تشير استجابات ARP للعبارة الافتراضية عنوان IP إلى عملاء اللاسلكي

ملخص

أبلغ العملاء في عام 2019 عن أن استجابات بروتوكول تحليل العنوان (ARP) للبوابة الافتراضية لعنوان IP تشير بشكل متقطع في شبكة فرعية معينة إلى بعض العملاء اللاسلكيين بدلا من الموجه. قد يؤدي ذلك إلى حدوث مشاكل في الاتصال على مستوى العميل أو الشبكة للأجهزة الأخرى على شبكة VLAN/الشبكة الفرعية نفسها.

المعايير

• تشير استجابات ARP غير الصحيحة إلى عناوين MAC التي تنتمي إلى أجهزة Apple MacOS التي يتم تشغيلها 10.14 أو ما قبله
  
• يتم ربط الأجهزة التي تعمل بنظام التشغيل Android من الإصدار 2019 بنفس الشبكة الفرعية
• نقاط الوصول التي ترتبط بها أجهزة MacOS هي AP-COs (السلسلة 1800/2800/3800/4800/1540/1560/9100)، في FlexConnect Local Switching، أو SDA، الوضع، وليس نقاط الوصول Cisco IOS^® APs.
• تحتوي نقاط الوصول على تمكين ARP للوكيل (التخزين المؤقت ل ARP) لنظام FlexConnect
  • بشكل افتراضي، يتم تمكين التخزين المؤقت ل FlexConnect ARP في AP-CO 8.3 والإصدارات الأعلى
  • 8.2 غير قابل للتأثر، نظرا لأنه لم يدعم التخزين المؤقت ل AP-CoS FlexConnect ARP
• قد تؤثر هذه المشكلة على عمليات النشر باستخدام وحدات التحكم في الشبكة المحلية اللاسلكية من السلسلة AireOS أو 9800 Series، أو مع Mobility Express

سبب جذري

• وهذا ليس هجوم ضار، ولكن يتم تشغيله بواسطة التفاعل بين جهاز MacOS أثناء وجوده في وضع السكون، وحركة مرور بيانات بث معينة يتم إنشاؤها بواسطة أجهزة Android.
  • يتم إصلاح سلوك MacOS في 10.15 وأعلى
• توفر نقاط الوصول (AP-CoS)، أثناء وجودها في وضع FlexConnect أو SDA، خدمات التخزين المؤقت ل ARP للوكيل (ARP) بشكل افتراضي. ونظرا لتصميم تعلم العناوين الخاصة بها، فإنها ستقوم بتعديل إدخالات الجدول استنادا إلى حركة المرور هذه التي تؤدي إلى تعديل إدخال ARP للعبارة الافتراضية.

الحل

تعطيل ARP للوكيل FlexConnect (التخزين المؤقت ل ARP).

• إذا كنت تقوم بتشغيل FlexConnect مع AireOS أو Mobility Express، فاستخدم الأمر config Flexconnect arp-caching disable
  
  • يعمل هذا الأمر مع 8.10 و 8.9 و 8.8 و 8.5.151.0 و 8.5 تصعيد (8.5.140.13 أو أعلى)
  • إذا كنت تستخدم تعليمة برمجية سابقة من 8.5، فإن هذا الأمر لا يعمل (CSCvp73371 )، وبالتالي الترقية إلى 8.5.151.0 أو أعلى
  • إذا كنت تستخدم رمز 8.3، فيمكنك الترقية إلى تصعيد 8.3 MR5 (الإصدار 8.3.150.3 أو إصدارا أعلى، ومتوفرة من TAC) للحصول على CSCvp73371 الإصلاح
    
• إذا كنت تستخدم وضع SDA Fabric مع AireOS، فاستخدم الأمر config flexconnect arp-caching disable
  • يعمل هذا الأمر مع 8.10 و 8.9.111.0 و 8.8.125.0 و 8.5.151.0
  • إذا كنت تستخدم رمز 8.5 أو 8.8 سابق، فإن هذا الأمر لا يعمل (CSCvk79850 )، وبالتالي الترقية إلى 8.5.151.0 / 8.8.125.0 / 8.10 أو أعلى

• في حالة تشغيل FlexConnect باستخدام وحدة تحكم من السلسلة 9800، فاستخدم الأمر no arp-caching أسفل Flex في ملف التعريف اللاسلكي

من خلال تعطيل بروتوكول ARP للوكيل (FlexConnect)، سيتم بث طلبات ARP للعملاء اللاسلكيين عبر الهواء، بدلا من الرد عليها بواسطة نقاط الوصول (APs). وهذا سوف يزيد من إستهلاك البطارية إلى حد ما بالنسبة للأجهزة اللاسلكية المحمولة مثل هواتف Cisco 8821.

الإصلاح

في حالة تشغيل FlexConnect باستخدام نظام التشغيل AireOS 8.10.120.0 أو إصدارا أعلى (CSCvp42721 ) أو IOS-XE 17.2.1 أو إصدارا أعلى، وإذا لم يكن هناك أي عملاء بحاجة إلى إستخدام العنونة الثابتة، فعندئذ:

• تأكد من أن جميع نقاط الوصول في كل موقع في نفس مجموعة FlexConnect غير الافتراضية
• تكوين DHCP المطلوب على الشبكة المحلية اللاسلكية (WLAN)
• أستخدم الأمر config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)

سيمنع هذا العملاء من إستخدام عناوين IP بخلاف العناوين التي تم تعيينها بواسطة DHCP.