WPA3-Personal の Beacon フレームをキャプチャしてみました。使用した機器は、アルバの AP-505/Instant OS 8.6.0.4 です。また、アルバには、opmode-transition コマンドがデフォルトで有効で、WPA3 端末だけではなく、WPA2 端末も同一の SSID で接続させることが可能です。今回は、opmode-transitionが有効 (default) なSSID「bin4-wpa3-personal-trans」とopmode-transitionが無効なSSID「bin4-wpa3-personal-sae」を設定し、比較してみました。

• show ap bss-table コマンド

 flags 列で各種オプションを確認することができます。opmode-transitionが有効なSSIDには、M フラグ (WPA3-SAE mixed mode BSS) が付いていることが確認できます。 

• bin4-wpa3-personal-trans (opmode-transitionが有効) の Beacon フレーム

RSN Information タグの AKM (Auth Key Management) に 00:0f:ac:2 (PSK) と00:0f:ac:8 (SAE) の2つあることが確認できます。また、RSN Capabilities 内の 802.11w/PMF (Protected Management Frames) が PMFR=0、PMFC=1 となっていることが確認できます。これにより、WPA3 端末だけではなくWPA2 端末も接続させることが可能です。

• bin4-wpa3-personal-sae (opmode-transitionが無効) の Beacon フレーム

opmode-transitionが無効なSSIDでは、RSN Information タグの AKM に 00:0f:ac:8 (SAE) のみ、RSN Capabilities 内の 802.11w/PMF が PMFR=1、PMFC=1 となっていることが確認できます。WPA3-Personal では 802.11w が必須であり、Beacon フレームからも確認できます。

[English Version]

I captured WPA3-Personal Beacon frames using Aruba AP505/Instant OS 8.6.0.4. opmode-transition command is enabled by default, then not only WPA3 clients but also WPA2 clients can associate the SSID. So, I set opmode-transition enabled SSID: bin4-wpa3-personal-trans and disabled SSID: bin4-wpa3-personal-sae.

• output of show ap bss-table

We can see each WPA3 flags in flags column. For opmode-transition enabled SSID, there is M flag which means "WPA3-SAE mixed mode BSS".

• bin4-wpa3-personal-trans (opmode-transition enabled) Beacon frame

In RSN Information Tag, there are AKM (Auth Key Management) 00:0f:ac:2 (PSK) and 00:0f:ac:8 (SAE). In RSN Capabilities, we can see PMFR=0 and PMFC=1 of 802.11w/PMF (Protected Management Frames).

• bin4-wpa3-personal-sae (opmode-transition disabled) Beacon frame

In RSN Information Tag, there are AKM (Auth Key Management) 00:0f:ac:8 (SAE) only. In RSN Capabilities, we can see PMFR=1 and PMFC=1 , so 802.11w/PMF is required.