요약
2019년에 고객은 지정된 하위 네트워크에서 기본 게이트웨이의 IP 주소에 대한 ARP(Address Resolution Protocol) 응답이 라우터가 아닌 일부 특정 무선 클라이언트를 가리킨다고 간헐적으로 보고했습니다. 이로 인해 동일한 VLAN/하위 네트워크에 있는 다른 장치에 대해 클라이언트 또는 네트워크 전반의 연결 문제가 발생할 수 있습니다.
조건
- 잘못된 ARP 응답은 10.14 이전 버전을 실행 중인 Apple macOS 디바이스에 속한 MAC 주소를 가리킵니다.
- 2019년 Android를 실행하는 디바이스는 동일한 하위 네트워크에 연결됨
- macOS 장치가 연결된 액세스 포인트는 Cisco IOS® AP가 아닌 FlexConnect 로컬 스위칭의 AP-COS(1800/2800/3800/4800/1540/1560/9100 시리즈) 또는 SDA 모드입니다.
- 액세스 포인트는 FlexConnect Proxy ARP(ARP 캐싱)를 활성화했습니다.
- 기본적으로 FlexConnect ARP 캐싱은 AP-COS 8.3 이상에서 활성화됩니다
- 8.2는 AP-COS FlexConnect ARP 캐싱을 지원하지 않으므로 취약하지 않습니다.
- 이 문제는 AireOS 또는 9800 Series Wireless LAN Controller 또는 Mobility Express를 사용하는 구축에 영향을 줄 수 있습니다.
근본 원인
- 이는 악의적인 공격이 아니라, 절전 모드에서 macOS 디바이스 간의 상호 작용과 Android 디바이스에서 생성된 특정 브로드캐스트 트래픽에 의해 트리거됩니다.
- macOS 동작은 10.15 이상에서 고정되어 있습니다
- AP-COS AP는 FlexConnect 또는 SDA 모드에서 기본적으로 프록시 ARP(ARP 캐싱) 서비스를 제공합니다. 주소 학습 설계로 인해 기본 게이트웨이 ARP 항목 수정으로 이어지는 이 트래픽을 기반으로 테이블 엔트리를 수정합니다.
해결 방법
FlexConnect 프록시 ARP(ARP 캐싱)를 비활성화합니다.
- AireOS 또는 Mobility Express를 사용하여 FlexConnect를 실행하는 경우 config flexconnect arp-caching disable 명령을 사용합니다.
- 이 명령은 8.10, 8.9, 8.8, 8.5.151.0 및 8.5 에스컬레이션(8.5.140.13 이상)에서 작동합니다.
- 이전 8.5 코드를 사용하는 경우 이 명령이 작동하지 않습니다(CSCvp73371
). 8.5.151.0 이상으로 업그레이드하십시오.
- 8.3 코드를 사용하는 경우 8.3MR5 에스컬레이션(8.3.150.3 이상, TAC에서 사용 가능)으로 업그레이드하여 CSCvp73371을 받으십시오.
수정
- AireOS에서 SDA 패브릭 모드를 사용하는 경우 config flexconnect arp-caching disable 명령을 사용합니다.
- 이 명령은 8.10, 8.9.111.0, 8.8.125.0 및 8.5.151.0에서 작동합니다.
- 이전 8.5 또는 8.8 코드를 사용하는 경우 이 명령이 작동하지 않습니다(CSCvk79850
). 8.5.151.0 / 8.8.125.0 / 8.10 이상으로 업그레이드
- 9800 시리즈 컨트롤러와 함께 FlexConnect를 실행하는 경우 무선 프로파일에서 no arp-caching 명령을 사용합니다.
FlexConnect Proxy ARP를 비활성화하면 무선 클라이언트에 대한 ARP 요청이 AP에서 응답하는 대신 공중에서 브로드캐스트됩니다. 그러면 Cisco 8821 Phone과 같은 무선 핸드헬드 장치의 배터리 소비량이 다소 증가할 것입니다.
수정
AireOS 8.10.120.0 이상에서 FlexConnect를 실행하는 경우(CSCvp42721
IOS-XE 17.2.1 이상, 클라이언트가 정적 주소 지정을 사용할 필요가 없는 경우 다음을 수행합니다.
- 각 위치에서 모든 AP가 기본이 아닌 동일한 FlexConnect 그룹에 있는지 확인합니다.
- WLAN에 필요한 DHCP 구성
- config flexconnect arp-caching enable(AireOS)/arp-caching(IOS-XE) 명령 사용
이렇게 하면 클라이언트가 DHCP에서 할당한 주소 이외의 IP 주소를 사용할 수 없습니다.