Summary
Los clientes informaron, en 2019, que, de forma intermitente en una subred determinada, las respuestas del protocolo de resolución de direcciones (ARP) para la dirección IP del gateway predeterminado apuntan a algunos clientes inalámbricos específicos en lugar de al router. Esto podría conducir a problemas de conectividad de cliente o de toda la red para otros dispositivos en la misma VLAN/subred.
Condiciones
- Las respuestas ARP incorrectas apuntan a las direcciones MAC que pertenecen a los dispositivos Apple MacOS que ejecutan 10.14 o anterior
- Los dispositivos que ejecutan Android 2019 antiguos están asociados a la misma subred
- Los puntos de acceso a los que se asocian los dispositivos macOS son AP-COS (1800/2800/3800/4800/1540/1560/9100 series), en FlexConnect Local Switching o SDA, modo, no Cisco IOS® AP s.
- Los puntos de acceso tienen habilitado el ARP de proxy de FlexConnect (almacenamiento en caché ARP)
- De forma predeterminada, el almacenamiento en caché de ARP de FlexConnect está habilitado en AP-COS 8.3 y superiores
- 8.2 no es susceptible, porque no era compatible con el almacenamiento en caché ARP de FlexConnect de AP-COS
- Este problema puede afectar a las implementaciones con AireOS o controladores de LAN inalámbrica serie 9800, o con Mobility Express
Causa raíz
- No se trata de un ataque malintencionado, sino que se debe a una interacción entre el dispositivo macOS mientras se encuentra en modo de espera y al tráfico de difusión específico generado por los dispositivos Android.
- El comportamiento de macOS se fija en 10.15 y superiores
- Los AP-COS, mientras están en modo FlexConnect o SDA, proporcionan servicios ARP proxy (almacenamiento en caché ARP) de forma predeterminada. Debido a su diseño de aprendizaje de direcciones, modificarán las entradas de la tabla en función de este tráfico que conduce a la modificación de entradas ARP de gateway predeterminadas.
Solución Aternativa
Inhabilite el ARP proxy de FlexConnect (almacenamiento en caché ARP).
- Si ejecuta FlexConnect con AireOS o Mobility Express, utilice el comando config flexconnect arp-caching disable
- este comando funciona con la escalada 8.10, 8.9, 8.8, 8.5.151.0 y 8.5 (8.5.140.13 o superior)
- si utiliza el código 8.5 anterior, este comando no funciona (CSCvp73371
), así que actualice a 8.5.151.0 o superior
- si utiliza el código 8.3, actualice a la escalada 8.3MR5 (8.3.150.3 o superior, disponible en TAC) para obtener el CSCvp73371
corregir
- si utiliza el modo de estructura SDA con AireOS, utilice el comando config flexconnect arp-caching disable
- este comando funciona con 8.10, 8.9.111.0, 8.8.125.0 y 8.5.151.0
- si utiliza el código 8.5 o 8.8 anterior, este comando no funciona (CSCvk79850
), así que actualice a 8.5.151.0 / 8.8.125.0 / 8.10 o superior
- Si ejecuta FlexConnect con un controlador de la serie 9800, utilice el comando no arp-caching en wireless profile flex
Al inhabilitar el ARP proxy de FlexConnect, las solicitudes ARP para los clientes inalámbricos se transmitirán por el aire, en lugar de ser respondidas por los AP. Esto aumentará en cierta medida el consumo de la batería de los dispositivos portátiles inalámbricos, como los teléfonos Cisco 8821.
Corregir
Si ejecuta FlexConnect con AireOS 8.10.120.0 o superior (CSCvp42721
), o IOS-XE 17.2.1 o superior, y si ningún cliente necesita utilizar direccionamiento estático, entonces:
- asegúrese de que, en cada ubicación, todos los AP estén en el mismo grupo FlexConnect no predeterminado
- configure DHCP Required en la WLAN
- utilice el comando config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)
Esto evitará que los clientes utilicen direcciones IP distintas de las asignadas por DHCP.