Samenvatting
Klanten rapporteerden, in 2019, dat, periodiek in een bepaald subnetwerk, de reacties van het Protocol van de Resolutie van het Adres (ARP) voor het IP adres van de standaardgateway op sommige specifieke draadloze cliƫnten in plaats van op de router. Dit zou tot of client of netwerk-brede aansluitingsproblemen voor andere apparaten op hetzelfde VLAN/subnetwerk kunnen leiden.
Voorwaarden
- De onjuiste ARP responsen wijzen op MAC-adressen die behoren tot Apple macOS-apparaten die 10.14 of eerder draaien
- Apparaten die 2019-wijk Android gebruiken worden gekoppeld aan hetzelfde subnetwerk
- De access points waaraan de macOS-apparaten zijn gekoppeld, zijn AP-COS (1800/2800/3800/4800/1540/1560/1560/1900 Series), in FlexConnect Local Switching, of SDA, anders dan Cisco IOS AP's.
- De access points hebben FlexConnect Proxy ARP (ARP) ingeschakeld
- Standaard is FlexConnect ARP-caching ingeschakeld in AP-COS 8.3 en hoger
- 8.2 is niet gevoelig, omdat het AP-COS FlexConnect ARP-caching niet ondersteunde
- Dit probleem kan gevolgen hebben voor implementaties met AireOS of 9800 Series draadloze LAN-controllers of met Mobility Express
Root-oorzaak
- Dit is geen kwaadaardige aanval, maar veroorzaakt door een interactie tussen het macOS-apparaat in de slaapmodus, en specifiek uitzendverkeer dat gegenereerd wordt door Android-apparaten.
- Het gedrag van macOS is vastgelegd in 10.15 en hoger
- AP-COS APs, terwijl in FlexConnect of SDA wijze, de diensten van Proxy ARP (ARP caching) standaard verstrekt. Wegens hun ontwerp van het adresleren, zullen zij tabelingangen op basis van dit verkeer aanpassen dat tot standaard gateway ARP ingangswijziging leidt.
Werken
Uitschakelen van FlexConnect Proxy ARP (ARP-caching)
- Indien FlexConnect met AireOS of Mobility Express wordt uitgevoerd, gebruik dan de ingebouwde,configuratie-flexibelverbinding-caching blokkering
- deze opdracht werkt met 8.10, 8.9, 8.8, 8.5.15.10 en 8.5 escalatie (8.5.140.13 of hoger)
- indien u eerdere 8.5-code gebruikt, werkt deze opdracht niet (CSCvp73371
), dus upgrade naar 8.5.15.0 of hoger
- indien u 8.3-code gebruikt, verbeter dan 8.3.15.3 van de escalatie (8.3.150.3 of hoger, beschikbaar bij TAC) om de CSCvp73371 te bereiken
repareren
- als u SDA Fabric-modus met AireOS gebruikt, gebruikt u de opdracht mede-configuratiescherm en schakelt u de arp-caching-functie in
- deze opdracht werkt met 8.10, 8.9.11.0, 8.8.125.0 en 8.5.151.0
- indien u eerdere 8.5 of 8.8-codes gebruikt, werkt deze opdracht niet (CSCvk79850
), dus upgrade naar 8.5.151.0 / 8.8.125.0 / 8.10 of hoger
- Gebruik, indien FlexConnect met een 9800 Series controller wordt uitgevoerd, de opdracht niet-arp-caching onder Wireless-profielflex
Door FlexConnect Proxy ARP uit te schakelen zullen ARP-verzoeken om draadloze clients via de lucht worden uitgezonden in plaats van door APs worden beantwoord. Dit zal het batterijverbruik enigszins verhogen voor draadloze handheld-apparaten zoals Cisco 8821-telefoons.
repareren
Indien FlexConnect met AireOS 8.10.120.0 of hoger wordt uitgevoerd (CSCvp42721
), of IOS-XE 17.2.1 of hoger, en als geen klanten statische adressering moeten gebruiken, dan:
- Zorg ervoor dat, op elke locatie, alle AP's in dezelfde niet-standaard FlexConnect groep zitten
- Configureer DHCP vereist op WLAN
- gebruik de ingebouwde opdracht mede-configuratie opnieuw verbinden (AireOS)/arp-caching (IOS-XE)
Dit zal voorkomen dat klanten IP adressen anders gebruiken dan die welke door DHCP worden toegewezen.