Comprendre les mises à niveau d'image de point d'accès pour les déploiements distants

Introduction

Ce document décrit les méthodes de mise à niveau efficace des images Cisco AP sur les WAN, pour résoudre les problèmes de latence et de fiabilité.

Méthodes de mise à niveau des images Cisco Access Point

Des mises à niveau régulières des images sont essentielles pour les points d'accès Cisco, mais leur mise en oeuvre sur des liaisons WAN à latence élevée vers des sites distants peut s'avérer difficile. La méthode de téléchargement d'images CAPWAP standard, bien qu'efficace sur les réseaux locaux, peut être lente et potentiellement moins fiable sur les réseaux étendus. Cette section explique pourquoi cela se produit et présente des méthodes alternatives et améliorées conçues pour des mises à niveau à distance efficaces.

Le défi : Téléchargement d'images CAPWAP standard sur WAN

Le processus fondamental pour la mise à niveau de l'image AP via CAPWAP est défini dans la RFC 5415, Section 9.1. Ce mécanisme permet au contrôleur de réseau local sans fil (WLC) de servir la nouvelle image AP directement aux AP connectés sur le tunnel CAPWAP.  Pour chaque message de demande de données d'image (RFC 5415, Section 9.1.1) contenant un bloc de données de microprogramme, le WLC attend un accusé de réception de réponse de données d'image correspondant (RFC 5415, Section 9.1.2) du point d'accès avant d'envoyer le bloc suivant.

L'image illustre le processus de transfert d'image entre le point d'accès et le WLC lorsque le point d'accès est en cours d'exécution.

Flux du processus de transfert d'image AP

Comme observé, le WLC envoie des messages de demande de données d'image contenant des segments des données d'image du microprogramme. Le point d’accès accuse réception de ces segments en envoyant des messages de réponse aux données d’image. Cet échange se poursuit jusqu'à ce que l'image entière soit transférée.

Pour chaque message de demande de données d'image, un message de réponse de données d'image correspondant est attendu comme un accusé de réception. Cela signifie que l'AP doit attendre l'arrivée de chaque paquet d'image, l'accuser réception, puis attendre le paquet suivant. Cela entraîne une lenteur du téléchargement des images dans les environnements WAN.

Prenons un exemple : Si le temps de parcours aller-retour (RTT) entre le point d'accès et le WLC est de 100 ms, cela limite effectivement le taux de transfert à environ 10 paquets par seconde. Si la taille de chaque paquet est de 1 000 octets, cela correspond à un débit maximal de 10 Ko/s. Si l'image du point d'accès est de 50 Mo, le temps minimum théorique pour effectuer le transfert est d'environ 5120 secondes. Cela montre que même si une bande passante importante est disponible, le téléchargement de l'image CAPWAP peut être lent en raison de ce mécanisme d'accusé de réception « stop and wait ». Cet effet est moins perceptible dans les transferts d'image locaux où le WLC et le point d'accès font partie du même réseau de campus et où la latence est minimale.

Mise en garde : Une liaison WAN avec perte peut entraîner une corruption d'image. Voir bogue Cisco IDCSCwf09053   pour plus d'informations à ce sujet.

Pour atténuer ces limitations inhérentes au mécanisme de transfert de chemin de contrôle CAPWAP standard, en particulier dans les environnements WAN à latence élevée ou à bande passante limitée, trois améliorations ont été introduites.

1. L'amélioration de la fenêtre CAPWAP améliore le chemin de commande CAPWAP lui-même en mettant en oeuvre une fenêtre glissante à paquets multiples, permettant l'envoi de plusieurs paquets de données avant de demander un accusé de réception, augmentant ainsi le débit sur des liaisons à latence élevée dans le cadre CAPWAP.
2. Efficient Image Upgrade en mode FlexConnect est une méthode optimisée spécialement conçue pour les points d'accès FlexConnect, qui sont fréquemment déployés dans les filiales avec une bande passante WAN limitée. Cette méthode minimise la charge WAN en distribuant la tâche de téléchargement d'image.
3. La méthode de téléchargement d'image AP basée sur HTTP hors bande résout ce problème en exploitant un protocole HTTP distinct et plus efficace exécuté sur un serveur Web dédié sur le contrôleur pour le transfert d'image, le déplaçant hors du tunnel de contrôle restrictif CAPWAP.

Amélioration de la fenêtre de téléchargement d'image CAPWAP

Cette fonctionnalité améliore la vitesse des téléchargements d'images basés sur CAPWAP, en particulier pour les points d'accès OEAP (Office Extend Access Points) ou les points d'accès pour télétravailleurs. Il répond à la limitation du canal de contrôle CAPWAP standard ayant une fenêtre unique, qui nécessite un accusé de réception pour chaque paquet avant d'envoyer le suivant, ce qui ralentit les transferts sur des liaisons à latence élevée. Cette amélioration ajoute la prise en charge de plusieurs fenêtres glissantes pour les paquets de contrôle.

Impact de la taille de fenêtre CAPWAP

L'efficacité du processus de téléchargement d'image CAPWAP sur le canal de commande est influencée de manière significative par la taille de fenêtre configurée, en particulier sur les liaisons à latence élevée.

Avec la taille de fenêtre CAPWAP = 1 (par défaut/standard) : Le flux de paquets présente un comportement d’arrêt et d’attente strict. Pour chaque paquet de demande de données d'image envoyé par le WLC, le WLC s'arrête et attend un accusé de réception de réponse de données d'image de la part du point d'accès avant d'envoyer le paquet suivant.

Flux de mise à niveau d'image CAPWAP avec taille de fenêtre 1

Avec la taille de fenêtre CAPWAP = N (par exemple, 20) : Le flux de paquets illustre un mécanisme de fenêtre glissante. En permettant à plusieurs paquets d'être en vol sur la liaison avant de requérir un accusé de réception, la fenêtre glissante masque efficacement la latence.

Flux de mise à niveau d'image CAPWAP avec taille de fenêtre 20

Aperçu du processus

1. Configurez un profil AP spécifiquement pour les AP OEAP/Télétravailleurs.
2. Définissez une taille de fenêtre CAPWAP supérieure à 1 dans ce profil.
3. Associez ce profil d'AP aux AP OEAP/télétravailleurs.
4. Pendant le processus de jonction AP, la taille de fenêtre configurée est appliquée.
5. Les téléchargements d'images CAPWAP ultérieurs utilisent la taille de fenêtre plus importante, améliorant ainsi le débit.

Configuration (CLI)

Configurez un profil AP et définissez la taille de fenêtre CAPWAP :

configure terminal ap-profile capwap window size  <- Between 3 to 20 
end

Associez le profil AP à une balise de site et appliquez-le aux points d'accès (comme pour les étapes 2 et 3 dans Efficient Image Upgrade, en vous assurant que le profil AP correct est lié via la balise de site).

Vérification (CLI)

show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size) 

Restrictions/Considérations

• Cette amélioration est prise en charge uniquement sur les profils OEAP.
• La taille de fenêtre est mise à jour sur AP uniquement pendant le processus de jointure AP.
• Le prétéléchargement n'est pas déclenché si la dernière image de mise à niveau est déjà présente sur l'AP.

Remarque : Bien que cette amélioration ait été principalement documentée pour OEAP, elle a également été observée pour fonctionner avec les points d'accès FlexConnect standard. Cependant, cette fonctionnalité n'a pas été entièrement testée/prise en charge pour les déploiements FlexConnect.

Mise à niveau efficace des images en mode FlexConnect

Efficient Image Upgrade est une méthode optimisée spécialement conçue pour les points d'accès FlexConnect, particulièrement utile dans les déploiements de filiales avec une bande passante WAN limitée. Cette méthode minimise la charge WAN en désignant un AP principal dans une balise de site pour télécharger l'image à partir du contrôleur, puis en permettant à d'autres AP subordonnés dans la même balise de site de télécharger l'image à partir du AP principal via TFTP. Le point d'accès principal est un point d'accès par modèle et par balise de site.

Aperçu du processus

1. Une nouvelle image AP est préparée sur le WLC.
2. Les points d'accès FlexConnect sont attribués à une balise de site configurée pour une mise à niveau efficace de l'image.
3. Le WLC sélectionne un AP par modèle dans l'étiquette de site comme AP principal.
4. Le point d'accès principal télécharge l'image à partir du WLC via la liaison WAN (généralement via CAPWAP).
5. Une fois que le point d'accès principal a l'image, les points d'accès subordonnés dans la même balise de site téléchargent l'image du point d'accès principal via TFTP sur le réseau local.
6. Au maximum, trois AP subordonnés peuvent être téléchargés simultanément à partir d'un AP principal.
7. Après le téléchargement, les AP se rechargent pour exécuter la nouvelle image.

Avantages

• Réduit la consommation de bande passante du WAN en faisant en sorte que seul le point d'accès principal télécharge l'image sur le WAN.
• Tire parti de liaisons réseau locales plus rapides (via TFTP) pour la distribution d'images aux points d'accès subordonnés.

Configuration (CLI)

Enable Predownload in Flex Profile:
configure terminal 
wireless profile flex 
predownload <- Enables the Efficient Image Upgrade option.
end

Configure a Site Tag and Associate Flex Profile:
configure terminal 
wireless tag site 
flex-profile  <- Ensure 'no local-site' is configured if not already, for Flexconnect mode 
end

Attach Policy Tag and Site Tag to AP(s):
configure terminal 
ap  <- Use wired MAC address 
policy-tag 
site-tag 
rf-tag  
end

Trigger Predownload to a Site Tag:
enable 
ap image predownload site-tag  start 

Vérification (CLI)

show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name  image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console 

Restrictions/Considérations

• Les points d'accès joints via une balise de site doivent se trouver au même emplacement physique pour un transfert TFTP local efficace.
• Utilise le port TCP 8443 pour le service d'écouteur (également utilisé pour d'autres fonctions telles que les groupes de débogage client et les fichiers Clean Air). Ce port reste ouvert même si la fonction est désactivée.
• Requiert que le WLC soit en mode d'installation.

Téléchargement d'image AP basée sur HTTP hors bande

Le téléchargement d'image AP basé sur HTTPs OOB est une méthode améliorée introduite dans Cisco IOS® XE Dublin 17.11.1 pour améliorer les performances de mise à niveau d'image AP en transférant des images en dehors du chemin de contrôle CAPWAP standard. Un avantage clé et un filet de sécurité est son retour automatique au téléchargement CAPWAP intrabande standard si le téléchargement HTTPs échoue.

La méthode OOB HTTPs utilise les protocoles TCP et HTTP standard pour le transfert d'images. Contrairement au mécanisme d’arrêt et d’attente du canal de contrôle CAPWAP, le protocole TCP utilise intrinsèquement un mécanisme de fenêtre glissante qui permet un transfert de données en masse efficace sur des liaisons à latence élevée.

Cette méthode utilise un serveur Web (nginx) exécuté sur le contrôleur pour servir des images AP directement aux AP sur HTTP. Cela permet de contourner les limitations du chemin de contrôle CAPWAP pour les transferts de fichiers volumineux, offrant un mécanisme de téléchargement potentiellement plus rapide et plus flexible.

Scénario

Cette méthode est utile pour accélérer les mises à niveau d'image AP, en particulier dans les grands déploiements ou les sites distants où la latence et les limitations de bande passante du tunnel de contrôle CAPWAP peuvent rendre les téléchargements intrabande traditionnels longs.

Aperçu du processus

1. La nouvelle image AP est préparée sur le WLC.
2. La méthode de mise à niveau HTTP OOB est activée et configurée sur le contrôleur.
3. S'il prend en charge la méthode OOB, le point d'accès tente de télécharger l'image requise à partir du serveur web nginx sur le contrôleur via des HTTP sur le port configuré.
4. Si le téléchargement des HTTP réussit, le point d'accès poursuit le processus de mise à niveau.
5. Si le téléchargement des HTTP échoue, le point d'accès revient automatiquement à la méthode de téléchargement standard CAPWAP intrabande.

La capture de paquets montre le WLC agissant comme un serveur HTTP et le point d'accès comme un client HTTP initiant une connexion TCP standard sur le port 8443 et le téléchargement de fichiers.

Flux de paquets de mise à niveau d'image HTTPS

Configuration (CLI)

Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end 

Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port 
end 

Configuration (GUI)

1. Accédez à Configuration > Wireless > Wireless Global.
2. Dans la section Mise à niveau d'image AP, Activer la méthode HTTPs.
3. (Facultatif)Saisissez les valeurs dans le champ HTTPs Port.
4. Cliquez sur Apply to Device.

Vérification (CLI)

show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name  config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status 

Restrictions/Considérations

• Nécessite Cisco IOS® XE Dublin 17.11.1 ou version ultérieure.
• Non pris en charge sur les contrôleurs sans fil intégrés Cisco ou les points d'accès Cisco Wave 1.
• Nécessite l'activation de la configuration HTTPS globale sur le contrôleur.
• Le serveur nginx doit être en cours d'exécution sur le contrôleur.
• Le port configuré doit être accessible entre le contrôleur et les points d'accès.
• La mise à niveau peut échouer si le point de confiance du serveur HTTPS a une chaîne de certificats CA.
• Doit être désactivé (pas de méthode de mise à niveau d'ap https) avant la mise à niveau vers des versions antérieures à Cisco IOS® XE 17.11.1.
• Le port 443 est réservé. Évitez les autres ports standard/bien connus.
• Conflit du port par défaut 8443 : Si l'accès HTTPS à l'interface graphique du contrôleur utilise également le 8443, configurez un port différent pour le transfert de fichiers AP ou l'accès à l'interface graphique.

Mise en garde : Il est important de connaître les avis de sécurité relatifs au téléchargement de fichiers, tels que la vulnérabilité de téléchargement arbitraire de fichiers du logiciel de contrôleur sans fil Cisco IOS XE. Assurez-vous toujours que votre logiciel WLC est à jour avec les derniers correctifs de sécurité.

Mise à niveau individuelle manuelle des AP via TFTP/SFTP

Cette méthode implique d'accéder directement à l'interface de ligne de commande AP via la console ou SSH et de lancer le téléchargement de l'image depuis un serveur TFTP ou SFTP. Cela est utile pour dépanner des AP spécifiques, mettre à niveau des AP qui ne sont pas actuellement joints à un contrôleur, ou pour charger une image de débogage fournie par le TAC.

Recherchez l'image AP :

Ce processus charge en fait l'image de l'AP directement sur l'AP. Dans le cas d'une mise à niveau basée sur WLC, le WLC se charge de sélectionner la bonne image pour l'AP à partir du bundle d'images WLC. Ici, la sélection manuelle est nécessaire.

La version d'image AP utilise une convention d'attribution de noms différente de la convention d'attribution de noms d'image WLC.

Accédez au lien Points d'accès pris en charge dans les versions du logiciel du contrôleur sans fil Cisco Catalyst 9800

Points d'accès pris en charge dans les versions du logiciel du contrôleur sans fil Cisco Catalyst 9800

Matrice de compatibilité des points d'accès sans fil

La première colonne décrit l'image CCO du WLC 9800. La troisième colonne répertorie la version d'image respective et la quatrième colonne répertorie les points d'accès pris en charge pour cette version. Supposons qu'il soit nécessaire d'installer l'image AP sur AP 9130 pour la version 17.12.4. La vérification du tableau montre que le nom de l'image AP est15.3(3)JPQ3 et que 9130 est listé comme un modèle pris en charge.

L'étape suivante consiste à accéder à software.cisco.com et à récupérer l'image à partir du dossier de téléchargement de l'AP.

Téléchargements Accueil/ Sans fil / Points d'accès / Points d'accès de la gamme Catalyst 9130AX / Point d'accès Catalyst 9130AXI / Logiciel de point d'accès léger- 15.3.3-JPQ3(ED)

Téléchargement de logiciels - Point d'accès Catalyst 9130AXI

Emplacement de l'image AP

Avertissement : Le chemin de téléchargement diffère en fonction du modèle AP et de la version de l'image AP.

Aperçu du processus

1. Préparez le ou les fichiers image du point d'accès cible sur un serveur TFTP ou SFTP accessible.
2. Accédez à l'interface de ligne de commande AP (console ou SSH).
3. Exécutez la commande archive download-sw, en spécifiant le serveur et le chemin du fichier image.
4. L'AP télécharge l'image.
5. Une fois le téléchargement terminé, redémarrez le processus CAPWAP ou rechargez l'AP pour que la nouvelle image prenne effet.

Configuration (AP CLI)

archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username:  Password:  <- Using SFTP:
reload <- Restart CAPWAP process after download: 

Vérification

• Surveillez les journaux du serveur TFTP/SFTP pour confirmer le téléchargement.
• Observez la progression et la fin du téléchargement sur la console AP.
• Après le redémarrage/rechargement, vérifiez la nouvelle version de l'image sur l'interface de ligne de commande AP ou le WLC.

Restrictions/Considérations

• Nécessite un accès direct CLI à chaque point d'accès.
• Non évolutif pour la mise à niveau d'un grand nombre d'AP individuellement (l'écriture de scripts est une option).
• Les performances TFTP sont sensibles à la latence ; Le protocole SFTP (avec TCP) offre de meilleures performances sur les chemins à latence élevée, mais nécessite une authentification interactive (nom d'utilisateur/mot de passe).
• L'adoption/non-rechargement empêche le point d'accès de se recharger immédiatement après le téléchargement, ce qui permet un contrôle manuel de la durée de redémarrage/rechargement.
• Si vous migrez des AP d'AireOS vers 9800, il est recommandé de commencer par mettre à niveau l'AP vers une version spécifique d'AireOS (8.10.190.0 ou supérieure) avec des correctifs avant de rejoindre le 9800.

Conseil : WLAN Poller est un outil qui peut être utilisé pour créer des scripts pour mettre à niveau manuellement plusieurs points d'accès. Recherchez le contrôleur WLAN à cet emplacement. Contrôleur WLAN

Quelle méthode utiliser sur laquelle ?

• Pour les points d'accès OEAP ou Teleworker sur des liaisons à latence élevée :
  Activez l'amélioration du temps de téléchargement des images CAPWAP. Il est spécifiquement conçu pour améliorer les performances CAPWAP pour ces types de déploiement en utilisant une fenêtre glissante, en traitant directement le problème de latence dans le cadre CAPWAP.
• Pour les points d'accès FlexConnect dans les filiales avec une bande passante WAN limitée :
  Utiliser la mise à niveau efficace des images en mode FlexConnect. Cette méthode est fortement recommandée car elle réduit considérablement la charge WAN en utilisant un point d'accès principal pour la distribution locale via TFTP, tirant parti de vitesses réseau internes plus rapides.
• Pour les points d'accès en mode local (ou FlexConnect/OEAP si les méthodes décrites précédemment ne sont pas applicables ou suffisantes) sur les plates-formes prises en charge (Cisco IOS® XE 17.11.1+) :
  Prenons l'exemple du téléchargement d'image AP basé sur HTTP hors bande. Cette méthode utilise les protocoles TCP/HTTP pour le transfert en masse, qui est plus efficace sur les liaisons à latence élevée que le protocole CAPWAP standard. Elle permet également de revenir à la norme CAPWAP en cas d'échec du transfert OOB.
• Pour le dépannage d'un point d'accès unique, la mise à niveau d'un point d'accès non joint à un WLC, ou dans des scénarios d'urgence :
  Effectuez une mise à niveau individuelle manuelle des points d'accès via TFTP/SFTP. Cela permet de contrôler directement le processus de mise à niveau d'un périphérique spécifique, mais n'est pas pratique pour les déploiements à grande échelle sans automatisation. SFTP est généralement préféré à TFTP pour de meilleures performances sur les chemins à latence élevée en raison de son utilisation du protocole TCP.
• Mise à niveau CAPWAP standard : Bien que la valeur par défaut, elle n'est généralement pas recommandée en tant que méthode principale pour la mise à niveau des points d'accès distants sur des liaisons WAN à latence élevée en raison de son mécanisme d'arrêt et d'attente inhérent qui entraîne des transferts lents et des problèmes de fiabilité potentiels dans les versions plus anciennes. Utilisez les méthodes optimisées décrites dans la mesure du possible pour les sites distants.

Choisissez la méthode qui s'aligne le mieux avec votre mode de fonctionnement AP, les conditions réseau, la version du logiciel WLC, et l'échelle de votre opération de mise à niveau pour assurer un processus fluide et efficace pour vos AP distants.

Conclusion

Bien que la méthode de téléchargement d'images CAPWAP standard soit adaptée aux réseaux locaux, les déploiements de points d'accès distants sur des liaisons WAN bénéficient considérablement de techniques de mise à niveau optimisées. Comprendre les limites de la norme CAPWAP sur la latence élevée aide à choisir la bonne approche. L'amélioration du temps de téléchargement des images CAPWAP améliore les performances des points d'accès OEAP/Télétravailleurs, la mise à niveau efficace des images optimise les déploiements FlexConnect en réduisant la charge WAN et les HTTP hors bande offrent une alternative plus rapide pour les plates-formes prises en charge. La méthode TFTP/SFTP manuelle reste un outil précieux pour le dépannage et des scénarios spécifiques.

Références

Mise à niveau efficace des images

Téléchargement d'image AP hors bande

Amélioration du temps de téléchargement de l'image AP (OEAP ou télétravailleur uniquement)

Points d'accès Cisco pris en charge dans les versions logicielles de la plate-forme de contrôleur sans fil Cisco

Contrôleur WLAN

Migration d'AireOS WLC vers Catalyst 9800 avec WLANPoller