要約
2019年に、特定のサブネットワークで断続的に、デフォルトゲートウェイのIPアドレスのAddress Resolution Protocol(ARP;アドレス解決プロトコル)応答が、ルータではなく特定のワイヤレスクライアントを指していると、お客様から報告がありました。 これにより、同じVLAN/サブネットワーク上の他のデバイスに対して、クライアントまたはネットワーク全体の接続の問題が発生する可能性があります。
条件
- 誤ったARP応答は、10.14以前を実行しているApple macOSデバイスに属するMACアドレスを指しています
- 2019-vintage Androidを実行しているデバイスは、同じサブネットワークに関連付けられています
- macOSデバイスが関連付けられているアクセスポイントは、FlexConnectローカルスイッチングまたはSDAモードのAP-COS(1800/2800/3800/4800/1540/1560/9100シリーズ)で、Cisco IOS® APではありません。
- アクセスポイントでFlexConnectプロキシARP(ARPキャッシング)が有効になっている
- デフォルトでは、FlexConnect ARPキャッシングはAP-COS 8.3以降で有効になっています
- 8.2は、AP-COS FlexConnect ARPキャッシングをサポートしなかったため、影響を受けません
- この問題は、AireOSまたは9800シリーズワイヤレスLANコントローラ、またはMobility Expressを使用した導入に影響する可能性があります
根本原因
- これは悪意のある攻撃ではありませんが、スリーピングモードの間のmacOSデバイスと、Androidデバイスによって生成された特定のブロードキャストトラフィックとの間のインタラクションによってトリガーされます。
- macOSの動作は、10.15以降で修正されています
- AP-COS APは、FlexConnectまたはSDAモードの間、デフォルトでプロキシARP(ARPキャッシング)サービスを提供します。アドレス学習の設計により、このトラフィックに基づいてテーブルエントリが変更され、デフォルトゲートウェイARPエントリが変更されます。
回避策
FlexConnectプロキシARP(ARPキャッシング)を無効にします。
- AireOSまたはMobility ExpressでFlexConnectを実行している場合は、コマンドconfig flexconnect arp-caching disable
- このコマンドは、8.10、8.9、8.8、8.5.151.0、および8.5エスカレーション(8.5.140.13以降)で機能します
- 以前の8.5コードを使用している場合、このコマンドは機能しません(CSCvp73371 8.5.151.0以降にアップグレードしてください)
- 8.3コードを使用している場合は、8.3MR5エスカレーション(8.3.150.3以上、TACから入手可能)にアップグレードして、CSCvp73371 修正
- aireOSでSDAファブリックモードを使用している場合は、config flexconnect arp-caching disableコマンドを使用します。
- このコマンドは、8.10、8.9.111.0、8.8.125.0、および8.5.151.0で動作します
- 以前の8.5または8.8コードを使用している場合、このコマンドは機能しません(CSCvk79850 )、8.5.151.0 / 8.8.125.0 / 8.10以上にアップグレードしてください
- 9800シリーズコントローラでFlexConnectを実行している場合は、wireless profile flexでno arp-cachingコマンドを使用します
FlexConnectプロキシARPを無効にすると、ワイヤレスクライアントのARP要求は、APによって応答されるのではなく、無線でブロードキャストされます。これにより、Cisco 8821電話などのワイヤレスハンドヘルドデバイスのバッテリ消費量が若干増加します。
修正
AireOS 8.10.120.0以降でFlexConnectを実行している場合(0.CSCvp42721 )またはIOS-XE 17.2.1以降で、クライアントがスタティックアドレスを使用する必要がない場合は、次の手順を実行します。
- 各ロケーションですべてのAPが同じデフォルト以外のFlexConnectグループに属していることを確認します
- wlanで必要なDHCPの設定
- config flexconnect arp-caching enable(AireOS)/arp-caching(IOS-XE)コマンドを使用します。
これにより、クライアントはDHCPによって割り当てられたIPアドレス以外のIPアドレスを使用できなくなります。