フレッツ光特有の話だと思うので日本語で書きます。

何

WLC において WPA2 などをかけた SSID に端末が association できず、WLC の syslog に下記のようなエラーが表示されて困る、という奴:

*Dot1x_NW_MsgTask_1: Jun 15 18:59:55.112: %DOT1X-3-PSK_CONFIG_ERR: 1x_ptsm.c:730 Client 08:de:ad:be:ef:00 may be using an incorrect PSK

tl;dr

これは下記の環境の場合、ESP パケット (IPsec の場合) の IPv6 DSCP 値の関係でフレッツ網に一部の CAPWAP パケットを落とされているのが原因であると見て良い気がします。

• WLC がトンネルや VPN 越し
• トンネルの経路にフレッツ IPv6 IPoE NGN が挟まっている

NGN に繋がっているインタフェースから送出される DSCP を全部 0x00 にセットしてしまいましょう。ひかり電話を使っているならもうちょい工夫は必要そう。

状況の詳細

実際の MacBook Pro ←→ Cisco Aironet との 802.1X 通信は下記のスクショの通り。Mac からの返答パケット Key (2 of 4) が届いておらず、Cisco から Key (1 of 4) が再送され続けていることがわかる。

VPN 対向ルータでキャプチャするとこうなる。

一部の 802.11 フレームを含む CAPWAP パケットに DSCP 値が設定されていて、箱物ルータだと気を効かせて tunnel outer packet に DSCP 値が伝搬される事により、NGN の仕様に従い NTT 局側で drop されることでこうなっていると見られる。ちなみに何故か iPhone 7s は問題なく assoc ができた。

(手元側での CAPWAP パケットのキャプチャはあるけどもう残ってませんでした)

NGN の仕様

• 東日本: IP通信網サービスのインタフェース 第三分冊 (第35版) 26p; フレッツ 光ネクスト編 2.4.3. 転送優先度に関する仕様
• 西日本: IP通信網サービスのインタフェース －フレッツシリーズ－ ＜光ネクスト、光ライト、光WiFiアクセス編＞ (第20版) フレッツ 光ネクスト編 29p; 2.4.3. 転送優先度に関する仕様

にある通り、

尚、各サービスにおいて許容されたプロトコルと転送優先度の組み合わせ以外のパケットに転送優先度を指定することは許容しません。

なので、DSCP 値をよく考えずに NGN 網に流すと黙って局側で drop される事が多いです。OpenSSH とかでも ssh_config, sshd_config で IPQoS オプションを指定しとかないとハマる、というのがありますね。