简介
本文档介绍如何找到适用于Catalyst 9800无线LAN控制器(C9800 WLC)的最可靠的Cisco IOS XE软件。
背景
本文档中的信息适用于C9800 WLC的不同外形,其中包括:
- 设备(9800-40、9800-80、9800-L)
- 虚拟控制器(私有云和公共云中的 9800-CL)
- 适用于 Catalyst 9000 系列交换机的嵌入式无线控制器
- 适用于 Catalyst 无线接入点的嵌入式无线控制器 (EWC-AP)
C9800支持的接入点型号包括
- 基于IOS的11ac Wave 1接入点(1700/2700/3700/1572)
- 基于COS的11ac Wave 2接入点(1800/2800/3800/4800/1540/1560)
- 基于COS的Catalyst 11ax 91xx系列接入点(9105/9115/9117/9120/9130/9136/9164/9166)
这些建议考虑到AireOS WLC与C9800 WLC的共存。 这些建议适用于 Catalyst 9800 WLC 的所有 Cisco IOS XE 版本。通常,新发布的版本(维护版本或新代码系列)在现场至少需要2-3周的吸收时间,并且仅当未报告灾难性问题时,才会成为思科一般建议的候选版本。当我们通过内部测试、TAC案例等接收反馈时,会经常更新这些建议。
思科技术支持中心 (TAC) 建议的版本
都柏林17.10.1
Cisco IOS XE 17.10.1 是短期版本,未计划任何 MR。此版本支持的新功能在17.10.1版本说明中列出。不建议运行此版本,除非您需要它在17.9.2之上带来的新功能
库比蒂诺17.9
Cisco IOS XE 17.9.x是一列长期列车,计划使用多个MR。这是支持Cisco Catalyst 916x系列AP的第一个版本。此版本支持的新功能在17.9.1版本说明中列出。对于需要支持任何新硬件或可用功能(从17.7、17.8或17.9开始)的所有部署,建议运行17.9.2
17.9.2
Cisco IOS XE 17.9.2是漏洞修复版本,但有一些新功能除外(有关详细信息,请查看版本说明)。17.9.2中提供了一些关键漏洞修复和对某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)的支持。建议您升级到17.9.2
17.9.2 APSP1
17.9.2 APSP1为CSCwd80290提供修复,该修复允许IW3700 AP加入C9800 WLC,即使在2022年12月4日之后。有关详细信息,请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。
17.9.1
注意:某些Catalyst WiFi6接入点的更新版本支持(请参阅现场通知72424)在17.9.1中不提供,但在17.9.2中提供
库比蒂诺17.8.1
Cisco IOS XE 17.8.1 是短期版本,未计划任何 MR。 此版本支持的新功能在17.8.1版本说明中列出。对于从17.8.1开始支持的所有功能和硬件,建议您使用17.9.1
注意:如果运行17.3.3,则使用C9130和C9124的部署需要在升级到17.8.1之前升级到17.3.4c
库比蒂诺17.7.1
Cisco IOS XE 17.7.1 是短期版本,未计划任何 MR。请参阅17.7.1 EoL公告。此版本支持的新功能在17.7.1版本说明中列出。 对于从17.7.1开始支持的所有功能和硬件,建议您使用17.9.1
注意:CSCwb13784会影响17.7.1,如果路径MTU低于1000字节,CSCwb13784会阻止第2波和第11波AP加入
Bengaluru 17.6
Cisco IOS XE 17.6.x是一列长期列车,计划使用多个MR。 思科建议为没有这些特定IOS AP(1700/2700/3700/1572)的所有部署提供17.6.4 CCO映像。
17.6.4
Cisco IOS XE 17.6.4是仅限漏洞修复版本,但配置选项除外(在CLI和GUI中),用于在AP加入配置文件下启用AP串行控制台。17.6.4中提供了一些关键漏洞修复和对某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)的支持。建议您升级到17.6.4。
17.6.4 APSP1
17.6.4 APSP为CSCwd80290提供修复,该修复允许IW3700 AP加入C9800 WLC,即使在2022年12月4日之后。有关详细信息,请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。
17.6.3
Cisco IOS XE 17.6.3 是仅修复 Bug 的版本。它包括17.3.5a中的所有修复+ CSCwb13784的修复。
对于使用CMX或DNA空间定位的客户,请注意CSCwb65054。SMU(热补丁)发布在cisco.com上。
17.6.4中提供了许多通过17.6.3中的SMU补丁提供的漏洞修复,并支持某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)。 建议您升级到17.6.4 + APSP1。
17.6.2
Cisco IOS XE 17.6.2增加了对少量功能的支持。
- 对802.1的支持,对MAC身份验证失败进行Web身份验证
- 在C9124AXI/E/D室外AP上提供网状网和网状网+ Flex支持
- 在802.11ac wave 2和11ax Catalyst AP上按客户端双向速率限制
17.6.4中解决了17.6.2上的许多关键漏洞,例如CSCwb13784,它可防止路径MTU降至1000字节以下时第2波和第11ax AP加入。建议您升级到17.6.4 + APSP1。
17.6.1
此版本支持的新功能在17.6版本说明中进行了介绍。 17.6.1易受几个严重缺陷的影响,建议您升级到17.6.4
Bengaluru 17.5.1
Cisco IOS XE 17.5.1 是短期版本,未计划任何 MR。参阅17.5寿命终止公告此版本支持的功能列表列于17.5发行版本注释。 对于从17.5开始支持的所有新硬件和功能,建议您迁移到17.6.4 + APSP1。
Bengaluru 17.4.1
Cisco IOS XE 17.4.1 是短期版本,未计划任何 MR。请参阅 17.4 生命周期终止公告。17.4 版本说明中列出了 17.4 中支持的功能列表。对于从17.4开始支持的所有新硬件和功能,建议您迁移到17.6.4 + APSP1。
Amsterdam 17.3
Cisco IOS XE 17.3.x 是一个长期版本,已计划数个 MR。17.3是C9800 WLC支持Cisco IOS AP的最后一个Cisco IOS XE版本(IW3700除外,该版本在更高版本中也受支持)。 Cisco建议使用IOS AP(1700/2700/3700/1572)的所有部署都使用17.3.6 + APSP5 + APSP6 CCO映像。
17.3 版生命周期终止公告已发布,最后计划好的 MR 将于 2023 年 3 月 31 日到期。使用此时间表规划到17.6版本的迁移
17.3.6
Cisco IOS XE 17.3.6主要是漏洞修复版本。它增加了对以下各项的支持
- 适用于9124 AXI/E/D接入点的网状和网状和灵活功能
- 某些Catalyst WiFi6接入点的较新版本(VID)(请参阅现场通知72424)。
17.3.6 APSP6
17.3.6 APSP6()取代17.3.6 APSP2并修复多个COS AP(11ac wave2和Catalyst 11ax)缺陷:
CSCvx32806
由于映像校验和验证失败,COS-AP停滞在引导环路中
CSCwc32182
AP 1852无线电固件崩溃(SF 06029787/06121536/06208256)CSCwc89719
AP1832因无线电故障(无线电恢复失败)而崩溃(SF#06180501)
CSCvz99036
思科接入点VLAN绕过本征VLAN漏洞
CSCwd37092
TCP下载缓慢,8.10.181.0/17.3.6 - 2800/3800/4800系列中的TLS身份验证失败
CSCwc78435
9130在带外DFS事件上发送不正确的信道列表导致客户端连接问题
CSCwc88148
Mac挂起问题的其他增强功能(CSCwc72194
)。
17.3.6 APSP5提供思科漏洞ID CSCwd80290的修复程序,即使在2022年12月4日之后,思科IOS AP仍可以加入C9800 WLC。有关详细信息,请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。
17.3.6 APSP2提供Cisco Bug ID CSCwd37092的修补程序
症状:2800/3800/4800/1560/6300接入点的下载缓慢和EAP-TLS身份验证失败。 要确认Bug,请在AP上运行#show控制器nss统计信息,并检查INNER_CAPWAP_REASM_FAILED计数器是否正在递增
解决方法:无;当tcp-adjust-mss 1250在AP加入配置文件下被显式禁用时,仅在C9800上出现TCP下载问题。启用此设置可防止慢速TCP下载,但UDP下载缓慢和EAP-TLS故障仍然存在。
它还包括思科漏洞ID CSCvz99036和思科漏洞ID CSCwc78435的修补程序。
17.3.5亿
Cisco IOS XE 17.3.5b是17.3.5a的更新版本,包含通过SMU补丁提供的漏洞修复和17.3.5a上的升级映像。 有关完整列表,请参阅17.3.5b中已解决的缺陷。
17.3.5安
Cisco IOS XE 17.3.5a的几个重要修复包括
- 修复WNCd中高CPU的已知触发器(探测器、ARP风暴等)
- CAPWAP keepalive优先级,用于在WNCd CPU使用率高峰时防止AP丢弃。
- Syslog,用于诊断SSID何时停止广播和CLI恢复机制。请参阅CSCwb01162。
注意:CSCwb13784会影响17.3.5a CCO映像,如果路径MTU降至1000字节以下,将阻止wave 2和11ax AP加入,如果路径MTU降至1500字节以下,将阻止Cisco IOS AP(1700/2700/3700)加入。
修复:发布到cisco.com的SMU(热补丁)提供问题的修复,并且必须应用。
17.3.4c
Cisco IOS XE 17.3.4c修复了17.3.4中的几个重要和广泛影响漏洞。
17.3.4
Cisco IOS XE 17.3.4 是仅修复 Bug 的版本。
注意:如果运行17.3.3,则使用C9130和C9124的部署需要在升级到17.8.1、17.9.1之前升级到17.3.4c。
17.3.3
Cisco IOS XE 17.3.3 是仅修复 Bug 的版本。
注意:17.3.3易受到CSCvy的攻击11981
症状:WNCD崩溃
触发器:如果AP名称为32个或更多字符,则存在导致此崩溃的内存损坏
解决方法:确保AP名称的字符数等于或小于31。
17.3.2a
Cisco IOS XE 17.3.2a 虽然是一个维护版本,但除 Bug 修复外,还引入了其他功能。这些功能包括
- 使用策略的智能许可(仅在 17.4.1 中提供 GUI 配置)
- OEAP 个人 SSID
- 使用序列号的 AP 授权(扩展到除了带有 wlancc + FIPS + LSC 证书的 AP 之外的所有 AP)
- 网络状态感知和物联网服务在没有 iCAP 的情况下共存
- TLS 隧道连接到 DNA-C on Cloud
17.3.1
Cisco IOS XE 17.3.1 引入了对以下硬件和解决方案的支持
- 9105I 和 9105W 无线接入点
- 9800CL 上的更高吞吐量模板
- Catalyst 9K 交换机(非 SDA)上的嵌入式无线功能
- 用户定义网络 (UDN) 和 UDN 移动应用
- 控制器上的 BLE 管理
- 物联网模块管理
有关完整列表,请参阅 17.3 版本说明
Amsterdam 17.2.1
Cisco IOS XE 17.2.1 是短期版本,没有维护计划。请参阅 17.2 生命周期终止公告。根据现场通知 FN70577 和 CSCvu24770,C9800 的所有 17.2.x 版本均已推迟。Cisco建议迁移到17.3.5b,以便使用Cisco IOS AP(1700/2700/3700/1572)或17.6.4进行部署,而不使用这些Cisco IOS AP(1700/2700/3700/1572)。
Amsterdam 17.1.1
Cisco IOS XE 17.1.1 是短期计划,没有维护计划。请参阅 17.1 生命周期终止 - 公告。由于现场通知 FN70577 和 CSCvu24770,C9800 的所有 17.2.x 版本均已推迟。Cisco建议迁移到17.3.5b,以便使用Cisco IOS AP(1700/2700/3700/1572)或17.6.4进行部署,而不使用这些Cisco IOS AP(1700/2700/3700/1572)。
ASA 16.12
Cisco IOS XE 16.12 是 9800 的第一个长期版本。 16.12.1 引入了对这些硬件和解决方案的支持。
- 9800-L
- Google Cloud 上的 9800-CL
- 9120AXE、9130AXI
- 适用于 Catalyst 无线接入点的嵌入式无线控制器 (EWC-AP)
16.12.6a
从 16.12.2 到 16.12.6a 的所有 16.12.x 版本均为 Bug 修复版本。16.12.6a 是此系列中的最后一个已计划的 MR。请参阅 16.12 生命周期终止公告。 思科建议使用IOS AP(1700/2700/3700/1572)或17.6.4 + APSP1而不使用这些IOS AP(1700/2700/3700/1572)的所有部署迁移到17.3.6 + APSP5 + APSP6。
注意:16.12.4a之前的所有16.12.x版本(16.12.1、16.12.1s、16.12.1t、16.12.2s、16.12.2t、16.12.3、16.12.3s)当前已延期至CSCvu24770版。
IOS XE Gibraltar 16.11.1
Cisco IOS XE 16.11.1 是一个短期版本,不再计划进行更多维护。请参阅寿命终止 — 公告。 对于16.x中的所有功能,Cisco建议迁移至17.3.5b,以便使用IOS AP(1700/2700/3700/1572)或17.6.4而不使用这些IOS AP(1700/2700/3700/1572)进行部署。
Gibraltar 16.10.1
Cisco IOS XE 16.10.1是第一个正式支持Catalyst 9800 SKU的Cisco IOS XE软件版本(设备:9800-40、9800-80;专用/公共云上的9800;9800-CL,以及Catalyst 9300交换机上的9800软件)。 Cisco IOS XE 16.10.1e是第一个支持Cisco DNA Center与Catalyst 9800集成的版本。 这是短期版本,不计划维护版本(MR)。请参阅寿命终止 — 公告。对于16.x中的所有功能,Cisco建议迁移至17.3.5b,以便使用IOS AP(1700/2700/3700/1572)或17.6.4而不使用这些IOS AP(1700/2700/3700/1572)进行部署。
硬件 9800 WLC 上的现场可编程门阵列 (FPGA) 固件
在物理Catalyst 9800 WLC上(9800L、9800-40、9800-80),除了IOS-XE外,还有另外两个代码可以升级。
- ROM监控器(ROMMON) — 引导程序在C9800设备上初始化硬件并启动IOS-XE软件。 您可以通过执行此命令来检查设备上运行的 ROMMON 版本。
#show rom-monitor chassis {active | standby} R0
- PHY - 这是物理层,特别是指在 C9800 设备上支持前端分布和上行链路端口的共享端口适配器 (SPA) 模块。您可以通过执行此命令查看设备上运行的 PHY 版本。
#show platform hardware chassis active qfp datapath pmd ifdev | include FW
通常发布新固件是为了保护系统(温度传感器、风扇、电源等)的运行状况,并解决物理端口内外的数据转发问题。思科建议升级到可用的最新 FPGA 固件。 升级程序,以及如果在升级C9800 FPGA中记录的新固件已发布的具体缺陷。 表1列出了每个平台的版本。
|
ROMMON |
以太网 PHY |
光纤 PHY |
9800-LF |
16.12(3r) |
不适用 |
17.3.2 |
9800-LC |
16.12(3r) |
17.3.2 |
不适用 |
9800-40 |
不适用 |
不适用 |
16.0.0 |
9800-80 |
17.3(3r) |
不适用 |
16.0.0 |
9800 WLC 上的高可用性软件维护
C9800 提供多种功能,确保在部署生命周期的软件维护阶段确保提供可用性。其中包括服务中软件升级 (ISSU)、滚动 AP 升级、用于解决 WLC 缺陷或 PSIRT 的热修补和冷修补、用于解决 AP 特定修复的 AP 补丁,以及对于基于现有控制器代码的 AP 较新型号的支持。
ISSU
对 ISSU 的支持在 17.3.1 中引入,仅限于长期版本(17.3.x、17.6.x 和 17.9.x)。也就是说,ISSU 可在以下版本正常工作
- 在长期主要版本中,例如,17.3.x 到 17.3.y,17.6.x 到 17.6.y,17.9.x 到 17.9.y
- 在长寿命主版本之间,例如,17.3.x到17.6.x,17.3.x到17.9.x
注意:这仅限于当前支持的长寿命版本后的两个长期。
以下版本不支持 ISSU
- 在短期版本系列的次要版本中,例如17.4.x到17.4.y或17.5.x到17.5.y
- 在短期版本系列的次要版本和主要版本之间,例如17.4.x到17.5.x
- 在长期版本和短期版本之间,例如 17.3.x 到 17.4.x,或 17.5.x 到 17.6.x 之间。
软件维护升级 (SMU) 补丁
C9800支持冷修补和热修补,从而可以将漏洞修复作为软件维护升级(SMU)文件提供。
- 热修补 - 不需要系统重新加载,这意味着 WLC 和 AP 可持续运行。如果设备是 9800 冗余的状态切换 (SSO) 对,SMU 安装过程会为两台机箱装上补丁。
- 冷修补 - 冷修补需要系统重新加载。面向 9800 SSO 对,可以采用冷修补而无需停机。
无线接入点服务包
可以通过无线接入点服务包为无线接入点 (AP) 提供软件缺陷修复程序。这需要重新加载 AP,但无需重新加载 9800 WLC。
无线接入点设备包
现有 WLC 代码支持 AP 较新型号,因此无需升级 WLC 代码。此 AP 将仅支持现有 WLC 代码中的可用功能。
指南和要求
- SMU补丁只在MD版本发布后为长寿命版本(如16.12、17.3、17.6、17.9等)生成。
- SMU 只能应用于运行 Network Advantage 许可证(最低要求)的 9800 WLC。请参阅无线功能矩阵以了解不同的许可证
- 适用于大多数部署的SMU发布到cisco.com,供客户自行下载。
- SMU 或补丁并非适用于所有 Bug 修复。Bug 修复中涉及的代码更改通常决定可修补性。
- 基于每个缺陷评估SMU的适用性。 如果您的C9800根据其许可符合SMU补丁的条件,并且您需要针对特定缺陷的SMU,请与Cisco技术支持中心(TAC)联系,以评估Bug。
有关这些功能的更多详细信息,请参阅 C9800 WLC 修补指南。
适用于不同 9800 的 SMU、APSP 和 APDP 映像在 Cisco.com 上的位置
步骤1:导航到Downloads Home,并在Select a Product的搜索栏中搜索9800,然后选择适用于您的9800。

第二步:从软件类型菜单中,根据需要选择SMU、APSP或APDP。

软件定义接入 (SDA) 说明
请始终参阅 SDA 兼容性矩阵,了解最适合 SDA 的代码组合建议。此矩阵列出了 Cisco DNA Center、身份服务引擎 (ISE)、交换机、路由器和无线局域网控制器代码的特定组合,这些组合已通过思科 SDA 解决方案测试团队的测试。
控制器版本间移动性 (IRCM)
- 2504/7510/vWLC控制器不支持IRCM,只有5508/8510/5520/8540/3504平台支持IRCM。
- 为了获得与AireOS WLC的版本间控制器移动(IRCM)兼容性,
- TAC建议将AireOS 8.10.171.0用于所有部署。
- 对于其环境中具有旧WLC或接入点的部署(无法升级至超过AireOS 8.5版本),TAC建议8.5.182.104 IRCM代码。
注意:并非所有8.5代码版本都支持IRCM。cisco.com上提供的8.5 IRCM版本包括8.5.164.0、8.5.164.216、8.5.176.0、8.5.176.1、8.5.176.2、8.5.182.104。
有关 AireOS 建议的代码,请参阅:
https://www.cisco.com/c/en/us/support/docs/wireless/wireless-lan-controller-software/200046-tac-recommended-aireos.html
Catalyst 9800 系列无线控制器支持的功能
版本说明
Cisco IOS XE 每个版本的无线功能列表
AireOS 与 Cisco IOS XE 功能比较
Wave2 和 11ax 无线接入点的 Flexconnect 功能矩阵