Réponses ARP pour le point d’adresse IP de passerelle par défaut pour les clients sans fil

Résumé

En 2019, des clients ont signalé que, par intermittence dans un sous-réseau donné, les réponses ARP (Address Resolution Protocol) pour l'adresse IP de la passerelle par défaut pointaient vers certains clients sans fil spécifiques plutôt que vers le routeur. Cela peut entraîner des problèmes de connectivité client ou réseau pour d’autres périphériques sur le même VLAN/sous-réseau.

Conditions

• Les réponses ARP incorrectes pointent vers des adresses MAC qui appartiennent à des périphériques Apple macOS exécutant 10.14 ou une version antérieure
  
• Les appareils fonctionnant sous Android 2019 sont associés au même sous-réseau
• Les points d'accès auxquels les périphériques macOS sont associés sont AP-COS (séries 1800/2800/3800/4800/1540/1560/9100), en mode de commutation locale FlexConnect, ou SDA, et non les AP Cisco IOS^®.
• FlexConnect Proxy ARP (mise en cache ARP) est activé sur les points d'accès
  • Par défaut, la mise en cache ARP FlexConnect est activée dans AP-COS 8.3 et versions ultérieures
  • 8.2 n'est pas sensible, car il ne prenait pas en charge la mise en cache ARP AP-COS FlexConnect
• Ce problème peut affecter les déploiements avec les contrôleurs LAN sans fil AireOS ou 9800, ou avec Mobility Express

Cause première

• Il ne s'agit pas d'une attaque malveillante, mais déclenchée par une interaction entre l'appareil macOS en mode veille et le trafic de diffusion spécifique généré par les appareils Android.
  • Le comportement de macOS est corrigé dans la version 10.15 et ultérieure
• Les AP-COS, lorsqu'ils sont en mode FlexConnect ou SDA, fournissent des services Proxy ARP (mise en cache ARP) par défaut. En raison de leur conception d'apprentissage d'adresses, ils modifieront les entrées de table en fonction de ce trafic, ce qui entraînera la modification des entrées ARP de la passerelle par défaut.

Solution de contournement

Désactivez le proxy FlexConnect ARP (mise en cache ARP).

• Si vous exécutez FlexConnect avec AireOS ou Mobility Express, utilisez la commande config flexconnect arp-caching disable
  
  • cette commande fonctionne avec les escalades 8.10, 8.9, 8.8, 8.5.151.0 et 8.5 (8.5.140.13 ou version ultérieure)
  • si vous utilisez du code 8.5 antérieur, cette commande ne fonctionne pas (CSCvp73371 ), donc effectuez une mise à niveau vers 8.5.151.0 ou version ultérieure
  • si vous utilisez le code 8.3, effectuez une mise à niveau vers la remontée 8.3MR5 (8.3.150.3 ou supérieur, disponible auprès du TAC) pour obtenir le CSCvp73371 régler
    
• si vous utilisez le mode SDA Fabric avec AireOS, utilisez la commande config flexconnect arp-caching disable
  • cette commande fonctionne avec 8.10, 8.9.111.0, 8.8.125.0 et 8.5.151.0
  • si vous utilisez du code 8.5 ou 8.8 antérieur, cette commande ne fonctionne pas (CSCvk79850 ), donc mettez à niveau vers 8.5.151.0 / 8.8.125.0 / 8.10 ou supérieur

• Si vous exécutez FlexConnect avec un contrôleur de la gamme 9800, utilisez la commande no arp-caching sous wireless profile flex

En désactivant FlexConnect Proxy ARP, les requêtes ARP pour les clients sans fil seront diffusées par radio, plutôt que répondues par les points d'accès. Cela augmentera quelque peu la consommation de la batterie pour les périphériques portables sans fil tels que les téléphones Cisco 8821.

Régler

Si vous exécutez FlexConnect avec AireOS 8.10.120.0 ou version ultérieure (CSCvp42721 ), ou IOS-XE 17.2.1 ou supérieur, et si aucun client n'a besoin d'utiliser l'adressage statique, alors :

• assurez-vous qu'à chaque emplacement, tous les points d'accès se trouvent dans le même groupe FlexConnect autre que par défaut
• configure DHCP Required sur le WLAN
• utilisez la commande config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)

Cela empêchera les clients d'utiliser des adresses IP autres que celles attribuées par DHCP.