Catalyst 9800无线LAN控制器的推荐Cisco IOS XE版本

简介

本文档介绍如何找到适用于Catalyst 9800无线LAN控制器(C9800 WLC)的最可靠的Cisco IOS XE软件。 

背景

本文档中的信息适用于C9800 WLC的不同外形，其中包括：

• 设备（9800-40、9800-80、9800-L）
• 虚拟控制器（私有云和公共云中的 9800-CL）
• 适用于 Catalyst 9000 系列交换机的嵌入式无线控制器
• 适用于 Catalyst 无线接入点的嵌入式无线控制器 (EWC-AP)

C9800支持的接入点型号包括

• 基于IOS的11ac Wave 1接入点(1700/2700/3700/1572)
• 基于COS的11ac Wave 2接入点(1800/2800/3800/4800/1540/1560)
• 基于COS的Catalyst 11ax 91xx系列接入点(9105/9115/9117/9120/9130/9136/9164/9166)

这些建议考虑到AireOS WLC与C9800 WLC的共存。 这些建议适用于 Catalyst 9800 WLC 的所有 Cisco IOS XE 版本。通常，新发布的版本（维护版本或新代码系列）在现场至少需要2-3周的吸收时间，并且仅当未报告灾难性问题时，才会成为思科一般建议的候选版本。当我们通过内部测试、TAC案例等接收反馈时，会经常更新这些建议。

思科技术支持中心 (TAC) 建议的版本

都柏林17.10.1

Cisco IOS XE 17.10.1 是短期版本，未计划任何 MR。此版本支持的新功能在17.10.1版本说明中列出。不建议运行此版本，除非您需要它在17.9.2之上带来的新功能

库比蒂诺17.9

Cisco IOS XE 17.9.x是一列长期列车，计划使用多个MR。这是支持Cisco Catalyst 916x系列AP的第一个版本。此版本支持的新功能在17.9.1版本说明中列出。对于需要支持任何新硬件或可用功能（从17.7、17.8或17.9开始）的所有部署，建议运行17.9.2

17.9.2

Cisco IOS XE 17.9.2是漏洞修复版本，但有一些新功能除外（有关详细信息，请查看版本说明）。17.9.2中提供了一些关键漏洞修复和对某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)的支持。建议您升级到17.9.2

17.9.2 APSP1

17.9.2 APSP1为CSCwd80290提供修复，该修复允许IW3700 AP加入C9800 WLC，即使在2022年12月4日之后。有关详细信息，请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。

17.9.1

注意：某些Catalyst WiFi6接入点的更新版本支持(请参阅现场通知72424)在17.9.1中不提供，但在17.9.2中提供

库比蒂诺17.8.1

Cisco IOS XE 17.8.1 是短期版本，未计划任何 MR。 此版本支持的新功能在17.8.1版本说明中列出。对于从17.8.1开始支持的所有功能和硬件，建议您使用17.9.1

注意：如果运行17.3.3，则使用C9130和C9124的部署需要在升级到17.8.1之前升级到17.3.4c

库比蒂诺17.7.1

Cisco IOS XE 17.7.1 是短期版本，未计划任何 MR。请参阅17.7.1 EoL公告。此版本支持的新功能在17.7.1版本说明中列出。 对于从17.7.1开始支持的所有功能和硬件，建议您使用17.9.1

注意:CSCwb13784会影响17.7.1，如果路径MTU低于1000字节，CSCwb13784会阻止第2波和第11波AP加入

Bengaluru 17.6

Cisco IOS XE 17.6.x是一列长期列车，计划使用多个MR。 思科建议为没有这些特定IOS AP(1700/2700/3700/1572)的所有部署提供17.6.4 CCO映像。

17.6.4

Cisco IOS XE 17.6.4是仅限漏洞修复版本，但配置选项除外（在CLI和GUI中），用于在AP加入配置文件下启用AP串行控制台。17.6.4中提供了一些关键漏洞修复和对某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)的支持。建议您升级到17.6.4。

17.6.4 APSP1

17.6.4 APSP为CSCwd80290提供修复，该修复允许IW3700 AP加入C9800 WLC，即使在2022年12月4日之后。有关详细信息，请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。

17.6.3

Cisco IOS XE 17.6.3 是仅修复 Bug 的版本。它包括17.3.5a中的所有修复+ CSCwb13784的修复。 

对于使用CMX或DNA空间定位的客户，请注意CSCwb65054。SMU（热补丁）发布在cisco.com上。

17.6.4中提供了许多通过17.6.3中的SMU补丁提供的漏洞修复，并支持某些Catalyst WiFi6接入点的更新版本(请参阅现场通知72424)。  建议您升级到17.6.4 + APSP1。

17.6.2

Cisco IOS XE 17.6.2增加了对少量功能的支持。

• 对802.1的支持，对MAC身份验证失败进行Web身份验证
• 在C9124AXI/E/D室外AP上提供网状网和网状网+ Flex支持
• 在802.11ac wave 2和11ax Catalyst AP上按客户端双向速率限制

17.6.4中解决了17.6.2上的许多关键漏洞，例如CSCwb13784，它可防止路径MTU降至1000字节以下时第2波和第11ax AP加入。建议您升级到17.6.4 + APSP1。

17.6.1

此版本支持的新功能在17.6版本说明中进行了介绍。 17.6.1易受几个严重缺陷的影响，建议您升级到17.6.4

Bengaluru 17.5.1

Cisco IOS XE 17.5.1 是短期版本，未计划任何 MR。参阅17.5寿命终止公告此版本支持的功能列表列于17.5发行版本注释。 对于从17.5开始支持的所有新硬件和功能，建议您迁移到17.6.4 + APSP1。

Bengaluru 17.4.1

Cisco IOS XE 17.4.1 是短期版本，未计划任何 MR。请参阅 17.4 生命周期终止公告。17.4 版本说明中列出了 17.4 中支持的功能列表。对于从17.4开始支持的所有新硬件和功能，建议您迁移到17.6.4 + APSP1。

Amsterdam 17.3

Cisco IOS XE 17.3.x 是一个长期版本，已计划数个 MR。17.3是C9800 WLC支持Cisco IOS AP的最后一个Cisco IOS XE版本（IW3700除外，该版本在更高版本中也受支持）。 Cisco建议使用IOS AP(1700/2700/3700/1572)的所有部署都使用17.3.6 + APSP5 + APSP6 CCO映像。

17.3 版生命周期终止公告已发布，最后计划好的 MR 将于 2023 年 3 月 31 日到期。使用此时间表规划到17.6版本的迁移

17.3.6

Cisco IOS XE 17.3.6主要是漏洞修复版本。它增加了对以下各项的支持

• 适用于9124 AXI/E/D接入点的网状和网状和灵活功能
• 某些Catalyst WiFi6接入点的较新版本(VID)(请参阅现场通知72424)。 

17.3.6 APSP6 

17.3.6 APSP6(CSCwd89180 )取代17.3.6 APSP2并修复多个COS AP（11ac wave2和Catalyst 11ax）缺陷：

CSCvx32806 由于映像校验和验证失败，COS-AP停滞在引导环路中
CSCwc32182 AP 1852无线电固件崩溃(SF 06029787/06121536/06208256)CSCwc89719 AP1832因无线电故障（无线电恢复失败）而崩溃(SF#06180501)
CSCvz99036 思科接入点VLAN绕过本征VLAN漏洞
CSCwd37092 TCP下载缓慢，8.10.181.0/17.3.6 - 2800/3800/4800系列中的TLS身份验证失败
CSCwc78435 9130在带外DFS事件上发送不正确的信道列表导致客户端连接问题
CSCwc88148 Mac挂起问题的其他增强功能(CSCwc72194 )。

17.3.6 APSP5，通过CSCwd83653

17.3.6 APSP5提供思科漏洞ID CSCwd80290的修复程序，即使在2022年12月4日之后，思科IOS AP仍可以加入C9800 WLC。有关详细信息，请参阅https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html和现场通知 FN72524。

17.3.6 APSP2，通过CSCwd40096

17.3.6 APSP2提供Cisco Bug ID CSCwd37092的修补程序

症状：2800/3800/4800/1560/6300接入点的下载缓慢和EAP-TLS身份验证失败。 要确认Bug，请在AP上运行#show控制器nss统计信息，并检查INNER_CAPWAP_REASM_FAILED计数器是否正在递增

解决方法：无；当tcp-adjust-mss 1250在AP加入配置文件下被显式禁用时，仅在C9800上出现TCP下载问题。启用此设置可防止慢速TCP下载，但UDP下载缓慢和EAP-TLS故障仍然存在。

它还包括思科漏洞ID CSCvz99036和思科漏洞ID CSCwc78435的修补程序。

17.3.5亿

Cisco IOS XE 17.3.5b是17.3.5a的更新版本，包含通过SMU补丁提供的漏洞修复和17.3.5a上的升级映像。  有关完整列表，请参阅17.3.5b中已解决的缺陷。

17.3.5安

Cisco IOS XE 17.3.5a的几个重要修复包括

• 修复WNCd中高CPU的已知触发器（探测器、ARP风暴等）
• CAPWAP keepalive优先级，用于在WNCd CPU使用率高峰时防止AP丢弃。 
• Syslog，用于诊断SSID何时停止广播和CLI恢复机制。请参阅CSCwb01162。

注意:CSCwb13784会影响17.3.5a CCO映像，如果路径MTU降至1000字节以下，将阻止wave 2和11ax AP加入，如果路径MTU降至1500字节以下，将阻止Cisco IOS AP(1700/2700/3700)加入。
修复：发布到cisco.com的SMU（热补丁）提供问题的修复，并且必须应用。

17.3.4c

Cisco IOS XE 17.3.4c修复了17.3.4中的几个重要和广泛影响漏洞。 

17.3.4

Cisco IOS XE 17.3.4 是仅修复 Bug 的版本。  

注意：如果运行17.3.3，则使用C9130和C9124的部署需要在升级到17.8.1、17.9.1之前升级到17.3.4c。

17.3.3

Cisco IOS XE 17.3.3 是仅修复 Bug 的版本。

注意：17.3.3易受到CSCvy的攻击11981
症状：WNCD崩溃
触发器：如果AP名称为32个或更多字符，则存在导致此崩溃的内存损坏
解决方法：确保AP名称的字符数等于或小于31。

17.3.2a

Cisco IOS XE 17.3.2a 虽然是一个维护版本，但除 Bug 修复外，还引入了其他功能。这些功能包括

• 使用策略的智能许可（仅在 17.4.1 中提供 GUI 配置）
• OEAP 个人 SSID
• 使用序列号的 AP 授权（扩展到除了带有 wlancc + FIPS + LSC 证书的 AP 之外的所有 AP）
• 网络状态感知和物联网服务在没有 iCAP 的情况下共存
• TLS 隧道连接到 DNA-C on Cloud

17.3.1

Cisco IOS XE 17.3.1 引入了对以下硬件和解决方案的支持

• 9105I 和 9105W 无线接入点
• 9800CL 上的更高吞吐量模板
• Catalyst 9K 交换机（非 SDA）上的嵌入式无线功能
• 用户定义网络 (UDN) 和 UDN 移动应用
• 控制器上的 BLE 管理
• 物联网模块管理

有关完整列表，请参阅 17.3 版本说明

Amsterdam 17.2.1

Cisco IOS XE 17.2.1 是短期版本，没有维护计划。请参阅 17.2 生命周期终止公告。根据现场通知 FN70577 和 CSCvu24770，C9800 的所有 17.2.x 版本均已推迟。Cisco建议迁移到17.3.5b，以便使用Cisco IOS AP(1700/2700/3700/1572)或17.6.4进行部署，而不使用这些Cisco IOS AP(1700/2700/3700/1572)。

Amsterdam 17.1.1

Cisco IOS XE 17.1.1 是短期计划，没有维护计划。请参阅 17.1 生命周期终止 - 公告。由于现场通知 FN70577 和 CSCvu24770，C9800 的所有 17.2.x 版本均已推迟。Cisco建议迁移到17.3.5b，以便使用Cisco IOS AP(1700/2700/3700/1572)或17.6.4进行部署，而不使用这些Cisco IOS AP(1700/2700/3700/1572)。

ASA 16.12

Cisco IOS XE 16.12 是 9800 的第一个长期版本。   16.12.1 引入了对这些硬件和解决方案的支持。

• 9800-L
• Google Cloud 上的 9800-CL
• 9120AXE、9130AXI
• 适用于 Catalyst 无线接入点的嵌入式无线控制器 (EWC-AP)

16.12.6a

从 16.12.2 到 16.12.6a 的所有 16.12.x 版本均为 Bug 修复版本。16.12.6a 是此系列中的最后一个已计划的 MR。请参阅 16.12 生命周期终止公告。  思科建议使用IOS AP(1700/2700/3700/1572)或17.6.4 + APSP1而不使用这些IOS AP(1700/2700/3700/1572)的所有部署迁移到17.3.6 + APSP5 + APSP6。

注意：16.12.4a之前的所有16.12.x版本(16.12.1、16.12.1s、16.12.1t、16.12.2s、16.12.2t、16.12.3、16.12.3s)当前已延期至CSCvu24770版。

IOS XE Gibraltar 16.11.1

Cisco IOS XE 16.11.1 是一个短期版本，不再计划进行更多维护。请参阅寿命终止 — 公告。 对于16.x中的所有功能，Cisco建议迁移至17.3.5b，以便使用IOS AP(1700/2700/3700/1572)或17.6.4而不使用这些IOS AP(1700/2700/3700/1572)进行部署。

Gibraltar 16.10.1

Cisco IOS XE 16.10.1是第一个正式支持Catalyst 9800 SKU的Cisco IOS XE软件版本（设备：9800-40、9800-80；专用/公共云上的9800;9800-CL，以及Catalyst 9300交换机上的9800软件）。  Cisco IOS XE 16.10.1e是第一个支持Cisco DNA Center与Catalyst 9800集成的版本。 这是短期版本，不计划维护版本(MR)。请参阅寿命终止 — 公告。对于16.x中的所有功能，Cisco建议迁移至17.3.5b，以便使用IOS AP(1700/2700/3700/1572)或17.6.4而不使用这些IOS AP(1700/2700/3700/1572)进行部署。

硬件 9800 WLC 上的现场可编程门阵列 (FPGA) 固件

在物理Catalyst 9800 WLC上(9800L、9800-40、9800-80)，除了IOS-XE外，还有另外两个代码可以升级。 

• ROM监控器(ROMMON) — 引导程序在C9800设备上初始化硬件并启动IOS-XE软件。  您可以通过执行此命令来检查设备上运行的 ROMMON 版本。  

#show rom-monitor chassis {active | standby} R0

• PHY - 这是物理层，特别是指在 C9800 设备上支持前端分布和上行链路端口的共享端口适配器 (SPA) 模块。您可以通过执行此命令查看设备上运行的 PHY 版本。

#show platform hardware chassis active qfp datapath pmd ifdev | include FW

通常发布新固件是为了保护系统（温度传感器、风扇、电源等）的运行状况，并解决物理端口内外的数据转发问题。思科建议升级到可用的最新 FPGA 固件。   升级程序，以及如果在升级C9800 FPGA中记录的新固件已发布的具体缺陷。 表1列出了每个平台的版本。

	ROMMON	以太网 PHY	光纤 PHY
9800-LF	16.12(3r)	不适用	17.3.2
9800-LC	16.12(3r)	17.3.2	不适用
9800-40	不适用	不适用	16.0.0
9800-80	17.3(3r)	不适用	16.0.0

9800 WLC 上的高可用性软件维护

C9800 提供多种功能，确保在部署生命周期的软件维护阶段确保提供可用性。其中包括服务中软件升级 (ISSU)、滚动 AP 升级、用于解决 WLC 缺陷或 PSIRT 的热修补和冷修补、用于解决 AP 特定修复的 AP 补丁，以及对于基于现有控制器代码的 AP 较新型号的支持。  

ISSU

对 ISSU 的支持在 17.3.1 中引入，仅限于长期版本（17.3.x、17.6.x 和 17.9.x）。也就是说，ISSU 可在以下版本正常工作

1. 在长期主要版本中，例如，17.3.x 到 17.3.y，17.6.x 到 17.6.y，17.9.x 到 17.9.y
2. 在长寿命主版本之间，例如，17.3.x到17.6.x，17.3.x到17.9.x

注意：这仅限于当前支持的长寿命版本后的两个长期。

以下版本不支持 ISSU

1. 在短期版本系列的次要版本中，例如17.4.x到17.4.y或17.5.x到17.5.y 
2. 在短期版本系列的次要版本和主要版本之间，例如17.4.x到17.5.x 
3. 在长期版本和短期版本之间，例如 17.3.x 到 17.4.x，或 17.5.x 到 17.6.x 之间。

软件维护升级 (SMU) 补丁

C9800支持冷修补和热修补，从而可以将漏洞修复作为软件维护升级(SMU)文件提供。  

• 热修补 - 不需要系统重新加载，这意味着 WLC 和 AP 可持续运行。如果设备是 9800 冗余的状态切换 (SSO) 对，SMU 安装过程会为两台机箱装上补丁。
• 冷修补 - 冷修补需要系统重新加载。面向 9800 SSO 对，可以采用冷修补而无需停机。  

无线接入点服务包

可以通过无线接入点服务包为无线接入点 (AP) 提供软件缺陷修复程序。这需要重新加载 AP，但无需重新加载 9800 WLC。  

无线接入点设备包

现有 WLC 代码支持 AP 较新型号，因此无需升级 WLC 代码。此 AP 将仅支持现有 WLC 代码中的可用功能。

指南和要求 

1. SMU补丁只在MD版本发布后为长寿命版本(如16.12、17.3、17.6、17.9等)生成。
2. SMU 只能应用于运行 Network Advantage 许可证（最低要求）的 9800 WLC。请参阅无线功能矩阵以了解不同的许可证  
3. 适用于大多数部署的SMU发布到cisco.com，供客户自行下载。 
4. SMU 或补丁并非适用于所有 Bug 修复。Bug 修复中涉及的代码更改通常决定可修补性。
5. 基于每个缺陷评估SMU的适用性。 如果您的C9800根据其许可符合SMU补丁的条件，并且您需要针对特定缺陷的SMU，请与Cisco技术支持中心(TAC)联系，以评估Bug。 

有关这些功能的更多详细信息，请参阅 C9800 WLC 修补指南。

适用于不同 9800 的 SMU、APSP 和 APDP 映像在 Cisco.com 上的位置

步骤1:导航到Downloads Home，并在Select a Product的搜索栏中搜索9800，然后选择适用于您的9800。

第二步：从软件类型菜单中，根据需要选择SMU、APSP或APDP。

软件定义接入 (SDA) 说明

请始终参阅 SDA 兼容性矩阵，了解最适合 SDA 的代码组合建议。此矩阵列出了 Cisco DNA Center、身份服务引擎 (ISE)、交换机、路由器和无线局域网控制器代码的特定组合，这些组合已通过思科 SDA 解决方案测试团队的测试。

控制器版本间移动性 (IRCM)

• 2504/7510/vWLC控制器不支持IRCM，只有5508/8510/5520/8540/3504平台支持IRCM。
• 为了获得与AireOS WLC的版本间控制器移动(IRCM)兼容性，
  • TAC建议将AireOS 8.10.171.0用于所有部署。
  • 对于其环境中具有旧WLC或接入点的部署（无法升级至超过AireOS 8.5版本），TAC建议8.5.182.104 IRCM代码。

注意：并非所有8.5代码版本都支持IRCM。cisco.com上提供的8.5 IRCM版本包括8.5.164.0、8.5.164.216、8.5.176.0、8.5.176.1、8.5.176.2、8.5.182.104。

有关 AireOS 建议的代码，请参阅：

https://www.cisco.com/c/en/us/support/docs/wireless/wireless-lan-controller-software/200046-tac-recommended-aireos.html

Catalyst 9800 系列无线控制器支持的功能

版本说明

Cisco IOS XE 每个版本的无线功能列表

AireOS 与 Cisco IOS XE 功能比较

Wave2 和 11ax 无线接入点的 Flexconnect 功能矩阵