Entender as atualizações de imagem de access point para implantações remotas

Introdução

Este documento descreve métodos para atualizações eficientes de imagem do Cisco AP em WANs, abordando os desafios de latência e confiabilidade.

Métodos de atualização da imagem do Cisco Access Point

Atualizações de imagem regulares são essenciais para pontos de acesso (AP) da Cisco, mas realizar esses links de rede de longa distância (WAN) de alta latência para locais remotos pode ser desafiador. O método de download de imagem CAPWAP padrão, embora eficaz em redes locais, pode ser lento e potencialmente menos confiável em WANs. Esta seção explora por que isso ocorre e descreve métodos alternativos e aprimorados projetados para atualizações remotas eficientes.

O desafio: Download de imagem CAPWAP padrão pela WAN

O processo fundamental para a atualização da imagem do AP através do CAPWAP é definido no RFC 5415, Seção 9.1. Esse mecanismo permite que o Wireless LAN Controller (WLC) envie a nova imagem do AP diretamente aos AP conectados através do túnel CAPWAP.  Para cada mensagem de solicitação de dados de imagem (RFC 5415, Seção 9.1.1) contendo um pedaço de dados de firmware, o WLC espera por uma confirmação de resposta de dados de imagem correspondente (RFC 5415, Seção 9.1.2) do AP antes de enviar o próximo bloco.

A imagem ilustra o processo de transferência de imagem entre o AP e a WLC enquanto o AP está em estado de execução.

Fluxo do processo de transferência de imagem AP

Conforme observado, a WLC envia mensagens de solicitação de dados de imagem contendo partes dos dados de imagem do firmware. O AP confirma o recebimento desses blocos enviando mensagens Image Data Response. Essa troca continua até que a imagem inteira seja transferida.

Para cada mensagem Image Data Request, uma mensagem Image Data Response correspondente é esperada como uma confirmação. Isso significa que o AP deve aguardar a chegada de cada pacote de imagem, confirmá-lo e, em seguida, aguardar o próximo pacote. Isso introduz lentidão no download de imagens em ambientes WAN.

Considere um exemplo: Se o tempo de ida e volta (RTT) entre o AP e a WLC for de 100 ms, isso efetivamente limita a taxa de transferência a aproximadamente 10 pacotes por segundo. Se o tamanho de cada pacote for 1000 Bytes, isso significa um throughput máximo de 10 KB/seg. Se a imagem do AP for 50MB, o tempo mínimo teórico para concluir a transferência é de aproximadamente 5120 segundos. Isso ilustra que, mesmo se uma largura de banda significativa estiver disponível, o download da imagem do CAPWAP pode parecer lento devido a esse mecanismo de confirmação de parada e espera. Esse efeito é menos perceptível em transferências de imagem locais onde a WLC e o AP fazem parte da mesma rede do campus e a latência é mínima.

Caution: Um link WAN com perda pode levar à corrupção da imagem. Consulte Cisco bug IDCSCwf09053   para obter mais informações sobre isso.

Para atenuar essas limitações inerentes ao mecanismo de transferência de caminho de controle CAPWAP padrão, particularmente em ambientes de WAN de alta latência ou com restrições de largura de banda, foram introduzidos três aprimoramentos.

1. O aprimoramento da janela CAPWAP melhora o próprio caminho de controle do CAPWAP implementando uma janela deslizante de vários pacotes, permitindo que vários pacotes de dados sejam enviados antes de exigir uma confirmação, aumentando assim o throughput em links de alta latência dentro da estrutura do CAPWAP.
2. A atualização eficiente de imagem no modo FlexConnect é um método otimizado especificamente projetado para APs FlexConnect, que são frequentemente implantados em filiais com largura de banda WAN limitada. Esse método minimiza a carga da WAN distribuindo a tarefa de download de imagem.
3. O método Out-of-Band HTTPs-Based AP Image Download aborda isso aproveitando um protocolo HTTPs separado e mais eficiente executado em um servidor web dedicado no controlador para a transferência de imagem, movendo-o para fora do túnel de controle CAPWAP restritivo.

Aprimoramento da janela de download de imagem CAPWAP

Esse recurso aumenta a velocidade de downloads de imagens baseados em CAPWAP especificamente para Pontos de acesso Office Extend (OEAP) ou APs de funcionário remoto. Ele trata da limitação do canal de controle CAPWAP padrão ter uma única janela, que requer a confirmação de cada pacote antes de enviar o próximo, retardando as transferências em links de alta latência. Este aprimoramento adiciona suporte para várias janelas móveis para pacotes de controle.

Impacto do tamanho da janela do CAPWAP

A eficiência do processo de download da imagem CAPWAP no canal de controle é influenciada significativamente pelo tamanho da janela configurada, especialmente em links de alta latência.

Com Tamanho da Janela CAPWAP = 1 (Padrão/Padrão): O fluxo de pacotes exibe um comportamento de parada e espera rigoroso. Para cada pacote de solicitação de dados de imagem enviado pela WLC, a WLC pausa e espera por uma confirmação de resposta de dados de imagem do AP antes de enviar o próximo pacote.

Fluxo de atualização de imagem CAPWAP com tamanho de janela 1

Com CAPWAP Tamanho da janela = N (por exemplo, 20): O fluxo de pacote demonstra um mecanismo de janela móvel. Ao permitir que vários pacotes trafeguem pelo link antes de exigir uma confirmação, a janela deslizante efetivamente mascara a latência.

Fluxo de atualização de imagem CAPWAP com tamanho de janela 20

Resumo do processo

1. Configure um perfil de AP especificamente para APs OEAP/Trabalhador Remoto.
2. Defina um tamanho de janela CAPWAP maior que 1 dentro desse perfil.
3. Associe este perfil de AP aos APs OEAP/Trabalhador Remoto.
4. Durante o processo de junção de AP, o tamanho de janela configurado é aplicado.
5. Os downloads de imagens CAPWAP subsequentes utilizam o maior tamanho de janela, melhorando o throughput.

Configuração (CLI)

Configure um perfil de AP e defina o tamanho da janela do CAPWAP:

configure terminal ap-profile capwap window size  <- Between 3 to 20 
end

Associe o perfil de AP a uma marca de site e aplique-o aos APs (semelhante às etapas 2 e 3 em Atualização de imagem eficiente, garantindo que o perfil de AP correto seja vinculado através da marca de site).

Verificação (CLI)

show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size) 

Restrições/considerações

• Essa melhoria é suportada apenas em perfis OEAP.
• O tamanho da janela é atualizado no AP somente durante o processo de junção do AP.
• O pré-download não é acionado se a imagem de atualização mais recente já estiver presente no AP.

Note: Embora documentado principalmente para OEAP, esse aprimoramento também funcionou para APs FlexConnect regulares. No entanto, isso não foi totalmente testado/suportado para implantações FlexConnect.

Atualização eficiente de imagem no modo FlexConnect

A atualização eficiente de imagem é um método otimizado especificamente projetado para APs FlexConnect, especialmente útil em implantações de filiais com largura de banda WAN limitada. Esse método minimiza a carga da WAN designando um AP primário em uma marca de site para fazer download da imagem do controlador e, em seguida, permitindo que outros APs subordinados na mesma marca de site façam download da imagem do AP primário via TFTP. O AP principal é um AP por modelo por tag de site.

Resumo do processo

1. Uma nova imagem do AP é preparada na WLC.
2. Os APs FlexConnect são atribuídos a uma marca de site configurada para atualização eficiente de imagem.
3. A WLC seleciona um AP por modelo dentro da Tag de Site como o AP primário.
4. O AP principal faz o download da imagem da WLC através do link da WAN (normalmente via CAPWAP).
5. Quando o AP principal tiver a imagem, os APs subordinados na mesma Tag de Site baixam a imagem do AP principal via TFTP na rede local.
6. No máximo, três APs subordinados podem fazer download simultaneamente de um AP principal.
7. Após o download, os APs são recarregados para executar a nova imagem.

Benefícios

• Reduz o consumo de largura de banda da WAN fazendo com que apenas o AP principal faça download da imagem pela WAN.
• Aproveita links de rede local mais rápidos (via TFTP) para distribuição de imagens para APs subordinados.

Configuração (CLI)

Enable Predownload in Flex Profile:
configure terminal 
wireless profile flex 
predownload <- Enables the Efficient Image Upgrade option.
end

Configure a Site Tag and Associate Flex Profile:
configure terminal 
wireless tag site 
flex-profile  <- Ensure 'no local-site' is configured if not already, for Flexconnect mode 
end

Attach Policy Tag and Site Tag to AP(s):
configure terminal 
ap  <- Use wired MAC address 
policy-tag 
site-tag 
rf-tag  
end

Trigger Predownload to a Site Tag:
enable 
ap image predownload site-tag  start 

Verificação (CLI)

show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name  image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console 

Restrições/considerações

• Os APs unidos por meio de uma marca de site devem estar no mesmo local físico para uma transferência TFTP local eficiente.
• Usa a porta TCP 8443 para o serviço de escuta (também usada para outras funções como pacotes de depuração de cliente e arquivos Clean Air). Essa porta permanecerá aberta mesmo se o recurso estiver desativado.
• Requer que a WLC esteja no modo de instalação.

Download de imagem de AP baseado em HTTPs fora da banda

O Download de Imagem do AP Baseado em HTTPs do OOB é um método aprimorado introduzido no Cisco IOS® XE Dublin 17.11.1 para melhorar o desempenho de atualização de imagem do AP transferindo imagens fora do caminho de controle CAPWAP padrão. Uma vantagem chave e rede de segurança é o fallback automático para download CAPWAP padrão em banda se o download de HTTPs falhar.

O método OOB HTTPs aproveita o TCP padrão e os HTTPs para transferência de imagem. Ao contrário do mecanismo de parada e espera do canal de controle CAPWAP, o TCP usa inerentemente um mecanismo de janela deslizante que permite a transferência eficiente de dados em massa através de links de alta latência.

Este método utiliza um servidor web (nginx) em execução no controlador para servir imagens AP diretamente aos APs sobre HTTPs. Isso ignora as limitações do caminho de controle CAPWAP para transferências de arquivos grandes, oferecendo um mecanismo de download potencialmente mais rápido e flexível.

Caso de uso

Esse método é útil para acelerar atualizações de imagem de AP, particularmente em grandes implantações ou locais remotos onde as limitações de latência e largura de banda do túnel de controle CAPWAP podem tornar os downloads tradicionais em banda demorados.

Resumo do processo

1. A nova imagem do AP é preparada na WLC.
2. O método de atualização OOB HTTPs está habilitado e configurado no controlador.
3. O AP, se ele suportar o método OOB, tenta baixar a imagem necessária do servidor web nginx no controlador via HTTPs na porta configurada.
4. Se o download de HTTPs for bem-sucedido, o AP prossegue com o processo de atualização.
5. Se o download de HTTPs falhar, o AP automaticamente retornará ao método de download CAPWAP em banda padrão.

A captura de pacotes mostra a WLC atuando como um servidor HTTPs e o AP como um cliente HTTPs iniciando uma conexão TCP padrão sobre a porta 8443 e o download de arquivos.

Fluxo de pacote de atualização de imagem baseado em HTTPS

Configuração (CLI)

Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end 

Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port 
end 

Configuração (GUI)

1. Navegue até Configuration > Wireless > Wireless Global.
2. Na seção AP Image Upgrade,Enable HTTPs Method.
3. (Opcional)Digite os valores no campo Porta HTTPs.
4. Clique em Aplicar ao dispositivo.

Verificação (CLI)

show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name  config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status 

Restrições/considerações

• Requer o Cisco IOS® XE Dublin 17.11.1 ou posterior.
• Não é suportado em controladores sem fio incorporados da Cisco ou pontos de acesso Cisco Wave 1.
• Requer a configuração global HTTPS para ser habilitada no controlador.
• O servidor nginx deve estar em execução no controlador.
• A porta configurada deve ser alcançável entre o controlador e os APs.
• A atualização poderá falhar se o ponto confiável do servidor HTTPS tiver uma cadeia de certificados CA.
• Deve ser desabilitado (sem método de atualização de ap https) antes de fazer o downgrade para versões anteriores ao Cisco IOS® XE 17.11.1.
• A porta 443 é reservada. Evite outras portas padrão/bem conhecidas.
• Conflito de porta padrão 8443: Se o acesso HTTPS da GUI do controlador também usar 8443, configure uma porta diferente para transferência de arquivos AP ou acesso à GUI.

Caution: É importante estar atento aos avisos de segurança relacionados a uploads de arquivos, como a vulnerabilidade de upload arbitrário de arquivos do software Cisco IOS XE Wireless Controller Sempre certifique-se de que o seu software WLC esteja atualizado com os patches de segurança mais recentes.

Atualização manual de AP individual via TFTP/SFTP

Esse método envolve acessar diretamente o AP CLI através do console ou SSH e iniciar o download da imagem a partir de um servidor TFTP ou SFTP. Isso é útil para solucionar problemas de APs específicos, atualizar APs que não estão atualmente unidos a uma controladora ou carregar uma imagem de depuração fornecida pelo TAC.

Localize a imagem do AP:

Esse processo realmente carrega a imagem do AP diretamente no AP. No caso de upgrade baseado em WLC, a WLC cuida da seleção da imagem certa para o AP do pacote de imagens da WLC. Aqui, a seleção manual é necessária.

A versão da imagem do AP usa uma convenção de nomenclatura diferente da convenção de nomenclatura da imagem da WLC.

Navegue até o link Pontos de acesso suportados nas versões de software do Cisco Catalyst 9800 Series Wireless Controller

Pontos de acesso suportados nas versões de software do Cisco Catalyst 9800 Series Wireless Controller

Matriz de compatibilidade de AP sem fio

A primeira coluna descreve a imagem CCO da WLC 9800. A terceira coluna lista a respectiva versão da imagem e a quarta coluna lista os pontos de acesso suportados para essa versão. Suponha a necessidade de instalar a imagem do AP no AP 9130 para a versão 17.12.4. Verificando a tabela mostra que o nome da imagem do AP é15.3(3)JPQ3 e o 9130 está listado como um modelo suportado.

A próxima etapa é navegar até software.cisco.com e obter a imagem da pasta de download do AP.

Downloads de Início/Sem Fio/Pontos de Acesso/Pontos de Acesso Catalyst 9130AX Series/Pontos de Acesso Catalyst 9130AXI/Software Lightweight AP- 15.3.3-JPQ3(ED)

Download de software - Ponto de acesso Catalyst 9130AXI

Localização da imagem do AP

aviso: O caminho de download difere com base no modelo do AP e na versão da imagem do AP.

Resumo do processo

1. Prepare o(s) arquivo(s) de imagem do AP de destino em um servidor TFTP ou SFTP acessível.
2. Acesse o AP CLI (console ou SSH).
3. Execute o comando archive download-sw, especificando o servidor e o caminho do arquivo de imagem.
4. O AP faz o download da imagem.
5. Após a conclusão do download, reinicie o processo CAPWAP ou recarregue o AP para que a nova imagem entre em vigor.

Configuração (CLI do AP)

archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username:  Password:  <- Using SFTP:
reload <- Restart CAPWAP process after download: 

Verificação

• Monitore os registros do servidor TFTP/SFTP para confirmar o download.
• Observe o console do AP para obter o progresso e a conclusão do download.
• Após reiniciar/recarregar, verifique a nova versão da imagem na CLI ou na WLC do AP.

Restrições/considerações

• Requer acesso direto via CLI a cada AP.
• Não escalável para atualizar um grande número de APs individualmente (o script é uma opção).
• O desempenho do TFTP é sensível à latência; O SFTP (usando TCP) tem melhor desempenho em caminhos de alta latência, mas requer autenticação interativa (nome de usuário/senha).
• A adoção de reinicialização/no-reload impede que o AP seja recarregado imediatamente após o download, permitindo o controle manual do tempo de reinicialização/recarregamento.
• Se estiver migrando APs do AireOS para o 9800, é recomendável primeiro atualizar o AP para uma versão específica do AireOS (8.10.190.0 ou superior) com correções antes de ingressar no 9800.

Tip: WLAN Poller é uma ferramenta que pode ser usada para criar scripts para atualizar manualmente vários APs. Localize a Pesquisa de WLAN neste local. Sondagem de WLAN

Qual método usar sobre qual

• Para APs OEAP ou de trabalhadores à distância em links de alta latência:
  Ative o aprimoramento do tempo de download da imagem CAPWAP. Isso foi projetado especificamente para melhorar o desempenho do CAPWAP para esses tipos de implantação, usando uma janela deslizante, tratando diretamente do problema de latência dentro da estrutura do CAPWAP.
• Para APs FlexConnect em filiais com largura de banda WAN limitada:
  Utilize a atualização eficiente de imagem no modo FlexConnect. Esse método é altamente recomendado, pois reduz significativamente a carga da WAN usando um AP primário para distribuição local via TFTP, aproveitando velocidades de rede interna mais rápidas.
• Para APs de modo local (ou FlexConnect/OEAP, se os métodos discutidos anteriormente não forem aplicáveis ou suficientes) em plataformas suportadas (Cisco IOS® XE 17.11.1+):
  Considere o Download da Imagem do AP baseado em HTTPs fora da banda. Esse método usa TCP/HTTPs para transferência em massa, que é mais eficiente em links de alta latência do que o CAPWAP padrão. Ele também fornece um fallback para o CAPWAP padrão se a transferência OOB falhar.
• Para solucionar problemas de um único AP, atualizar um AP que não ingressou em uma WLC ou em situações de emergência:
  Execute uma atualização manual de AP individual via TFTP/SFTP. Isso fornece controle direto sobre o processo de atualização para um dispositivo específico, mas não é prático para implantações em larga escala sem automação. O SFTP é geralmente preferido em relação ao TFTP para melhor desempenho em relação aos caminhos de alta latência devido ao uso do TCP.
• Atualização CAPWAP padrão: Embora seja o padrão, geralmente não é recomendado como o principal método para atualizar APs remotos em links de WAN de alta latência devido ao seu mecanismo inerente de parada e espera que leva a transferências lentas e problemas de confiabilidade em versões mais antigas. Use os métodos otimizados descritos sempre que possível para sites remotos.

Escolha o método que melhor se alinha com o modo operacional do seu AP, as condições da rede, a versão do software WLC e a escala da sua operação de atualização para garantir um processo suave e eficiente para seus APs remotos.

Conclusão

Embora o método de download de imagem CAPWAP padrão seja adequado para redes locais, as implantações de AP remoto em links WAN se beneficiam significativamente das técnicas de atualização otimizadas. Entender as limitações do CAPWAP padrão em relação à alta latência ajuda a escolher a abordagem correta. O CAPWAP Image Download Time Enhancement melhora o desempenho para APs OEAP/Trabalhador remoto, o Efficient Image Upgrade otimiza as implantações do FlexConnect reduzindo a carga da WAN e o Out-of-Band HTTPs oferece uma alternativa mais rápida para plataformas compatíveis. O método TFTP/SFTP manual continua sendo uma ferramenta valiosa para solução de problemas e cenários específicos.

Referências

Atualização de imagem eficiente

Download de imagem de AP fora da banda

Aprimoramento do tempo de download da imagem do AP (somente OEAP ou funcionário remoto)

Pontos de acesso Cisco suportados nas versões de software da plataforma Cisco Wireless Controller

Sondagem de WLAN

Migrar do AireOS WLC para o Catalyst 9800 com WLANPoller