2023-09-18 01:31 PM 2023-09-18 01:33 PM 更新
Catalyst 9800 (17.9.4) + Catalyst 9120AXI で無線LANを使用しています。認証/暗号化方式は PEAP + WPA2/WPA3 + 802.1x です。認証サーバには Cisco ISE 3.2 を使用しています。
エンドユーザーから無線LANが突然切れる時があるという問い合わせが入り、DNA Center と ISE で対象PC/ユーザーの調査をしたところ、ローミングが発生するタイミングで認証が失敗して切断されており、下記の理由・メッセージで表示されていました。近くに(電波の届くところに)Cat9800の管理下にある別の無線APは存在していますが、申告のあったユーザー曰く、PCは持ち運んで移動していないとの事です。
Due to Invalid EAPOL(Extensible Authentication Protocol Over LANs) Key PMK(Pairwise Master Key)
EAP Timeout Failure due to No Response from Supplicant
5440 Endpoint abandoned EAP session and started new
上記は何が原因で発生するものなのか、また改善の為に無線LANコントローラまたはクライアントPC側で見直す設定など、何かご存じの方がおられましたら、ちょっとした事でも構いませんのでご教授・回答いただけませんでしょうか。
参考までにCat9800の設定画面も載せておきます。
解決済! 解決策の投稿を見る。
2023-09-20 08:04 PM
ローミング発生タイミングで「Invalid EAPOL...」のメッセージが出力されてるので、
「古い接続先のAP」から「新しい接続先のAP」にローミングした際の認証プロセスにおいて、
Adaptive FTが作用しているか否かが気になりました。
備考: 設定画面だと「Fast Transition」の「適応型対応」の箇所です。
(高速なローミングを行うための IEEE 802.11r を有効化すると、11r に非対応デバイスが接続できなくなりますが、)
Adaptive FTだと IEEE 802.11r の対応 & 非対応端末の両方をケアしてくれます。
しかしながら、それでも下記のような実装依存の互換性問題は出てしまうケースがあります。
Android 端末が無線 LAN に接続できない - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/4135709
そのため、ローミングが発生する前後の処理のログを調べられれば、
Adaptive FTに限らず何かしらの機能がトリガーになっていないかアタリを付けられるのではないかと見受けました。
2023-09-21 12:04 AM
こんにちは。
あまり予断を持って回答はしたく無いので、王道としては RA Trace log および EPC を取得いただきたいところではあります。ただ、ご提供いただいた設定から生じる懸念としては、2点あるかと思います。
1. SHA256 が有効であり、WPA3として動作できる条件を作っている。
2. PMF が Optional であり、これまた WPA3 として動作できる条件が整っている。
以上です。WPA3 の実装、特に PMF の実装についてはメーカーごとに、あるいは機種ごとにばらつきがあり、互換性問題を生じさせやすい状況です。すでに WPA3 登場から3年以上経ってもなお、現実としてこの問題は存在します。切り分けの一環としていずれも Disabled にし、一旦 WPA2(AES-CCMP128bit) のみの条件で動作させて、結果に違いが生じるか確認することは可能でしょうか。
クライアントが WPA3 に対応している場合、大体の場合 WPA2 にも対応していますので、大きな影響はないものと推測します。
Adaptive 11r については、確かに当初互換性の問題やシスコのバグでこの機能を無効にできないなどの問題がありましたが、流石にもう駆逐されているのではないかなと想像します。
2023-09-20 08:04 PM
ローミング発生タイミングで「Invalid EAPOL...」のメッセージが出力されてるので、
「古い接続先のAP」から「新しい接続先のAP」にローミングした際の認証プロセスにおいて、
Adaptive FTが作用しているか否かが気になりました。
備考: 設定画面だと「Fast Transition」の「適応型対応」の箇所です。
(高速なローミングを行うための IEEE 802.11r を有効化すると、11r に非対応デバイスが接続できなくなりますが、)
Adaptive FTだと IEEE 802.11r の対応 & 非対応端末の両方をケアしてくれます。
しかしながら、それでも下記のような実装依存の互換性問題は出てしまうケースがあります。
Android 端末が無線 LAN に接続できない - Cisco Community
https://community.cisco.com/t5/-/-/ta-p/4135709
そのため、ローミングが発生する前後の処理のログを調べられれば、
Adaptive FTに限らず何かしらの機能がトリガーになっていないかアタリを付けられるのではないかと見受けました。
2023-09-20 11:29 PM
ご回答、誠にありがとうございます。
ご記載の通り、Adaptive FTであれば IEEE 802.11r の対応 & 非対応端末の両方をケアしてくれるだろうとの思いから有効化したのですが、確かにこちらが原因の可能性がありますね。事象が出ている端末はWindows11を搭載したノートPCでIntelチップも最新なので、各種不具合は昔の機器に比べれば解消されているのかなと勝手に思い込んでおりました。取り合えず該当設定は無効にしたので、これで事象が発生するか様子見したいと思います。※有益な情報提供ですので、ひとまず"解決策として承認する"を押下させていただきました。
あと、"ローミングが発生する前後の処理のログを調べられれば"については、調査方法・手順がもし分かればご教授いただけますと助かります。
以上、よろしくお願い致します。
2023-09-21 12:04 AM
こんにちは。
あまり予断を持って回答はしたく無いので、王道としては RA Trace log および EPC を取得いただきたいところではあります。ただ、ご提供いただいた設定から生じる懸念としては、2点あるかと思います。
1. SHA256 が有効であり、WPA3として動作できる条件を作っている。
2. PMF が Optional であり、これまた WPA3 として動作できる条件が整っている。
以上です。WPA3 の実装、特に PMF の実装についてはメーカーごとに、あるいは機種ごとにばらつきがあり、互換性問題を生じさせやすい状況です。すでに WPA3 登場から3年以上経ってもなお、現実としてこの問題は存在します。切り分けの一環としていずれも Disabled にし、一旦 WPA2(AES-CCMP128bit) のみの条件で動作させて、結果に違いが生じるか確認することは可能でしょうか。
クライアントが WPA3 に対応している場合、大体の場合 WPA2 にも対応していますので、大きな影響はないものと推測します。
Adaptive 11r については、確かに当初互換性の問題やシスコのバグでこの機能を無効にできないなどの問題がありましたが、流石にもう駆逐されているのではないかなと想像します。
2023-09-21 05:07 PM
ご回答、誠にありがとうございます。
本件は障害ではないのでTACにケースオープンをする事が出来ず、そんな中、Cisco社員の方からのご回答・ご意見を頂戴できるのはとても助かりますし有難いです。
さて、いただいた内容について承知しました。ご指定の通り、事象が発生している建屋のWLANポリシー設定においてWPA3とPMFを無効にしましたので、これで事象が改善するか/発生するかを様子見したいと思います。※こちらも非常に有益な情報提供でしたので、"解決策として承認する"を押下させていただきました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます