Información sobre las actualizaciones de imágenes de puntos de acceso para implementaciones remotas

Introducción

Este documento describe los métodos para actualizaciones eficientes de la imagen de Cisco AP sobre las WAN, abordando los desafíos de la latencia y la confiabilidad.

Métodos de actualización de imágenes del punto de acceso de Cisco

Las actualizaciones periódicas de las imágenes son esenciales para los puntos de acceso (AP) de Cisco, pero su realización a través de enlaces WAN (red de área extensa) de alta latencia a sitios remotos puede suponer un reto. El método de descarga de imágenes CAPWAP estándar, aunque es eficaz en las redes locales, puede ser lento y potencialmente menos fiable a través de las WAN. En esta sección se explica por qué ocurre esto y se describen métodos alternativos y mejorados diseñados para actualizaciones remotas eficaces.

El reto: Descarga de imágenes CAPWAP estándar en WAN

El proceso fundamental para la actualización de la imagen del AP vía CAPWAP se define en RFC 5415, Sección 9.1. Este mecanismo permite que el Wireless LAN Controller (WLC) sirva la nueva imagen del AP directamente a los AP conectados sobre el túnel CAPWAP.  Para cada mensaje de solicitud de datos de imagen (RFC 5415, Sección 9.1.1) que contiene un pedazo de datos de firmware, el WLC espera un reconocimiento de respuesta de datos de imagen correspondiente (RFC 5415, Sección 9.1.2) del AP antes de enviar el pedazo siguiente.

La imagen ilustra el proceso de transferencia de imagen entre el AP y el WLC mientras el AP está en estado de ejecución.

Flujo de proceso de transferencia de imágenes AP

Como se observó, el WLC envía mensajes de solicitud de datos de imagen que contienen fragmentos de los datos de imagen del firmware. El AP acusa recibo de estos fragmentos al enviar mensajes de respuesta de datos de imagen. Este intercambio continúa hasta que se transfiere toda la imagen.

Para cada mensaje de solicitud de datos de imagen, se espera un mensaje de respuesta de datos de imagen correspondiente como confirmación. Esto significa que el AP debe esperar a que llegue cada paquete de imagen, reconocerlo y luego esperar al siguiente paquete. Esto aumenta la lentitud en la descarga de imágenes en entornos WAN.

Considere un ejemplo: Si el tiempo de viaje de ida y vuelta (RTT) entre el AP y el WLC es 100ms, esto limita efectivamente la velocidad de transferencia a aproximadamente 10 paquetes por segundo. Si el tamaño de cada paquete es de 1000 bytes, esto se traduce en un rendimiento máximo de 10 KB/seg. Si la imagen AP es 50MB, el tiempo mínimo teórico para completar la transferencia es aproximadamente 5120 segundos. Esto ilustra que incluso si hay un ancho de banda significativo disponible, la descarga de la imagen CAPWAP puede sentirse lenta debido a este mecanismo de reconocimiento de parada y espera. Este efecto es menos notorio en las transferencias de imagen locales donde el WLC y el AP son parte de la misma red de campus y la latencia es mínima.

Precaución: Un enlace WAN con pérdida puede provocar la corrupción de imágenes. Vea Cisco bug IDCSCwf09053   para obtener más información al respecto.

Para mitigar estas limitaciones inherentes al mecanismo de transferencia de ruta de control CAPWAP estándar, especialmente en entornos WAN de alta latencia o con limitaciones de ancho de banda, se introdujeron tres mejoras.

1. La mejora de CAPWAP Window mejora la trayectoria de control de CAPWAP por sí misma al implementar una ventana deslizante de paquetes múltiples, permitiendo que se envíen paquetes de datos múltiples antes de requerir un reconocimiento, aumentando así el rendimiento sobre links de alta latencia dentro del marco CAPWAP.
2. Efficient Image Upgrade in FlexConnect Mode es un método optimizado diseñado específicamente para los puntos de acceso de FlexConnect, que se suelen implementar en sucursales con un ancho de banda WAN limitado. Este método minimiza la carga WAN distribuyendo la tarea de descarga de imágenes.
3. El método Out-of-Band HTTPs-Based AP Image Download soluciona esto aprovechando un protocolo HTTPs separado y más eficiente que se ejecuta en un servidor web dedicado en el controlador para la transferencia de imagen, moviéndolo fuera del túnel de control CAPWAP restrictivo.

Mejora de la ventana de descarga de imágenes CAPWAP

Esta función aumenta la velocidad de las descargas de imágenes basadas en CAPWAP específicamente para los puntos de acceso Office Extend Access Points (OEAP) o los puntos de acceso de teletrabajador. Aborda la limitación de que el canal de control CAPWAP estándar tenga una sola ventana, que requiere reconocimiento para cada paquete antes de enviar el siguiente, lo que ralentiza las transferencias a través de links de alta latencia. Esta mejora añade soporte para múltiples ventanas deslizantes para paquetes de control.

Impacto del tamaño de la ventana CAPWAP

La eficiencia del proceso de descarga de imágenes CAPWAP sobre el canal de control está influenciada significativamente por el tamaño de ventana configurado, especialmente a través de links de alta latencia.

Con tamaño de ventana CAPWAP = 1 (predeterminado/estándar): El flujo de paquetes muestra un comportamiento estricto de parada y espera. Para cada paquete de solicitud de datos de imagen enviado por el WLC, el WLC hace una pausa y espera un reconocimiento de respuesta de datos de imagen del AP antes de enviar el paquete siguiente.

Flujo de actualización de imagen CAPWAP con tamaño de ventana 1

Con CAPWAP Tamaño de ventana = N (por ejemplo, 20): El flujo de paquetes muestra un mecanismo de ventana deslizante. Al permitir que varios paquetes salgan del link antes de requerir una confirmación, la ventana deslizante enmascara eficazmente la latencia.

Flujo de actualización de imagen CAPWAP con tamaño de ventana 20

Descripción general del proceso

1. Configure un perfil AP específicamente para los AP OEAP/Teleworker.
2. Establezca un tamaño de ventana CAPWAP mayor que 1 en este perfil.
3. Asocie este perfil AP a los AP OEAP/Teleworker.
4. Durante el proceso de unión de AP, se aplica el tamaño de ventana configurado.
5. Las descargas de imágenes CAPWAP posteriores utilizan el tamaño de ventana más grande, lo que mejora el rendimiento.

Configuración (CLI)

Configure un perfil AP y establezca el tamaño de la ventana CAPWAP:

configure terminal ap-profile capwap window size  <- Between 3 to 20 
end

Asocie el perfil de AP a una etiqueta de sitio y aplíquelo a los AP (de forma similar a los pasos 2 y 3 de Actualización eficiente de imágenes, asegurándose de que el perfil de AP correcto esté vinculado a través de la etiqueta de sitio).

Verificación (CLI)

show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size) 

Restricciones/Consideraciones

• Esta mejora solo se admite en perfiles OEAP.
• El tamaño de la ventana se actualiza en AP solamente durante el proceso de unión AP.
• La predescarga no se activa si la imagen de actualización más reciente ya está presente en el AP.

Nota: Aunque se ha documentado principalmente para OEAP, también se ha observado que esta mejora funciona para los puntos de acceso FlexConnect habituales. Sin embargo, esto no se ha probado ni es totalmente compatible con las implementaciones de FlexConnect.

Actualización eficiente de imágenes en el modo FlexConnect

Efficient Image Upgrade es un método optimizado diseñado específicamente para puntos de acceso FlexConnect, que resulta especialmente útil en implementaciones de sucursales con ancho de banda WAN limitado. Este método minimiza la carga WAN designando un AP primario dentro de una etiqueta del sitio para descargar la imagen del controlador, y luego permitiendo que otros AP subordinados en la misma etiqueta del sitio descarguen la imagen del AP primario vía TFTP. El AP principal es un AP por modelo por etiqueta de sitio.

Descripción general del proceso

1. Una nueva imagen AP se monta en el WLC.
2. Los puntos de acceso de FlexConnect se asignan a una etiqueta de sitio configurada para la actualización eficaz de imágenes.
3. El WLC selecciona un AP por modelo dentro de la etiqueta del sitio como el AP primario.
4. El AP primario descarga la imagen del WLC vía el link WAN (típicamente vía CAPWAP).
5. Una vez que el AP primario tiene la imagen, los AP subordinados en la misma etiqueta del sitio descargan la imagen del AP primario vía el TFTP sobre la red local.
6. Como máximo, tres AP subordinados pueden descargar simultáneamente desde un AP primario.
7. Después de la descarga, los AP se recargan para ejecutar la nueva imagen.

Beneficios

• Reduce el consumo de ancho de banda de la WAN al hacer que solo el punto de acceso principal descargue la imagen a través de la WAN.
• Aprovecha los links de red local más rápidos (a través de TFTP) para la distribución de imágenes a los AP subordinados.

Configuración (CLI)

Enable Predownload in Flex Profile:
configure terminal 
wireless profile flex 
predownload <- Enables the Efficient Image Upgrade option.
end

Configure a Site Tag and Associate Flex Profile:
configure terminal 
wireless tag site 
flex-profile  <- Ensure 'no local-site' is configured if not already, for Flexconnect mode 
end

Attach Policy Tag and Site Tag to AP(s):
configure terminal 
ap  <- Use wired MAC address 
policy-tag 
site-tag 
rf-tag  
end

Trigger Predownload to a Site Tag:
enable 
ap image predownload site-tag  start 

Verificación (CLI)

show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name  image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console 

Restricciones/Consideraciones

• Los AP unidos a través de una etiqueta de sitio deben estar en la misma ubicación física para una transferencia TFTP local eficiente.
• Utiliza el puerto TCP 8443 para el servicio de escucha (también se utiliza para otras funciones como paquetes de depuración de cliente y archivos Clean Air). Este puerto permanece abierto incluso si la función está inhabilitada.
• Requiere que el WLC esté en modo de instalación.

Descarga de Imagen AP Basada en HTTP Fuera de Banda

La descarga de imágenes AP basada en HTTP OOB es un método mejorado introducido en Cisco IOS® XE Dublin 17.11.1 para mejorar el rendimiento de la actualización de la imagen AP mediante la transferencia de imágenes fuera de la ruta de control CAPWAP estándar. Una ventaja clave y red de seguridad es su repliegue automático a la descarga CAPWAP en banda estándar si falla la descarga de HTTPs.

El método OOB HTTPs aprovecha el TCP estándar y los HTTPs para la transferencia de imágenes. A diferencia del mecanismo de parada y espera del canal de control CAPWAP, TCP utiliza de forma inherente un mecanismo de ventana deslizante que permite una transferencia de datos masiva eficaz a través de enlaces de alta latencia.

Este método utiliza un servidor web (nginx) que se ejecuta en el controlador para servir imágenes de AP directamente a los AP a través de HTTPs. Esto evita las limitaciones de la ruta de control CAPWAP para transferencias de archivos grandes, ofreciendo un mecanismo de descarga potencialmente más rápido y flexible.

caso de uso

Este método es beneficioso para acelerar las actualizaciones de imágenes de AP, particularmente en grandes implementaciones o sitios remotos donde la latencia y las limitaciones de ancho de banda del túnel de control CAPWAP pueden hacer que las descargas en banda tradicionales consuman mucho tiempo.

Descripción general del proceso

1. La nueva imagen AP se monta en el WLC.
2. El método de actualización OOB HTTPs está habilitado y configurado en el controlador.
3. El AP, si soporta el método OOB, intenta descargar la imagen requerida del servidor web nginx en el controlador a través de HTTPs en el puerto configurado.
4. Si la descarga de HTTPs es exitosa, el AP continúa con el proceso de actualización.
5. Si la descarga de HTTPs falla, el AP vuelve automáticamente al método de descarga de CAPWAP en banda estándar.

La captura de paquetes muestra que el WLC actúa como un servidor HTTPs y el AP como un cliente HTTPs que inicia una conexión TCP estándar sobre el puerto 8443 y la descarga de archivos.

Flujo de paquetes de actualización de imágenes basadas en HTTPS

Configuración (CLI)

Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end 

Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port 
end 

Configuración (GUI)

1. Vaya a Configuration > Wireless > Wireless Global.
2. En la sección Actualización de la Imagen AP,Habilite el Método HTTPs.
3. (Opcional)Introduzca los valores en el campo Puerto HTTPs.
4. Haga clic en Aplicar al dispositivo.

Verificación (CLI)

show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name  config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status 

Restricciones/Consideraciones

• Requiere Cisco IOS® XE Dublin 17.11.1 o posterior.
• No es compatible con controladores inalámbricos integrados de Cisco ni con puntos de acceso Cisco Wave 1.
• Requiere que se habilite la configuración HTTPS global en el controlador.
• El servidor nginx debe estar ejecutándose en el controlador.
• El puerto configurado debe ser accesible entre el controlador y los AP.
• La actualización puede fallar si el Trustpoint del servidor HTTPS tiene una cadena de certificados de CA.
• Se debe inhabilitar (sin método de actualización de AP https) antes de realizar la actualización a versiones anteriores a Cisco IOS® XE 17.11.1.
• Puerto 443 reservado. Evite otros puertos estándar o conocidos.
• Conflicto del puerto predeterminado 8443: Si el acceso HTTPS GUI del controlador también utiliza 8443, configure un puerto diferente para la transferencia de archivos AP o el acceso GUI.

Precaución: Es importante tener en cuenta los consejos de seguridad relacionados con las cargas de archivos, como la vulnerabilidad de la carga arbitraria de archivos del software del controlador inalámbrico Cisco IOS XE. Asegúrese siempre de que el software del WLC esté actualizado con los parches de seguridad más recientes.

Actualización individual manual del AP vía TFTP/SFTP

Este método implica acceder directamente a la CLI del AP a través de la consola o SSH e iniciar la descarga de la imagen desde un servidor TFTP o SFTP. Esto es útil para solucionar problemas de AP específicos, actualizar AP que actualmente no están unidos a un controlador, o para cargar una imagen de depuración proporcionada por TAC.

Encuentre la imagen del AP:

Este proceso realmente carga la imagen del AP directamente en el AP. En el caso de la actualización basada en el WLC, el WLC se encarga de seleccionar la imagen derecha para el AP del paquete de la imagen del WLC. Aquí, la selección manual es necesaria.

La versión de la imagen AP utiliza una convención de nomenclatura diferente que la convención de nomenclatura de la imagen WLC.

Vaya al enlace Puntos de acceso admitidos en las versiones de software del controlador inalámbrico Catalyst de Cisco serie 9800

Puntos de acceso admitidos en las versiones de software del controlador inalámbrico Catalyst de Cisco serie 9800

Matriz de compatibilidad de puntos de acceso inalámbricos

La primera columna describe la imagen CCO del WLC 9800. La tercera columna muestra la versión de la imagen respectiva y la cuarta columna muestra los puntos de acceso admitidos para esa versión. Suponga la necesidad de instalar la imagen del AP en el AP 9130 para la versión 17.12.4. La comprobación de la tabla muestra que el nombre de la imagen del AP es15.3(3)JPQ3 y 9130 se enumera como modelo soportado.

El siguiente paso es navegar a software.cisco.com y obtener la imagen de la carpeta de descarga de AP.

Descargas Inicio/Inalámbrico/Puntos de acceso/Puntos de acceso Catalyst serie 9130AX/Punto de acceso Catalyst serie 9130AXI/Software de punto de acceso ligero - 15.3.3-JPQ3(ED)

Descarga de software: punto de acceso Catalyst 9130AXI

Ubicación de imagen AP

Advertencia: La ruta de descarga difiere según el modelo de AP y la versión de la imagen de AP.

Descripción general del proceso

1. Almacene los archivos de imagen del AP de destino en un servidor TFTP o SFTP accesible.
2. Acceda a la CLI del AP (consola o SSH).
3. Ejecute el comando archive download-sw, especificando el servidor y la ruta del archivo de imagen.
4. El AP descarga la imagen.
5. Después de que la descarga se complete, reinicie el proceso CAPWAP o recargue el AP para que la nueva imagen surta efecto.

Configuración (AP CLI)

archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username:  Password:  <- Using SFTP:
reload <- Restart CAPWAP process after download: 

Verificación

• Supervise los registros del servidor TFTP/SFTP para confirmar la descarga.
• Observe la consola AP para ver el progreso y la finalización de la descarga.
• Después de reiniciar/recargar, verifique la nueva versión de la imagen en la CLI o WLC del AP.

Restricciones/Consideraciones

• Requiere acceso CLI directo a cada AP.
• No escalable para actualizar un gran número de AP individualmente (el scripting es una opción).
• El rendimiento de TFTP es sensible a la latencia; SFTP (mediante TCP) funciona mejor en rutas de alta latencia, pero requiere autenticación interactiva (nombre de usuario/contraseña).
• La adopción/no-recarga evita que el AP se recargue inmediatamente después de la descarga, permitiendo el control manual del tiempo de reinicio/recarga.
• Si migra AP de AireOS a 9800, se recomienda primero actualizar el AP a una versión específica de AireOS (8.10.190.0 o superior) con correcciones antes de unirse al 9800.

Consejo: El sondeador WLAN es una herramienta que se puede utilizar para crear scripts para actualizar manualmente varios AP. Encuentre el sondeador WLAN en esta ubicación. Sondeador WLAN

Qué método usar sobre cuál

• Para los AP de OEAP o de teletrabajador sobre links de alta latencia:
  Habilite CAPWAP Image Download Time Enhancement. Esto se ha diseñado específicamente para mejorar el rendimiento de CAPWAP para estos tipos de implementación mediante una ventana deslizante, que aborda directamente el problema de latencia dentro de la estructura CAPWAP.
• Para puntos de acceso FlexConnect en sucursales con ancho de banda WAN limitado:
  Utilice la actualización eficiente de imágenes en el modo FlexConnect. Este método es muy recomendable, ya que reduce significativamente la carga de WAN mediante el uso de un AP principal para la distribución local a través de TFTP, aprovechando velocidades de red internas más rápidas.
• Para los AP de modo local (o FlexConnect/OEAP si los métodos descritos anteriormente no son aplicables o suficientes) en plataformas compatibles (Cisco IOS® XE 17.11.1+):
  Considere la descarga de imágenes AP basadas en HTTP fuera de banda. Este método utiliza TCP/HTTP para la transferencia masiva, que es más eficaz en los enlaces de alta latencia que CAPWAP estándar. También proporciona un repliegue a CAPWAP estándar si la transferencia OOB falla.
• Para solucionar problemas de un solo AP, actualizar un AP no unido a un WLC, o en escenarios de emergencia:
  Realice una Actualización Manual de AP Individual a través de TFTP/SFTP. Esto proporciona un control directo sobre el proceso de actualización de un dispositivo específico, pero no resulta práctico para implementaciones a gran escala sin automatización. Por lo general, se prefiere SFTP en lugar de TFTP para obtener un mejor rendimiento en las rutas de alta latencia debido a su uso de TCP.
• Actualización CAPWAP estándar: Si bien es el valor predeterminado, generalmente no se recomienda como el método principal para actualizar los AP remotos sobre links WAN de alta latencia debido a su mecanismo inherente de parada y espera que conduce a transferencias lentas y posibles problemas de confiabilidad en versiones anteriores. Utilice los métodos optimizados que se describen siempre que sea posible para los sitios remotos.

Elija el método que mejor se alinee con su modo operativo AP, condiciones de red, versión del software WLC, y la escala de su operación de actualización para asegurar un proceso suave y eficiente para sus AP remotos.

Conclusión

Aunque el método de descarga de imágenes CAPWAP estándar es adecuado para las redes locales, las implementaciones de AP remotos a través de enlaces WAN se benefician significativamente de las técnicas de actualización optimizadas. Comprender las limitaciones de CAPWAP estándar en relación con la alta latencia ayuda a elegir el enfoque adecuado. La mejora del tiempo de descarga de imágenes CAPWAP mejora el rendimiento de los puntos de acceso OEAP/teletrabajador, la actualización eficiente de imágenes optimiza las implementaciones de FlexConnect al reducir la carga de WAN y los HTTP fuera de banda ofrecen una alternativa más rápida para las plataformas compatibles. El método manual TFTP/SFTP sigue siendo una herramienta valiosa para la resolución de problemas y escenarios específicos.

Referencias

Actualización de imagen eficiente

Descarga de imagen de punto de acceso fuera de banda

Mejora del tiempo de descarga de imágenes de puntos de acceso (solo OEAP o teletrabajador)

Puntos de acceso de Cisco admitidos en las versiones de software de Cisco Wireless Controller Platform

Sondeador WLAN

Migre de AireOS WLC a Catalyst 9800 con WLANPoller