简介
本文档提供了有关查找适用于Catalyst无线LAN控制器(WLC)的最可靠Cisco IOS XE软件的指导。 这包括:
- 设备(9800-40、9800-80、9800-L)
- 虚拟控制器(专用云和公共云中的9800-CL)
- Catalyst 9000系列交换机上的嵌入式无线控制器
- Catalyst接入点(EWC-AP)上的嵌入式无线控制器
建议涵盖适用于Catalyst 9800 WLC的所有Cisco IOS XE软件版本。通常,新发布的版本(维护版本或新代码系列)在现场至少可获得2-3周的浸泡时间,并且只有在未报告灾难性问题时,它才会成为思科一般建议的候选者。当我们通过内部测试、TAC案例等收到反馈时,这些建议会频繁更新。
TAC建议的版本
班加罗尔17.6.1
Cisco IOS XE 17.6.1是长期版本。17.6版本说明中记录了此版本支持的新功能
TAC建议17.6.1仅适用于17.4版和17.5版中提供的新功能和硬件支持。对于17.1至17.3版中提供的功能,TAC建议17.3.4 + SMU + APSP。
Caution:
1)加载了17.6.1或更高版本的接入点将无法加入任何运行2021年7月之前发布的任何AireOS的控制器。
修复程序:在8.10.162.0中修复。对于8.5 IRCM,在8.5.176.2中修复。 有关详细信息,请参阅CSCvx98176
2)CSCvz30708 - 9800 WLC停止发送RADIUS数据包症状:针对RADIUS和C9800系统日志的身份验证问题将报告由于AAA服务器不可用而导致的身份验证失败解决方法:从策略配置文件禁用记帐
GUI:Configuration > Tags and Profiles > Policy > Select Policy Profile > Advanced > AAA Policy :记帐列表:单击x
CLI:
无线配置文件策略
no accounting-list
班加罗尔17.5.1
Cisco IOS XE 17.5.1是短期版本,没有计划MR。17.5版本说明中列出了此版本支持的新功能
Caution:
CSCvz30708 - 9800 WLC停止发送RADIUS数据包症状:针对RADIUS和C9800系统日志的身份验证问题将报告由于AAA服务器不可用而导致的身份验证失败解决方法:从策略配置文件禁用记帐
GUI:Configuration > Tags and Profiles > Policy > Select Policy Profile > Advanced > AAA Policy :记帐列表:单击x
CLI:
无线配置文件策略
no accounting-list
班加罗尔17.4.1
Cisco IOS XE 17.4.1是短期版本,没有计划MR。支持的新功能包括
- 使用策略的智能许可
- Catalyst接入点上的嵌入式无线控制器仅适用于C9105AXI-EWC-x。9105的所有其他PID都不支持EWC功能。
- 终止于同一C9800的弹性站点上的子网重叠
有关完整列表,请参阅17.4版本说明
Caution:
CSCvz30708 - 9800 WLC停止发送RADIUS数据包症状:针对RADIUS和C9800系统日志的身份验证问题将报告由于AAA服务器不可用而导致的身份验证失败解决方法:从策略配置文件禁用记帐
GUI:Configuration > Tags and Profiles > Policy > Select Policy Profile > Advanced > AAA Policy :记帐列表:单击x
CLI:
无线配置文件策略
no accounting-list
阿姆斯特丹17.3
Cisco IOS XE 17.3.x是新的长寿命系列,已规划多个MR。TAC建议所有部署使用17.3.4 + SMU + APSP。
17.3.4
17.3.4是仅修复错误的版本
17.3.3
Cisco IOS XE 17.3.3是仅限漏洞修复的版本。
Caution:17.3.3易受CSCvy11981攻击
症状:WNCD崩溃
触发器:如果AP名称为32个或更多字符,则内存损坏会导致此崩溃
解决方法:确保AP名称不超过32个字符
17.3.2a
Cisco IOS XE 17.3.2a(仅限注册用户),虽然维护版本除了引入了漏洞修复功能外,还引入了其他功能。这些功能包括
- 使用策略的智能许可[仅17.4.1中提供GUI配置]
- OEAP个人SSID
- 使用序列号的AP授权[扩展到除存在wlancc+FIPS +LSC证书的AP之外的所有AP]
- 无iCAP的保证和物联网服务共存
- 云上DNA-C的TLS隧道
Note:17.3.2a易受攻击
1)在任何WLAN下启用11v双邻居列表时,CSCvw51161 C9800会经历持续崩溃。
解决方法:在所有WLAN上禁用“bss-transition”双列表
修复程序:17.3.3(最新中期/EFT)
2)请勿在Flex AP功能上使用mdns网关,因为它已知会触发崩溃。
3)CSCvw23507 / CSCvw55708 9800HA部署(使用RMI和netconf(与DNACenter、Prime基础设施、DNA空间集成),您对这些错误很可疑。
修复程序:17.3.3(最新中期/EFT)
17.3.1
Cisco IOS XE 17.3.1引入了对以下硬件和解决方案的支持
- 9105I和9105W接入点
- 9800CL上的更高吞吐量模板
- Catalyst 9k交换机(非SDA)上的嵌入式无线
- 用户定义网络(UDN)和UDN移动应用
- 控制器上的BLE管理
- IOT模块管理
- 通过DNACenter的WIFI6保证
- 为webauth和webadmin拆分http/https
有关完整列表,请参阅17.3版本说明
注意:17.3.1易受攻击
1)CSCvv45072 - C9800在使用任何自动QoS或自定义服务策略时会持续崩溃。
解决方法:禁用自动QoS或自定义QoS服务策略。
修复程序:17.3.2a
2)当任何与SLR相关的CLI由用户或GUI或管理站执行时,CSCv32535 C9800在使用智能许可证预留(SLR)时重新加载。 示例:#show许可证保留#show许可证技术支持,以管理员身份登录webUI(因为它在后台触发“显示许可证全部”)。
解决方法:请勿使用SLR;使用直接连接到CSSM(带或不带代理),或使用最新版本8-202008进行现场CSSM。
修复程序:17.3.2a
3)CSCvt69990症状:运行17.3本身时没有影响,但从17.3降级到16.12.4a时,遥测配置将导致c9800崩溃和引导环路。解决方法:在降级之前禁用遥测。在17.3中修复后出现问题;正在调查中。
阿姆斯特丹17.2.1
Cisco IOS XE 17.2.1是一个短期系列,没有计划维护版本。
对于16.12不支持的功能,TAC建议使用Cisco IOS XE 17.3.1。
阿姆斯特丹17.1.1
Cisco IOS XE 17.1.1是短期版本,没有计划维护。请参阅寿命终止 — 公告
- 17.1.1s是17.x系列中支持C9800 WLC的第一个版本。
- 对于C9800 WLC,17.1.1s和17.1.1t将被延迟,并且运行这些版本的任何人应尽快升级到17.3.1。请参阅现场通知FN70577和CSCvu24770 。
对于16.12不支持的功能,TAC建议使用Cisco IOS XE 17.3.1。
直布罗陀16.12
Cisco IOS XE 16.12是9800的第一个长寿命版本系列。此版本为
- 9800-L
- 9800-CL在Google云上
- 9120AX、9130AXI
- Catalyst接入点(EWC-AP)上的嵌入式无线控制器
16.12.5
Cisco IOS XE 16.12.5是仅限Bug-fix版本。 TAC建议所有部署至少应使用16.12.5。
16.12的软件维护结束标记为2022年2月17日。在此日期之前开始规划迁移到17.3.3。
Note:
1) 16.12的寿命终止已宣布,最后一个MR目标为2021年8月
2) 16.12.4a(16.12.1、16.12.1s、16.12.1t、16.12.2s、16.12.2t、16.12.3、16.12.3.s)当前延迟为地址CSCvu24770。
3) 请注意CSCvt69990,如果从17.2、17.3降级到16.12.4a。在降级之前禁用遥测。此问题在16.12.5中已解决。
4)如果运行16.11/16.12.1/16.12.1s,则仅从16.12.2s开始受支持的Catalyst 9120 AX 接入点将加入、下载代码并损坏,从而持续重新加载。有时,这些重新加载会报告capwapd崩溃。请参阅:CSCvr40133和CSCvr02462。为了进行恢复,您需要获得对AP的控制台访问权限,并将基于16.12.4a的AP映像下载到AP闪存的第二个分区。
直布罗陀16.11.1
Cisco IOS XE 16.11.1是一个短期版本,没有计划进行更多维护。请参阅寿命终止 — 公告。
对于16.x中的所有功能,TAC建议16.12.4a。
吉尔布尔塔16.10.1
Cisco IOS XE 16.10.1是正式支持Catalyst 9800 SKU(设备:9800-40,9800-80;9800在私有云/公共云上;9800-CL和Catalyst 9300交换机上的9800软件)。 Cisco IOS XE 16.10.1e是支持Cisco DNA Center与Catalyst 9800集成的首个版本。
这是短期版本,没有计划维护。请参阅寿命终止 — 公告。对于16.x中的所有功能,TAC建议使用16.12.4a。
WLC上软件维护更新(SMU)(也称为热补丁)注释
C9800支持热修补,它允许通过SMU补丁提供漏洞修复,该补丁可在不停机的情况下应用。如果通过升级.bin映像提供相同的漏洞修复,这可以消除停机时间。通常,SMU补丁在MD版本后为16.12、17.3等长期版本生成。此外,并非所有Bug都支持SMU。
SMU的适用性会根据具体案例进行评估。对于SMU请求,请联系思科技术支持中心(TAC)
软件定义访问(SDA)注释
请始终参阅SDA兼容性矩阵,了解最适合SDA的代码组合建议。它列出了思科DNA中心、身份服务引擎(ISE)、交换机、路由器和无线局域网控制器代码的特定组合,这些代码已经过思科SDA解决方案测试团队的测试。
版本间控制器移动性(IRCM)
- 2504/7510/vWLC控制器不支持IRCM。
- 为了与AireOS WLC兼容版间控制器移动(IRCM),TAC建议所有部署使用AireOS 8.10.151.0或8.10.162.0。
注意:如果启用了BSS着色,C9117/9130 AP的某些11ax客户端可能无法传递流量。 解决方法:禁用BSS着色,然后重新加载AP。 此问题在8.10.162.0中修复。 参见CSCvx99417。
注意:加载了17.6.1或更高版本的接入点将无法加入任何运行2021年7月之前发布的任何AireOS的控制器。 此问题在8.10.162.0中修复。 有关详细信息,请参阅CSCvx98176
- 对于在其环境中具有较旧WLC或接入点且无法升级到AireOS 8.5以上的用户,TAC建议5508/8510/5520/8540/3504平台使用8.5.176.0或8.5.176.2 IRCM映像。
注意:加载了17.6.1或更高版本的接入点将无法加入任何运行2021年7月之前发布的任何AireOS的控制器。 对于8.5 IRCM,此问题在8.5.176.2中修复。 有关详细信息,请参阅CSCvx98176
有关AireOS推荐代码,请参阅:
https://www.cisco.com/c/en/us/support/docs/wireless/wireless-lan-controller-software/200046-tac-recommended-aireos.html
Catalyst 9800系列无线LAN控制器支持的功能
版本说明
每版本Cisco IOS XE无线功能列表
AireOS到Cisco IOS XE功能比较表
适用于wave2和11ax接入点的Flexconnect功能表
反馈