簡介
本文檔介紹通過WAN高效升級思科AP映像的方法,以解決延遲和可靠性難題。
思科存取點映像升級方法
定期映像升級對思科接入點(AP)至關重要,但是通過高延遲廣域網(WAN)鏈路執行到遠端站點可能非常困難。標準CAPWAP映像下載方法雖然對本地網路有效,但速度可能較慢,而且在WAN上的可靠性可能較低。本節將探討為什麼會發生這種情況,並概述為高效遠端升級而設計的替代和增強方法。
挑戰:通過WAN下載標準CAPWAP映像
RFC 5415 9.1節中定義了透過CAPWAP升級AP映像的基本程式。此機制允許無線LAN控制器(WLC)透過CAPWAP通道將新AP映像直接提供到連線的AP。 對於包含韌體資料塊的每個影象資料請求消息(RFC 5415,第9.1.1節),WLC在傳送下一個塊之前,會等待來自AP的相應影象資料響應確認(RFC 5415,第9.1.2節)。
此圖說明AP處於運行狀態時,AP和WLC之間的映像傳輸過程。
AP影象傳輸處理流程
如前所述,WLC會傳送包含韌體映像資料區塊的影像資料請求訊息。AP通過傳送影象資料響應消息確認收到這些資料塊。此交換會一直持續,直到傳輸整個映像。
對於每個影象資料請求消息,相應的影象資料響應消息被預期為確認。這表示AP必須等待每個影象資料包到達,確認該資料包,然後等待下一個資料包。這會導致WAN環境中的映像下載速度緩慢。
舉個例子:如果AP和WLC之間的來回時間(RTT)為100ms,這實際上將傳輸速率限製為約每秒10個資料包。如果每個資料包大小為1000位元組,則最大吞吐量為10 KB/秒。如果AP映像是50MB,理論上的完成傳輸的最小時間大約為5120秒。這說明,即使有大量的頻寬可用,由於此停止和等待確認機制,CAPWAP映像下載也會感覺緩慢。在WLC和AP屬於同一園區網路且延遲最小的本地映像傳輸中,這種影響不太明顯。
為緩解標準CAPWAP控制路徑傳輸機制中固有的這些限制,尤其是在高延遲或頻寬受限的廣域網環境中,引入了三種增強功能。
- CAPWAP視窗增強通過實現多資料包滑動視窗來改進CAPWAP控制路徑本身,該視窗允許在要求確認之前傳送多個資料包,從而在CAPWAP框架內的高延遲鏈路上增加吞吐量。
- FlexConnect模式下的高效映像升級是專門為FlexConnect AP設計的最佳化方法,這些接入點通常部署在廣域網頻寬有限的分支機構。此方法通過分發映像下載任務來最大程度降低WAN負載。
- 基於帶外HTTPs的AP映像下載方法利用在控制器上的專用Web伺服器上運行的單獨、更高效的HTTPs協定進行映像傳輸,將其移出限制性CAPWAP控制隧道之外,解決了這一問題。
CAPWAP影像下載視窗增強功能
此功能可提高Office Extend接入點(OEAP)或遠端工作人員AP專用的基於CAPWAP的映像下載速度。它解決了標準CAPWAP控制通道只有一個視窗的限制,該視窗要求傳送下一個資料包之前對每個資料包進行確認,從而降低了通過高延遲鏈路進行的傳輸速度。此增強功能增加了對控制資料包的多個滑動視窗的支援。
CAPWAP視窗大小的影響
CAPWAP影象下載過程通過控制通道上的效率受配置的視窗大小影響顯著,尤其是在高延遲鏈路上。
CAPWAP視窗大小= 1(預設/標準):資料包流表現出嚴格的停止和等待行為。對於WLC傳送的每個影象資料請求資料包,WLC會暫停並等待來自AP的影象資料響應確認,然後再傳送下一個資料包。
視窗大小為1的CAPWAP映像升級流程
在CAPWAP視窗大小= N(例如,20)的情況下:資料包流演示了滑動視窗機制。通過在要求確認之前允許多個資料包在鏈路上傳輸,滑動視窗有效地遮蔽了延遲。
視窗大小為20的CAPWAP映像升級流程
流程概述
- 專門為OEAP/遠端工作人員AP配置AP配置檔案。
- 在此配置檔案中將CAPWAP視窗大小設定為大於1。
- 將此AP配置檔案關聯到OEAP/遠端工作人員AP。
- 在AP加入過程中,將應用配置的視窗大小。
- 後續的CAPWAP映像下載會利用更大的視窗大小,從而提高吞吐量。
組態(CLI)
配置AP配置檔案並設定CAPWAP窗口大小:
configure terminal ap-profile capwap window size <- Between 3 to 20
end
將AP配置檔案與站點標籤關聯並應用到AP(類似於高效映像升級中的步驟2和3,確保通過站點標籤連結正確的ap配置檔案)。
驗證(CLI)
show ap profile name detailed | in indo <- View CAPWAP window size in an AP profile
show capwap client rcb | in Window <- View CAPWAP status and modes for a specific AP(Look for CAPWAP Sliding Window and Active Window Size)
show ap config general | in indo <- View AP configuration details(Shows Capwap Active Window Size)
限制/注意事項
- 此增強功能僅在OEAP配置檔案中受支援。
- 僅在AP加入過程中在AP上更新視窗大小。
- 如果AP上已存在最新的升級映像,則不會觸發預下載。
附註:雖然此增強功能主要針對OEAP進行記錄,但是也觀察到它適用於常規FlexConnect AP。但是,尚未對FlexConnect部署進行完全測試/支援。
FlexConnect模式下的高效映像升級
高效映像升級是專門針對FlexConnect AP設計的最佳化方法,尤其適用於廣域網頻寬有限的分支機構部署。此方法通過在站點標籤內指定主AP從控制器下載映像,然後允許同一站點標籤中的其他從屬AP通過TFTP從主AP下載映像,從而將WAN負載降至最低。主AP是每個站點標籤的每個型號一個AP。
流程概述
- 新的AP映像暫存在WLC上。
- FlexConnect AP分配給為高效映像升級配置的站點標籤。
- WLC在站點標籤內為每個型號選擇一個AP作為主AP。
- 主AP通過WAN鏈路(通常通過CAPWAP)從WLC下載映像。
- 主AP獲得映像後,位於同一站點標籤中的從屬AP會通過TFTP通過本地網路從主AP下載映像。
- 最多可以從一個主AP同時下載三個從屬AP。
- 下載後,AP將重新載入以運行新映像。
優勢
- 通過僅讓主AP通過WAN下載映像來降低WAN頻寬消耗。
- 利用更快的本地網路鏈路(通過TFTP)將映像分發到下屬AP。
組態(CLI)
Enable Predownload in Flex Profile:
configure terminal
wireless profile flex
predownload <- Enables the Efficient Image Upgrade option.
end
Configure a Site Tag and Associate Flex Profile:
configure terminal
wireless tag site
flex-profile <- Ensure 'no local-site' is configured if not already, for Flexconnect mode
end
Attach Policy Tag and Site Tag to AP(s):
configure terminal
ap <- Use wired MAC address
policy-tag
site-tag
rf-tag
end
Trigger Predownload to a Site Tag:
enable
ap image predownload site-tag start
驗證(CLI)
show ap primary list <- Display list of primary APs
show ap image <- Display predownload status of APs: (Initially shows 'Predownloading', then 'Complete')
show ap name image <- Display image details for a specific AP
show capwap client rcb <- Check if Flex efficient image upgrade is enabled on the AP console
限制/注意事項
- 通過站點標籤加入的AP必須位於同一物理位置,以便進行有效的本地TFTP傳輸。
- 將TCP埠8443用於偵聽程式服務(也用於客戶端調試捆綁包和Clean Air檔案等其他功能)。 即使停用該功能,此連線埠仍會保持開放狀態。
- 需要WLC處於安裝模式。
帶外HTTPs型AP映像下載
基於OOB HTTPs的AP映像下載是Cisco IOS® XE Dublin 17.11.1中引入的增強方法,用於通過將映像傳輸到標準CAPWAP控制路徑之外來提高AP映像升級效能。其主要優勢和安全網路在於,如果HTTPs下載失敗,它將自動回退到標準的帶內CAPWAP下載。
OOB HTTPs方法利用標準TCP和HTTPs進行映像傳輸。與CAPWAP控制通道的停止和等待機制不同,TCP本身使用滑動視窗機制,允許通過高延遲鏈路進行有效的批次資料傳輸。
此方法利用在控制器上運行的Web伺服器(nginx),以透過HTTPs直接將存取點映像提供到存取點。這繞過了用於大型檔案傳輸的CAPWAP控制路徑的限制,提供了可能更快、更靈活的下載機制。
使用案例
此方法有利於加速AP映像升級,尤其是在大型部署或遠端站點,在這些站點中,CAPWAP控制隧道的延遲和頻寬限制可能使得傳統的帶內下載非常耗時。
流程概述
- 新的AP映像在WLC上暫存。
- 控制器上啟用並配置了OOB HTTPs升級方法。
- AP(如果支援OOB方法)會嘗試通過已配置埠上的HTTP從控制器上的nginx Web伺服器下載所需的映像。
- 如果HTTPs下載成功,AP將繼續執行升級過程。
- 如果HTTPs下載失敗,AP將自動回退到標準的帶內CAPWAP下載方法。
資料包捕獲顯示WLC充當HTTPs伺服器,AP充當HTTPs客戶端,通過埠8443和檔案下載啟動標準TCP連線。
基於HTTPS的映像升級封包流量
組態(CLI)
Enable the HTTPS upgrade method:
configure terminal
ap upgrade method https
end
Configure a custom HTTPS port (Optional - default is 8443):
configure terminal
ap file-transfer https port
end
組態(GUI)
- 導覽至Configuration > Wireless > Wireless Global。
- 在「AP Image Upgrade」部分中,啟用HTTPs方法。
- (可選)在「HTTPs埠」欄位中輸入值。
- 按一下Apply to Device。
驗證(CLI)
show ap upgrade method <- Check global HTTPS method status
show ap file-transfer https summary <- View configured and operational HTTPS file transfer port
show ap name config general | sec Upgrade <- Check if a specific AP supports OOB capability (Look for "AP Upgrade Out-Of-Band Capability : Enabled")
show wireless stats ap image-download <- View the method used for recent downloads (Check the Method column)
show platform software yang-management process <- Verify nginx server status
限制/注意事項
- 需要Cisco IOS® XE Dublin 17.11.1或更高版本。
- 思科嵌入式無線控制器或Cisco Wave 1接入點不支援。
- 需要在控制器上啟用全域性HTTPS配置。
- Nginx伺服器必須在控制器上運行。
- 控制器和AP之間必須可以訪問已配置的埠。
- 如果HTTPS伺服器信任點具有CA證書鏈,升級可能失敗。
- 在降級到Cisco IOS® XE 17.11.1之前的版本之前必須禁用(無ap升級方法https)。
- 保留埠443。避免使用其他標準/公認埠。
- 預設埠8443衝突:如果控制器GUI HTTPS訪問也使用8443,請為AP檔案傳輸或GUI訪問配置不同的埠。
通過TFTP/SFTP手動升級各個AP
此方法包括通過控制檯或SSH直接訪問AP CLI並從TFTP或SFTP伺服器啟動映像下載。這適用於疑難排解特定AP、升級目前未加入控制器的AP,或載入由TAC提供的偵錯映像。
查詢AP映像:
此過程實際上會將AP映像直接載入到AP。在基於WLC的升級中,WLC會負責從WLC映像套件中選擇正確的AP映像。在這裡,需要手動選擇。
AP映像版本使用的命名約定與WLC映像命名約定不同。
導覽至Cisco Catalyst 9800系列無線控制器軟體版本中的支援存取點連結
Cisco Catalyst 9800系列無線控制器軟體版本中支援的接入點
無線AP相容性矩陣
第一列說明9800 WLC的CCO映像。第三列列出相應的影象版本,第四列列出該版本支援的接入點。假設需要在AP 9130上為版本17.12.4安裝AP映像。檢查表後顯示AP映像名稱為15.3(3)JPQ3,並且9130被列為受支援的型號。
下一步是導航至software.cisco.com,然後從AP下載資料夾獲取映像。
「Downloads Home/ Wireless / Access Points / Catalyst 9130AX Series Access Points / Catalyst 9130AXI Access Point / Lightweight AP Software- 15.3.3-JPQ3(ED)(下載首頁/無線/接入點/Catalyst 9130AX系列接入點/Catalyst 9130AXI接入點/輕量AP軟體 — 15.3.3-JPQ3(ED)」)
軟體下載 — Catalyst 9130AXI存取點
AP映像位置
流程概述
- 將目標AP映像檔案存放到可訪問的TFTP或SFTP伺服器上。
- 訪問AP CLI(控制檯或SSH)。
- 運行命令archive download-sw,指定伺服器和映像檔案路徑。
- AP下載映像。
- 下載完成後,重新啟動CAPWAP進程或重新載入AP以使新映像生效。
配置(AP CLI)
archive download-sw /no-reload tftp:/// <- Using TFTP:
archive download-sw /no-reload sftp:/// Username: Password: <- Using SFTP:
reload <- Restart CAPWAP process after download:
驗證
- 監控TFTP/SFTP伺服器日誌以確認下載。
- 觀察AP控制檯下載進度和完成情況。
- 重新啟動/重新載入後,在AP CLI或WLC上驗證新的映像版本。
限制/注意事項
- 需要對每個AP進行直接CLI訪問。
- 不可擴展,無法單獨升級大量AP(指令碼是一個選項)。
- TFTP效能對延遲敏感;SFTP(使用TCP)在高延遲路徑上效能更佳,但需要互動式身份驗證(使用者名稱/密碼)。
- The/no-reloadage可防止AP在下載後立即重新載入,從而允許手動控制重新啟動/重新載入計時。
- 如果將AP從AireOS遷移到9800,建議在加入9800之前,首先將AP升級到具有修復功能的特定AireOS版本(8.10.190.0或更高版本)。
提示:WLAN Poller是一種工具,可用於建立手動升級多個AP的指令碼。在此位置找到WLAN輪詢器。WLAN輪詢器
使用哪種方法
- 對於使用高延遲鏈路的OEAP或遠端工作人員AP:
啟用CAPWAP映像下載時間增強功能。這是專門為通過使用滑動視窗來提高CAPWAP效能而設計的,它直接解決了CAPWAP框架中的延遲問題。
- 對於廣域網頻寬有限的分支機構中的FlexConnect AP:
在FlexConnect模式下利用高效的映像升級。強烈建議使用此方法,因為它通過使用主AP通過TFTP進行本地分發,利用更快的內部網路速度,從而顯著減少了WAN負載。
- 對於受支援平台(Cisco IOS® XE 17.11.1+)上的本地模式AP(或者,如果前面討論的方法不適用或不足,則為FlexConnect/OEAP):
考慮帶外基於HTTPs的AP映像下載。此方法使用TCP/HTTP進行批次傳輸,與標準CAPWAP相比,該方法在高延遲鏈路上的效率更高。如果OOB傳輸失敗,它還提供回退到標準CAPWAP。
- 若要對單個AP進行故障排除,請升級未加入WLC的AP,或者在緊急情況下升級:
通過TFTP/SFTP執行手動單個AP升級。這樣可直接控制特定裝置的升級過程,但不適用於沒有自動化的大規模部署。由於使用TCP,SFTP通常優先於TFTP,因此其效能優於高延遲路徑。
- 標準CAPWAP升級:雖然是預設配置,但通常不建議將其作為通過高延遲WAN鏈路升級遠端AP的主要方法,因為其固有的停止和等待機制會導致傳輸速度緩慢,並且舊版本中可能存在可靠性問題。儘可能對遠端站點使用所述的最佳化方法。
選擇最符合您存取點作業模式、網路條件、WLC軟體版本和升級作業規模的方法,以確保您的遠端AP的流程順暢且高效。
結論
雖然標準CAPWAP映像下載方法適用於本地網路,但通過廣域網鏈路進行遠端AP部署可顯著受益於最佳化的升級技術。瞭解標準CAPWAP對高延遲的限制有助於選擇正確的方法。CAPWAP映像下載時間增強功能提高了OEAP/遠端工作人員AP的效能,高效映像升級通過減少WAN負載來最佳化FlexConnect部署,帶外HTTP為受支援的平台提供了更快的替代方案。手動TFTP/SFTP方法依然是故障排除和特定場景的重要工具。
參考資料
高效映像升級
帶外AP映像下載
AP映像下載時間增強(僅限OEAP或遠端工作人員)
思科無線控制器平台軟體版本支援的思科接入點
WLAN輪詢器
使用WLANoller從AireOS WLC遷移到Catalyst 9800