trunk
port trunk permit vlan 1 to 4000
port-isolate enable
broadcast-suppression pps 100
multicast-suppression pps 100
注意:Smartrate-Ethernet 是 H3C 的多速率以太网口,支持 100M/1G/2.5G/5G 自适应,连接 2.5G 交换机时可以突破千兆瓶颈。
4.1 VLAN 接口
interface Vlan-interface1
ip address dhcp-alloc
tcp mss 1400
undo dhcp select server
ipv6 address auto
ipv6 address dhcp-alloc
AP 自身通过 DHCP 获取管理 IP
tcp mss 1400调整 TCP MSS 值,避免隧道封装导致的分片同时启用 IPv4 和 IPv6 双栈
五、Mesh / Mobility Group 配置 — 核心部分
这是实现多 AP 间无缝漫游的关键配置。H3C 称之为 WLAN Mobility Group。
5.1 AP-1 配置
wlan mobility group hale
source ip 192.168.50.197
authentication-mode md5 cipher $c$3$GEle0xCi1px2QN8JATkgHOm/aHPoiA8=
member auto-discovery
group enable
5.2 AP-2 配置
wlan mobility group hale
source ip 192.168.50.198
authentication-mode md5 cipher $c$3$Q1SUMelvn8yt161UzKFdNAYKheDUXFQ=
member auto-discovery
group enable
5.3 配置解析
wlan mobility group hale # 创建名为 "hale" 的移动组
source ip 192.168.50.197 # 本机用于组通信的 IP
authentication-mode md5 cipher ... # MD5 认证密钥(所有成员必须一致)
member auto-discovery # 自动发现组成员
group enable # 启用移动组
Mobility Group 工作原理:
graph LR
A[AP-1<br/>192.168.50.197] <-->|Mobility Group<br/>hale| B[AP-2<br/>192.168.50.198]
A --> C[Client Roaming]
B --> C
所有成员通过指定的 source IP 互发现,建立隧道
当客户端从一个 AP 漫游到另一个 AP 时,Mobility Group 负责在 AP 间同步客户端的会话信息(PMK、IP 地址等)
客户端无需重新关联或重新 DHCP,实现亚秒级切换
5.4 漫游加速辅助配置
wlan client bss-load-ie enable
在 Beacon/Probe Response 中携带 BSS Load IE,让客户端感知各 AP 的负载情况,作出更智能的漫游决策。
七、安全加固建议
配置文件中一些安全相关的默认值值得关注:
port-security enable
八、部署检查清单
部署完成后,逐项验证:
两台 AP 均能通过
display wlan mobility group看到对方在线display wlan client能看到已关联的客户端客户端在 AP 间走动时,ping 不丢包或仅丢 1-2 个包
5G 客户端优先关联到 5G 射频(band-navigation 生效)
NTP 同步正常 (
display ntp-service status)LLDP 邻居正常 (
display lldp neighbor-information list)
九、常用维护命令
# 查看移动组状态
display wlan mobility group
# 查看射频信道和功率
display wlan radio
# 查看在线客户端
display wlan client
# 查看客户端漫游历史
display wlan client roam-history
# 查看服务模板
display wlan service-template
# 查看射频自动调优状态
display wlan calibrate status
总结
这套配置实现了一个支持 WPA3 的家庭/小型办公双 AP Mesh 网络,核心亮点:
双频自动调优 — 信道、功率、带宽全部自适应,零手动优化
WPA3 平滑过渡 —
optional模式同时兼容新老设备Mobility Group 无缝漫游 — 客户端跨 AP 不掉线
160 MHz 频宽 — 充分发挥 Wi-Fi 6 性能
两台 AP 的配置高度一致(仅主机名和 Mobility Group source IP 不同),非常适合通过 SmartMC 或批量脚本分发。将这套模板稍作修改(SSID、密码、Mobility Group 密钥),即可复用到任何 WA6520 系列 AP 上。