Las respuestas ARP para la dirección IP del gateway de valor por defecto señalan a los clientes de red inalámbrica

Resumen

Los clientes han señalado que, intermitentemente en un red secundario dado, las respuestas del Address Resolution Protocol (ARP) para la dirección IP del gateway de valor por defecto señalan a algunos clientes de red inalámbrica específicos bastante que al router. Esto podía llevar al cliente o a los problemas de conectividad para toda la red para los otros dispositivos en el mismo VLAN/subnetwork.

Condiciones

• Las respuestas incorrectas ARP señalan a las direcciones MAC que pertenecen a los dispositivos MaOS de Apple que están ejecutando 10.14 o anterior
  
• Los nuevos dispositivos de Android se asocian al mismo red secundario
• Los Puntos de acceso a los cuales los dispositivos MaOS son asociados son AP-COS (1800/2800/3800/4800/1540/1560/9100 Series), en la transferencia local de FlexConnect, o SDA, modo, no el ^® APs del Cisco IOS.
• Los Puntos de acceso tienen proxy ARP de FlexConnect (ARP que oculta) activado
  • Por abandono, el almacenamiento en memoria inmediata de FlexConnect ARP se activa en AP-COS 8.3 y arriba
  • 8.2 no es susceptibles, porque no utilizó el almacenamiento en memoria inmediata AP-COS FlexConnect ARP
• Este problema puede afectar a las implementaciones con AireOS o los reguladores inalámbricos LAN de las 9800 Series, o con la movilidad expresa

Causa raíz

• Esto no es un ataque malicioso, pero accionado por una interacción entre el dispositivo MaOS mientras que en el modo durmiente, y el tráfico de difusión específico generado por más nuevos dispositivos de Android.
  • El comportamiento MaOS se fija en 10.15 y arriba
• AP-COS APs, mientras que en FlexConnect o el modo SDA, proporcionan los servicios del proxy ARP (ARP que oculta) por abandono. Debido a su diseño del aprendizaje de dirección, modificarán las entradas de tabla basadas en este tráfico que lleva a la modificación de la entrada del gateway de valor por defecto ARP.

Workaround

Proxy ARP de FlexConnect de la neutralización (ARP que oculta).

• Si funciona con FlexConnect con AireOS o la movilidad expresa, utilice la neutralización de arp-almacenamiento en memoria inmediata del flexconnect del comando config
  
  • este comando trabaja con 8.10, 8.9, 8.8, 8.5.151.0, y la escalada 8.5 (8.5.140.13 o arriba)
  • si usa anterior 8.5 cifre, este comando no trabaja (CSCvp73371 ), así que mejora a 8.5.151.0 o arriba
  • si usa el código 8.3, actualice a la escalada 8.3MR5 (8.3.150.3 o arriba, disponible de TAC) para conseguir el arreglo CSCvp73371
    
• si usa el modo de la tela SDA con AireOS, utilice la neutralización de arp-almacenamiento en memoria inmediata del flexconnect del comando config
  • este comando trabaja con 8.10, 8.9.111.0, 8.8.125.0 y 8.5.151.0
  • si usa anterior 8.5 o 8.8 cifre, este comando no trabaja (CSCvk79850 ), así que mejora a 8.5.151.0/8.8.125.0/8.10 o arriba

• Si ejecuta FlexConnect con las 9800 Series regulador, utilice el comando ningún arp-almacenamiento en memoria inmediata bajo flexión inalámbrica del perfil

Inhabilitando el proxy ARP de FlexConnect, los pedidos ARP los clientes de red inalámbrica serán difusión sobre el aire, bastante que contestados por los APs. Esto aumentará el consumo de la batería algo para los dispositivos de bolsillo inalámbricos tales como Cisco 8821 teléfonos.

Corregir

Si FlexConnect que se ejecuta con AireOS 8.10.120.0 o arriba (CSCvp42721), y si ningunos clientes necesita utilizar la dirección estática, entonces:

• asegúrese de que, en cada ubicación, todos los APs estén en el mismo grupo de FlexConnect del no-valor por defecto
• configure el DHCP requerido en la red inalámbrica (WLAN)
• utilice la neutralización de arp-almacenamiento en memoria inmediata del flexconnect del comando config

Esto evitará que los clientes usen los IP Addresses con excepción de los que está asignados por el DHCP.