针对 Catalyst 9800 无线局域网控制器推荐的 Cisco IOS XE 版本

简介

本文档介绍有关查找适用于Catalyst 9800无线LAN控制器(C9800 WLC)的最可靠Cisco IOS® XE软件的指南。 

背景

本文档中的信息适用于C9800 WLC的不同外形，其中包括：

• 设备(9800-40、9800-80、9800-L、CW9800M、CW9800H1、CW9800H2)
• 虚拟控制器（私有云和公共云环境中的9800-CL）
• 适用于 Catalyst 9000 系列交换机的嵌入式无线控制器
• 适用于 Catalyst 无线接入点的嵌入式无线控制器 (EWC-AP)

C9800支持的接入点型号包括

• 基于Cisco IOS的11ac Wave 1接入点(1700/2700/3700/1572)（并非所有版本）
• 基于COS的11ac Wave 2接入点(1800/2800/3800/4800/1540/1560)
• 基于COS的Catalyst 11ax 91xx系列接入点(9105/9115/9117/9120/9130/9136/9164/9166)
• 思科无线917x系列接入点(CW9176/CW9178)

建议考虑了与C9800 WLC共存的AireOS WLC。建议涵盖适用于Catalyst 9800 WLC的所有版本Cisco IOS XE软件。通常，新发布的版本（维护版本或新代码系列）在现场至少需要6-8周的吸收时间，并且仅当未报告灾难性问题时，才会成为思科一般建议的候选版本。当我们通过内部测试、TAC案例等接收反馈时，这些建议将会更新。 

思科技术支持中心 (TAC) 建议的版本

注意：
1)SMU和APSP需要Network Advantage许可证。对于具有Network Essentials许可证的部署，可从Cisco TAC请求升级映像。升级至升级映像需要停机。
2)APSP是增量的，即每个APSP版本都包含所有以前版本的APSP的修复。
3)始终建议使用最新的APSP。评估APSP下的错误，并应用包括部署中AP型号修复的APSP。
4)大多数短期版本(如Cisco IOS XE版本17.10.1、17.11.1和较早的维护版本（如17.9.1和17.9.2）在本文档中未提及，因为它们已到达漏洞/安全支持终止日期。C9800 WLC的所有Cisco IOS XE版本的寿命终止(EOL)通知可在以下网址查看：EoL公告
5)本文档仅列出我们在大量部署中看到的版本的漏洞修复。有关影响特定版本的漏洞，请使用漏洞搜索工具。

表1.适用于不同WLC平台的推荐Cisco IOS-XE版本的摘要视图

IOS XE 17.18.1

Cisco IOS XE 17.18是最新的长寿命版本系列。版本说明中列出了此版本中支持的新功能

思科了解以下两个回归：

-9105可能因NBAR而崩溃(Cisco Bug ID CSCwq77367 (E)

-9115/9120显示ETSI域中在升级到17.18.1后使用RF配置文件的信道列表非常少(Cisco bug ID CSCwq79688 (E)

IOS XE 17.17.1

Cisco IOS XE 17.17是短期版本，未计划任何MR。此版本支持的新功能在17.17.1版本说明中列出。

IOS XE 17.16.1

Cisco IOS XE 17.16是短期版本，未计划任何MR。请注意，Cisco IOS XE 17.16不支持Wi-Fi 7 AP，并且不再允许基于Cisco IOS的AP加入。此版本支持的新功能在17.16.1版本说明中列出。

IOS XE 17.15

Cisco IOS XE 17.15是一款长期使用的列车，计划推出多个维护版本(MR)。此版本支持的新功能在17.15.1版本说明中列出。

当需要Wi-Fi 7或17.15特定功能或正在使用CW9800控制器平台时，思科建议对所有部署使用17.15.3（带APSP和SMU）。

17.15.4亿

17,15,4b已发布包括先前在17.15.4中的所有修复程序，以及mDNS问题的修复程序(Cisco bug ID CSCwr09565)。 

17.15.4

由于mDNS网关回归(Cisco Bug ID CSCwr09565),17.15.4已从cisco.com删除。

17.15.3

Cisco IOS XE 17.15.3是17.15版本系列中的第二个维护版本。

IOS XE 17.15.3是推荐的版本，它与SMU和APSP一起用于所有使用CW9800 WLC设备或CW9176和CW9178 WiFi7 AP的部署。 

思科建议考虑应用非重新加载软件维护升级(SMU)CSCwo95396 解决了调配过程中无线局域网控制器(WLC)从Catalyst Center和APSP3 CSCwp重新加载的问题18505

适用于Catalyst 9800无线LAN控制器

这些Bug在此APSP中已解决。

CSCwn18885 Wi-Fi6E/7 AP重新启动时存在访问违规，无崩溃文件，重新加载原因“未知” SF#07624324

CSCwo94810 具有TI WiFi模块（PIT卡车）的IOT客户端无法与916x/9130/917x关联[SF 07835314]

注意：此APSP具有上一个APSP的修复程序

CSCwo81133 信标停滞后，多个IW9167 AP上出现信道不匹配，需要很长时间才能恢复

CSCwo70926 [CW9172I/CW9172H] 17.15.3和17.17.1 CCO映像u-boot更新

17.15.2亿

引入Cisco IOS XE 17.15.2b只是为了支持CW9172I接入点部署，并且希望您在可用时升级到IOS XE 17.15.3。

17.15.2

Cisco IOS XE 17.15.2是17.15版本系列中的第一个维护版本，引入了对

• WiFi7
  • 无线接入点(CW9176I、CW9176D1、CW9178I)
  • WiFi7 AP的多链路操作(MLO)
  • WPA3安全注意事项
• 全局使用AP（将AP PID/SKU与引导模式和管制域分离）
• 思科网络订用
• AP任意定位/超宽带测距技术

警告：对于使用本地交换的Flexconnect部署，客户端在webauth SSID上的漫游可能会随机导致客户端无法到达其网关，有关详细信息，请查看CSCwn17412。

17.15.1

Cisco IOS XE 17.15.1是17.15系列的第一个版本。对于从17.13.1、17.14.1和17.15.1开始支持的所有硬件和功能，思科建议您将部署迁移到17.15.2

17.15.1包含Cisco Bug ID CVE-2024-6387 / CSCwk62269中描述的接入点上“regreSSHion”漏洞的修补程序

IOS XE 17.14.1

Cisco IOS XE 17.14.1 是短期版本，未计划任何 MR。此版本支持的新功能在17.14.1版本说明中列出。这是第一个支持较新Catalyst 9800系列WLC的版本

• 思科Catalyst CW9800M无线控制器
• Cisco Catalyst CW9800H1和CW9800H2无线控制器

对于从17.13.1或17.14.1开始支持的所有新硬件和功能，思科建议您升级到17.15.2。

IOS XE 17.13.1

Cisco IOS XE 17.13.1 是短期版本，未计划任何 MR。此版本支持的新功能在17.13.1发行版本注释中列出。对于从17.13.1开始支持的所有新硬件和功能，思科建议您升级到17.15.2。

都柏林17.12

此版本支持的新功能在17.12.1版本说明中列出。当不需要Wi-Fi 7或17.15特定功能时，思科建议为所有部署使用17.12.5。

17.12比17.9的一些主要优势包括：

• 更多国家/地区支持6GHz
• 为5和6GHz使用单个WPA2+WPA3 SSID的可能性。
• 基于RRM的算法，用于在WNCd进程之间对AP进行负载均衡

17.12.6安

17.12.6a包含来自17.12.6的所有修补程序，以及mDNS问题修补程序(Cisco Bug ID CSCwr09565)的所有修补程序。

17.12.6

由于mDNS网关回归(Cisco Bug ID CSCwr09565),17.12.6已从cisco.com删除。

17.12.5

Cisco IOS XE 17.12.5是17.12系列中的第四个漏洞修复版本。它包含SMU和APSP中针对17.12.4的修复以及许多其他漏洞修复。

SMU CSCwo62157  ：重新加载SMU，在tdl_mac_addr对象中观察到内存泄漏

17.12.5 APSP6包括版本说明中列出的修补程序

17.12.4

Cisco IOS XE 17.12.4是17.12系列中的第三个漏洞修复版本。 

17.12.4 APSP8或17.12.4.208包括中列出的修补程序

17.12.4 APSP8版本说明

17.12.3

Cisco IOS XE 17.12.3是17.12系列中的第二个漏洞修复版本。 

警告：
1)如果您有SD-Access部署，请注意CSCwj04031:当客户端释放IPv6本地链路地址时，WLC强制SGT为0。如果您受到影响，请联系TAC获取SMU补丁。
2)对于HA部署，Ha故障切换可能导致C9800 WLC上的配置丢失，从而导致无线中断。这在CSCwj73634下跟踪，在该模式下，HA故障切换时配置可能会丢失。

17.12.2

Cisco IOS XE 17.12.2是17.12系列中的第一个漏洞修复版本，包括CVE-2023-20198 CVE-2023-20273 / CSCwh87343的修复。 

库比蒂诺17.9

17.9.7

Cisco IOS XE 17.9.7预期是17.9系列的最后一个版本（未来可能的安全漏洞更新除外）。  思科建议您迁移到17.12.5。 

17.9.6

Cisco IOS XE 17.9.6是漏洞修复版本。

17.9.6 APSP3或17.9.6.202

17.9.6 APSP3版本说明

17.9.5

Cisco IOS XE 17.9.5是漏洞修复版本，用于修复17.9.4a和APSP涵盖的所有问题。如果您有9162个AP，请注意CSCwj45141，这是一个从17.9.4APSP8开始的问题 

如果您有SD-Access部署，请注意思科漏洞ID CSCwj04031:当客户端释放IPv6本地链路地址时，WLC强制SGT为0。如果您受到影响，请联系TAC获取SMU补丁。

17.9.4安

发布Cisco IOS XE 17.9.4a是为了解决CVE-2023-20198 CVE-2023-20273 / CSCwh87343中描述的Cisco IOS XE软件Web UI功能中的多个漏洞。

如果您有SD-Access部署，请注意思科漏洞ID CSCwj04031:当客户端释放IPv6本地链路地址时，WLC强制SGT为0。如果您受到影响，请联系TAC获取SMU补丁。

17.9.4a APSP15或17.9.4.215

17.9.4a APSP15版本说明

17.9.4

Cisco IOS XE 17.9.4主要是一个漏洞修复版本，它还会添加

• 产品分析支持
• UAE的行支持

.

17.9.3

Cisco IOS XE 17.9.3是漏洞修复版本，它还会添加

• 支持IW9167E
• 能够在C9800上指定站点负载，以更好地在Wireless Network Control后台守护程序(WNCd)实例间平衡AP
• 重新引入对Wave 1接入点(1700/2700/3700/1572)的支持，但是此支持并未扩展到正常的产品生命周期支持之外。这些AP的功能与17.3上的功能相当，x >=4c支持从17.3.x升级到17.9.3。有关详细信息，请参阅FAQ
• 在C9800上禁用AAA临时记帐的命令

17.9.3 APSP6或17.9.3.206

17.9.3 APSP6版本说明

Bengaluru 17.6

Cisco IOS XE 17.6.x是一款长期使用的系列，有多个维护版本。请参阅17.6寿命终止公告。Cisco建议您迁移到17.12.5。这是直接升级。有关详细信息，请参阅到17.12.x的升级路径。 

17.6.8

Cisco IOS XE 17.6.8是最后一个维护版本，为最近的漏洞建议提供修复。 

Amsterdam 17.3

Cisco IOS XE 17.3.x是一款具有若干维护版本(MR)的长寿命系列。17.3已达到17.3生命周期终止公告中所述的软件维护终止日期。17.3的最后一个MR是仅psirt版本，计划于2023年9月发布。思科建议您迁移到17.12.5。此迁移可能需要交错升级，具体取决于您当前运行的17.3.x版本。有关详细信息，请参阅到17.12.x的升级路径。 

17.3.8安

Cisco IOS XE 17.3.8a是17.3版本系列中的最后一个漏洞修复MR。如果您无法迁移到推荐版本，需要继续使用17.3系列，Cisco建议使用17.3.8a。

直布罗陀16.x

Cisco IOS XE 16.10.1 是 Cisco IOS XE 软件的第一版，正式支持 Catalyst 9800 SKU（设备：9800-40，9800-80;私有/公共云上的 9800、9800-CL和Catalyst 9300交换机上的9800软件)，目前已经停产(EoL)。 因为针对16.x版本系列发布了两个版本 — 16.11.1(EoL)和16.12.1(EoL)。 Cisco IOS XE 16.12.1是C9800 WLC的第一个长期培训，增加了对Google云上的9800-L、9800-CL和Catalyst接入点(EWC-AP)上的嵌入式无线控制器的支持，以及其他功能。

16.12.8

这是16.x系列中的最后一个维护版本(MR)。Cisco建议您将部署迁移到17.12.5。此迁移需要交错升级。有关详细信息，请参阅到17.12.x的升级路径。 

硬件 9800 WLC 上的现场可编程门阵列 (FPGA) 固件

在物理Catalyst 9800 WLC(9800L、9800-40、9800-80)上，除了Cisco IOS XE外，还有另外两段代码可以需要升级。

• ROM监控器(ROMMON) — 引导程序在C9800设备上初始化硬件并启动IOS XE软件。  您可以通过执行此命令来检查设备上运行的 ROMMON 版本。  

#show rom-monitor chassis {active | standby} R0

• PHY - 这是物理层，特别是指在 C9800 设备上支持前端分布和上行链路端口的共享端口适配器 (SPA) 模块。也可以称为以太网/硬件可编程器。您可以通过执行此命令查看设备上运行的 PHY 版本。

#show platform hardware chassis active qfp datapath pmd ifdev | include FW

通常发布新固件是为了保护系统（温度传感器、风扇、电源等）的运行状况，并解决物理端口内外的数据转发问题。思科建议升级到可用的最新 FPGA 固件。 

升级程序，以及如果在升级C9800 FPGA中记录的新固件已发布的具体缺陷。 

表1列出了每个平台的版本。

9800 WLC 上的高可用性软件维护

C9800 提供多种功能，确保在部署生命周期的软件维护阶段确保提供可用性。其中包括服务中软件升级 (ISSU)、滚动 AP 升级、用于解决 WLC 缺陷或 PSIRT 的热修补和冷修补、用于解决 AP 特定修复的 AP 补丁，以及对于基于现有控制器代码的 AP 较新型号的支持。  

ISSU

对 ISSU 的支持在 17.3.1 中引入，仅限于长期版本（17.3.x、17.6.x 和 17.9.x）。 也就是说，ISSU 可在以下版本正常工作

1. 在长期主要版本中，例如，17.3.x 到 17.3.y，17.6.x 到 17.6.y，17.9.x 到 17.9.y
2. 在长寿命主版本之间，例如，17.3.x到17.6.x，17.3.x到17.9.x

注意：这仅限于当前支持的长期版本之后的两个长期版本。

以下版本不支持 ISSU

1. 在短期版本系列的次要版本中，例如17.4.x到17.4.y或17.5.x到17.5.y 
2. 在短期版本系列的次要版本和主要版本之间，例如17.4.x到17.5.x 
3. 在长期版本和短期版本之间，例如 17.3.x 到 17.4.x，或 17.5.x 到 17.6.x 之间。

软件维护升级 (SMU) 补丁

C9800支持冷修补和热修补，从而可以将漏洞修复作为软件维护升级(SMU)文件提供。  

• 热修补 - 不需要系统重新加载，这意味着 WLC 和 AP 可持续运行。如果设备是 9800 冗余的状态切换 (SSO) 对，SMU 安装过程会为两台机箱装上补丁。
• 冷修补 - 冷修补需要系统重新加载。面向 9800 SSO 对，可以采用冷修补而无需停机。  

无线接入点服务包

可以通过无线接入点服务包为无线接入点 (AP) 提供软件缺陷修复程序。这需要重新加载 AP，但无需重新加载 9800 WLC。  

无线接入点设备包

现有 WLC 代码支持 AP 较新型号，因此无需升级 WLC 代码。此AP仅支持现有WLC代码中可用的功能。

指南和要求 

1. SMU补丁只在MD版本发布后为长寿命版本(如16.12、17.3、17.6、17.9等)生成。
2. SMU 只能应用于运行 Network Advantage 许可证（最低要求）的 9800 WLC。请参阅无线功能矩阵以了解不同的许可证  
3. 适用于大多数部署的SMU发布到cisco.com
4. SMU 或补丁并非适用于所有 Bug 修复。Bug 修复中涉及的代码更改通常决定可修补性。
5. SMU的适用性会根据每个缺陷进行评估。如果您的C9800根据其许可符合SMU补丁的条件，并且您需要针对特定缺陷的SMU，请与Cisco技术支持中心(TAC)联系以评估Bug。 

有关这些功能的更多详细信息，请参阅 C9800 WLC 修补指南。

适用于不同 9800 的 SMU、APSP 和 APDP 映像在 Cisco.com 上的位置

第 1 步： 前往 Downloads Home（下载首页），并在 Select a Product （选择产品）搜索栏中搜索 9800 ，选择适用的 9800 规格。

第 2 步： 从 Software Type（软件类型）菜单中，根据需要选择 SMU、APSP 或 APDP。

软件定义接入 (SDA) 说明

请始终参阅 SDA 兼容性矩阵，了解最适合 SDA 的代码组合建议。此矩阵列出了 Cisco DNA Center、身份服务引擎 (ISE)、交换机、路由器和无线局域网控制器代码的特定组合，这些组合已通过思科 SDA 解决方案测试团队的测试。

控制器版本间移动性 (IRCM)

• 2504/7510/vWLC控制器不支持IRCM，只有5508/8510/5520/8540/3504平台支持IRCM。
• 对于版本间控制器移动(IRCM)与AireOS WLC的兼容性，通常
  • 思科建议对所有部署使用AireOS 8.10.196.0。
  • 对于其环境中具有旧WLC或接入点的部署（无法升级至AireOS 8.5之后），TAC建议8.5.182.109（3504为8.5.182.111）IRCM代码。

注意：并非所有8.5代码版本都支持IRCM。cisco.com上提供的8.5 IRCM版本包括8.5.164.0、8.5.164.216、8.5.176.0、8.5.176.1、8.5.176.2、8.5.182.104。

警告：
使用运行8.10.185.0到8.10.196.0的1800系列AP(1815/1830/1850)进行部署时，可能会报告5Ghz的信道利用率极高，从而导致性能问题，这是由于CSCwb51757的投入使用导致的衰退
对于1815系列AP，修复程序位于8.10.190.9 / 8.10.196.7中，可从TAC获得。
对于1830/1850系列AP，由于此修复程序在8.10代码系列中不可用，为避免此问题，遇到此问题的AireOS部署需要降级到CSCwb51757之前的代码。 commit，8.10.183.0。

有关 AireOS 建议的代码，请参阅：

https://www.cisco.com/c/en/us/support/docs/wireless/wireless-lan-controller-software/200046-tac-recommended-aireos.html

Catalyst 9800 系列无线控制器支持的功能

发行说明

Cisco IOS XE 每个版本的无线功能列表

AireOS 与 Cisco IOS XE 功能比较

接入点和WLC选择器

💥🍪