Zusammenfassung
Kunden berichteten 2019, dass ARP-Antworten (Address Resolution Protocol) für die IP-Adresse des Standardgateways in einem bestimmten Subnetz gelegentlich auf bestimmte Wireless-Clients anstatt auf den Router verweisen. Dies kann zu Client- oder netzwerkweiten Verbindungsproblemen für andere Geräte im gleichen VLAN/Subnetz führen.
Bedingungen
- Die falschen ARP-Antworten verweisen auf MAC-Adressen, die zu Apple macOS-Geräten gehören, auf denen 10.14 oder frühere Versionen ausgeführt werden.
- Geräte mit 2019-vintage Android sind mit demselben Subnetz verbunden
- Die Access Points, denen die macOS-Geräte zugeordnet sind, sind AP-COS (Serie 1800/2800/3800/4800/1540/1560/9100) im FlexConnect Local Switching- oder SDA-Modus, nicht Cisco IOS ® APs
- Auf den Access Points ist FlexConnect Proxy ARP (ARP-Caching) aktiviert.
- Standardmäßig ist FlexConnect ARP-Caching in AP-COS 8.3 und höher aktiviert.
- 8.2 ist nicht anfällig, da es kein AP-COS FlexConnect ARP-Caching unterstützt.
- Dieses Problem kann sich auf Bereitstellungen mit AireOS- oder Wireless LAN-Controllern der Serie 9800 oder mit Mobility Express auswirken
Ursache
- Dies ist kein böswilliger Angriff, sondern wird durch eine Interaktion zwischen dem macOS-Gerät im Ruhezustand und dem von Android-Geräten generierten spezifischen Broadcast-Datenverkehr ausgelöst.
- Das Verhalten von macOS wurde in 10.15 und höher behoben
- AP-COS-APs bieten im FlexConnect- oder SDA-Modus standardmäßig Proxy-ARP-Dienste (ARP-Caching). Aufgrund ihres Address Learning-Designs ändern sie Tabelleneinträge auf Basis dieses Datenverkehrs und führen so zu einer Änderung der ARP-Standardeinträge des Gateways.
Problemumgehung
Deaktivieren Sie FlexConnect Proxy ARP (ARP-Caching).
- Wenn FlexConnect mit AireOS oder Mobility Express ausgeführt wird, verwenden Sie den Befehl config flexconnect arp-caching disable
- Dieser Befehl funktioniert mit Eskalationen von 8.10, 8.9, 8.8, 8.5.151.0 und 8.5 (8.5.140.13 oder höher).
- Wenn Sie älteren 8.5-Code verwenden, funktioniert dieser Befehl nicht (CSCvp73371 ), also Upgrade auf 8.5.151.0 oder höher
- bei Verwendung des 8.3-Codes ein Upgrade auf 8.3MR5-Eskalation (8.3.150.3 oder höher, verfügbar vom TAC) durchführen, um den CSCvp73371 beheben
- Wenn Sie den SDA Fabric-Modus mit AireOS verwenden, verwenden Sie den Befehl config flexconnect arp-caching disable
- Dieser Befehl funktioniert mit 8.10, 8.9.111.0, 8.8.125.0 und 8.5.151.0
- Wenn Sie älteren Code 8.5 oder 8.8 verwenden, funktioniert dieser Befehl nicht (CSCvk79850 ), also Upgrade auf 8.5.151.0 / 8.8.125.0 / 8.10 oder höher
- Wenn FlexConnect mit einem Controller der Serie 9800 ausgeführt wird, verwenden Sie den Befehl no arp-caching unter wireless profile flex.
Durch die Deaktivierung von FlexConnect Proxy ARP werden ARP-Anfragen für Wireless-Clients per Funk gesendet und nicht von den APs beantwortet. Dies erhöht den Batterieverbrauch für drahtlose Handheld-Geräte wie Cisco 8821-Telefone etwas.
Beheben
Bei Ausführung von FlexConnect mit AireOS 8.10.120.0 oder höher (CSCvp42721 ) oder IOS-XE 17.2.1 oder höher, und wenn keine Clients statische Adressierung verwenden müssen, dann:
- Stellen Sie sicher, dass sich alle APs an jedem Standort in derselben nicht standardmäßigen FlexConnect-Gruppe befinden.
- DHCP im WLAN erforderlich konfigurieren
- Verwenden Sie den Befehl config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE).
Dadurch wird verhindert, dass Clients andere IP-Adressen als die von DHCP zugewiesenen verwenden.