はじめに

WPA3ブログの第三回では無線APとパソコンなどのクライアント機器のWPA3サポート状況を紹介させていただきました。

第四回となる本ブログではMerakiの設定や各SSIDにWindowsパソコンとiPhoneを接続した際の状態を紹介させていただきます。

下図は前回のブログで紹介した無線機器のサポート状況の図ですが、MerakiがサポートしているWPA3の規格の再確認のために再掲します。


※本ブログで紹介する内容は2022年8月時点の独自の検証結果に基づくものです。
記事の作成については万全を期しておりますが、掲載された情報の正確性について、これを保証するものではない点ご注意ください。

Merakiを初めて設定される方、あるいはMerakiの導入を検討しており、最初にどのような設定が必要か気になる方は下記のドキュメントをご参照ください。
https://documentation.meraki.com/Getting_Started
https://documentation.meraki.com/MR/MR_Quick_Start

【目次】

1. 検証機器の紹介
2. WPA3-Personal Only mode
　2.1 アクセスポイントの設定内容
　2.2 クライアントの接続ステータス
3. WPA3-Personal Transition mode
　3.1 アクセスポイントの設定内容
　3.2 クライアントの接続ステータス
4. WPA3-Enterprise 192-bit mode
　4.1 アクセスポイントの設定内容
　4.2 WindowsとiPhoneのWPA3-Enterpriseの接続方法紹介
　4.3 クライアントの接続ステータス
5. Enhanced Open Only mode
　5.1 アクセスポイントの設定内容
　5.2 クライアントの接続ステータス
6. まとめ

1.検証機器の紹介

今回の検証で使用した機器は以下の通りです。

【無線AP】
・Meraki MR44 [OSバージョン：MR 28.6.1]
MR44

【クライアント】
＜Windows パソコン＞
・HP Spectre x360 convertible 13-ap0xxx [Windows 10 Pro , OSビルド：19044.1766 , Intel AX200]
・dynabook G83/DS [Windows 10 Pro , OSビルド：19044.1889 , intel Dual Band Wireless-AC 8265]
※dynabookはWPA3-Personal Transition modeの検証に使用

＜iPhone＞
iPhone 12 [iOS 15.6]

【Radiusサーバー】
Netattest EPS [OSバージョン：4.10.4]
※WPA3-Enterpriseの検証に使用(EAP-TLSを使用)
※基本セットアップと"EAP-TLS"で認証を行うための設定を実行

2. WPA3-Personal Only mode

2.1 アクセスポイントの設定内容

【設定ポイント】
[セキュリティ]　>　"事前共有キー（PSK）"を選択して任意のパスワードを入力します。
[WPA暗号化]　>　"WPA3 only"を選択します。
[802.11w]　>　"必須（サポートされていないクライアントを拒否）"が選択されていることを確認します。

【設定画面イメージ】

2.2 クライアントの接続ステータス

【クライアントを接続した際の状態】


【Meraki Dashboard上でのクライアント情報】
Meraki Dashboard上では接続しているセキュリティ規格の確認はできません。

・Windows


・iPhone


【Windowsで取得した接続情報】



【iPhoneで取得した接続情報】
iPhoneでは接続しているセキュリティ規格の確認はできません。

3.WPA3-Personal Transition mode

3.1 アクセスポイントの設定内容

【設定ポイント】
[セキュリティ]　>　"事前共有キー（PSK）"を選択して任意のパスワードを入力します。
[WPA暗号化]　>　"WPA3 Transition Mode"を選択します。
[802.11w]　>　"有効（サポートされていないクライアントを許可）"が選択されていることを確認します。

【設定画面イメージ】

3.2 クライアントの接続ステータス

【クライアントを接続した際の状態】


【Meraki Dashboard上でのクライアント情報】
Meraki Dashboard上では接続しているセキュリティ規格の確認はできません。

・Windows


・iPhone



【Windowsで取得した接続情報】
WPA3-Personal Transition modeに関しては「WPA3非対応」のクライアントがWPA2で接続可能なのかを確認するためにWPA3対応のパソコン(HP Spectre x360)とWPA3非対応のパソコン(dynabook G83/DS)の両方で接続し情報確認を行いました。

・WPA3対応のパソコンで接続した場合


・WPA3非対応のパソコンで接続した場合



【iPhoneで取得した接続情報】
iPhoneでは接続しているセキュリティ規格の確認はできません。

4.WPA3-Enterprise 192-bit mode

4.1 アクセスポイントの設定内容

【設定ポイント】
[セキュリティ]　>　"エンタープライズ認証(マイRADIUSサーバ)"を選択します。
[WPA暗号化]　>　"WPA3 only"を選択します。
[802.11w]　>　"必須（サポートされていないクライアントを拒否）"が選択されていることを確認します。
[RADIUS]　>　任意のRADIUSサーバー情報を入力します。

【設定画面イメージ】

4.2 WindowsとiPhoneのWPA3-Enterpriseの接続方法紹介

WPA3-Personal,Enhanced Openに関してはSSIDに接続する際にほとんど手間はなく、クライアント側の作業はWPA3-Personalにおけるパスワード入力程度ですので、皆様もSSIDに接続する際の手順をイメージすることは難しくないかと思います。
そのため、本ブログでは一般的にはあまり馴染みのないWPA3-EnterpriseのSSIDにWindowとiPhoneを接続する際の手順についてご紹介させていただきます。


【Windows】



【iPhone】

4.3 クライアントの接続ステータス

【クライアントを接続した際の状態】


【Meraki Dashboard上でのクライアント情報】
Meraki Dashboard上では接続しているセキュリティ規格の確認はできません。

・Windows


・iPhone


【Windowsで取得した接続情報】



【iPhoneで取得した接続情報】
iPhoneでは接続しているセキュリティ規格の確認はできません。

5.Enhanced Open Only mode

5.1 アクセスポイントの設定内容

【設定ポイント】
[セキュリティ]　>　"Opportunistic Wireless Encryption（OWE）"を選択します。
[WPA暗号化]　>　"WPA3 only"を選択します。
[802.11w]　>　"必須（サポートされていないクライアントを拒否）"が選択されていることを確認します。

【設定画面イメージ】

5.2 クライアントの接続ステータス

【クライアントを接続した際の状態】


【Meraki Dashboard上でのクライアント情報】
Meraki Dashboard上では接続しているセキュリティ規格の確認はできません。

・Windows


【Windowsで取得した接続情報】


【iPhoneで取得した接続情報】

6.まとめ

今回のWindowsとiPhoneの検証結果を、考察も含めてまとめた表が下図です。

※1：AP側/iPhone側のどちらも接続しているセキュリティ規格は確認できませんでしたが、接続したSSIDはWi-Fi AllianceのWPA3要件に沿ったSSIDのため、WPA3として接続可能と判断しました。
※2：Transition modeは「WPA2」「WPA3」のどちらの規格でも接続できSSIDであり、AP側/iPhone側のどちらも接続しているセキュリティ規格が確認できなかったため、今回は接続規格は不明としています。


今回はMerakiに関するWPA3のSSID設定やクライアントの接続ステータスを紹介しました。
次回はCiscoのSSID設定やクライアント接続ステータスを紹介する予定ですので、引き続きWPA3ブログにお付き合いくださいますようお願いいたします。