Upgrade toegangspunten veilig en voorkom beschadiging van het image die een opstartlus veroorzaakt

Inleiding

Sommige Cisco-toegangspunten (AP's) kunnen via CAPWAP een beschadigd image downloaden van een controller uit de 9800-reeks.  Afhankelijk van de softwareversie van het toegangspunt kan het toegangspunt proberen het beschadigde image op te starten, wat resulteert in een opstartlus.  In dit artikel wordt uitgelegd welke AP-modellen en netwerkpaden gevoelig zijn voor imagebeschadiging en hoe u veilig kunt upgraden.

Als uw toegangspunten zich nu in een opstartlus bevinden vanwege dit probleem, raadpleegt u het artikel Herstellen van een opstartlus veroorzaakt door imagebeschadiging op Wave 2- en 11ax-toegangspunten (CSCvx32806 ) richtsnoeren voor herstelstappen.

Dit probleem is gedocumenteerd als Field Notice: FN74109 - Corruptie van het imagebestand van het toegangspunt tijdens de CAPWAP-upgrade kan leiden tot een opstartfout - Aanbevolen software-upgrade.

Hoe te vertellen of een upgrade gevoelig is voor beeldbeschadiging

Uw toegangspunten kunnen vatbaar zijn voor het downloaden van beschadigde software en vervolgens proberen die software op te starten als de volgende voorwaarden betrekking hebben op uw implementatie:

Niet getroffen producten

• Draadloze LAN-controllers (WLC's): het downloaden van toegangspunten van draadloze LAN-controllers van AireOS wordt niet beïnvloed
• Mobility Express, ingebouwde draadloze controller

• AP's - Aironet 1800/1540/1100AC-serie Wave 2 11ac AP's en Wave1 11ac-toegangspunten (1700/2700/3700/1570/IW3700) worden niet beïnvloed (zelfs als deze AP's zich registreren bij 9800 WLC's, worden ze niet beïnvloed)
• Wi-Fi 6E AP's geïntroduceerd sinds 2023: IW9167, IW9165, C9163

Betrokken producten

• WLC: downloads van draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks kunnen worden beïnvloed
  
• AP's: De volgende AP-modellen die zich registreren voor de draadloze LAN-controllers uit de Cisco Catalyst 9800-reeks, worden beïnvloed:
  • Aironet Wave2 11ac-toegangspunten (2800/3800/4800/1560/IW6330/ESW6300)
  • Wi-Fi6-toegangspunten uit de 9100-reeks (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Catalyst 9100-serie Wi-FI6E-toegangspunten (9136/9162/9164/9166)

Getroffen versies: het Boot a Bad Image-syndroom

Dit probleem, waarbij het toegangspunt probeert een image op te starten waarvan het weet dat het corrupt is, wordt aangepakt door de volgende Cisco-bug-ID's: CSCvx32806, CSCwc72021, CSCwd90081, die in de volgende versies zijn vastgesteld:

• 8.10.185.0 en hoger
• 17.3.7 en hoger
• 17.6.6 en hoger
• 17.9.3 en hoger
• 17.11.1 en hoger

Zodra het toegangspunt is geüpgraded naar software met de bovenstaande oplossingen, kan het nog steeds een beschadigd image downloaden; het zal echter niet proberen dat image op te starten, maar in plaats daarvan de download opnieuw proberen totdat het lukt.

Betrokken netwerkpaden

Het probleem met de beschadiging van het AP-beeld is niet gezien bij een LAN-pad tussen de 9800 en de AP's - d.w.z. paden met een volledige 1500 byte IP MTU, met lage latentie en zeer laag pakketverlies worden niet beïnvloed.  Het probleem treedt vaker op via CAPWAP-tunnels via een WAN, met de volgende padkenmerken:

• hoog pakketverlies
• lage CAPWAP MTU (minder dan 1485 bytes) - hoe lager de MTU, hoe hoger het risico
  
  • Een lage CAPWAP MTU kan een symptoom zijn van pakketverlies
    

Hoe u kunt zien of uw netwerkpad in gevaar is

• Controleer op de 9800 het CAPWAP-pad met MTU
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • Als de MTU van een bepaald AP fluctueert, is dat een sterke indicator van risico
• Of ap config general weergeven | inclusief CAPWAP\ Path\ MTU (in show tech-support wireless)
  
  • Gebruik Wireless Config Analyzer Express (WCAE) op de "show tech-support wireless"-uitvoer van de 9800 om de MTU van de toegangspunten te bekijken onder Access Points > Configuration
    
• Gebruik op de 9800 "uptime weergeven" en zoek naar toegangspunten met een lange "AP Up Time" en een korte "Association Up Time"
  • Als er geen reden is voor de toegangspunten om een korte Association Up Time te hebben (d.w.z. geen herconfiguratie), kan dit wijzen op een netwerkpad dat risico loopt

Hoe veilig te upgraden van een niet-vaste AP-softwareversie

Opmerking: als uw implementatie gevoelig is voor imagebeschadiging (d.w.z. getroffen AP-modellen, software uitvoeren zonder de oplossing voor het Boot a Bad Image Syndrome, met risicovolle WAN-kenmerken), upgrade dan niet door de 9800-software eenvoudig te upgraden en de AP's opnieuw te laten deelnemen en de nieuwe software te downloaden - ze kunnen onderhevig zijn aan imagebeschadiging en een opstartlus invoeren.  Gebruik in plaats daarvan een van deze methoden:

Upgrade met een lokale WLC naar de toegangspunten

Plaats indien mogelijk een staging-controller op het LAN van de toegangspunten - dit kan een 9800-CL zijn, of (voor Wave 2 / Wi-Fi 6-toegangspunten) een toegangspunt in EWC-modus en upgrade de toegangspunten naar de doelversie.  Zij kunnen dan veilig aansluiten bij de productiecontroller.

Upgrade via een AirOS-controller

Als u een AireOS-controller hebt met 8.10.190.0 of hoger en als uw AP-modellen worden ondersteund door AireOS, voegt u de AP's toe aan die controller.  Dit zal de toegangspunten veilig upgraden naar vaste software, en ze zullen dan veilig kunnen deelnemen aan de productiecontroller.

Upgrade met archiefdownload-sw

Plaats de doel-AP-images op een TFTP-/SFTP-server die toegankelijk is voor de AP's die de upgrade uitvoeren.  Het probleem van imagebeschadiging is niet van toepassing op AP-imageupgrades via TFTP of SFTP.  AP's kunnen een aanvraag voor het downloaden van images starten vanaf de AP CLI of (als de AP's zijn gekoppeld aan de controller) vanaf de controller CLI.

1. Een TFTP- of SFTP-server instellen op een locatie die toegankelijk is voor de toegangspunten.  Houd er rekening mee dat de TFTP-prestaties worden bepaald door latentie, zodat het downloaden traag verloopt als de TFTP-server zich op afstand van de toegangspunten bevindt.  Aangezien SFTP TCP gebruikt, zal de doorvoer veel beter zijn als een pad met hoge latentie wordt gebruikt.  SFTP kan echter niet worden geactiveerd vanuit de WLC, omdat hiervoor een interactief dialoogvenster nodig is om de gebruikersnaam en het wachtwoord in te voeren.
2. Plaats de gewenste AP-image(s) op een TFTP- of SFTP-server.  Zie tabel 4 in de compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die wordt toegewezen aan de gewenste IOS-XE-versie en download vervolgens de juiste Lightweight AP Software-images voor de betreffende AP-modellen van software.cisco.com.
   
   1. Het 17.9.5 AP-beeld voor een CW9162 is bijvoorbeeld ap1g6b-k9w8-tar.153-3.JPN4.tar.
3. Upgraden via AP CLI: als de CLI van de AP toegankelijk is via console of SSH:
   1. Voer de opdracht TFTP of SFTP in:
      Archive Download-SW /No-Reload tftp://<IP-Address>/<APIMAGE>
      of
      Archive Download-SW /No-Reload sftp://<IP-Address>/<APIMAGE>
      Gebruikersnaam:GEBRUIKER
      Wachtwoord:XXX
      Hierdoor wordt de beschadigde afbeelding overschreven met de geldige afbeelding.
   2. Als het downloaden van het image is voltooid, geeft u het volgende op:
      Test Capwap herstart
      Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde image herkent.
   3. Als u een groot aantal toegangspunten wilt upgraden via "archiefdownload-sw" in plaats van de opdracht in elk toegangspunt afzonderlijk in te voeren, kunt u een scriptmethode gebruiken.  Zie AP's upgraden via WLAN Poller hieronder.
      
4. Als de toegangspunten zijn gekoppeld aan een controller, kunt u de toegangspunten upgraden van controller-CLI (alleen TFTP):
   1. In IOS-XE: ap naam APNAME tftp-downgrade ip.addr.of.server imagename.tar
   2. In AireOS: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
      
      1. Hoewel CAPWAP-downloads van AireOS niet gevoelig zijn voor imagebeschadiging, moet u, als u van plan bent uw toegangspunten van AireOS naar 9800 te migreren, eerst een AP-afbeelding downloaden met de oplossingen voor Alt-boot en het Boot a Bad Image-syndroom (8.10.190.0 of hoger), voordat u zich bij de toegangspunten aansluit bij de 9800.
         
   3. Controleer de logbestanden van de TFTP- of SFTP-server om te controleren of elk toegangspunt het image met succes heeft gedownload.  Zodra de download is voltooid, wordt elk toegangspunt opnieuw geladen en wordt het nieuw gedownloade image uitgevoerd.

Upgrade de toegangspunten via predownload, controleren op fouten

Laad de doelafbeelding op de 9800 en gebruik AP predownload om de nieuwe afbeelding op het toegangspunt te plaatsen, terwijl wordt gecontroleerd op gevallen van beschadiging van het AP-beeld.

Stap 1. Controleer of SSH is ingeschakeld onder het/de profiel(en) voor deelname aan toegangspunten op de C9800 WLC. Stel een syslog-server in het netwerk in. Configureer het IP-adres van de syslog-server onder AP Join Profile voor alle sites en stel de logtrapwaarde in op Debug. Controleer of de syslog-server syslogs van AP ontvangt.

Stap 2. Download de installatiekopie naar de C9800 WLC om u voor te bereiden op predownload via CLI:

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

Stap 3. Voer de vooraf gedownloade AP-image uit op de Cisco C9800 WLC's:

C9800# ap image predownload

Opmerking: afhankelijk van de schaal en het type implementatie kan dit enkele minuten tot enkele uren duren.  Start de controller of toegangspunten niet opnieuw op totdat u hebt gevalideerd dat hun afbeeldingen geldig zijn!

Stap 4. Als de predownload voor alle toegangspunten is voltooid, controleert u op een van deze twee logboekberichten op de syslog-server:

• Ondertekening van image om succes te verifiëren.

• Fout bij verificatie van handtekening van image: -3

Controleer ook de uitvoer van de opdracht ap image summary tonen, controleren op eventuele instanties van Failed to Download.  Als de teller niet nul is, zoekt u de mislukte toegangspunten via afbeelding tonen | opnemen mislukt.

Waarschuwing: als een APs-logbestand ter verificatie van de handtekening van het image mislukt is, of als een APs-logbestand niet kan worden gedownload, GA NIET VERDER MET HET UPGRADEPROCES. Als alle toegangspunten worden weergegeven het bericht"Image signing verify success", dan alle AP's hebben het image correct gedownload en u kunt veilig doorgaan met de 9800-upgrade.

Stap 5. Als een toegangspunt een verificatiefout heeft vertoond of niet heeft gedownload, hebt u, om een opstartlus te voorkomen, het volgende nodig om het image in de back-uppartitie van het toegangspunt te overschrijven met een archiefdownload van een afzonderlijke AP-image door het volgende proces te gebruiken. 

Als het aantal mislukte toegangspunten klein is, kunt u eenvoudig SSH naar elk toegangspunt sturen en de volgende stappen starten.

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart

Opmerking: "test capwap restart" is nodig zodat het CAPWAP-proces van het toegangspunt herkent dat het image in de back-uppartitie is bijgewerkt.  Dit zal een korte onderbreking van de service veroorzaken, omdat de CAPWAP-verbinding met de 9800 opnieuw wordt opgestart.  Als dit een operationeel probleem is, kan deze stap worden uitgesteld tot een onderhoudsvenster.

AP's upgraden met behulp van WLAN Poller

Als het aantal toegangspunten dat moet worden geüpgraded via archiefdownload-sw groot is, kunt u een geautomatiseerd proces gebruiken met behulp van de WLAN-poller.

Stap 1a. Installeer de WLAN Poller op een Mac of Windows-machine.

Stap 1b. Vul het csv-bestand van de aplist in met de relevante mislukte toegangspunten.

Stap 1c. Vul het cmdlist-bestand in met de onderstaande opdrachten (U kunt altijd meer toevoegen naar eigen goeddunken):

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

Stap 1d. Maak gebruik van de WLAN Poller.

Stap 1e. Controleer het logbestand van elk toegangspunt om na te gaan of het is voltooid.

Stap 2. Activeer onmiddellijk de afbeelding op de C9800 WLC en herlaad.

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

Stap 3. Beeld vastleggen op de C9800 WLC. Als u deze stap overslaat, wordt WLC teruggedraaid naar de vorige software-image

C9800#install commit

Veelgestelde vragen

V. Ik heb een paar dagen geleden een predownload uitgevoerd, maar ik heb mijn Cisco C9800 WLC en AP's nog niet opnieuw opgestart. Ik heb geen syslogs om te controleren of de afbeelding beschadigd is. Hoe kan ik controleren of het beeld beschadigd is?

A. Controleer logboekregistratie weergeven op de toegangspunten/syslog. Als u geen succes of mislukking berichten in de show logging output te zien, kunt u de "show flash syslogs" commando gebruiken om de syslog uitvoer bestand van toen u de predownload uitgevoerd.  Als u het bericht "Ondertekening van image om succes te verifiëren" ziet, weet u dat dit toegangspunt het image met succes heeft gedownload.

V: Ik heb een gecentraliseerde implementatie met toegangspunten in de lokale modus. Moet ik nog steeds de stappen uitvoeren die in de sectie Workaround/Oplossingen worden vermeld?

A: Dit probleem is alleen gemeld bij het upgraden van toegangspunten via een WAN-verbinding. Het is zeer onwaarschijnlijk dat toegangspunten in de lokale modus en via lokale netwerken met dit probleem te maken krijgen, dus het is niet nodig om deze procedure voor upgrades te volgen als u er zeker van bent dat er zeer weinig pakketverlies is tussen de controller en de toegangspunten.

V: Ik heb nieuwe out-of-box-toegangspunten. Hoe kan ik ze inzetten zonder dit probleem tegen te komen? 

A: Nieuwe, out-of-box AP's die code downloaden via WAN, zijn ook gevoelig voor dit probleem, tenzij ze na december 2023 zijn vervaardigd.

Vraag: Wat doet Cisco op de lange termijn om dit probleem aan te pakken met CAPWAP-imagedownloads van de 9800 die beschadigd raken?

A: Zodra het toegangspunt al 10 .11 of hoger draait, kan het de Out-of-Band Image Download-functie gebruiken om het beeld van de controller te halen met behulp van HTTPS. TCP verzendt gegevens betrouwbaar, met behulp van een schuifvenster - dus het is ook een stuk sneller over een WAN, dan CAPWAP (of TFTP)

V. Ik heb toegangspunten die zich nu in een opstartlus bevinden.  Hoe kan ik ze herstellen?

A: Zie het artikel Herstellen van een opstartlus veroorzaakt door beeldbeschadiging op Wave 2- en 11ax-toegangspunten (CSCvx32806 ).

Q. Ik heb nog meer vragen over dit onderwerp.  Aan wie kan ik ze richten?

A: Stuur een e-mail naar fn74109-questions@cisco.com.