Respostas de ARP do ponto de endereço IP do gateway padrão para clientes sem fio

Summary

Os clientes relataram, em 2019, que, de forma intermitente em uma determinada sub-rede, as respostas do Address Resolution Protocol (ARP) para o endereço IP do gateway padrão apontam para alguns clientes sem fio específicos em vez de para o roteador. Isso pode levar a problemas de conectividade de todo o cliente ou da rede para outros dispositivos na mesma VLAN/sub-rede.

Condições

• As respostas ARP incorretas apontam para endereços MAC que pertencem a dispositivos Apple macOS que estão executando 10.14 ou anterior
  
• Os dispositivos que executam o Android 2019-vintage estão associados à mesma sub-rede
• Os pontos de acesso aos quais os dispositivos macOS estão associados são AP-COS (séries 1800/2800/3800/4800/1540/1560/9100), no modo de switching local FlexConnect, ou SDA, não APs Cisco IOS^®.
• Os pontos de acesso têm o FlexConnect Proxy ARP (cache ARP) ativado
  • Por padrão, o cache ARP do FlexConnect é ativado no AP-COS 8.3 e posterior
  • 8.2 não é susceptível, porque não suportava cache ARP do FlexConnect AP-COS
• Esse problema pode afetar implantações com controladores de LAN sem fio AireOS ou 9800 Series ou com o Mobility Express

Causa raiz

• Esse não é um ataque mal-intencionado, mas disparado por uma interação entre o dispositivo macOS no modo de repouso e o tráfego de broadcast específico gerado por dispositivos Android.
  • O comportamento do macOS é corrigido na versão 10.15 e superior
• Os APs AP-COS, no modo FlexConnect ou SDA, fornecem serviços ARP de proxy (cache ARP) por padrão. Devido ao seu projeto de aprendizagem de endereços, eles modificarão as entradas da tabela com base nesse tráfego, levando à modificação da entrada ARP do gateway padrão.

Solução

Desative o ARP (cache ARP) do proxy do FlexConnect.

• Se você estiver executando o FlexConnect com AireOS ou Mobility Express, use o comando config flexconnect arp-caching disable
  
  • esse comando funciona com escalação 8.10, 8.9, 8.8, 8.5.151.0 e 8.5 (8.5.140.13 ou superior)
  • se estiver usando código 8.5 anterior, esse comando não funcionará (CSCvp73371 ), portanto, atualize para 8.5.151.0 ou superior
  • se estiver usando o código 8.3, atualize para o escalonamento 8.3MR5 (8.3.150.3 ou superior, disponível no TAC) para obter o CSCvp73371 reparar
    
• se estiver usando o modo de estrutura SDA com AireOS, use o comando config flexconnect arp-caching disable
  • esse comando funciona com 8.10, 8.9.111.0, 8.8.125.0 e 8.5.151.0
  • se estiver usando código 8.5 ou 8.8 anterior, esse comando não funcionará (CSCvk79850 ), então atualize para 8.5.151.0 / 8.8.125.0 / 8.10 ou superior

• Se estiver executando o FlexConnect com um controlador da série 9800, use o comando no arp-caching em wireless profile flex

Ao desativar o FlexConnect Proxy ARP, as solicitações ARP para clientes sem fio serão transmitidas pelo ar, em vez de respondidas pelos APs. Isso aumentará um pouco o consumo de bateria para dispositivos portáteis sem fio, como os telefones Cisco 8821.

Reparar

Se estiver executando o FlexConnect com AireOS 8.10.120.0 ou superior (CSCvp42721 ), ou IOS-XE 17.2.1 ou superior, e se nenhum cliente precisar usar endereçamento estático, então:

• certifique-se de que, em cada local, todos os APs estejam no mesmo grupo FlexConnect não padrão
• configurar o DHCP necessário na WLAN
• use o comando config flexconnect arp-caching enable (AireOS)/arp-caching (IOS-XE)

Isso impedirá que os clientes usem endereços IP diferentes dos atribuídos pelo DHCP.