Herstel van een opstartlus veroorzaakt door beeldbeschadiging op Wave 2- en 11ax-toegangspunten (CSCvx32806)

Inleiding

Sommige Cisco-toegangspunten (AP's) kunnen een beschadigd image downloaden via CAPWAP (Control and Provisioning of Wireless Access Points) van een controller uit de 9800-reeks.  Afhankelijk van de softwareversie van het toegangspunt kan het toegangspunt proberen het beschadigde image op te starten, wat resulteert in een opstartlus.  In dit artikel wordt uitgelegd hoe u toegangspunten kunt herstellen die vastzitten in een opstartlus. Als u meer wilt weten over welke producten en implementaties gevoelig zijn voor dit probleem en als u wilt leren hoe u veilig kunt upgraden zonder het probleem met de opstartlus tegen te komen, raadpleegt u het artikel Toegangspunten voor veilig upgraden, waardoor imagebeschadiging wordt voorkomen die de opstartlus veroorzaakt.

Dit probleem is gedocumenteerd als Field Notice: FN74109 - Corruptie van het imagebestand van het toegangspunt tijdens de CAPWAP-upgrade kan leiden tot een opstartfout....

Probleemomstandigheden

Niet getroffen producten

• Draadloze LAN-controllers (WLC's): het downloaden van toegangspunten van draadloze LAN-controllers van AireOS wordt niet beïnvloed
• Mobility Express, ingebouwde draadloze controller

• AP's - Aironet 1800/1540/1100AC-serie Wave 2 11ac AP's en Wave1 11ac-toegangspunten (1700/2700/3700/1570/IW3700) worden niet beïnvloed (zelfs als deze AP's zich registreren bij 9800 WLC's, worden ze niet beïnvloed)
• Wi-Fi 6E AP's geïntroduceerd sinds 2023: IW9167, IW9165, C9163

Betrokken producten

• WLC: downloads van draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks kunnen worden beïnvloed
  
• AP's: De volgende AP-modellen die zich registreren voor de draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks, worden beïnvloed:
  • Aironet Wave2 11ac-toegangspunten (2800/3800/4800/1560/IW6330/ESW6300)
  • Wi-Fi6-toegangspunten uit de 9100-reeks (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Catalyst 9100-serie Wi-FI6E-toegangspunten (9136/9162/9164/9166)

Getroffen versies: het Boot a Bad Image-syndroom

Dit probleem, waarbij het toegangspunt probeert een image op te starten waarvan het weet dat het corrupt is, wordt aangepakt door de volgende Cisco-bug-ID's: CSCvx32806 , CSCwc72021 , CSCwd90081 , die in de volgende versies zijn vastgesteld:

• 8.10.185.0 en hoger
• 17.3.7 en hoger
• 17.6.6 en hoger
• 17.9.3 en hoger
• 17.11.1 en hoger

Zodra het toegangspunt is geüpgraded naar software met de bovenstaande oplossingen, kan het nog steeds een beschadigd image downloaden; het zal echter niet proberen dat image op te starten, maar in plaats daarvan de download opnieuw proberen totdat het lukt.

Symptomen

AP-console:

Een toegangspunt dat het corrupte image al heeft gedownload en zich nu in een opstartlus bevindt, krijgt een consolebericht te zien dat vergelijkbaar is met het volgende:

Verifieer handtekening mislukt voor /bootpart/part1/ramfs_data_cisco.cpio.lzma

of

Verifieer handtekening mislukt voor /bootpart/part2/ramfs_data_cisco.squashfs

Noteer of het bericht "part1" of "part2" zegt - dit geeft aan welke opstartpartitie corrupt is.

Logboekregistratie voor syslog of show:

Als het toegangspunt is geconfigureerd om zich aan te melden bij een externe syslog-server, wordt de volgende fout geregistreerd voordat het image wordt gedownload:

Fout bij verificatie van handtekening van image: -3

Deze foutmelding kan ook worden weergegeven vanuit de AP CLI (console of SSH), in de "show logging" -uitvoer.  Als de logboekbuffer is overschreven sinds de poging om het image bij te werken, kan het foutbericht worden weergegeven in de syslog-bestanden die zijn opgeslagen in AP flash. Als u geen succes of mislukking berichten te zien gebruik vervolgens een van de herstelmethoden op het toegangspunt om het gewenste image opnieuw te installeren via TFTP of SFTP.

Cisco-switchport:

De toegangspunten in een opstartlusstatus tonen de IEEE PD zoals hieronder wordt weergegeven in de uitvoer van de uplinkswitchport van het toegangspunt.  (AP's die correct werken, tonen hun model in de kolom Apparaat als ze CDP of LLDP gebruiken):

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

Hoe AP's te herstellen die zich in een opstartlus bevinden

Bepaal of de toegangspunten de Alt-boot Enhancement hebben

Als een toegangspunt een beschadigd image heeft gedownload en probeert het op te starten, vertoont het een van de twee gedragingen, afhankelijk van de vraag of de u-boot (AP bootloader) de Alt-boot (Alternate boot)-verbetering heeft

• Zonder Alt-boot: het toegangspunt zal voor onbepaalde tijd proberen het corrupte image op te starten en moet via de consolepoort worden hersteld
• Met Alt-boot: het toegangspunt probeert het beschadigde image vijf keer op te starten en start het image vervolgens op vanaf de back-uppartitie.  In dit geval kan het toegangspunt worden hersteld zonder consoletoegang, met behulp van een van de hieronder beschreven Alt-boot-herstelmethoden.

De Alt-boot u-boot enhancement is gebundeld in de volgende software releases:

• 9117/9130/9124: 8 10 190,0, 17 3,8+, 17 6,6+, 17 9,1+
• 9136: 17,9,1+
• 916x: alle units hebben de Alt-boot-verbetering
• 9105/9115/9120/2800/3800/4800/1560/6300: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.4

Merk op dat als een toegangspunt een image heeft gedownload dat de Alt-boot-verbetering heeft, de u-boot wordt bijgewerkt, zelfs als het runtime-image beschadigd is.  Denk bijvoorbeeld aan dit scenario:

• op een 9130-toegangspunt is 17.3.4c geïnstalleerd (zonder de Alt-boot-verbetering).
• Het downloadt vervolgens een 17.9.5-afbeelding, maar die afbeelding is beschadigd tijdens het downloaden. 
• Omdat 17.3.4c niet de oplossing heeft voor het Boot a Bad Image Syndrome, gaat het toegangspunt verder en probeert het corrupte image op te starten. 
• Als u de nieuwe afbeeldingspartitie opstart, zal het toegangspunt een upgrade uitvoeren naar de 17.9.5 u-boot voordat het probeert het slechte runtime-image op te starten.
• Het toegangspunt zal dan vijf keer proberen het corrupte 17.9.5-runtime-image op te starten.
• Omdat het toegangspunt nu de 17.9.5 u-boot uitvoert, zal de Alt-boot-logica het toegangspunt de switch geven om het runtime-image op te starten in de back-uppartitie.
• Het toegangspunt kan nu worden hersteld zonder consoletoegang.

AP's herstellen die zich in een opstartlus bevinden - met Alt-boot Enhancement

Als uw toegangspunten zich in een opstartlus bevinden en als hun U-boot de Alt-boot Enhancement heeft, gebruikt u een van de volgende procedures om ze te herstellen:

Als SSH is ingeschakeld op de toegangspunten

1. Plaats de gewenste AP-image(s) op een TFTP- of SFTP-server die toegankelijk is voor de betreffende AP's.  Zie Tabel 4 in de Compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die is toegewezen aan de gewenste Cisco IOS® XE-versie en download vervolgens de juiste Lightweight AP Software-image(s) voor de betreffende AP-modellen van software.cisco.com.
   
   1. Het 17.9.5 AP-beeld voor een CW9162 is bijvoorbeeld ap1g6b-k9w8-tar.153-3.JPN4.tar.
2. Voorkom dat de betreffende toegangspunten zich aansluiten bij een controller waarop dezelfde softwareversie wordt uitgevoerd als op hun corrupte partitie.  Voeg dus een CAPWAP-ACL toe aan de AP-switchpoort om te voorkomen dat het AP zich opnieuw bij de controller aansluit. Een ACL zoals hieronder kan bijvoorbeeld worden toegepast op de standaardgatewayinterface van het subnet van het toegangspunt:
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. Laat het toegangspunt vijf keer opnieuw opstarten met het beschadigde image, waarna het moet switches naar het werkende image in de back-uppartitie.
   1. U kunt de opdracht cdp-buur <interface> weergeven op de switch van het toegangspunt gebruiken om te zien welke versie van de code zich in de back-uppartitie van het toegangspunt bevindt.  (Als het toegangspunt het beschadigde image opstart, verschijnt CDP niet op de poort.)
4. Zodra de AP komt met de werkende back-up image zal het proberen om de controller te sluiten, maar zal niet in staat zijn om vanwege de ACL toegevoegd in de stap 2.
5. SSH in elk betrokken toegangspunt (als een groot aantal toegangspunten wordt beïnvloed, kan deze stap worden geautomatiseerd via WLAN Poller.)
6. Download nu het gewenste image naar de back-uppartitie van het toegangspunt met de opdracht archiefdownload:
   Archive Download-SW /No-Reload tftp://<IP-Address>/<APIMAGE>
   of
   Archive Download-SW /No-Reload sftp://<IP-Address>/<APIMAGE>
   Hierdoor wordt de beschadigde afbeelding overschreven met de geldige afbeelding.  Als het downloaden van het image is voltooid, geeft u het volgende op:
   Test Capwap herstart
   Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde image herkent.
   
7. Verwijder nu de ACL en laat het toegangspunt lid worden van de controller. Het zal de afbeelding niet opnieuw downloaden.

Als SSH niet is ingeschakeld op de toegangspunten, maar de toegangspunten de optie Alt-boot Enhancement hebben

1. Zorg ervoor dat de toegangspunten niet proberen deel te nemen aan een controller waarop dezelfde softwareversie wordt uitgevoerd als in hun corrupte partitie.  Voeg dus een CAPWAP-ACL toe aan de AP-switchpoort om te voorkomen dat het AP zich opnieuw bij de controller aansluit.
2. Stel een controller in met een andere softwareversie dan de corrupte versie van het toegangspunt.
   
   1. U kunt de opdracht cdp-buur <interface> weergeven op de switch van het toegangspunt gebruiken om te zien welke versie van de code zich in de back-uppartitie van het toegangspunt bevindt.  (Terwijl het toegangspunt het corrupte image opstart, verschijnt CDP niet op de poort.)
   2. Als het niet haalbaar is om een controller te organiseren die de back-upversie van het toegangspunt uitvoert, moet u (als 9800) op zijn minst een versie met oplossingen voor het Boot a Bad Image Syndrome en met Alt-boot organiseren.
   3. Een andere optie zou zijn om een AireOS-controller met 8.10.190.0 of hoger te hebben, omdat CAPWAP-downloads van AireOS niet vatbaar zijn voor beeldbeschadiging.
3. Stel de instellingen zo in dat de toegangspunten de alternatieve controller kunnen vinden, bijvoorbeeld via DHCP Option 43, een IP-helperadres of DNS.
   1. Houd er rekening mee dat, als de alternatieve controller een Cisco IOS XE-versie uitvoert die verschilt van de back-up van het toegangspunt, het toegangspunt gevoelig zal zijn voor het downloaden van een beschadigd image, dus herhaal dit proces voor dergelijke toegangspunten die mogelijk nieuw zijn beschadigd.
4. Zodra de toegangspunten zich bij de alternatieve controller hebben aangesloten, downloadt u de gewenste afbeelding naar de toegangspunten:
   1. Plaats de gewenste AP-image(s) op een TFTP- of SFTP-server die toegankelijk is voor de betreffende AP's.  Zie Tabel 4 in de Compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die is toegewezen aan de gewenste Cisco IOS XE-versie en download vervolgens de juiste Lightweight AP Software-image(s) voor de betreffende AP-modellen van software.cisco.com.
      
      1. Het 17.9.5 AP-beeld voor een CW9162 is bijvoorbeeld ap1g6b-k9w8-tar.153-3.JPN4.tar.
   2. Schakel ssh in op de betreffende toegangspunten en ssh in elk betreffende toegangspunt (als een groot aantal toegangspunten wordt beïnvloed, kan deze stap worden geautomatiseerd via WLAN Poller.)
      1. Download nu het gewenste image naar de back-uppartitie van het toegangspunt met de opdracht archiefdownload:
         Archive Download-SW /No-Reload tftp://<IP-Address>/<APIMAGE>
         of
         Archive Download-SW /No-Reload sftp://<IP-Address>/<APIMAGE>
         Hierdoor wordt de beschadigde afbeelding overschreven met de geldige afbeelding. 
      2. Als het downloaden van het image is voltooid, geeft u het volgende op:
         Test Capwap herstart
         Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde image herkent.
   3. Als alternatief voor het uitvoeren van archiefdownload-sw op de toegangspunten, kunt u de volgende controlleropdrachten gebruiken om de toegangspunten de gewenste afbeelding van een TFTP-server te laten downloaden:
      1. In Cisco IOS XE: ap naam APNAME tftp-downgrade ip.addr.of.server imagename.tar
      2. In AireOS: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
         
      3. Controleer de logbestanden van de TFTP-server om te controleren of elk toegangspunt het image met succes heeft gedownload.  Zodra de download is voltooid, wordt elk toegangspunt opnieuw geladen en wordt het nieuw gedownloade image uitgevoerd.
         
5. Verwijder de ACL die in stap 1 is geïnstalleerd en laat de toegangspunten zich aansluiten bij de gewenste controller.

Herstel via console

Als het toegangspunt zich in een opstartlus bevindt en als het toegangspunt niet beschikt over de Alt-boot-verbetering, moet het toegangspunt via de console worden hersteld.

Voor alle AP-modellen: bepalen welke opstartpartitie beschadigd is

Eerst moet u controleren welke opstartpartitie corrupt is.

1. Verbinding maken met de AP-console.
   
2. Bekijk de poging van het toegangspunt om op te starten totdat u het bericht ziet
   Verifieer handtekening mislukt voor /bootpart/part1/ramfs_data_cisco.cpio.lzma
   of
   Verifieer handtekening mislukt voor /bootpart/part2/ramfs_data_cisco.cpio.lzma
   (Het bericht kan "ramfs_data_cisco.squashfs" zeggen in plaats van "ramfs_data_cisco.cpio.lzma"
   
3. Noteer welke partitie, deel 1 of deel 2, corrupt is

Voor AP-modellen 9117, 9124, 9130, 9136

1. Wanneer het is aangesloten op de console, schakelt u het toegangspunt uit.
   

2. Tijdens het opstarten, wanneer u de toets Hit ESC ziet om het automatisch opstarten te stoppen, druk op de Escape-toets
   

3. Je zou een van deze aanwijzingen moeten zien:

   (BTLDR) #
   of
   (u-boot)>

4. Voer deze opdrachten uit
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

Voor AP-modellen 2802, 3802, 4800, 9105, 9115, 9120

1. Wanneer het is aangesloten op de console, schakelt u het toegangspunt uit.
   

2. Wanneer u tijdens het opstarten de toets Hit ESC ziet om het automatisch opstarten te stoppen, drukt u op de toets Escape

3. Dit brengt u naar (u-boot)> prompt.

4. Voer deze opdrachten uit

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

Veelgestelde vragen

Q1) Mijn toegangspunten zijn allemaal verbonden met hun 9800 via een snelle, low-latency, low-loss LAN-verbinding.  Moet ik bovenstaande nog uitvoeren?

Dit probleem is alleen gemeld bij het upgraden van toegangspunten via een WAN-verbinding.

Q2) Ik heb nieuwe out-of-box-toegangspunten. Hoe kan ik ze inzetten zonder dit probleem tegen te komen?

Nieuwe out-of-box AP's die code downloaden via een lossy WAN-link, zullen ook gevoelig zijn voor het probleem, als ze vóór december 2023 zijn vervaardigd. Het wordt aanbevolen om deze AP's eerst te organiseren met een lokale WLC.

Q3) Ik heb meer vragen over dit onderwerp.  Aan wie kan ik ze richten?

A: Stuur een e-mail naar fn74109-questions@cisco.com.