從第2波和第11ax存取點(CSCvx32806)上映像損毀引起的開機回圈中復原

簡介

某些思科存取點(AP)可能透過CAPWAP（無線存取點的控制與布建）從9800系列控制器下載損毀的映像。  根據AP的軟體版本，AP可能會嘗試引導損壞的映像，從而導致引導循環。  本文說明如何恢復在啟動環路中停滯的接入點。要瞭解有關哪些產品和部署容易出現此問題的詳細資訊，並瞭解如何在不出現引導環路問題的情況下安全升級，請參閱安全升級接入點，避免導致引導環路的影象損壞一文。

此問題記錄為Field Notice:FN74109 - CAPWAP升級期間的接入點映像損壞可能會導致引導失敗…….

問題條件

未受影響的產品

• 無線區域網路控制器(WLC):  從AireOS無線區域網控制器下載的AP不受影響
• Mobility Express、嵌入式無線控制器

• AP - Aironet 1800/1540/1100AC系列Wave 2 11ac AP和Wave1 11ac存取點(1700/2700/3700/1570/IW3700)不受影響（即使這些AP註冊到9800 WLC，也不會受影響）
• 自2023年推出的Wi-Fi 6E AP:IW9167、IW9165、C9163

受影響的產品

• WLC:從Cisco Catalyst 9800系列無線LAN控制器下載的AP可能會受到影響
  
• AP:註冊到Cisco Catalyst 9800系列無線LAN控制器的以下AP型號受到影響：
  • Aironet Wave2 11ac存取點(2800/3800/4800/1560/IW6330/ESW6300)
  • Catalyst 9100系列Wi-Fi6存取點(9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Catalyst 9100系列Wi-FI6E存取點(9136/9162/9164/9166)

受影響的版本：啟動不良映像綜合症

以下思科錯誤ID可解決此問題，AP嘗試啟動已知已損壞的映像：CSCvx32806 、CSCwc72021 , CSCwd90081 ，已在以下版本中修復：

• 8.10.185.0及更高版本
• 17.3.7及以上
• 17.6.6及以上
• 17.9.3及以上
• 17.11.1及以上

AP升級為具有上述修復程式的軟體後，仍可能下載損壞的映像；但是，它不會嘗試啟動該映像，而是會繼續重新嘗試下載，直到下載成功。

症狀

AP控制檯：

已下載損壞的映像且現在處於引導環路中的AP將顯示類似以下內容的控制檯消息：

驗證/bootpart/part1/ramfs_data_cisco.cpio.lzma的簽名失敗

或

驗證/bootpart/part2/ramfs_data_cisco.squashfs的簽名失敗

記下消息中是否顯示「part1」或「part2」 — 這將指示哪個引導分割槽已損壞。

Syslog或Show logging :

如果接入點配置為登入到外部syslog伺服器，則在嘗試下載映像之前，它將記錄以下錯誤：

映像簽名驗證失敗：-3

在AP CLI（控制檯或SSH）的「show logging」輸出中也可以看到此錯誤消息。  如果自映像更新嘗試後日誌緩衝區已被覆蓋，則可能會在儲存在AP快閃記憶體中的系統日誌檔案中看到錯誤消息。 如果您在show logging中未看到成功或失敗訊息，請使用AP上的任一復原方法通過TFTP或SFTP重新安裝所需的映像。

Cisco Switchport:

處於引導環路狀態的AP將顯示IEEE PD，如下圖所示的AP的上行鏈路交換機埠的Show輸出所示。  （如果使用CDP或LLDP，運行正常的AP將在「裝置」列中顯示其型號）：

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

如何恢復處於引導環路中的AP

確定AP是否具有Alt-boot增強功能

如果AP下載的映像已損壞，並且正在嘗試將其引導，則根據其的u-boot（AP引導載入程式）是否具有Alt-boot（替代引導）增強功能，該程式將顯示以下兩種行為之一

• 不使用Alt-boot:ap將無限嘗試引導損壞的映像，並且需要通過其控制檯埠進行恢復
• 使用Alt-boot:ap將嘗試引導損壞的映像五次，然後從其備份分割槽引導映像。  在這種情況下，可以使用下面記錄的Alt-boot恢複方法之一在不通過控制檯訪問的情況下恢復AP。

Alt-boot u-boot增強功能捆綁在以下軟體版本中：

• 9117/9130/9124 :8.10.190.0、17.3.8+、17.6.6+、17.9.1+
• 9136:17.9.1+
• 916x:所有裝置均具有Alt-boot增強功能
• 9105/9115/9120/2800/3800/4800/1560/6300 :8.10.190.0、17.3.8+、17.6.6+、17.9.4

請注意，如果AP下載了具有Alt-boot增強功能的映像，則其u-boot將升級，即使運行時映像已損壞。  例如，請考慮以下情況：

• 9130 AP已安裝17.3.4c（沒有Alt-boot增強功能）。
• 然後下載17.9.5映像，但下載過程中該映像已損壞。 
• 由於17.3.4c沒有引導不良映像綜合徵的修復程式，因此AP會繼續進行並嘗試引導損壞的映像。 
• 引導新的映像分割槽將導致AP在嘗試引導錯誤的運行時映像之前，升級到17.9.5 u-boot。
• 然後，AP將嘗試五次引導損壞的17.9.5運行時映像。
• 然後，因為AP現在運行17.9.5 u-boot，所以Alt-boot邏輯會將AP切換為其備份分割槽中的運行時映像。
• 現在無需控制檯訪問即可恢復AP。

恢復處於引導環路中的AP — 使用Alt-boot增強功能

如果您的AP處於引導環路中，並且他們的U-boot具有Alt-boot增強功能，則使用以下過程之一來恢復它們：

如果在AP上啟用了SSH

1. 將所需的AP映像暫存到受影響AP可訪問的TFTP或SFTP伺服器上。  有關對映到所需Cisco IOS® XE版本的15.3(3)J* AP版本，請參閱「相容性清單」中的表4，然後從software.cisco.com下載適用於受影響的AP型號的相應輕量AP軟體映像。
   
   1. 例如，CW9162的17.9.5 AP映像是ap1g6b-k9w8-tar.153-3.JPN4.tar。
2. 阻止受影響的AP加入運行與其損壞分割槽中相同軟體版本的控制器。  因此，請在AP交換機埠上新增CAPWAP ACL，以防止AP再次加入控制器。 例如，AP子網的預設網關介面上可以應用與下面類似的ACL:
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. 讓AP重新啟動五次且映像已損壞，之後應切換到備份分割槽中的工作映像。
   1. 您可以在AP的交換機上使用show cdp neighbor <interface> detail命令來檢視AP的備份分割槽中的代碼版本。  （如果AP正在引導損壞的映像，則CDP不會在其埠上啟動。）
4. 一旦AP獲得工作備份映像，它將嘗試加入控制器，但由於步驟2中新增了ACL，因此無法加入。
5. SSH連線到每個受影響的AP(如果大量的AP受到影響，可以通過WLAN Poller自動執行此步驟。)
6. 現在使用archive download命令將所需的映像下載到AP的備份分割槽中：
   archive download-sw /no-reload tftp://<ip-address>/<apimage>
   或
   archive download-sw /no-reload sftp://<ip-address>/<apimage>
   這將用有效映像覆蓋損壞的映像。  映像下載完成後，發出：
   test capwap restart
   這將重新啟動CAPWAP進程，以便AP能夠識別新安裝的映像。
   
7. 現在移除ACL，並將AP加入控制器。它不會再次下載該映像。

如果AP上未啟用SSH，但AP具有備用引導增強功能

1. 確保AP不會嘗試加入運行與其損壞分割槽中相同軟體版本的控制器。  因此，請在AP交換機埠上新增CAPWAP ACL，以防止AP再次加入控制器。
2. 啟動運行不同於AP損壞版本的軟體版本的控制器。
   
   1. 您可以在AP的交換機上使用show cdp neighbor <interface> detail命令來檢視AP的備份分割槽中的代碼版本。  （當AP啟動損壞的映像時，CDP在其埠上無法啟動。）
   2. 如果暫存運行AP備份版本的控制器不可行，則（如果9800），至少暫存一個版本並修復Boot a Bad Image Syndrome和Alt-boot。
   3. 另一個選項是讓運行8.10.190.0或更高版本的AireOS控制器，因為從AireOS下載的CAPWAP不會損壞映像。
3. 進行設定，以便AP可以發現備用控制器 — 例如，通過DHCP選項43、IP幫助程式地址或DNS。
   1. 請注意，如果備用控制器運行的Cisco IOS XE版本與AP的備份不同，則AP可能會下載損壞的映像，因此請對可能新損壞的任何AP重複此過程。
4. AP加入備用控制器後，將所需的映像下載到AP:
   1. 將所需的AP映像暫存到受影響AP可訪問的TFTP或SFTP伺服器上。  有關對映到所需Cisco IOS XE版本的15.3(3)J* AP版本，請參閱「相容性清單」中的表4，然後從software.cisco.com下載適用於受影響的AP型號的相應輕量AP軟體映像。
      
      1. 例如，CW9162的17.9.5 AP映像是ap1g6b-k9w8-tar.153-3.JPN4.tar。
   2. 在受影響的AP上啟用ssh，並使用ssh連線到每個受影響的AP(如果大量的AP受到影響，可以通過WLAN輪詢器自動執行此步驟。)
      1. 現在使用archive download命令將所需的映像下載到AP的備份分割槽中：
         archive download-sw /no-reload tftp://<ip-address>/<apimage>
         或
         archive download-sw /no-reload sftp://<ip-address>/<apimage>
         這將用有效映像覆蓋損壞的映像。 
      2. 映像下載完成後，發出：
         test capwap restart
         這將重新啟動CAPWAP進程，以便AP能夠識別新安裝的映像。
   3. 除了在AP上執行archive download-sw外，您還可以使用以下控制器命令讓AP從TFTP伺服器下載所需的映像：
      1. 在Cisco IOS XE中：ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
      2. 在AireOS中：config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
         
      3. 監控TFTP伺服器日誌，驗證每個AP是否已成功下載映像。  下載完成後，每個AP將重新載入，運行新下載的映像。
         
5. 移除步驟1中安裝的ACL，並讓AP加入所需的控制器。

通過控制檯恢復

如果AP處於引導環路中，並且AP沒有Alt-boot增強功能，則必須通過控制檯恢復AP。

對於所有AP型號：確定哪個引導分割槽已損壞

首先，確定哪個引導分割槽已損壞。

1. 連線到AP控制檯
   
2. 觀察AP嘗試啟動，直到您看到消息
   驗證/bootpart/part1/ramfs_data_cisco.cpio.lzma的簽名失敗
   或
   驗證/bootpart/part2/ramfs_data_cisco.cpio.lzma的簽名失敗
   (此消息可能會說「ramfs_data_cisco.squashfs」，而不是「ramfs_data_cisco.cpio.lzma」
   
3. 記下哪個分割槽part1或part2已損壞

對於AP型號 9117、9124、9130、9136

1. 連線到控制檯時，重新開啟AP的電源。
   

2. 在啟動過程中，當您看到按ESC鍵停止自動啟動時， 按Escape鍵
   

3. 您應該會看到以下提示之一：

   (BTLDR)編號
   或
   (u-boot)>

4. 運行以下命令
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

對於AP型號2802、3802、4800、9105、9115、9120

1. 連線到控制檯時，重新開啟AP的電源。
   

2. 在啟動期間，當您看到按ESC鍵停止自動啟動時，按Escape鍵

3. 這樣您應該會進入(u-boot)>提示符。

4. 運行以下命令

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

常見問題

問題1：我的AP都通過高速、低延遲、低損失的LAN連線連線到其9800。  我是否仍需要執行上述操作？

僅當通過WAN連線升級AP時才會報告此問題。

問題2：我有新的開箱即用的AP。如何在不遇到此問題的情況下部署它們？

如果新的AP在2023年12月之前生產，通過有損耗的WAN鏈路下載代碼也容易出現問題。  建議首先使用本地WLC暫存這些AP。

問題3：關於此問題，我有更多問題。  我可以指引他們給誰？

A:傳送電子郵件至fn74109-questions@cisco.com。