ARP-Antworten für IP-Standardadresspunkt des Gateways an Wireless-Clients

Zusammenfassung

Kunden berichteten 2019, dass ARP-Antworten (Address Resolution Protocol) für die IP-Adresse des Standardgateways in einem bestimmten Subnetz gelegentlich auf bestimmte Wireless-Clients anstatt auf den Router verweisen. Dies kann zu Client- oder netzwerkweiten Verbindungsproblemen für andere Geräte im gleichen VLAN/Subnetz führen.

Bedingungen

• Die falschen ARP-Antworten verweisen auf MAC-Adressen, die zu Apple macOS-Geräten gehören, auf denen 10.14 oder frühere Versionen ausgeführt werden.
  
• Geräte mit 2019-vintage Android sind mit demselben Subnetz verbunden
• Die Access Points, denen die macOS-Geräte zugeordnet sind, sind AP-COS (Serie 1800/2800/3800/4800/1540/1560/9100) im FlexConnect Local Switching- oder SDA-Modus, nicht Cisco IOS ® APs
• Auf den Access Points ist FlexConnect Proxy ARP (ARP-Caching) aktiviert.
  • Standardmäßig ist FlexConnect ARP-Caching in AP-COS 8.3 und höher aktiviert.
  • 8.2 ist nicht anfällig, da es kein AP-COS FlexConnect ARP-Caching unterstützt.
• Dieses Problem kann sich auf Bereitstellungen mit AireOS- oder Wireless LAN-Controllern der Serie 9800 oder mit Mobility Express auswirken

Ursache

• Dies ist kein böswilliger Angriff, sondern wird durch eine Interaktion zwischen dem macOS-Gerät im Ruhezustand und dem von Android-Geräten generierten spezifischen Broadcast-Datenverkehr ausgelöst.
  • Das Verhalten von macOS wurde in 10.15 und höher behoben
• AP-COS-APs bieten im FlexConnect- oder SDA-Modus standardmäßig Proxy-ARP-Dienste (ARP-Caching). Aufgrund ihres Address Learning-Designs ändern sie Tabelleneinträge auf Basis dieses Datenverkehrs und führen so zu einer Änderung der ARP-Standardeinträge des Gateways.

Problemumgehung

Deaktivieren Sie FlexConnect Proxy ARP (ARP-Caching).

• Wenn FlexConnect mit AireOS oder Mobility Express ausgeführt wird, verwenden Sie den Befehl config flexconnect arp-caching disable
  
  • Dieser Befehl funktioniert mit Eskalationen von 8.10, 8.9, 8.8, 8.5.151.0 und 8.5 (8.5.140.13 oder höher).
  • Wenn Sie älteren 8.5-Code verwenden, funktioniert dieser Befehl nicht (CSCvp73371 ), also Upgrade auf 8.5.151.0 oder höher
  • bei Verwendung des 8.3-Codes ein Upgrade auf 8.3MR5-Eskalation (8.3.150.3 oder höher, verfügbar vom TAC) durchführen, um den CSCvp73371 beheben
    
• Wenn Sie den SDA Fabric-Modus mit AireOS verwenden, verwenden Sie den Befehl config flexconnect arp-caching disable
  • Dieser Befehl funktioniert mit 8.10, 8.9.111.0, 8.8.125.0 und 8.5.151.0
  • Wenn Sie älteren Code 8.5 oder 8.8 verwenden, funktioniert dieser Befehl nicht (CSCvk79850 ), also Upgrade auf 8.5.151.0 / 8.8.125.0 / 8.10 oder höher

• Wenn FlexConnect mit einem Controller der Serie 9800 ausgeführt wird, verwenden Sie den Befehl no arp-caching unter wireless profile flex.

Durch die Deaktivierung von FlexConnect Proxy ARP werden ARP-Anfragen für Wireless-Clients per Funk gesendet und nicht von den APs beantwortet. Dies erhöht den Batterieverbrauch für drahtlose Handheld-Geräte wie Cisco 8821-Telefone etwas.

Beheben

Bei Ausführung von FlexConnect mit AireOS 8.10.120.0 oder höher (CSCvp42721 ) oder IOS-XE 17.2.1 oder höher, und wenn keine Clients statische Adressierung verwenden müssen, dann:

• Stellen Sie sicher, dass sich alle APs an jedem Standort in derselben nicht standardmäßigen FlexConnect-Gruppe befinden.
• DHCP im WLAN erforderlich konfigurieren
• Verwenden Sie den Befehl config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE).

Dadurch wird verhindert, dass Clients andere IP-Adressen als die von DHCP zugewiesenen verwenden.