ER3208G5HP+BE5100CQ组网，无法在3208上设置SSID MLO功能

你遇到的这个问题很典型，根本原因在于：在ER3208G5-HP作为主路由的AC+AP组网模式下，AP的Wi-Fi功能（包括MLO）是完全由主路由器统一下发和管理的，因此你无法在AP的后台进行单独设置。BE5100CQ处于Fit AP状态时，其自身的Web管理界面主要面向Fat AP（胖AP）模式，在Fit模式下通常无法直接修改详细配置。

要解决这个问题，核心思路就是让主路由的固件能够识别并管理AP的MLO功能。有三个方向可以尝试：

• 1. 升级主路由固件（最关键）：将主路由ER3208G5-HP的固件升级到最新版本，可以最有效地解决此问题。根据社区反馈，固件R0174P01存在已知的兼容性Bug，升级到R0177P01或更高版本可以解决许多功能问题。你可以登录H3C官网，根据产品型号“ER3208G5-HP”查找并下载最新固件。

• 2. 检查并转换AP工作模式：

  1. 登录主路由器Web管理界面。

  2. 进入“AP管理”菜单，找到并点击 “AP设置” 。

  3. 在AP列表中找到BE5100CQ，查看其“工作模式”是否为Fit AP（瘦AP）。如果不是，需要将其切换至此模式，以便路由器统一管理。

 一个预备方案：尝试手动配置SSID

如果上述方法均不可行，还可以尝试一个变通方案：登录主路由器管理界面，手动创建一个新的SSID，并在配置中寻找类似 “Wi-Fi 7 模式” 或 “MLO” 的开关进行尝试。

 验证与后续步骤

完成上述任一配置后，建议重启ER3208G5-HP路由器和BE5100CQ AP，以确保所有设置生效。然后在主路由的“AP管理”界面，确认是否出现了MLO相关的配置选项。

一、核心根源（最简版）

1. 策略目的地址引用「域名对象」
   防火墙必须定期把域名解析为 IP，才能生成 ACL / 会话表项，不管你是拒绝还是允许，只要域名对象存在，就会定时主动解析刷新。
2. 设备本地 Local 域放行 DNS
   防火墙自带 DNS 服务器地址，且安全策略没限制本机外网 DNS，解析请求能正常发出去。
3. 无关项纠正：
   dns snooping 主要做二层 DNS 缓存 + 绑定，不是防火墙主动解析域名对象的核心原因，之前这点讲多了，真正元凶就是：
   域名对象 + 本地 DNS 可达

二、最终根治方案（最简、最稳、生产通用）

方案 1（最优）：废弃【域名对象封禁】，改用DNS 过滤 / 域名过滤

• 域名对象 = 防火墙主动解析
• DNS 过滤 / 应用控制域名黑名单 = 只拦截内网用户解析，防火墙不主动触发解析

方案 2（强制保留原有域名对象策略）：禁止防火墙本机 DNS 外网请求

• 作用：
  1. 内网用户 DNS 正常转发、域名封禁正常生效
  2. 防火墙就算想解析恶意域名，发包直接被自己策略拦下，审计再也抓不到防火墙解析记录
  3. 不影响设备 NTP、日志、网管、升级（仅禁用 DNS，不影响其他外网端口）

方案 3（兜底）：删除所有安全策略里的域名格式目的对象

• 应用特征库域名过滤
• 或 URL 过滤
• 或 DNS 黑名单

三、关键结论（记住这两句就行）

1. 只要在安全策略里用了域名对象，防火墙就必然周期性主动解析，这是设备机制，改不了；
2. 想彻底不让防火墙解析恶意域名，二选一：
   • 要么不用域名对象做封禁
   • 要么封堵 Local 域对外 DNS 请求

四、补充小坑