Samenvatting
Klanten meldden in 2019 dat in een bepaald subnetwerk de Adresresolutie Protocol (ARP)-reacties voor het IP-adrespunt van de standaardgateway naar bepaalde specifieke draadloze clients in plaats van naar de router worden gestuurd. Dit zou kunnen leiden tot client- of netwerkbrede connectiviteitsproblemen voor andere apparaten op hetzelfde VLAN/subnetwerk.
Voorwaarden
- De onjuiste ARP-responsen verwijzen naar MAC-adressen van Apple macOS-apparaten met versie 10.14 of lager
- Apparaten met 2019-vintage Android zijn gekoppeld aan hetzelfde subnetwerk
- De access points waarmee de macOS-apparaten zijn gekoppeld, zijn AP-COS (1800/2800/3800/4800/1540/1560/9100 Series), in de modus lokale FlexConnect-switching of SDA, niet Cisco IOS® AP’s
- Op de access points is FlexConnect Proxy ARP (ARP-caching) ingeschakeld
- FlexConnect ARP-caching is standaard ingeschakeld in AP-COS 8.3 en hoger
- 8.2 is niet vatbaar voor het probleem omdat deze versie AP-COS FlexConnect ARP-caching niet ondersteunt
- Dit probleem kan implementaties met AireOS of 9800 Series wireless LAN-controllers of met Mobility Express treffen
Hoofdoorzaak
- Dit is geen kwaadaardige aanval, maar veroorzaakt door een interactie tussen het macOS apparaat terwijl in slaapmodus, en specifiek uitzendingsverkeer gegenereerd door Android-apparaten.
- Het macOS-gedrag ligt vast in 10.15 en hoger
- AP-COS AP’s in de modus FlexConnect of SDA bieden standaard Proxy ARP-services (ARP-caching). Als gevolg van hun manier van leren van adressen zullen deze AP’s tabelvermeldingen aanpassen op basis van dit verkeer. Dit leidt tot wijziging van de ARP-vermelding van de standaardgateway.
Tijdelijke oplossing
Schakel FlexConnect Proxy ARP (ARP-caching) uit.
- Als de modus FlexConnect wordt gebruikt met AireOS of Mobility Express, gebruik dan de opdracht config flexconnect arp-caching disable
- Deze opdracht werkt met 8.10, 8.9, 8.8, 8.5.151.0 en 8.5 escalation (8.5.140.13 of hoger)
- als u eerdere 8.5-code gebruikt, werkt deze opdracht niet (CSCvp73371 ), dus upgrade naar 8.5.151.0 of hoger
- als u 8.3-code gebruikt, upgrade dan naar 8.3MR 5-escalatie (8.3.150.3 of hoger, beschikbaar via TAC) om CSCvp te verkrijgen73371 oplossen
- Als de modus SDA Fabric wordt gebruikt met AireOS, gebruik dan de opdracht config flexconnect arp-caching disable
- Deze opdracht werkt met 8.10, 8.9.111.0, 8.8.125.0 en 8.5.151.0
- als u een eerdere 8.5- of 8.8-code gebruikt, werkt deze opdracht niet (CSCvk79850 ), dus upgrade naar 8.5.151.0 / 8.8.125.0 / 8.10 of hoger
- Als de modus FlexConnect wordt gebruikt met een 9800 Series controller, gebruik dan de opdracht no arp-caching onder wireless profile flex
Door FlexConnect Proxy ARP uit te schakelen, worden ARP-aanvragen voor wireless clients broadcast via de ether en niet beantwoord door de AP’s. Hierdoor neemt het accuverbruik van wireless mobiele apparaten, zoals Cisco 8821-telefoons, iets toe.
Oplossen
Bij gebruik van FlexConnect met AireOS 8.10.120.0 of hoger (CSCvp42721 ), of IOS-XE 17.2.1 of hoger, en als geen clients statische adressering moeten gebruiken, dan:
- Zorg dat alle AP’s op elke locatie dezelfde niet-standaard FlexConnect-groep gebruiken
- Configureer DHCP als verplicht op het WLAN
- gebruik de opdracht config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)
Op die manier wordt voorkomen dat clients andere IP-adressen gebruiken dan die door DHCP zijn toegewezen.