Veilig upgraden van access points, om beeldcorruptie te voorkomen die opstartlus veroorzaakt

Inleiding

Sommige Cisco access points (AP's) kunnen een beschadigd beeld downloaden via CAPWAP van een controller uit de 9800-serie.  Afhankelijk van de softwareversie van het toegangspunt, kan het toegangspunt proberen om het beschadigde image op te starten, wat resulteert in een opstartlus.  In dit artikel wordt uitgelegd welke AP-modellen en welke netwerkpaden gevoelig zijn voor afbeeldingsbeschadiging en hoe u veilig kunt upgraden.

Als uw AP's nu in een boot loop als gevolg van dit probleem, zie het artikel Recover van een boot loop veroorzaakt door image corruptie op Wave 2 en 11ax access points (CSCvx32806 ) voor richtlijnen over herstel stappen.

Hoe te om te vertellen of een upgrade vatbaar is voor beeldcorruptie

Uw APs kan vatbaar zijn voor het downloaden van corrupte software, en dan proberen om die software te initialiseren, als de volgende voorwaarden betrekking hebben op uw plaatsing:

Niet getroffen producten

• Draadloze LAN-controllers (WLC’s): het downloaden van AP’s van AireOS draadloze LAN-controllers wordt niet beïnvloed
• Mobility Express, ingesloten draadloze controller

• AP's - Aironet 1800/1540/1100AC Series Wave 2 11ac AP's en Wave1 11ac access points (1700/2700/3700/1570/IW3700) worden niet beïnvloed (zelfs als deze AP's zich registreren bij 9800 WLC's, worden ze niet beïnvloed)
• Wi-Fi 6E AP's geïntroduceerd sinds 2023: IW9167, IW9165, C9163

Betrokken producten

• WLC: De mogelijkheid dat de AP's worden gedownload van Cisco Catalyst 9800 Series draadloze LAN-controllers
  
• APs: De volgende AP-modellen die zich registreren voor Cisco Catalyst 9800 Series draadloze LAN-controllers worden beïnvloed:
  • Aironet Wave2 11ac access points (2800/3800/4800/1560/IW6330/ESW6300)
  • Catalyst 9100 Series Wi-Fi6 access points (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP101AX)
  • Catalyst 9100 Series Wi-Fi6E access points (9136/9162/9164/9166)

Gerelateerde versies: the Boot a Bad Image Syndrome

Dit probleem, waar AP probeert om een beeld te initialiseren waarvan het weet dat het corrupt is, wordt aangepakt door de volgende insecten-ID's van Cisco: CSCvx32806, CSCwc72021, CSCwd90081, die in de volgende releases worden bevestigd:

• 8.10.185.0 en hoger
• 17.3.7 en hoger
• 17.6.6 en hoger
• 17.9.3 en hoger
• 17.11.1 en hoger

Zodra het toegangspunt is opgewaardeerd naar software met de bovenstaande oplossingen, kan het nog steeds een beschadigde afbeelding downloaden; het zal echter niet proberen om dat beeld op te starten, maar zal in plaats daarvan de download opnieuw proberen tot het slaagt.

Betrokken netwerkpaden

Het probleem van de AP-afbeelding corruptie is niet gezien bij een LAN-pad tussen de 9800 en de AP's - d.w.z. paden met een volledige 1500 bytes IP MTU, met lage latentie en zeer laag pakketverlies worden niet beïnvloed.  Het probleem zal waarschijnlijk via CAPWAP-tunnels via een WAN optreden, met de volgende padkenmerken:

• hoog pakketverlies
• lage CAPWAP MTU (minder dan 1485 bytes) - hoe lager de MTU, hoe hoger het risico
  
  • lage CAPWAP MTU kan een symptoom van pakketverlies zijn
    

Hoe te om te vertellen of uw netwerkweg in gevaar is

• Controleer op de 9800 CAPWAP Path MTU met
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • Als de MTU van een bepaalde AP fluctueert, is dat een sterke indicator van risico
• Of toon ap configuratie algemeen | CAPWAP\ Path\ MTU opnemen (in show tech-support wireless)
  
  • Gebruik Wireless Config Analyzer Express (WCAE) op de 9800-uitvoer "Toon technologie-ondersteuning draadloos" om de MTU van de AP's te zien onder Access points > Configuration
    
• Op de 9800, gebruik "toon ap uptime" en zoek naar AP's met een lange "AP Up Time" en een korte "Association Up Time"
  • Als er geen reden is voor de AP’s om een korte Association Up Time te hebben (d.w.z. geen herconfiguratie), dan kan dit wijzen op een netwerkpad dat een risico inhoudt

Hoe u veilig kunt upgraden vanaf een niet-vaste AP-softwareversie

Opmerking: Als uw implementatie gevoelig is voor imagebeschadiging (d.w.z. getroffen AP-modellen, het uitvoeren van software zonder de oplossing voor de Boot a Bad Image Syndrome, met risicovolle WAN-kenmerken), dan niet upgraden door simpelweg de 9800-software te upgraden, en de AP's opnieuw te verenigen en de nieuwe software te downloaden - ze kunnen onderhevig zijn aan imagebeschadiging en het invoeren van een bootlus.  Gebruik in plaats daarvan een van de volgende methoden:

Upgrade met een lokale WLC naar de AP’s

Plaats, indien mogelijk, een staging controller op het LAN van de AP's - dit kan een 9800-CL, of (voor Wave 2 / Wi-Fi 6 AP's) een AP in EWC-modus zijn, en upgrade de AP's naar de doelversie.  Ze kunnen zich dan veilig aansluiten bij de productiecontroller.

Upgrade via een AireOS-controller

Als u een AireOS-controller hebt met 8.10.190.0 of hoger, en als uw AP-modellen worden ondersteund door AireOS, sluit u zich dan aan bij de AP's van die controller.  Hierdoor worden de AP's veilig geüpgraded naar vaste software en kunnen ze zich veilig aansluiten bij de productiecontroller.

Upgradeproces met behulp van archiefdownload-sw

De doel-AP-afbeelding(en) op een TFTP- / SFTP-server die toegankelijk is voor de upgrading van AP's.  Upgrades van AP-afbeeldingen via TFTP of SFTP zijn niet onderhevig aan het probleem van de afbeeldingscorruptie.  AP's kunnen een aanvraag voor het downloaden van afbeeldingen initiëren via de AP CLI of (als de AP's worden aangesloten bij de controller) via de controller CLI.

1. Stel een TFTP- of SFTP-server in op een locatie die toegankelijk is voor de AP’s.  Let op dat TFTP prestaties worden gegenereerd door latency, zodat downloads traag zullen zijn als de TFTP server ver van de AP's is.  Aangezien SFTP TCP gebruikt, is de doorvoersnelheid veel beter als u een pad met hoge latentie gebruikt.  SFTP kan echter niet worden geactiveerd vanaf de WLC, aangezien er een interactief dialoogvenster nodig is om de gebruikersnaam en het wachtwoord in te voeren.
2. Taps de gewenste AP-afbeelding(en) op een TFTP- of SFTP-server.  Zie Tabel 4 in de Compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die overeenkomt met de gewenste IOS-XE-versie, en download vervolgens de juiste Lichtgewicht AP-softwareafbeelding(en) voor het (de) betreffende AP-model(en) van software.cisco.com.
   
   1. Bijvoorbeeld, de 17.9.5 AP afbeelding voor een CW9162 isap1g6b-k9w8-tar.153-3.JPN4.tar.
3. Een upgrade uitvoeren via AP CLI: als de CLI van het AP toegankelijk is via een console of SSH:
   1. Voer de opdracht TFTP of SFTP in:
      archiefdownload-sw/no-reload tftp://<ip-adres>/<afbeelding>
      of
      archiefdownload-sw/no-reload sftp://<ip-adres>/<afbeelding>
      Gebruikersnaam:GEBRUIKER
      Wachtwoord:XXX
      Dit overschrijft de beschadigde afbeelding met de geldige afbeelding.
   2. Nadat het image is gedownload, verschijnt dit probleem:
      herstart van testcapwap
      Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde beeld kan herkennen.
   3. U kunt een scriptmethode gebruiken om een groot aantal AP's te upgraden via "archiefdownload-sw" in plaats van de opdracht in elke AP afzonderlijk in te voeren.  Zie hieronder UpgradeAP’s via WLAN-poller.
      
4. Als de AP's zijn aangesloten op een controller, kunt u de AP's upgraden van controller CLI (alleen TFTP):
   1. In IOS-XE:ap, nameAPNAMEtftp-downgradeip.addr.of.server, imagename.tar
   2. In AireOS:config ap tftp-downgradeip.addr.of.server imagename.tarAPNAME
      
      1. Hoewel CAPWAP-downloads van AireOS niet gevoelig zijn voor beeldcorruptie, als u van plan bent uw AP's van AireOS naar 9800 te migreren, moet u eerst een AP-afbeelding downloaden met de fixes voor Alt-boot en het Boot a Bad Image syndroom (8.10.190.0 of hoger), voordat u zich bij de AP's aan de 9800.
         
   3. Controleer de TFTP- of SFTP-serverlogbestanden om te verifiëren dat elke AP met succes de afbeelding heeft gedownload.  Zodra de download voltooid is, zal elke AP opnieuw laden, waarbij de nieuw gedownloade afbeelding wordt uitgevoerd.

Upgrade de AP's via Predownload, bewaking van fouten

Laad de doelafbeelding op de 9800 en gebruik AP predownload om de nieuwe afbeelding naar het toegangspunt te duwen, terwijl u controleert op gevallen van beschadiging van de AP-afbeelding.

Stap 1. Controleer of SSH is ingeschakeld onder het toegangspunt Join Profile(s) op de C9800 WLC. Stel een syslogserver in het netwerk in. Configureer het IP-adres van de syslogserver onder AP Join Profile voor alle items en stel de logboekwaarde in op Debug. Controleer of de syslogserver syslogs van AP ontvangt.

Stap 2. Download de software-afbeelding naar de C9800 WLC om voor te bereiden op predownload via CLI:

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

Stap 3. Start de voordownload van het AP-beeld op de Cisco C9800 WLC’s:

C9800# ap image predownload

Opmerking: afhankelijk van de schaal en het type implementatie kan dit overal van een paar minuten tot een paar uur duren.  Start de controller of toegangspunten niet opnieuw op totdat u hebt bevestigd dat de afbeeldingen geldig zijn.

Stap 4. Nadat de voordownload voor alle AP’s is voltooid, controleert u op een van deze twee logberichten op de syslog-server:

• Met afbeeldingsondertekening wordt het succes geverifieerd.

• Afbeelding handtekening verificatie fout: -3

Controleer ook de uitvoer van de opdracht afbeeldingssamenvatting van map tonen, en controleer op eventuele gevallen van Kan niet downloaden.  Als de teller niet op nul staat, vindt u de mislukte AP's via afbeelding van het toegangspunt tonen | opnemen is mislukt.

Waarschuwing: als een APs een fout heeft gemeld bij de verificatie van de beeldhandtekening, of als een AP er niet in is geslaagd deze te downloaden, ga dan NIET VERDER MET HET UPGRADE-PROCES. Als alle toegangspunten het bericht "Image Sign verifieert succes"hebben getoond, dan hebben alle toegangspunten het image correct gedownload en kunt u veilig doorgaan met de upgrade van 9800.

Stap 5. Als er een toegangspunt heeft gefaald of niet heeft kunnen downloaden, moet u, om te voorkomen dat er een opstartlus ontstaat, de afbeelding in de back-uppartitie van het toegangspunt overschrijven met een archiefdownload van een afzonderlijk toegangspunt met behulp van het volgende proces. 

Als het aantal mislukte AP's klein is, kunt u eenvoudig SSH naar elke AP en de volgende stappen starten.

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart

Opmerking: "test capwap opnieuw opstarten" is nodig zodat het CAPWAP proces zal herkennen dat het beeld in de back-up partitie is bijgewerkt.  Hierdoor wordt de service kort onderbroken omdat de CAPWAP-verbinding met de 9800 opnieuw wordt gestart.  Als dit een operationeel probleem is, kan deze stap worden uitgesteld tot een onderhoudsvenster.

UpgradeAP’s met WLAN-poller

Als het aantal AP's dat moet worden geüpgraded via archiefdownload-sw groot is, kunt u een geautomatiseerd proces gebruiken met de WLAN-poller.

Stap 1a. Installeer de WLAN-poller op een Mac of Windows-machine.

Stap 1b. Populeert het aplist csv-bestand met de relevante mislukte AP's.

Stap 1c. Populate het cmdlist bestand met de onderstaande opdrachten (u kunt altijd naar eigen goeddunken meer toevoegen):

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

Stap 1d. Voer de WLAN-poller uit.

Stap 1e. Als de uitvoering is voltooid, controleer dan het logbestand van elke AP om te bevestigen dat de voltooiing is geslaagd.

Stap 2. Activeer onmiddellijk het beeld op de C9800 WLC en herlaad.

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

Stap 3. Zet de afbeelding op de C9800 WLC. Als u deze stap overslaat, wordt WLC teruggedraaid naar de vorige softwareafbeelding

C9800#install commit

Veelgestelde vragen

Q. Ik heb een paar dagen geleden een predownload uitgevoerd, maar heb mijn Cisco C9800 WLC en AP's nog niet opnieuw opgestart. Ik heb geen syslogs om te verifiëren of de afbeelding is beschadigd. Hoe controleer ik of de afbeelding beschadigd is?

A. Controleer de logboekregistratie op de AP/syslog. Als u geen succes of mislukkingsberichten in de output van het showregistreren ziet, kunt u het bevel van de "show flitssyslogs"gebruiken om de syslogoutput te registreren van wanneer u predownload uitvoerde.  Als u het bericht "Image Sign verify succes" ziet, dan weet u dat dit toegangspunt het image heeft gedownload.

Q: Ik heb een gecentraliseerde plaatsing met APs in Lokale wijze. Moet ik nog steeds de stappen uitvoeren die in het gedeelte Workaround/Oplossingen worden vermeld?

A: Dit probleem is alleen gemeld bij het upgraden van AP's via een WAN-verbinding. APs in Lokale wijze en over lokale netwerken zullen zeer waarschijnlijk niet in deze kwestie lopen, zodat moet het niet deze procedure voor verbeteringen volgen, als u zeker bent dat er zeer weinig pakketverlies tussen het controlemechanisme en APs is.

V: Ik heb nieuwe out-of-box AP's. Hoe kan ik ze inzetten zonder dit probleem aan te pakken? 

A: Nieuwe, out-of-box AP’s die code downloaden via WAN zullen ook gevoelig zijn voor dit probleem, tenzij ze na december 2023 zijn geproduceerd.

Vraag: Wat doet Cisco op de lange termijn om dit probleem met CAPWAP-beelddownloads van de 9800 die beschadigd raken, aan te pakken?

A: Zodra het toegangspunt al 17.11 of hoger draait, kan het de Out-of-Band Image Download-functie gebruiken om de afbeelding van de controller te halen met behulp van HTTPS. TCP verzendt gegevens betrouwbaar via een schuifvenster - het is dus ook veel sneller via een WAN dan CAPWAP (of TFTP)

Q. Ik heb APs die nu in een laarslijn zijn.  Hoe kan ik ze herstellen?

A: Zie het artikel Recover van een laarslus veroorzaakt door beeldcorruptie op Wave 2 en 11ax access points (CSCvx32806 ).