CPSec + Decrypt-Tunnel で事象が出なくなったということで間違いありません。CPSec + Decrypt-Tunnel の運用で進めていく予定です。
Original Message:
Sent: Dec 28, 2023 02:49 AM
From: kshimono
Subject: WPA3-enterpraise(wpa3-cnsa)で接続できない
早速ご確認もいただいているようでありがとうございます。
CPSec + Decrypt-Tunnel で事象が出なくなったということでよろしいでしょうか。
事象から推察するに、9240のCNSAの処理に何らかの問題がある可能性があります。
その場合は、Decrypt-Tunnelで暗号化処理をAP側にオフロードしたことで事象が出なくなったことの説明ができるかと思います。
(通常のTunnel Modeの場合、暗号化処理は9240 コントローラ側で行われます)
既にAruba SEにご相談頂いているかと思いますが、詳細な調査はサポートにて対応が必要になるので、
Aruba SE、サポートにて調査進めさせて頂きます。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
Original Message:
Sent: Dec 27, 2023 10:42 PM
From: Naoaki Chibana
Subject: WPA3-enterpraise(wpa3-cnsa)で接続できない
本件の続報となります。
アドバイスがあり、以下1,2の設定を同時に実施してみたところ、WPA3-CNSAで接続できることが確認できました。
1.CPSecの有効化
2.SSIDのForwarding modeをTunnel --> Decrypt-tunnel へ変更
上記の投稿でConfigを比較した結果、設定に差異は見られずと記載しましたが、検証時CPSecは有効にしておりました。
今回、CPSecは無効にしております。その差異があったことは見落としておりました。
また、CPSecがWPA3の設定に影響を及ぼすとは思ってもいませんでした。
ただし、検証時、Forwarding modeはTunnelでも問題なく、WPA3-CNSAで接続できておりました。
検証時と今回において、Forwarding modeの違いでどういう影響があったのかよくわかっておりません。
今回の現象について、何かご提示できる情報などあれば、提供頂けると幸いです。
Original Message:
Sent: Dec 27, 2023 01:37 AM
From: Naoaki Chibana
Subject: WPA3-enterpraise(wpa3-cnsa)で接続できない
Software Version
------------------------------
RadiusClearPass:6.11.5.255483
AOS:8.11.2.0 SSR
------------------------------
WPA3-enterpraiseの接続を試してますが、以前検証したAruba7010(8.11.2.0 SSR)の
コントローラでは以下のような結果がでてます。
①WPA3 Encryption:wpa3-aes-ccm-128
PC側の接続方式:WAP3-enterprise eap-tls
結果、clearpassからもコントローラに正常にroleを返し、コントローラ側のDashboardでも
role:role-a1001が適用され、roleに含まれるvid:101どおりのIPアドレスが取得でき、roleに
含まれるaclどおりの通信制御ができており、gatewayにもPING疎通可能。
②WPA3 Encryption:wpa3-cnsa
PC側の接続方式:WAP3-enterprise-192bit eap-tls
結果、①と同様。
現在のAruba9240(8.11.2.0 SSR)の導入を予定しており、Aruba9240でも同様の結果となると
思っていましたが、結果は以下のとおりです。
③WPA3 Encryption:wpa3-aes-ccm-128
PC側の接続方式:WAP3-enterprise eap-tls
結果、clearpassからもコントローラに正常にroleを返し、コントローラ側のDashboardでも
role:role-a1001が適用され、roleに含まれるvid:101どおりのIPアドレスが取得でき、roleに
含まれるaclどおりの通信制御ができており、gatewayにもPING疎通可能。
④WPA3 Encryption:wpa3-cnsa
PC側の接続方式:WAP3-enterprise-192bit eap-tls
結果としては、clearpassからもコントローラに正常にroleを返し、コントローラのダッシュボードでみると、
正常にrole:role-a1001が適用されているようには見えます。
ですが、③とまったく同じNW環境なのですがEncryptionが変わるだけで、PC側はDHCPよりIPが取得できず、
固定でIPアドレスを設定してもgatewayにもPINGが飛ばない状況です。
※2台のwindows11の端末で試しましたが、同様の結果でした。端末は最新Patch適用およびWi-FiのIntelチップ
ドライバーは最新にしております。
Aruba7010で設定したときのConfigと今回のAruba9240で設定したConfigを比較してみたところ、
設定に差異は見られず、今回の現象を解決する糸口が見つからず困っています。
今回の現象を改善する設定に心あたりがあれば、教えてください。
以上、よろしくお願いいたします。