日本語フォーラム

 View Only
  • 1.  WPA3-enterpraise(wpa3-cnsa)で接続できない

    Posted Dec 27, 2023 05:35 AM

    Software Version
    ------------------------------
    RadiusClearPass:6.11.5.255483
    AOS:8.11.2.0 SSR
    ------------------------------

    WPA3-enterpraiseの接続を試してますが、以前検証したAruba7010(8.11.2.0 SSR)の
    コントローラでは以下のような結果がでてます。

    ①WPA3 Encryption:wpa3-aes-ccm-128
     PC側の接続方式:WAP3-enterprise eap-tls

      結果、clearpassからもコントローラに正常にroleを返し、コントローラ側のDashboardでも
     role:role-a1001が適用され、roleに含まれるvid:101どおりのIPアドレスが取得でき、roleに
     含まれるaclどおりの通信制御ができており、gatewayにもPING疎通可能。

    ②WPA3 Encryption:wpa3-cnsa
     PC側の接続方式:WAP3-enterprise-192bit eap-tls
      結果、①と同様。

    現在のAruba9240(8.11.2.0 SSR)の導入を予定しており、Aruba9240でも同様の結果となると
    思っていましたが、結果は以下のとおりです。

    ③WPA3 Encryption:wpa3-aes-ccm-128
     PC側の接続方式:WAP3-enterprise eap-tls

      結果、clearpassからもコントローラに正常にroleを返し、コントローラ側のDashboardでも
     role:role-a1001が適用され、roleに含まれるvid:101どおりのIPアドレスが取得でき、roleに
     含まれるaclどおりの通信制御ができており、gatewayにもPING疎通可能。

    ④WPA3 Encryption:wpa3-cnsa
     PC側の接続方式:WAP3-enterprise-192bit eap-tls

     結果としては、clearpassからもコントローラに正常にroleを返し、コントローラのダッシュボードでみると、
     正常にrole:role-a1001が適用されているようには見えます。
     ですが、③とまったく同じNW環境なのですがEncryptionが変わるだけで、PC側はDHCPよりIPが取得できず、
     固定でIPアドレスを設定してもgatewayにもPINGが飛ばない状況です。

     ※2台のwindows11の端末で試しましたが、同様の結果でした。端末は最新Patch適用およびWi-FiのIntelチップ
      ドライバーは最新にしております。

    Aruba7010で設定したときのConfigと今回のAruba9240で設定したConfigを比較してみたところ、
    設定に差異は見られず、今回の現象を解決する糸口が見つからず困っています。

    今回の現象を改善する設定に心あたりがあれば、教えてください。

    以上、よろしくお願いいたします。



  • 2.  RE: WPA3-enterpraise(wpa3-cnsa)で接続できない

    Posted Dec 27, 2023 10:43 PM

    本件の続報となります。

    アドバイスがあり、以下1,2の設定を同時に実施してみたところ、WPA3-CNSAで接続できることが確認できました。

    1.CPSecの有効化
    2.SSIDのForwarding modeをTunnel --> Decrypt-tunnel へ変更


    上記の投稿でConfigを比較した結果、設定に差異は見られずと記載しましたが、検証時CPSecは有効にしておりました。
    今回、CPSecは無効にしております。その差異があったことは見落としておりました。
    また、CPSecがWPA3の設定に影響を及ぼすとは思ってもいませんでした。

    ただし、検証時、Forwarding modeはTunnelでも問題なく、WPA3-CNSAで接続できておりました。

    検証時と今回において、Forwarding modeの違いでどういう影響があったのかよくわかっておりません。

    今回の現象について、何かご提示できる情報などあれば、提供頂けると幸いです。




  • 3.  RE: WPA3-enterpraise(wpa3-cnsa)で接続できない

    Posted Dec 28, 2023 02:50 AM

    早速ご確認もいただいているようでありがとうございます。
    CPSec + Decrypt-Tunnel で事象が出なくなったということでよろしいでしょうか。

    事象から推察するに、9240のCNSAの処理に何らかの問題がある可能性があります。
    その場合は、Decrypt-Tunnelで暗号化処理をAP側にオフロードしたことで事象が出なくなったことの説明ができるかと思います。
    (通常のTunnel Modeの場合、暗号化処理は9240 コントローラ側で行われます)

    既にAruba SEにご相談頂いているかと思いますが、詳細な調査はサポートにて対応が必要になるので、
    Aruba SE、サポートにて調査進めさせて頂きます。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 4.  RE: WPA3-enterpraise(wpa3-cnsa)で接続できない

    Posted Jan 03, 2024 08:27 PM

    ご連絡遅くなり申し訳ありません。

    CPSec + Decrypt-Tunnel で事象が出なくなったということで間違いありません。CPSec + Decrypt-Tunnel の運用で進めていく予定です。

    既にAruba SEにご相談させていただいておりますので、Aruba SE、サポートと連携して引き続き調査を継続したいと考えております。