ARP-antwoorden voor IP-adrespunt met standaardgateway naar draadloze clients

Samenvatting

Klanten meldden in 2019 dat in een bepaald subnetwerk de Adresresolutie Protocol (ARP)-reacties voor het IP-adrespunt van de standaardgateway naar bepaalde specifieke draadloze clients in plaats van naar de router worden gestuurd. Dit zou kunnen leiden tot client- of netwerkbrede connectiviteitsproblemen voor andere apparaten op hetzelfde VLAN/subnetwerk.

Voorwaarden

• De onjuiste ARP-responsen verwijzen naar MAC-adressen van Apple macOS-apparaten met versie 10.14 of lager
  
• Apparaten met 2019-vintage Android zijn gekoppeld aan hetzelfde subnetwerk
• De access points waarmee de macOS-apparaten zijn gekoppeld, zijn AP-COS (1800/2800/3800/4800/1540/1560/9100 Series), in de modus lokale FlexConnect-switching of SDA, niet Cisco IOS^® AP’s
• Op de access points is FlexConnect Proxy ARP (ARP-caching) ingeschakeld
  • FlexConnect ARP-caching is standaard ingeschakeld in AP-COS 8.3 en hoger
  • 8.2 is niet vatbaar voor het probleem omdat deze versie AP-COS FlexConnect ARP-caching niet ondersteunt
• Dit probleem kan implementaties met AireOS of 9800 Series wireless LAN-controllers of met Mobility Express treffen

Hoofdoorzaak

• Dit is geen kwaadaardige aanval, maar veroorzaakt door een interactie tussen het macOS apparaat terwijl in slaapmodus, en specifiek uitzendingsverkeer gegenereerd door Android-apparaten.
  • Het macOS-gedrag ligt vast in 10.15 en hoger
• AP-COS AP’s in de modus FlexConnect of SDA bieden standaard Proxy ARP-services (ARP-caching). Als gevolg van hun manier van leren van adressen zullen deze AP’s tabelvermeldingen aanpassen op basis van dit verkeer. Dit leidt tot wijziging van de ARP-vermelding van de standaardgateway.

Tijdelijke oplossing

Schakel FlexConnect Proxy ARP (ARP-caching) uit.

• Als de modus FlexConnect wordt gebruikt met AireOS of Mobility Express, gebruik dan de opdracht config flexconnect arp-caching disable
  
  • Deze opdracht werkt met 8.10, 8.9, 8.8, 8.5.151.0 en 8.5 escalation (8.5.140.13 of hoger)
  • als u eerdere 8.5-code gebruikt, werkt deze opdracht niet (CSCvp73371 ), dus upgrade naar 8.5.151.0 of hoger
  • als u 8.3-code gebruikt, upgrade dan naar 8.3MR 5-escalatie (8.3.150.3 of hoger, beschikbaar via TAC) om CSCvp te verkrijgen73371 oplossen
    
• Als de modus SDA Fabric wordt gebruikt met AireOS, gebruik dan de opdracht config flexconnect arp-caching disable
  • Deze opdracht werkt met 8.10, 8.9.111.0, 8.8.125.0 en 8.5.151.0
  • als u een eerdere 8.5- of 8.8-code gebruikt, werkt deze opdracht niet (CSCvk79850 ), dus upgrade naar 8.5.151.0 / 8.8.125.0 / 8.10 of hoger

• Als de modus FlexConnect wordt gebruikt met een 9800 Series controller, gebruik dan de opdracht no arp-caching onder wireless profile flex

Door FlexConnect Proxy ARP uit te schakelen, worden ARP-aanvragen voor wireless clients broadcast via de ether en niet beantwoord door de AP’s. Hierdoor neemt het accuverbruik van wireless mobiele apparaten, zoals Cisco 8821-telefoons, iets toe.

Oplossen

Bij gebruik van FlexConnect met AireOS 8.10.120.0 of hoger (CSCvp42721 ), of IOS-XE 17.2.1 of hoger, en als geen clients statische adressering moeten gebruiken, dan:

• Zorg dat alle AP’s op elke locatie dezelfde niet-standaard FlexConnect-groep gebruiken
• Configureer DHCP als verplicht op het WLAN
• gebruik de opdracht config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)

Op die manier wordt voorkomen dat clients andere IP-adressen gebruiken dan die door DHCP zijn toegewezen.