Risposte ARP per l'indirizzo IP predefinito del gateway ai client wireless

Riepilogo

Nel 2019 i clienti hanno segnalato che, in modo intermittente in una determinata sottorete, le risposte ARP (Address Resolution Protocol) per l'indirizzo IP del gateway predefinito puntano ad alcuni client wireless specifici anziché al router. Ciò potrebbe causare problemi di connettività a livello di client o di rete per altri dispositivi della stessa VLAN/sottorete.

Condizioni

• Le risposte ARP errate fanno riferimento a indirizzi MAC appartenenti a dispositivi Apple macOS con versione 10.14 o precedente
  
• I dispositivi con Android 2019-vintage sono associati alla stessa sottorete
• Gli access point a cui sono associati i dispositivi macOS sono AP-COS (serie 1800/2800/3800/4800/1540/1560/1900), in modalità FlexConnect Local Switching o SDA, non i Cisco IOS^® AP.
• Sui punti di accesso è abilitato FlexConnect Proxy ARP (cache ARP)
  • Per impostazione predefinita, la memorizzazione nella cache ARP di FlexConnect è abilitata in AP-COS 8.3 e versioni successive
  • 8.2 non è suscettibile, in quanto non supporta la cache ARP AP-COS FlexConnect
• Questo problema può influire sulle installazioni con AireOS o i Wireless LAN Controller serie 9800 o con Mobility Express

Causa principale

• Non si tratta di un attacco dannoso, ma innescato da un'interazione tra il dispositivo macOS in modalità di sospensione e il traffico di trasmissione specifico generato dai dispositivi Android.
  • Il comportamento di macOS è fissato a 10.15 e versioni successive
• Gli AP-COS, in modalità FlexConnect o SDA, forniscono per impostazione predefinita servizi ARP proxy (cache ARP). A causa della struttura di apprendimento degli indirizzi, modificheranno le voci della tabella in base a questo traffico che porta alla modifica della voce ARP del gateway predefinito.

Soluzione alternativa

Disabilitare FlexConnect Proxy ARP (cache ARP).

• Se si esegue FlexConnect con AireOS o Mobility Express, usare il comando config flexconnect arp-caching disable
  
  • questo comando funziona con le versioni 8.10, 8.9, 8.8, 8.5.151.0 e 8.5 (8.5.140.13 o successive)
  • se si utilizza un codice 8.5 precedente, questo comando non funziona (CSCvp73371 ), quindi passare alla versione 8.5.151.0 o successive
  • se si utilizza il codice 8.3, aggiornare a 8.3MR5 escalation (8.3.150.3 o successiva, disponibile da TAC) per ottenere il CSCvp73371 fix
    
• se si usa la modalità fabric SDA con AireOS, usare il comando config flexconnect arp-caching disable
  • questo comando funziona con 8.10, 8.9.11.0, 8.8.125.0 e 8.5.151.0
  • se si utilizza un codice 8.5 o 8.8 precedente, questo comando non funziona (CSCvk79850 ), quindi aggiornare a 8.5.151.0 / 8.8.125.0 / 8.10 o versioni successive

• Se si esegue FlexConnect con un controller serie 9800, usare il comando no arp-caching in wireless profile flex

Disabilitando FlexConnect Proxy ARP, le richieste ARP per i client wireless verranno trasmesse via etere, anziché ricevere risposta dagli access point. Ciò aumenterà il consumo della batteria per i dispositivi palmari wireless come i telefoni Cisco 8821.

Fix

Se si esegue FlexConnect con AireOS 8.10.120.0 o versioni successive (CSCvp42721 ), o IOS-XE 17.2.1 o versione successiva e, se nessun client deve utilizzare l'indirizzamento statico:

• verificare che, in ciascuna posizione, tutti gli access point siano nello stesso gruppo FlexConnect non predefinito
• configurazione DHCP richiesto sulla WLAN
• usare il comando config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)

In questo modo i client non potranno utilizzare indirizzi IP diversi da quelli assegnati da DHCP.