[WiFi] WiFi7 AP에서 WPA3-Personal Transition mode 사용하면 접속 안되는 현상

- WPA3-Personal Transition mode (WPA3-SAE/WPA2-PSK) 사용시 아래와 같은 현상이 있음

핵심 요약

• 여러 벤더/환경에서 GCMP-256을 광고하면 일부 STA(클라이언트)가 연결 실패(인증 또는 4-Way Handshake 중단)하는 사례가 보고되어 있습니다. 특히 안드로이드 단말/드라이버 조합에 따라 영향이 큽니다. (HPE Aruba Networking)
• 엔터프라이즈 쪽 가이드도 GCMP-256 클라이언트 지원이 아직 파편화되어 있다고 명시합니다(대부분의 단말은 CCMP-128을 우선). (HPE Aruba Networking)
• AP/펌웨어 버그로 Beacon의 RSN IE와 EAPOL(Handshake) RSN IE가 불일치할 때 연결이 깨지는 사례도 있습니다(ieee80211w/PMF 연계). (GitHub)
• WPA3 관련 AOSP 문서 기준, 지원 여부는 Supplicant HAL(칩셋/드라이버) 구현에 좌우됩니다(안드로이드 버전만으론 보장 안 됨). (Android Open Source Project)

실제 사례/이슈 레퍼런스

• LineageOS 이슈: WPA3-Personal에서 CCMP/CCMP-256은 붙지만 GCMP/GCMP-256을 함께 광고하면 “failed to connect to network”. (about.gitlab.com)
• Cisco 문서: Catalyst 일부 모델에서 GCMP-256 미지원, Suite-B-192 AKM과의 강한 결합 관계 등 주의사항. PDF 가이드에도 동일 명시. (Cisco)
• Aruba 가이드: 클라이언트의 GCMP-256 지원 미보편—Wi-Fi 7 대중화 전까지는 기대 난망. (HPE Aruba Networking)
• 현장 리포트: 네트워크에서 CCMP-256/GCMP-256 활성화 시 일부 장치가 전혀 연결되지 않음(비슷한 증상 사례). (GitHub)
• PMF/RSN 불일치 사례: AP가 802.11w(MFP/PMF)에서 RSN IE 불일치로 클라이언트 전체 연결 실패 → ieee80211w 끄면 정상. (GitHub)
• WPA3/192-bit 모드 설명: WPA3-Enterprise 192-bit는 GCMP-256을 사용(클라이언트/인프라 모두 해당 스위트 필요). (끄적끄적)
• AOSP 가이드: WPA3/OWE 지원은 드라이버/HAL 구현 의존(= 단말별 상이). (Android Open Source Project)

원인 후보 정리

1. 클라이언트 측 미지원: 단말의 wpa_supplicant/드라이버가 GCMP(특히 256-bit)를 지원하지 않거나, RSN 파싱 버그. (about.gitlab.com)
2. AP 측 제약/버그: 특정 AP 라인업에서 GCMP-256 미지원, 또는 GCMP-256 선택 시 Suite-B-192 AKM이 강제되어 호환 실패. (Cisco)
3. PMF/RSN IE 불일치: Beacon과 Handshake의 RSN IE(암호스위트/카운트)가 다르면 협상이 깨짐. (GitHub)

권장 우회/대응책

• AP에서 GCMP-256 비활성화: 가능하면 CCMP-128(=AES-CCMP)만 광고해 호환성 확보. WPA3-Personal/Enterprise라 해도 대부분 CCMP-128 모드로의 운용이 현실적입니다. (HPE Aruba Networking)
• 혼합 광고 자제: CCMP-256/GCMP-256 등 다중 Pairwise Cipher를 과도하게 나열하지 말고, 운영 표준을 단일 CCMP-128로 단순화. 현장 보고에서도 효과. (GitHub)
• PMF 설정 점검: WPA3에선 PMF가 필수(MFPR=1). RSN IE가 Beacon/EAPOL 사이에서 동일하게 광고/협상되는지 패킷 캡처로 확인. (mrn-cciew)
• WPA3-Enterprise 192-bit 필요한가? 정말 필요할 때만 활성화(= GCMP-256 필수). 단말 호환 리스트와 펌웨어 버전을 선확인. (끄적끄적)
• 펌웨어/OS 업데이트: 안드로이드 단말(베이스밴드/와이파이 드라이버)과 AP 컨트롤러를 최신 안정 버전으로. (Cisco의 경우 17.14/17.15 릴리즈 노트의 GCMP-256 동작 변경점 참고) (Cisco)

현상 재현/진단 체크리스트

1. Beacon/Probe RSN IE와 EAPOL Msg1/3 RSN IE 비교(암호 스위트 목록/카운트 동일성). 불일치 시 AP 버그 가능성. (GitHub)
2. 안드로이드 단말에서 wpa_supplicant 로그(adb bugreport 또는 vendor 툴)로 Pairwise 선택 실패/Reason Code 확인. AOSP의 WPA3 지원은 HAL 의존. (Android Open Source Project)
3. AP에서 GCMP-256만 끄고 CCMP-128 유지 → 즉시 연결되는지 A/B 테스트. 현장 사례 다수. (GitHub)
4. PMF 모드(Required/Capable)와 Transition 모드(WPA2/3 혼용) 설정을 단순화해 재시험(Aruba 가이드 참고). (HPE Aruba Networking)