影響系統：

Cisco Wireless LAN Controller 4.1

Cisco Wireless LAN Controller 4.0

Cisco Wireless LAN Controller 3.2

不受影響系統：

Cisco Wireless LAN Controller 4.1.181.0

描述：

Cisco無線LAN控制器（WLC）可在輕型接入點和其他無線提供LAN控制器之間提供實時通訊，以執行集中的系統范圍WLAN配置和管理功能。

WLC在處理單播ARP通訊時存在漏洞，移動組無線LAN控制器之間的LAN鏈路可能會充滿單播ARP請求。

有漏洞的WLC可能錯誤地處理無線客戶端的單播ARP請求，導致ARP風暴。附著到同組2層VLAN的兩個WLC必須均擁有無線客戶端環境才會暴露這個漏洞。在使用3層（跨子網）漫游后或使用訪客WLAN（auto-anchor）時會出現這種情況。

如果客戶端所發送的單播ARP請求的目標MAC地址為2層基礎架構所未知地址的話，在離開WLC后該請求就會充滿2層域的所有端口。 這允許第二個WLC重新處理ARP請求并錯誤的將這個包含重新轉發回網絡。這個漏洞記錄為CSCsj69233。

如果WLC上啟用了arpunicast功能的話，WLC就會向已知客戶端環境的IP地址重新轉發廣播ARP報文，如果相應的VLAN上安裝了多個WLC的話就會導致ARP風暴。這個漏洞記錄為CSCsj50374。

在3層（L3）漫游的情況下，無線客戶端從一個控制器移動到另一個控制器，而不同控制器上所配置的無線LAN接口處于不同的IP子網中。在這種情況下，單播ARP可能不會被隧道傳輸回anchor控制器，而是由外部控制器發送到其本地VLAN。這個漏洞記錄為CSCsj70841。

臨時解決方法：

* 對所有的WLAN配置DHCP Required設置，禁用客戶端靜態IP地址。

* 配置WLC禁止通過CLI處理arpunicast：

config network arpunicast disable

* 使用GUI配置DHCP

1. 在web用戶界面中，導航到WLAN頁面。

2. 鎖定希望配置DHCP服務器的WLAN，點擊相關的Edit鏈接顯示WLANs > Edit頁面。

3. 在General Policies下檢查DHCP Relay/DHCP Server IP Addr復選框確認是否已為WLAN分配了有效的DHCP服務器。如果沒有為WLAN分配DHCP服務器，請到4，否則請到9。

4. 在General Policies下清除選擇Admin Status復選框。

5. 點擊Apply禁用WLAN。

6. 在DHCP Relay/DHCP Server IP Addr編輯框中，為這個WLAN輸入有效的DHCP服務器IP地址。

7. 在General Policies下選擇Admin Status復選框。

8. 點擊Apply為WLAN分配DHCP服務器并啟用WLAN，然后返回到WLAN頁面。

9. 在WLANs頁面的右上角，點擊Ping然后輸入DHCP服務器IP地址確認WLAN可以與DHCP服務器通訊。

* 使用CLI配置DHCP

1. 在CLI中輸入show wlan確認是否已為WLAN分配了有效的DHCP服務區。如果沒有分配，請繼續2，否則到4。

2. 如果需要的話，使用以下命令：

config wlan disable

config wlan dhcp_server

config wlan enable

在這些命令中，wlan-id = 1到16，dhcp-server-ip-address = DHCP服務器的IP地址。

3. 輸入show wlan確認已經為WLAN分配了有效的DHCP服務器。

4. 輸入ping dhcp-ip-address確認WLAN可以與DHCP服務器通訊。

廠商補丁：

Cisco已經為此發布了一個安全公告（cisco-sa-20070724-arp）以及相應補丁:

cisco-sa-20070724-arp：Wireless ARP Storm Vulnerabilities

鏈接：http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml