Summary
En 2019, los clientes informaron de que, de forma intermitente en una subred determinada, las respuestas del protocolo de resolución de direcciones (ARP) para la dirección IP del gateway predeterminado apuntan a algunos clientes inalámbricos específicos en lugar de al router. Esto podría ocasionar problemas de conectividad en todo el cliente o en la red para otros dispositivos en la misma VLAN/subred.
Condiciones
- Las respuestas ARP incorrectas apuntan a direcciones MAC que pertenecen a dispositivos Apple macOS que están ejecutando 10.14 o anterior
- Los dispositivos que ejecutan Android de la cosecha 2019 están asociados a la misma subred
- Los puntos de acceso a los que están asociados los dispositivos macOS son AP-COS (1800/2800/3800/4800/1540/1560/9100 Series), en el switching local FlexConnect o SDA, en modo, no en los APs Cisco IOS®.
- Los puntos de acceso tienen el ARP proxy de FlexConnect (almacenamiento en caché ARP) activado
- De forma predeterminada, el almacenamiento en caché ARP de FlexConnect está habilitado en AP-COS 8.3 y versiones posteriores
- 8.2 no es susceptible, porque no soporta el almacenamiento en caché ARP de AP-COS FlexConnect
- Este problema puede afectar a las implementaciones con AireOS o los controladores de LAN inalámbrica serie 9800, o con Mobility Express
Causa raíz
- No se trata de un ataque malintencionado, sino que se activa por una interacción entre el dispositivo macOS en modo de suspensión y el tráfico de difusión específico generado por los dispositivos Android.
- El comportamiento de macOS se fija en 10.15 y superior
- Los AP AP AP-COS, mientras están en el modo FlexConnect o SDA, proporcionan servicios ARP de proxy (almacenamiento en caché ARP) de forma predeterminada. Debido a su diseño de aprendizaje de direcciones, modificarán las entradas de la tabla en función de este tráfico que conduce a la modificación de la entrada ARP del gateway predeterminado.
Solución Aternativa
Deshabilite el ARP proxy de FlexConnect (almacenamiento en caché ARP).
- Si ejecuta FlexConnect con AireOS o Mobility Express, utilice el comando config flexconnect arp-caching disable
- este comando funciona con escalado 8.10, 8.9, 8.8, 8.5.151.0 y 8.5 (8.5.140.13 o superior)
- si se utiliza código anterior 8.5, este comando no funciona (CSCvp73371 ), así que actualice a 8.5.151.0 o superior
- si utiliza el código 8.3, actualice a la escalada 8.3MR5 (8.3.150.3 o superior, disponible en TAC) para obtener el CSCvp73371 corregir
- si utiliza el modo de fabric SDA con AireOS, utilice el comando config flexconnect arp-caching disable
- este comando funciona con 8.10, 8.9.111.0, 8.8.125.0 y 8.5.151.0
- si se utiliza código anterior 8.5 u 8.8, este comando no funciona (CSCvk79850 ), así que actualice a 8.5.151.0 / 8.8.125.0 / 8.10 o superior
- Si ejecuta FlexConnect con un controlador de la serie 9800, utilice el comando no arp-caching en wireless profile flex
Al desactivar el ARP proxy de FlexConnect, las solicitudes ARP para clientes inalámbricos se transmitirán por el aire, en lugar de ser respondidas por los AP. Esto aumentará en cierta medida el consumo de batería de los dispositivos portátiles inalámbricos, como los teléfonos Cisco 8821.
Corregir
Si ejecuta FlexConnect con AireOS 8.10.120.0 o superior (CSCvp42721 ), IOS-XE 17.2.1 o superior, y si ningún cliente necesita utilizar direccionamiento estático, entonces:
- asegúrese de que, en cada ubicación, todos los AP estén en el mismo grupo FlexConnect no predeterminado
- configure DHCP Required en el WLAN
- utilice el comando config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)
Esto evitará que los clientes utilicen direcciones IP distintas de las asignadas por DHCP.