قم بترقية نقاط الوصول بأمان، مع تجنب تلف الصورة الذي يسبب تكرار التمهيد

المقدمة

قد تقوم بعض نقاط الوصول (APs) من Cisco بتنزيل صورة فاسدة عبر CAPWAP من وحدة تحكم من السلسلة 9800.  بناء على إصدار برنامج نقطة الوصول، قد تحاول نقطة الوصول تمهيد الصورة الفاسدة، مما يؤدي إلى حدوث تكرار حلقي.  يشرح هذا المقال نماذج AP وأي مسارات الشبكة عرضة لتلف الصورة وكيفية الترقية بأمان.

إن يكون APs أنت الآن في جزمة أنشوطة بسبب هذا مشكلة، رأيت المقالة إستعادة من جزمة أنشوطة بسبب صورة فساد على موجة 2 و 11ax منفذ نقطة (CSCvx32806 ) للحصول على إرشادات حول خطوات الاسترداد.

يتم توثيق هذه المشكلة كإشعار ميداني: FN74109 - قد يؤدي تلف صورة نقطة الوصول أثناء ترقية CAPWAP إلى فشل التمهيد - ينصح بترقية البرامج.

كيفية تحديد ما إذا كانت الترقية عرضة لتلف الصور أم لا

قد تكون نقاط الوصول (AP) لديك عرضة لتنزيل البرامج التالفة، ثم محاولة تمهيد هذا البرنامج، إذا كانت الشروط التالية تتعلق بعملية النشر لديك:

المنتجات غير المتأثرة

• وحدات التحكم في شبكة LAN اللاسلكية (WLCs):  لا تتأثر نقاط الوصول التي يتم تنزيلها من وحدات التحكم في الشبكة المحلية اللاسلكية AireOS
• Mobility Express، وحدة تحكم لاسلكية مدمجة

• نقاط الوصول - Aironet 1800/1540/1100AC Series Wave 2 11ac APs و Wave1 11ac نقاط الوصول (1700/2700/3700/1570/IW3700) لا تتأثر (حتى إذا كانت نقاط الوصول هذه تسجل في 9800 WLCs، فإنها لا تتأثر)
• نقاط الوصول Wi-Fi 6e APs المقدمة منذ عام 2023: IW9167 و IW9165 و C9163

المنتجات المتأثرة

• شركة WLC : قد تتأثر وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series
  
• نقاط الوصول : تتأثر نماذج نقطة الوصول التالية التي تسجل إلى وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series :
  • نقاط وصول Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6 (9105/9115/9117/9120/9124/9130/WP-WiFi6/ISR-AP1101AX)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6E (9136/9162/9164/9166)

الإصدارات المتأثرة: متلازمة التمهيد صورة سيئة

هذه المشكلة، حيث ال ap يحاول أن يمهد صورة أن هو يعرف فاسد، عولجت ب التالي cisco بق id: CSCvx32806، CSCwc72021، CSCwd90081، التي يتم تثبيتها في الإصدارات التالية:

• 8-10-185-0 وما فوق
• 17-3-7 وما فوق
• 17-6-6 وما فوق
• 17-9-3 وما فوق
• 17-11-1 وما فوق

بمجرد ترقية نقطة الوصول إلى برنامج بالإصلاحات الواردة أعلاه، فقد تستمر في تنزيل صورة فاسدة؛ ومع ذلك، فإنه لن يحاول تمهيد هذه الصورة، ولكن بدلا من ذلك، سيستمر في إعادة محاولة التنزيل إلى أن تنجح.

مسارات الشبكة المتأثرة

لم يتم ملاحظة مشكلة تلف صورة نقطة الوصول مع مسار الشبكة المحلية (LAN) بين نقاط الوصول (APs) - أي المسارات التي تحتوي على وحدة الحد الأقصى للنقل (MTU) ل IP سعة 1500 بايت، مع زمن وصول منخفض وفقدان منخفض جدا للحزم لا تتأثر.  يحتمل أكثر أن تحدث المشكلة عبر أنفاق CAPWAP عبر شبكة WAN، مع خصائص المسار التالية:

• فقدان عال للحزم
• وحدات الحد الأدنى من CAPWAP MTU (أقل من 1485 بايت) - كلما قلت وحدة الحد الأقصى للنقل (MTU)، زادت المخاطر
  
  • قد يكون انخفاض CAPWAP MTU أحد أعراض فقد الحزم
    

كيفية تحديد ما إذا كان مسار الشبكة لديك في خطر

• في 9800، تحقق من CAPWAP ممر MTU مع
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • إذا كانت نقطة وصول معينة MTU متذبذبة، فإن ذلك مؤشر قوي للخطر
• أو show ap config عام | يتضمن CAPWAP\ MTU (في show tech-support لاسلكي)
  
  • أستخدم Wireless Config Analyzer Express (WCAE) في خرج "show tech-support wireless" الخاص ب 9800 لرؤية وحدة الحد الأقصى للنقل (MTU) لنقاط الوصول تحت نقاط الوصول > التكوين
    
• في الطراز 9800، أستخدم "إظهار وقت تشغيل نقطة الوصول" وابحث عن نقاط وصول (AP) تتميز "بوقت تشغيل طويل" و"وقت اقتران" قصير
  • إذا لم يكن هناك سبب لأن يكون لنقاط الوصول وقت اقتران قصير (أي بدون إعادة تكوين)، فقد يشير ذلك إلى مسار شبكة في خطر

كيفية الترقية بأمان من إصدار برنامج AP غير ثابت

ملاحظة: إذا كان النشر لديك عرضة لتلف صورة (أي نماذج AP المتأثرة، التي تشغل برامج دون إصلاح لمتلازمة تحميل صورة سيئة، مع خصائص شبكة WAN المعرضة للخطر)، فلا تقم بالترقية ببساطة عن طريق ترقية برنامج 9800، ثم إعادة ربط نقاط الوصول بالبرامج الجديدة وتنزيلها - فقد تكون عرضة لتلف الصور ودخول حلقة التمهيد.  بدلا من ذلك، أستخدم إحدى الطريقتين التاليتين:

الترقية باستخدام عنصر محلي من WLC إلى نقاط الوصول

إن أمكن، ضع وحدة تحكم مرحلية على شبكة APs'LAN - قد يكون هذا 9800-CL، أو (لنقاط الوصول من السلسلة Wave 2 / Wi-Fi 6) في وضع EWC، وقم بترقية نقاط الوصول إلى الإصدار الهدف.  وعندئذ سيتمكنون من الانضمام بأمان إلى وحدة التحكم في الإنتاج.

الترقية عبر وحدة تحكم AireOS

إذا كان لديك وحدة تحكم AireOS تشغل الإصدار 8.10.190.0 أو إصدارا أعلى، وإذا كانت نماذج AP الخاصة بك مدعومة من قبل AireOS، فانضم إلى نقاط الوصول إلى وحدة التحكم هذه.  سيؤدي هذا إلى ترقية نقاط الوصول (AP) بأمان إلى برنامج ثابت، ومن ثم ستكون قادرة على الانضمام بأمان إلى وحدة التحكم في الإنتاج.

الترقية باستخدام برنامج download-sw للأرشفة

تنظيم صورة (صور) نقطة الوصول الهدف على خادم TFTP / SFTP يمكن الوصول إليه من قبل نقاط الوصول (APs) التي تتم ترقيتها.  لا تخضع ترقيات صورة نقطة الوصول عبر TFTP أو SFTP لمشكلة تلف الصورة.  يمكن أن تبدأ نقاط الوصول طلب تنزيل صورة من واجهة سطر الأوامر (AP) أو (إذا كانت نقاط الوصول متصلة بوحدة التحكم) من واجهة سطر الأوامر (CLI) لوحدة التحكم.

1. قم بإعداد خادم TFTP أو SFTP في موقع يمكن الوصول إليه من قبل نقاط الوصول (APs).  لاحظ أنه يتم التحكم في أداء بروتوكول TFTP بواسطة زمن الوصول، لذلك ستكون التنزيلات بطيئة إذا كان خادم TFTP بعيدا عن نقاط الوصول.  مع إستخدام SFTP لبروتوكول التحكم في الإرسال (TCP)، سيكون سعة المعالجة الخاصة به أفضل بكثير إذا كان إستخدام مسار يتميز بزمن وصول مرتفع.  مهما، SFTP يستطيع لا يكون أطلقت من ال WLC، بما أن هو يتطلب حوار تفاعلي أن يدخل ال username وكلمة.
2. عرض صورة (صور) نقطة الوصول المطلوبة على خادم TFTP أو SFTP.  انظر الجدول 4 في مصفوفة التوافق الخاصة بإصدار نقطة الوصول 15.3(3)J* AP الذي يترجم إلى إصدار IOS-XE المطلوب، ثم قم بتنزيل صورة (صور) برامج نقاط الوصول (AP) المناسبة في الوضع Lightweight لنموذج (نماذج) AP المتأثرة من software.cisco.com.
   
   1. على سبيل المثال، صورة نقطة الوصول 17.9.5 ل CW9162 هي ap1g6b-k9w8-tar.153-3.JPN4.tar.
3. للترقية عبر واجهة سطر أوامر (CLI) نقطة الوصول: إذا كان يمكن الوصول إلى واجهة سطر الأوامر الخاصة بنقطة الوصول عبر وحدة التحكم أو SSH:
   1. دخلت ال TFTP أو SFTP أمر:
      archive download-sw /no-reload tftp://<ip-address>/<apimage>
       أو
      archive download-sw /no-reload sftp://<ip-address>/<apimage>
      اسم المستخدم:المستخدم
      كلمة المرور:XXX
      سيؤدي ذلك إلى الكتابة فوق الصورة التالفة باستخدام الصورة الصحيحة.
   2. بمجرد اكتمال تنزيل الصورة، قم بإصدار:
      إعادة تشغيل إختبار Capwap
      سيؤدي ذلك إلى إعادة تشغيل عملية CAPWAP، بحيث يتعرف نقطة الوصول على الصورة المثبتة حديثا.
   3. لترقية عدد كبير من نقاط الوصول عبر "archive download-sw"، بدلا من إدخال الأمر في كل نقطة وصول على حدة، يمكنك إستخدام طريقة برمجة نصية.  راجع نقاط الوصول (AP) للترقية من خلال بولر WLAN أدناه.
      
4. إذا كانت نقاط الوصول متصلة بوحدة تحكم، فيمكنك ترقية نقاط الوصول من واجهة سطر الأوامر (CLI) لوحدة التحكم (TFTP فقط):
   1. في IOS-XE: اسم نقطة الوصول APNAME tftp-downgrade ip.addr.of.server imageName.tar
   2. في AireOS: config ap tftp-downip.addr.of.server imageName.tar APNAME
      
      1. على الرغم من أن تنزيلات CAPWAP من AireOS غير معرضة لفساد الصورة، إذا كنت تخطط لترحيل نقاط الوصول الخاصة بك من AireOS إلى 9800، يجب عليك أولا تنزيل صورة AP مع الإصلاحات الخاصة ب Alt-boot ومتلازمة التمهيد صورة سيئة (8.10.190.0 أو أعلى)، قبل الانضمام إلى نقاط الوصول إلى 9800.
         
   3. راقبت ال TFTP أو SFTP نادل سجل مقياس سرعة للتحقق من أن كل ap قد جلبت الصورة بنجاح.  بمجرد اكتمال التنزيل، سيقوم كل نقطة وصول بإعادة التحميل، مع تشغيل الصورة التي تم تنزيلها حديثا.

ترقية نقاط الوصول (APs) عبر التنزيل المسبق والمراقبة بحثا عن الأخطاء

قم بتحميل الصورة المستهدفة على ال 9800، واستخدم تنزيل AP المسبق لدفع الصورة الجديدة إلى AP، أثناء المراقبة لمثيلات تلف صورة نقطة الوصول.

الخطوة 1. تحقق من تمكين SSH ضمن ملف (ملفات) تعريف الانضمام إلى نقطة الوصول (AP) على C9800 WLC. قم بإعداد خادم syslog في الشبكة. قم بتكوين عنوان IPaddress الخاص بخادم syslog ضمن ملف تعريف إرتباط AP للإعتمادتعيين قيمة مصيدة السجل على تصحيح الأخطاء. دققت أن ال syslog يستلم نادل syslog من ap.

الخطوة 2. قم بتنزيل صورة البرنامج إلى C9800 WLC للتحضير للتنزيل المسبق عبر CLI:

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

الخطوة 3. قم بتشغيل التنزيل المسبق لصورة AP على وحدات التحكم في الشبكة المحلية اللاسلكية (WLC) طراز Cisco C9800:

C9800# ap image predownload

ملاحظة: واستنادا إلى حجم ونوع عملية النشر، قد يستغرق هذا الأمر من بضع دقائق إلى بضع ساعات.  لا تقم بإعادة تشغيل وحدة التحكم أو نقاط الوصول (APs)، حتى يتم التحقق من صحة الصور الخاصة بهم!

الخطوة 4. بمجرد اكتمال التنزيل المسبق لجميع نقاط الوصول (APs)، تحقق من أي من رسائل السجل التالية على خادم syslog:

• تحقق توقيع الصورة من النجاح.

• فشل التحقق من توقيع الصورة: -3

تحقق أيضا من مخرجات الأمر show ap image summary، تحقق من أي مثيلات فشل التنزيل.  إذا كان العداد غير صفري، اعثر على نقاط الوصول الفاشلة من خلال عرض صورة نقطة الوصول | فشل التضمين.

تحذير: إذا فشل التحقق من صحة توقيع صورة أي نقاط وصول، أو إذا فشل تنزيل أي نقاط وصول، فعندئذ لا تقم بالمتابعة بعد ذلك لعملية الترقية. إذا ظهرت كل نقاط الوصول رسالة توقيع الصورة تحقق من النجاح"، ثم كل قامت نقاط الوصول بتنزيل الصورة بشكل صحيح، ويمكنك المتابعة بأمان مع ترقية 9800.

الخطوة 5.  إذا أظهرت أي نقاط وصول فشل في التحقق من الصحة أو فشل في التنزيل، بعد ذلك، لتجنب حلقة التمهيد، ستحتاج لاستبدال الصورة الموجودة في قسم النسخ الاحتياطي لنقطة الوصول بتنزيل أرشيف لصورة نقطة وصول منفصلة باستخدام العملية التالية. 

إذا كان عدد نقاط الوصول الفاشلة صغيرا، فيمكنك ببساطة تغليف SSH إلى كل نقطة وصول وبدء الخطوات التالية.

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart

ملاحظة: يلزم "إختبار إعادة تشغيل Capwap" حتى تتمكن عملية CAPWAP لنقطة الوصول من التعرف على أن الصورة الموجودة في قسم النسخ الاحتياطي قد تم تحديثها.  سيؤدي ذلك إلى مقاطعة خدمة قصيرة، عند إعادة تشغيل اتصال CAPWAP ب 9800.  إذا كانت هذه المشكلة تتعلق بالتشغيل، فيمكن تأجيل هذه الخطوة إلى نافذة صيانة.

ترقية نقاط الوصول باستخدام بولر WLAN

إذا كان عدد نقاط الوصول التي سيتم ترقيتها عبر مساحة تنزيل الأرشيف كبيرا، فيمكنك إستخدام عملية مؤتمتة باستخدام وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN).

الخطوة 1 أ. قم بتثبيت بولر WLAN على جهاز Mac أو جهاز Windows.

الخطوة 1 ب. قم بملء ملف CSV الخاص بالموجه باستخدام نقاط الوصول الفاشلة ذات الصلة.

الخطوة 1 ج. قم بملء ملف cmdlist باستخدام الأوامر التالية (يمكنك دائما إضافة المزيد وفقا لتقديرك):

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

الخطوة 1d. تنفيذ بولر WLAN.

الخطوة 1 ه. وبمجرد اكتمال تنفيذها، يرجى التحقق من كل ملف سجل لنقطة الوصول للتحقق من صحة الإكمال الناجح.

الخطوة 2. قم بتنشيط الصورة على C9800 WLC على الفور وأعد التحميل.

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

الخطوة 3. تأكيد الصورة على C9800 WLC. سيؤدي تخطي هذه الخطوة إلى عودة عنصر التحكم في الشبكة المحلية اللاسلكية إلى صورة البرنامج السابقة

C9800#install commit

الأسئلة المتكررة

Q. لقد قمت بتشغيل تنزيل مسبق منذ بضعة أيام، ولكن لم يتم إعادة تمهيد Cisco C9800 WLC و APs بعد. ليس لدي syslogs للتحقق مما إذا كانت الصورة تالفة. كيف يمكنني التحقق مما إذا كانت الصورة تالفة؟

أ. تحقق من عرض التسجيل على APs/syslog. إذا لم يظهر لديك أي رسائل نجاح أو فشل في إخراج show logging، فيمكنك إستخدام الأمر "show flash syslogs" لتسجيل إخراج syslog من عند إجراء التنزيل المسبق.  إذا رأيت رسالة توقيع الصورة تحقق من النجاح"، فأنت تعلم أن نقطة الوصول هذه قامت بتنزيل الصورة بنجاح.

س: لدي عملية نشر مركزية مع نقاط الوصول في الوضع المحلي. هل ما زلت بحاجة إلى تنفيذ الخطوات المدرجة في قسم الحلول/الحلول؟

ج: لم يتم الإبلاغ عن هذه المشكلة إلا عند ترقية نقاط الوصول عبر اتصال WAN. من غير المرجح إلى حد كبير أن تواجه نقاط الوصول في الوضع المحلي وعبر الشبكات المحلية هذه المشكلة، لذلك ليس من المطلوب اتباع هذا الإجراء للترقيات، إذا كنت واثقا من وجود فقد قليل جدا للحزم بين وحدة التحكم ونقاط الوصول.

س: لدي نقاط وصول جديدة بدون جهاز. كيف يمكنني نشرها دون مواجهة هذه المشكلة؟ 

ج: كما ستكون نقاط الوصول الجديدة التي يتم تنزيلها خارج العبوة عبر شبكة الاتصال واسعة النطاق (WAN) عرضة لهذه المشكلة، ما لم يتم تصنيعها بعد ديسمبر 2023.

س: ماذا تفعل Cisco على المدى البعيد لمعالجة هذه المشكلة مع تنزيلات صورة CAPWAP من ال 9800 التي تصبح تالفة؟

ج: بمجرد تشغيل نقطة الوصول من الإصدار 17.11 أو إصدارا أعلى، يمكنها إستخدام ميزة تنزيل الصور خارج النطاق الترددي لسحب الصورة من وحدة التحكم باستخدام HTTPS. يرسل TCP البيانات بشكل موثوق، باستخدام نافذة منزلقة - لذلك هو أيضا أسرع بكثير عبر شبكة WAN، من CAPWAP (أو TFTP)

س. لدي نقاط وصول التي هي الآن في حلقة تحميل.  كيف يمكنني إستردادها؟

ج: راجع المقالة إستعادة من حلقة تحميل بسبب تلف صورة على نقاط وصول الموجة 2 و 11ax (CSCvx32806 ).

س. لدي المزيد من الأسئلة حول هذه المسألة.  إلى من يمكنني ان أرشدهم؟

ج: إرسال بريد إلكتروني إلى fn74109-questions@cisco.com.