某獨立H3C AP,型号為WA4320i-ACN,V5軟體版本,隻有一SSID,采用WPA2-PSK/AES安全方式,同時綁定了兩個射頻。
某日有一終端裝置(筆記本),無線網卡是支援802.11n的2.4GHz單射頻網卡,在系統更新到Win10後,出現無法關聯到SSID的故障。
在AP上檢查日志,發現有如下提示:
WMAC/5/WSEC_CLIENT_ASSIGN_PTK_FAILED: Failed to assign PTK to the client aabb-ccdd-eeff, IP address: 0.0.0.0.
該終端在使用Win7系統時可以正常關聯,至少說明硬體沒有問題。
主觀感覺是驅動程式的問題,于是嘗試重新整理了多個版本的無線網卡驅動,未見改善。
筆者仔細回想,先前在AC+AP的環境下,也處理過類似終端不能相容的案例。
先前的情況是,H3C AC+AP(V7)環境下,一批僅支援802.11n draft(草案)的老舊無線網卡,無法關聯。後在H3C技術人員指導下排查,發現是無線服務模闆啟動了“快速漫遊”機制導緻的不相容。
那麼,本案例的故障是否也與此有關呢?檢查一下AP上的無線服務模闆配置:
wlan service-template 1 crypto
ssid XXXXXXXX
cipher-suite ccmp
security-ie rsn
key-derivation sha1-and-sha256
service-template enable
并未發現異常的配置。
手工在WEB界面建立一個SSID(無線服務模闆),同樣也是WAP2-PSK/AES,其餘設定均保持預設值,故障終端居然可以關聯這個建立的SSID。
對比兩個服務模闆的配置,發現多出一條指令:
key-derivation sha1-and-sha256
該指令及參數的定義,在H3C官網上介紹如下:
sha1-and-sha256:表示SHA1和SHA256算法,它使用HMAC-SHA1或HMAC-SHA256算法進行疊代計算産生密鑰。
如果不配置這條指令,預設使用SHA1。
最後,删除主用無線服務模闆中的key-derivation指令,問題解決。
究其原因,還是用戶端無線網卡驅動相容性不好(Win7和Win10下不是同版本驅動程式)。在此情況下,隻能盡量簡化無線網絡的配置(或功能),才能盡可能保證相容性。