起動ループの原因となるイメージの破損を回避し、アクセスポイントを安全にアップグレード

ダウンロード オプション

  • PDF     (587.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (128.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (105.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 4 月 10 日
Document ID:221869

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

内容

はじめに

一部のシスコアクセスポイント(AP)では、9800シリーズコントローラからCAPWAPを介して破損したイメージをダウンロードする場合があります。  APのソフトウェアバージョンによっては、APが破損したイメージのブートを試行する場合があり、その結果ブートループが発生します。  この記事では、イメージ破損の影響を受けやすいAPモデルとネットワークパス、および安全にアップグレードする方法について説明します。

この問題が原因でAPがブートループになる場合は、記事『Wave 2および11axアクセスポイント(AP)でのイメージ破損によるブートループからの復旧』を参照してくださいCSCvx32806 )を参照してください。

この問題はField Notice:FN74109:CAPWAPアップグレード中のアクセスポイントイメージの破損によりブート障害が発生するおそれがある:ソフトウェアアップグレードを推奨いたします。

アップグレードがイメージ破損の影響を受けるかどうかを判別する方法

展開に次の条件が当てはまる場合は、APが破損したソフトウェアをダウンロードして、そのソフトウェアをブートしようとする影響を受ける可能性があります。

該当しない製品

  • ワイヤレスLANコントローラ(WLC):AireOSワイヤレスLANコントローラからダウンロードするAPは影響を受けません
  • Mobility Express、組み込みワイヤレスコントローラ
  • AP - Aironet 1800/1540/1100ACシリーズWave 2 11ac APおよびWave1 11acアクセスポイント(1700/2700/3700/1570/IW3700)は該当しません(これらのAPが9800 WLCに登録されている場合でも、該当しません)
  • 2023年から導入されたWi-Fi 6E AP:IW9167、IW9165、C9163

該当製品

  • WLC:Cisco Catalyst 9800シリーズワイヤレスLANコントローラからのAPのダウンロードが影響を受ける可能性
  • AP:Cisco Catalyst 9800シリーズワイヤレスLANコントローラに登録する次のAPモデルが影響を受けます(一部のモデルについては、ゲスト登録のお客様にはアクセスできない場合があります)。
    • Aironet Wave2 11acアクセスポイント(2800/3800/4800/1560/IW6330/ESW6300)
    • Catalyst 9100シリーズWi-Fi6アクセスポイント(9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
    • Catalyst 9100シリーズWi-FI6Eアクセスポイント(9136/9162/9164/9166)

影響を受けるバージョン:不良イメージ起動現象

APが破損していることを認識してイメージのブートを試行するこの問題は、Cisco Bug ID CSCvx32806CSCwc72021CSCwd90081で対処されています。を参照してください。これらは次のリリースで修正されています。

  • 8.10.185.0以降
  • 17.3.7以降
  • 17.6.6以降
  • 17.9.3以降
  • 17.11.1以降

アクセスポイントを上記の修正を含むソフトウェアにアップグレードした後も、破損したイメージがダウンロードされる場合があります。ただし、そのイメージのブートは試行されず、成功するまでダウンロードが再試行されます。

影響を受けるネットワークパス

APイメージの破損の問題は、9800とAPの間のLANパス(つまり、フル1500バイトのIP MTUを持ち、低遅延でパケット損失が非常に小さいパス)では発生していません。  この問題は、WAN上のCAPWAPトンネルで発生する可能性が高く、次のようなパス特性を持ちます。

  • 高いパケット損失
  • capwap MTUが小さい(1485バイト未満):MTUが小さいほど、リスクが高くなります
    • capwap MTUの低下はパケット損失の症状である可能性があります

ネットワークパスが危険にさらされているかどうかを判断する方法

  • 9800では、次のコマンドを使用してCAPWAPパスMTUを確認します。
    9800-L#show capwap detailed
    Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
    ----------------------------------------------------------------------------------------------------
    Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
    Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1
    • 特定のAPのMTUが変動している場合は、リスクの強い指標となります
  • またはshow ap config general | include CAPWAP\ Path\ MTU (show tech-support wireless)
  • 9800では、「show ap uptime」を使用して、「AP Up Time」が長く、「Association Up Time」が短いAPを探します
    • APのアソシエーションアップタイムが短い(つまり、再設定がない)理由がない場合は、ネットワークパスにリスクがあることを示している可能性があります

未修正のAPソフトウェアバージョンから安全にアップグレードする方法

:展開がイメージ破損の影響を受ける場合(例:該当するAPモデル、Boot a Bad Image Syndromeの修正プログラムなしで実行され、WAN特性が潜在的に存在する場合)、9800ソフトウェアをアップグレードし、新しいソフトウェアを再結合およびダウンロードするだけではアップグレードしないでください。APはイメージ破損の可能性があり、ブートループが発生します。  代わりに、次のいずれかの方法を使用します。

WLCを使用したAPへのローカルなアップグレード

可能であれば、APのLANにステージングコントローラを配置します。これは9800-CLであるか、(Wave 2/Wi-Fi 6 APの場合)EWCモードのAPであり、APをターゲットバージョンにアップグレードします。  これで、実稼働コントローラに安全に参加できるようになります。

AireOSコントローラ経由のアップグレード

8.10.190.0以降を実行しているAireOSコントローラがあり、APモデルがAireOSでサポートされている場合は、APをそのコントローラに加入させます。  これにより、APが修正済みソフトウェアに安全にアップグレードされ、実稼働コントローラに安全に加入できるようになります。

archive download-swを使用したアップグレード

アップグレード中のAPからアクセス可能なTFTP/SFTPサーバにターゲットAPイメージをステージングします。  TFTPまたはSFTP経由でのAPイメージのアップグレードでは、イメージ破損の問題は発生しません。  APは、AP CLIから、または(APがコントローラに加入している場合は)コントローラCLIから、イメージのダウンロード要求を開始できます。

  1. APからアクセス可能な場所にTFTPまたはSFTPサーバをセットアップします。  TFTPのパフォーマンスは遅延によって左右されるため、TFTPサーバがAPから離れている場合はダウンロードが遅くなります。  SFTPはTCPを使用するため、遅延の大きいパスを使用する場合はスループットが大幅に向上します。  ただし、SFTPはWLCからトリガーできません。これは、ユーザ名とパスワードを入力するためにインタラクティブなダイアログが必要になるためです。
  2. TFTPまたはSFTPサーバで目的のAPイメージをステージングします。  適切なIOS-XEバージョンにマッピングされる15.3(3)J* APバージョンの互換性マトリクスの表4を参照してから、該当するAPモデル用の適切なLightweight APソフトウェアイメージをsoftware.cisco.comからダウンロードしてください.
    1. たとえば、CW9162用の17.9.5 APイメージはap1g6b-k9w8-tar.153-3.JPN4.tarです。
  3. AP CLIを使用してアップグレードするには:コンソールまたはSSHを使用してAPのCLIにアクセスできる場合:
    1. TFTPまたはSFTPコマンドを入力します。
      archive download-sw /no-reload tftp://<ip-address>/<apimage>
      または
      archive download-sw /no-reload sftp://<ip-address>/<apimage>
      ユーザ名:USER
      パスワード:XXX
      これにより、破損したイメージが有効なイメージで上書きされます。
    2. イメージのダウンロードが完了したら、次を発行します。
      CAPWAP再起動のテスト
      これにより、CAPWAPプロセスが再起動し、APが新しくインストールされたイメージを認識します。
    3. 各APで個別にコマンドを入力するのではなく、「archive download-sw」を使用して多数のAPをアップグレードするには、スクリプト方式を使用できます。  次の「WLANポーラーによるAPのアップグレード」を参照してください。
  4. APがコントローラに加入している場合は、コントローラCLI(TFTPのみ)からAPをアップグレードできます。
    1. IOS-XEの場合:ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
    2. AireOSの場合: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
      1. AireOSからCAPWAPをダウンロードしてもイメージの破損の影響は受けませんが、APをAireOSから9800に移行することを計画している場合は、APを9800に加入させる前に、まずAlt-bootおよびBoot a Bad Image症候群(8.10.190.0以上)の修正を含むAPイメージををダウンロードするする必要があります。
    3. TFTPまたはSFTPサーバのログを監視して、各APがイメージを正常にダウンロードしたことを確認します。  ダウンロードが完了すると、各APがリロードされ、新しくダウンロードしたイメージが実行されます。

プレダウンロードによるAPのアップグレード、エラーのモニタリング

9800でターゲットイメージをロードし、APプレダウンロードを使用して新しいイメージをAPにプッシュします。 APイメージ破損のインスタンスを監視しています。

ステップ 1:C9800 WLCのAP加入プロファイルでSSHが有効になっていることを確認します。 ネットワーク内にsyslogサーバをセットアップします。AP Join ProfileでsyslogサーバのIPアドレスをallに設定し、ログトラップ値をDebugに設定します。syslogサーバがAPからsyslogを受信していることを確認します。

9800 GUI - Edit AP Join Profile - update syslog settings

ステップ 2:C9800 WLCにソフトウェアイメージをダウンロードし、CLIを使用してプレダウンロードの準備を行います。

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

ステップ 3:Cisco C9800 WLCでAPイメージのダウンロード前を実行します。

C9800# ap image predownload

:導入の規模とタイプによっては、数分から数時間かかる場合があります。  イメージが有効であることを確認するまで、コントローラやAPをリブートしないでください。

ステップ 4: すべてのAPのプレダウンロードが完了したら、syslogサーバで次の2つのログメッセージのいずれかを確認します。

  • イメージ署名の検証に成功しました。
  • イメージ署名の検証エラー: -3

また、show ap image summaryコマンドの出力を調べて、Failed to Downloadのインスタンスがないかを確認します。  カウンタがゼロ以外の場合は、show ap image | include Failedを使用して失敗したAPを見つけます。

注意:いずれかのAPでイメージ署名検証の失敗が記録された場合、またはいずれかのAPでダウンロードが失敗した場合、 アップグレードプロセスではこれ以上進めないでください。すべてのAPが Image signing verify success」メッセージが表示された後、すべて APがイメージを正しくダウンロードしたので、9800のアップグレードを安全に続行できます。

ステップ5:いずれかのAPで検証エラーが発生したり、ダウンロードに失敗したりした場合は、ブートループを回避するために、次のコマンドが必要になります 次の手順を使用して、APのバックアップパーティション内のイメージを別のAPイメージのアーカイブダウンロードで上書きします。 

障害が発生したAPの数が少ない場合は、各APにSSHで接続し、次の手順を開始します。

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart

注:「test capwap restart」は、バックアップパーティションのイメージが更新されたことをAPのCAPWAPプロセスが認識するために必要です。  これにより、9800とのCAPWAP接続が再開されるため、サービスが短時間中断されます。  これが運用上の問題である場合は、このステップをメンテナンスの時間帯に延期できます。

WLANポーラーを使用したAPのアップグレード

archive download-swを使用してアップグレードするAPの数が多い場合は、WLAN Pollerを使用して自動化プロセスを使用できます。

ステップ1a:MacまたはWindowsマシンにWLANポーラをインストールします。

ステップ1b:Aplist csvファイルに、関連する障害が発生したAPを入力します。

ステップ1c:cmdlistファイルに次のコマンドを入力します(必要に応じてさらにコマンドを追加できます)。

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart

ステップ1d:WLANポーラーを実行します。

ステップ1e:実行が完了したら、すべてのAPのログファイルを確認して、正常に完了したことを検証してください。

ステップ 2:C9800 WLCでイメージをただちにアクティブ化し、リロードします。

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

手順3:C9800 WLC上でイメージを確定します。この手順をスキップすると、WLCは以前のソフトウェアイメージにロールバックします

C9800#install commit

よく寄せられる質問(FAQ)

Q.数日前にプレダウンロードを実行しましたが、まだCisco C9800 WLCとAPをリブートしていません。イメージが破損しているかどうかを確認するためのsyslogがありません。イメージが破損しているかどうかを確認するにはどうすればよいですか。

A. APまたはsyslogでshow loggingをチェックします。show loggingの出力に成功または失敗のメッセージが表示されない場合は、「show flash syslog」コマンドを使用して、プレダウンロードを実行したときからのsyslog出力をファイルできます。  「Image signing verify success」というメッセージが表示された場合は、このAPがイメージを正常にダウンロードしたことを意味します。

Q:ローカルモードのAPを使用した集中型の導入を行っています。「回避策とソリューション」セクションに示した手順を実行する必要がありますか。

A:この問題が報告されているのは、WAN接続経由でAPをアップグレードする場合だけです。ローカルモードのAPやローカルネットワーク経由のAPでこの問題が発生する可能性はほとんどないため、コントローラとAPの間のパケット損失がほとんどないと確信できる場合は、アップグレードのためにこの手順に従う必要はありません。

Q:新しいアウトオブボックスAPを使用しています。この問題が発生せずに導入するには、どうすればよいですか。 

A:WAN経由でコードをダウンロードする新しいアウトオブボックスのAPも、2023年12月以降に製造されたものを除き、この問題の影響を受けやすくなります。

Q: 9800からダウンロードしたCAPWAPイメージが破損するという問題に対処するために、シスコでは長期的にはどのような取り組みを行っていますか。

A:APで17.11以降がすでに実行されている場合は、アウトオブバンドイメージダウンロード機能を使用して、HTTPSを使用してコントローラからイメージを取り出すことができます。TCPはスライディングウィンドウを使用して信頼性の高い方法でデータを送信するため、WAN経由の方がCAPWAP(またはTFTP)よりもはるかに高速です

Q.現在ブートループにあるAPがあります。  どうすれば回復できますか。

A:『Wave 2および11axアクセスポイント(AP)のイメージ破損によるブートループからの復旧』の記事を参照してくださいCSCvx32806 )。

Q.この問題についてさらに質問があります。  私は彼らを誰に向けても良いですか。

A:fn74109-questions@cisco.comに電子メールを送信してください。

更新履歴

改定 発行日 コメント
1.0
10-Apr-2024
初版
TAC Authored

シスコ エンジニア提供

  • スダカトゲリ
    TACプリンシパルエンジニア
  • マドゥリC
    TACテクニカルリーダーシップ
  • アーロン・レナード
    TACテクニカルリーダーシップ

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています