원격 구축을 위한 액세스 포인트 이미지 업그레이드 이해

소개

이 문서에서는 지연 시간 및 신뢰성 문제를 해결하는 WAN을 통한 효율적인 Cisco AP 이미지 업그레이드 방법에 대해 설명합니다.

Cisco 액세스 포인트 이미지 업그레이드 방법

Cisco AP(Access Point)에서는 정기적인 이미지 업그레이드가 필수적이지만, 지연 시간이 긴 WAN(Wide Area Network) 링크를 통해 원격 사이트로 연결하는 것은 쉽지 않습니다. 표준 CAPWAP 이미지 다운로드 방법은 로컬 네트워크에서는 효과적이지만 WAN에서는 느리고 신뢰도가 떨어질 수 있습니다. 이 섹션에서는 이러한 문제가 발생하는 이유를 살펴보고 효율적인 원격 업그레이드를 위해 설계된 대체 및 향상된 방법을 개괄적으로 설명합니다.

과제: WAN을 통한 표준 CAPWAP 이미지 다운로드

CAPWAP를 통한 AP 이미지 업그레이드에 대한 기본 프로세스는 RFC 5415, 섹션 9.1에 정의되어 있습니다. 이 메커니즘으로 WLC(Wireless LAN Controller)는 CAPWAP 터널을 통해 연결된 AP에 새 AP 이미지를 직접 제공할 수 있습니다.  펌웨어 데이터 청크가 포함된 각 이미지 데이터 요청 메시지(RFC 5415, Section 9.1.1)에 대해 WLC는 다음 청크를 전송하기 전에 AP로부터 해당 이미지 데이터 응답 승인(RFC 5415, Section 9.1.2)을 기다립니다.

이 그림에서는 AP가 실행 상태에 있는 동안 AP와 WLC 간의 이미지 전송 프로세스를 보여 줍니다.

AP 이미지 전송 프로세스 흐름

관찰된 바와 같이, WLC는 펌웨어 이미지 데이터의 청크를 포함하는 이미지 데이터 요청 메시지를 전송한다. AP는 이미지 데이터 응답 메시지를 전송하여 이러한 청크의 수신을 승인합니다. 이 교환은 전체 이미지가 전송될 때까지 계속됩니다.

각각의 이미지 데이터 요청 메시지에 대해, 대응하는 이미지 데이터 응답 메시지가 확인응답으로서 예상된다. 즉, AP는 각 이미지 패킷이 도착할 때까지 기다린 다음 이를 승인하고 다음 패킷을 기다려야 합니다. 이로 인해 WAN 환경에서 이미지 다운로드가 느려집니다.

예를 들어, AP와 WLC 간의 RTT(Round Trip Time)가 100ms이면 전송 속도가 초당 약 10패킷으로 제한됩니다. 각 패킷 크기가 1000바이트이면 최대 처리량이 10KB/초로 변환됩니다. AP 이미지가 50MB이면 전송을 완료하는 이론상 최소 시간은 약 5120초입니다. 이는 상당한 대역폭을 사용할 수 있는 경우에도 CAPWAP 이미지 다운로드가 이러한 중지 및 대기 확인 메커니즘으로 인해 느려질 수 있음을 보여줍니다. 이러한 효과는 WLC와 AP가 동일한 캠퍼스 네트워크의 일부이고 지연 시간이 최소인 로컬 이미지 전송에서 덜 두드러집니다.

주의: 손실 WAN 링크는 이미지 손상으로 이어질 수 있습니다. Cisco 버그 IDCSCwf를 참조하십시오09053   을 참조하십시오.

표준 CAPWAP 제어 경로 전송 메커니즘에 내재된 이러한 제한을 완화하기 위해, 특히 지연 시간이 길거나 대역폭이 제한된 WAN 환경에서는 세 가지 개선 사항이 도입되었습니다.

1. CAPWAP Window 개선은 다중 패킷 슬라이딩 윈도우를 구현하여 CAPWAP 제어 경로 자체를 개선하므로, 승인 전에 여러 데이터 패킷을 전송할 수 있으므로, CAPWAP 프레임워크 내의 지연 시간이 긴 링크에 대한 처리량이 증가합니다.
2. FlexConnect 모드에서 효율적인 이미지 업그레이드는 제한된 WAN 대역폭을 사용하는 지사에 자주 구축되는 FlexConnect AP를 위해 특별히 설계된 최적화된 방법입니다. 이 방법은 이미지 다운로드 작업을 배포하여 WAN 로드를 최소화합니다.
3. Out-of-Band HTTPs 기반 AP Image Download 메서드는 이미지 전송을 위해 컨트롤러의 전용 웹 서버에서 실행되는 별도의 더 효율적인 HTTPs 프로토콜을 활용하여 이를 제한적 CAPWAP 제어 터널 밖으로 이동시킴으로써 이를 해결합니다.

CAPWAP 이미지 다운로드 창 개선

이 기능은 OEAP(Office Extend Access Point) 또는 재택 근무자 AP를 위한 CAPWAP 기반 이미지 다운로드 속도를 향상시킵니다. 단일 윈도우가 있는 표준 CAPWAP 제어 채널의 제한을 해결합니다. 즉, 다음 패킷을 전송하기 전에 모든 패킷에 대해 승인을 받아야 하며, 레이턴시가 긴 링크를 통한 전송이 느려집니다. 이러한 개선은 제어 패킷에 대한 여러 슬라이딩 윈도우에 대한 지원을 추가합니다.

CAPWAP 창 크기의 영향

제어 채널을 통한 CAPWAP 이미지 다운로드 프로세스의 효율성은 특히 대기 시간이 긴 링크에서 구성된 윈도우 크기에 따라 크게 영향을 받습니다.

CAPWAP 창 크기 = 1(기본값/표준): 패킷 흐름은 엄격한 Stop-and-Wait 동작을 나타냅니다. WLC에서 전송한 각 이미지 데이터 요청 패킷에 대해 WLC는 일시 중지한 후 다음 패킷을 전송하기 전에 AP로부터 이미지 데이터 응답 확인을 기다립니다.

창 크기 1의 CAPWAP 이미지 업그레이드 흐름

CAPWAP 창 크기 = N(예: 20)인 경우: 패킷 흐름은 슬라이딩 윈도우 메커니즘을 보여줍니다. 확인 응답을 요청하기 전에 여러 패킷이 링크를 통해 이동하도록 허용하면 슬라이딩 윈도우에서 레이턴시를 효과적으로 마스킹합니다.

창 크기가 20인 CAPWAP 이미지 업그레이드 흐름

프로세스 개요

1. OEAP/재택 근무자 AP에 대해 특별히 AP 프로파일을 구성합니다.
2. 이 프로필 내에서 CAPWAP 창 크기를 1보다 크게 설정합니다.
3. 이 AP 프로파일을 OEAP/재택 근무자 AP에 연결합니다.
4. AP 조인 프로세스 중에 구성된 창 크기가 적용됩니다.
5. 후속 CAPWAP 이미지 다운로드는 더 큰 윈도우 크기를 활용하므로 처리량이 향상됩니다.

컨피그레이션(CLI)

AP 프로필을 구성하고 CAPWAP 창 크기를 설정합니다.

configure terminal ap-profile capwap window size  <- Between 3 to 20 
end

AP 프로파일을 사이트 태그에 연결하고 AP에 적용합니다(효율적인 이미지 업그레이드의 2단계 및 3단계와 유사하므로 사이트 태그를 통해 올바른 ap 프로파일이 연결되었는지 확인합니다).

확인(CLI)

show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size) 

제한 사항/고려 사항

• 이 개선 사항은 OEAP 프로필에서만 지원됩니다.
• 창 크기는 AP 조인 프로세스 중에만 AP에서 업데이트됩니다.
• 최신 업그레이드 이미지가 AP에 이미 있는 경우 사전 다운로드가 트리거되지 않습니다.

FlexConnect 모드에서 효율적인 이미지 업그레이드

효율적인 이미지 업그레이드는 FlexConnect AP용으로 특별히 설계된 최적화된 방법으로, 특히 WAN 대역폭이 제한적인 지사 구축에 유용합니다. 이 방법은 사이트 태그 내에서 기본 AP를 지정하여 컨트롤러에서 이미지를 다운로드한 다음 동일한 사이트 태그의 다른 하위 AP가 TFTP를 통해 기본 AP에서 이미지를 다운로드할 수 있도록 하여 WAN 로드를 최소화합니다. 기본 AP는 사이트 태그당 모델당 하나의 AP입니다.

프로세스 개요

1. 새 AP 이미지가 WLC에 스테이징됩니다.
2. FlexConnect AP는 효율적인 이미지 업그레이드를 위해 구성된 사이트 태그에 할당됩니다.
3. WLC는 사이트 태그 내의 모델당 하나의 AP를 기본 AP로 선택합니다.
4. 기본 AP는 WAN 링크를 통해(대개 CAPWAP를 통해) WLC에서 이미지를 다운로드합니다.
5. 기본 AP에 이미지가 있으면 동일한 사이트 태그의 하위 AP가 로컬 네트워크를 통해 TFTP를 통해 기본 AP에서 이미지를 다운로드합니다.
6. 최대 3개의 하위 AP를 기본 AP에서 동시에 다운로드할 수 있습니다.
7. 다운로드 후 AP가 다시 로드되어 새 이미지를 실행합니다.

혜택

• 기본 AP만 WAN을 통해 이미지를 다운로드하도록 하여 WAN 대역폭 소비를 줄입니다.
• TFTP를 통한 더 빠른 로컬 네트워크 링크를 활용하여 하위 AP에 이미지 배포

컨피그레이션(CLI)

Enable Predownload in Flex Profile:
configure terminal 
wireless profile flex 
predownload <- Enables the Efficient Image Upgrade option.
end

Configure a Site Tag and Associate Flex Profile:
configure terminal 
wireless tag site 
flex-profile  <- Ensure 'no local-site' is configured if not already, for Flexconnect mode 
end

Attach Policy Tag and Site Tag to AP(s):
configure terminal 
ap  <- Use wired MAC address 
policy-tag 
site-tag 
rf-tag  
end

Trigger Predownload to a Site Tag:
enable 
ap image predownload site-tag  start 

확인(CLI)

show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name  image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console 

제한 사항/고려 사항

• 효율적인 로컬 TFTP 전송을 위해서는 사이트 태그를 통해 연결된 AP가 동일한 물리적 위치에 있어야 합니다.
• 리스너 서비스에 TCP 포트 8443을 사용합니다(클라이언트 디버그 번들 및 Clean Air 파일과 같은 다른 기능에도 사용됨). 이 포트는 기능이 비활성화된 경우에도 열린 상태로 유지됩니다.
• WLC가 설치 모드에 있어야 합니다.

OOB(Out of Band) HTTP 기반 AP 이미지 다운로드

OOB HTTPs 기반 AP 이미지 다운로드는 표준 CAPWAP 제어 경로 외부에서 이미지를 전송하여 AP 이미지 업그레이드 성능을 개선하기 위해 Cisco IOS® XE Dublin 17.11.1에 도입된 향상된 방법입니다.

OOB HTTPs 메서드는 이미지 전송을 위해 표준 TCP 및 HTTP를 활용합니다. CAPWAP 제어 채널의 중지 및 대기 메커니즘과 달리 TCP는 지연 시간이 긴 링크를 통한 효율적인 대량 데이터 전송을 허용하는 슬라이딩 윈도우 메커니즘을 기본적으로 사용합니다.

이 방법은 컨트롤러에서 실행 중인 웹 서버(nginx)를 사용하여 HTTP를 통해 AP에 직접 AP 이미지를 제공합니다. 이는 대용량 파일 전송에 대한 CAPWAP 제어 경로의 제한을 우회하므로, 잠재적으로 더 빠르고 더 유연한 다운로드 메커니즘을 제공합니다.

사용 사례

이 방법은 AP 이미지 업그레이드를 가속화하는 데 유용합니다. 특히 대규모 구축 또는 원격 사이트에서 CAPWAP 제어 터널의 지연 시간 및 대역폭 제한으로 인해 기존 인밴드 다운로드에 많은 시간이 소요될 수 있습니다.

프로세스 개요

1. 새 AP 이미지는 WLC에서 스테이징됩니다.
2. OOB HTTPs 업그레이드 방법은 컨트롤러에서 활성화되고 구성됩니다.
3. OOB 방식을 지원하는 경우 AP는 구성된 포트의 HTTP를 통해 컨트롤러의 nginx 웹 서버에서 필요한 이미지를 다운로드하려고 시도합니다.
4. HTTPs 다운로드가 성공하면 AP는 업그레이드 프로세스를 진행합니다.
5. HTTPs 다운로드가 실패하면 AP는 자동으로 표준 대역 내 CAPWAP 다운로드 방법으로 돌아갑니다.

패킷 캡처는 HTTPs 서버 역할을 하는 WLC와 HTTPs 클라이언트 역할을 하는 AP가 포트 8443 및 파일 다운로드를 통해 표준 TCP 연결을 시작하는 것을 보여줍니다.

HTTPS 기반 이미지 업그레이드 패킷 흐름

컨피그레이션(CLI)

Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end 

Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port 
end 

컨피그레이션(GUI)

1. Configuration(컨피그레이션) > Wireless(무선) > Wireless Global(무선 글로벌)로 이동합니다.
2. AP Image Upgrade(AP 이미지 업그레이드) 섹션에서 HTTPs Method(HTTP 메서드 활성화)를 선택합니다.
3. (선택 사항)HTTPs Port(HTTP 포트) 필드에 값을 입력합니다.
4. Apply to Device(디바이스에 적용)를 클릭합니다.

확인(CLI)

show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name  config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status 

제한 사항/고려 사항

• Cisco IOS® XE Dublin 17.11.1 이상이 필요합니다.
• Cisco Embedded Wireless Controller 또는 Cisco Wave 1 액세스 포인트에서는 지원되지 않습니다.
• 컨트롤러에서 전역 HTTPS 컨피그레이션을 활성화해야 합니다.
• nginx 서버는 컨트롤러에서 실행 중이어야 합니다.
• 구성된 포트는 컨트롤러와 AP 간에 연결할 수 있어야 합니다.
• HTTPS 서버 신뢰 지점에 CA 인증서 체인이 있는 경우 업그레이드가 실패할 수 있습니다.
• Cisco IOS® XE 17.11.1 이전 버전으로 다운그레이드하려면 먼저 비활성화해야 합니다(ap 업그레이드 방법 https 없음).
• 포트 443은 예약되어 있습니다. 다른 표준/잘 알려진 포트는 사용하지 마십시오.
• 기본 포트 8443 충돌: 컨트롤러 GUI HTTPS 액세스에서도 8443을 사용하는 경우 AP 파일 전송 또는 GUI 액세스를 위해 다른 포트를 구성합니다.

TFTP/SFTP를 통한 수동 개별 AP 업그레이드

이 방법에서는 콘솔 또는 SSH를 통해 AP CLI에 직접 액세스하고 TFTP 또는 SFTP 서버에서 이미지 다운로드를 시작합니다. 이는 특정 AP의 문제를 해결하거나, 컨트롤러에 현재 조인되어 있지 않은 AP를 업그레이드하거나, TAC에서 제공하는 디버그 이미지를 로드하는 데 유용합니다.

AP 이미지를 찾습니다.

이 프로세스에서는 실제로 AP 이미지를 AP에 직접 로드합니다. WLC 기반 업그레이드의 경우 WLC는 WLC 이미지 번들에서 AP에 적합한 이미지를 선택하는 과정을 처리합니다. 여기서는 수동 선택이 필요합니다.

AP 이미지 버전은 WLC 이미지 명명 규칙과 다른 명명 규칙을 사용합니다.

Cisco Catalyst 9800 Series Wireless Controller Software Releases(Cisco Catalyst 9800 Series Wireless Controller 소프트웨어 릴리스에서 지원되는 액세스 포인트) 링크로 이동

Cisco Catalyst 9800 Series Wireless Controller Software 릴리스에서 지원되는 액세스 포인트

무선 AP 호환성 매트릭스

첫 번째 열에는 9800 WLC의 CCO 이미지가 설명되어 있습니다. 세 번째 열에는 각 이미지 버전이 나열되고 네 번째 열에는 해당 버전에 대해 지원되는 액세스 포인트가 나열됩니다. 버전 17.17.1의 AP 9130에 AP 이미지를 설치해야 한다고 가정합니다. 표를 보면 AP 이미지 이름이 15.3으로 나와 있습니다.(3)JPV와 9130은 지원되는 모델로 나열되어 있습니다.

다음 단계는 software.cisco.com으로 이동하여 AP 다운로드 폴더에서 이미지를 가져오는 것입니다.

다운로드 홈 / 무선 / 액세스 포인트 Catalyst 9130AX Series 액세스 포인트 / Catalyst 9130AXI 액세스 포인트 / 경량 AP 소프트웨어- 17.17.1(ED) 

소프트웨어 다운로드 - Catalyst 9130AXI Access Point

AP 이미지 위치

경고: 다운로드 경로는 AP 모델 및 AP 이미지 버전에 따라 다릅니다.

프로세스 개요

1. 액세스 가능한 TFTP 또는 SFTP 서버에 대상 AP 이미지 파일을 준비합니다.
2. AP CLI(콘솔 또는 SSH)에 액세스합니다.
3. 서버 및 이미지 파일 경로를 지정하여 archive download-sw 명령을 실행합니다.
4. AP가 이미지를 다운로드합니다.
5. 다운로드가 완료되면 CAPWAP 프로세스를 다시 시작하거나 새 이미지를 적용하려면 AP를 다시 로드합니다.

컨피그레이션(AP CLI)

archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username:  Password:  <- Using SFTP:
reload <- Restart CAPWAP process after download: 

확인

• TFTP/SFTP 서버 로그를 모니터링하여 다운로드를 확인합니다.
• 다운로드 진행 및 완료에 대해서는 AP 콘솔을 확인합니다.
• 다시 시작/다시 로드 후 AP CLI 또는 WLC에서 새 이미지 버전을 확인합니다.

제한 사항/고려 사항

• 각 AP에 대한 직접 CLI 액세스가 필요합니다.
• 많은 수의 AP를 개별적으로 업그레이드할 경우 확장이 불가능합니다(스크립팅은 옵션).
• TFTP 성능은 레이턴시에 민감합니다. SFTP(TCP 사용)는 대기 시간이 긴 경로에서 더 나은 성능을 발휘하지만 대화형 인증(사용자 이름/비밀번호)이 필요합니다.
• The/no-reloadoption을 사용하면 다운로드 직후 AP가 다시 로드되지 않으므로 재시작/다시 로드 타이밍을 수동으로 제어할 수 있습니다.
• AireOS에서 9800으로 AP를 마이그레이션하는 경우, 9800에 가입하기 전에 먼저 AP를 수정 사항이 있는 특정 AireOS 버전(8.10.190.0 이상)으로 업그레이드하는 것이 좋습니다.

팁: WLAN 폴러는 여러 AP를 수동으로 업그레이드하기 위한 스크립트를 생성하는 데 사용할 수 있는 툴입니다. 이 위치에서 WLAN 폴러를 찾습니다. WLAN 폴러

어떤 방법을 사용할지

• 대기 시간이 긴 링크를 통한 OEAP 또는 재택 근무자 AP:
  CAPWAP Image Download Time Enhancement를 활성화합니다. 이는 CAPWAP 프레임워크 내에서 지연 문제를 직접 해결하는 슬라이딩 윈도우를 사용하여 이러한 구축 유형에 대한 CAPWAP 성능을 향상시키도록 특별히 설계되었습니다.
• WAN 대역폭이 제한된 지사에 있는 FlexConnect AP의 경우:
  FlexConnect 모드에서 효율적인 이미지 업그레이드 활용 이 방법은 TFTP를 통한 로컬 배포에 기본 AP를 사용하여 더 빠른 내부 네트워크 속도를 활용함으로써 WAN 부하를 크게 줄여주므로 적극 권장합니다.
• 지원되는 플랫폼(Cisco IOS® XE 17.11.1+)에서 로컬 모드 AP(또는 앞서 설명한 방법이 해당 또는 충분하지 않은 경우 FlexConnect/OEAP)의 경우:
  Out-of-Band HTTPs 기반 AP 이미지 다운로드를 고려하십시오. 이 방법은 대량 전송에 TCP/HTTP를 사용하는데, 이는 표준 CAPWAP보다 대기 시간이 긴 링크에서 더 효율적입니다. 또한 OOB 전송이 실패할 경우 표준 CAPWAP에 대한 대안을 제공합니다.
• 단일 AP 트러블슈팅을 위해 WLC에 연결되지 않은 AP를 업그레이드하거나 긴급 시나리오에서 다음을 수행합니다.
  TFTP/SFTP를 통해 수동 개별 AP 업그레이드를 수행합니다. 따라서 특정 디바이스의 업그레이드 프로세스를 직접 제어할 수 있지만, 자동화가 없는 대규모 구축에는 적합하지 않습니다. SFTP는 일반적으로 TCP의 사용으로 인해 대기 시간이 긴 경로보다 나은 성능을 위해 TFTP보다 선호됩니다.
• 표준 CAPWAP 업그레이드: 기본적이지만 지연 시간이 긴 WAN 링크를 통해 원격 AP를 업그레이드하는 기본 방법으로는 일반적으로 권장되지 않습니다. 이러한 기본 방법은 전송 속도가 느려지고 이전 릴리스에서 안정성 문제가 발생할 수 있기 때문입니다. 원격 사이트에 대해 가능한 한 항상 설명된 최적화된 방법을 사용하십시오.

AP 운영 모드, 네트워크 조건, WLC 소프트웨어 버전, 업그레이드 작업의 규모에 가장 부합하는 방법을 선택하여 원격 AP의 원활하고 효율적인 프로세스를 보장합니다.

결론

표준 CAPWAP 이미지 다운로드 방법은 로컬 네트워크에 적합하지만, WAN 링크를 통한 원격 AP 구축에서는 최적화된 업그레이드 기술을 통해 상당한 이점을 얻을 수 있습니다. 높은 레이턴시에 대한 표준 CAPWAP의 제한을 이해하면 올바른 접근 방식을 선택하는 데 도움이 됩니다. CAPWAP Image Download Time Enhancement는 OEAP/재택 근무자 AP의 성능을 개선하고, 효율적인 이미지 업그레이드를 통해 WAN 로드를 줄임으로써 FlexConnect 구축을 최적화하며, Out-of-Band HTTP는 지원되는 플랫폼에 대한 보다 빠른 대안을 제공합니다. 수동 TFTP/SFTP 방법은 문제 해결 및 특정 시나리오에 유용한 툴로 남아 있습니다.

참조

효율적인 이미지 업그레이드

OOB(Out of Band) AP 이미지 다운로드

AP 이미지 다운로드 시간 개선(OEAP 또는 재택 근무자만 해당)

Cisco Wireless Controller Platform Software 릴리스에서 지원되는 Cisco 액세스 포인트

WLAN 폴러

AireOS WLC에서 Catalyst 9800 with WLANPoller로 마이그레이션