安全升級接入點，避免導致引導環路的影象損壞

簡介

某些思科存取點(AP)可能透過CAPWAP從9800系列控制器下載損毀的映像。  根據AP的軟體版本，AP可能會嘗試引導損壞的映像，從而導致引導循環。  本文說明哪些AP型號和哪些網路路徑易受映像損壞，以及如何安全升級。

如果由於此問題，您的AP現在處於引導環路中，請參閱文章Recover from a boot loop caused by Wave 2 and 11ax Access Points(CSCvx32806 )以獲取有關恢復步驟的指導。

此問題記錄為Field Notice:FN74109 - CAPWAP升級期間的接入點映像損壞可能會導致引導故障 — 建議進行軟體升級。

如何判斷升級是否容易發生映像損壞

如果您部署以下情況，您的AP可能容易下載損壞的軟體，然後嘗試啟動該軟體：

未受影響的產品

• 無線區域網路控制器(WLC):  從AireOS無線區域網控制器下載的AP不受影響
• Mobility Express、嵌入式無線控制器

• AP - Aironet 1800/1540/1100AC系列Wave 2 11ac AP和Wave1 11ac存取點(1700/2700/3700/1570/IW3700)不受影響（即使這些AP註冊到9800 WLC，也不會受影響）
• 自2023年推出的Wi-Fi 6E AP:IW9167、IW9165、C9163

受影響的產品

• WLC:從Cisco Catalyst 9800系列無線LAN控制器下載的AP可能會受到影響
  
• AP:註冊到Cisco Catalyst 9800系列無線LAN控制器的以下AP型號受到影響：
  • Aironet Wave2 11ac存取點(2800/3800/4800/1560/IW6330/ESW6300)
  • Catalyst 9100系列Wi-Fi6存取點(9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Catalyst 9100系列Wi-FI6E存取點(9136/9162/9164/9166)

受影響的版本：啟動不良映像綜合症

以下思科錯誤ID可解決此問題，AP嘗試啟動已知已損壞的映像：CSCvx32806、CSCwc72021、CSCwd90081，已在以下版本中修復：

• 8.10.185.0及更高版本
• 17.3.7及以上
• 17.6.6及以上
• 17.9.3及以上
• 17.11.1及以上

將接入點升級為具有上述修復程式的軟體後，仍可能下載損壞的映像；但是，它不會嘗試啟動該映像，而是會繼續重新嘗試下載，直到下載成功。

受影響的網路路徑

在9800和AP之間的LAN路徑中未發現AP映像損壞問題，即具有完整1500位元組IP MTU的路徑（具有低延遲和非常低的資料包丟失）不會受到影響。  通過WAN上的CAPWAP隧道更有可能出現問題，具有以下路徑特徵：

• 高資料包丟失
• capwap MTU低（小於1485位元組） — MTU越低，風險越高
  
  • 低CAPWAP MTU可能是資料包丟失的症狀
    

如何判斷您的網路路徑是否處於風險中

• 在9800上，使用
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • 如果給定的AP的MTU出現波動，則這是風險的強有力指標
• 或show ap config general | include CAPWAP\ Path\ MTU (在show tech-support wireless)
  
  • 在9800的「show tech-support wireless」輸出上使用Wireless Config Analyzer Express(WCAE)，在「Access Points > Configuration」下檢視AP的MTU
    
• 在9800上，使用「show ap uptime」並查詢具有長的「AP運行時間」和短的「關聯運行時間」的AP
  • 如果AP沒有理由具有短的關聯運行時間（即沒有重新配置），則這可能表明存在風險的網路路徑

如何從未修復的AP軟體版本安全升級

附註：如果您的部署容易出現映像損壞（例如，受影響的AP型號、運行沒有引導不良映像綜合徵修復程式的軟體、存在風險的WAN特徵），則不要僅通過升級9800軟體、讓AP重新加入和下載新軟體進行升級 — 它們可能會出現映像損壞並進入引導循環。  而是使用以下方法之一：

使用本地的WLC升級AP

如果可能，在AP的LAN上放置暫存控制器 — 這可以是9800-CL，或（對於Wave 2 / Wi-Fi 6 AP）在EWC模式下的AP，然後將AP升級到目標版本。  然後，它們將能夠安全地加入生產控制器。

通過AireOS控制器升級

如果您有運行8.10.190.0或更高版本的AireOS控制器，並且AireOS支援您的AP型號，請將AP加入該控制器。  這樣可以安全地將AP升級到固定軟體，然後它們就可以安全地加入生產控制器。

使用歸檔檔案下載 — sw升級

將目標AP映像暫存到升級AP可訪問的TFTP/SFTP伺服器上。  通過TFTP或SFTP進行AP映像升級時不會出現映像損壞問題。  AP可以從AP CLI或從控制器CLI啟動映像下載請求（如果AP已加入控制器）。

1. 在AP可訪問的位置設定TFTP或SFTP伺服器。  請注意，TFTP效能受延遲限制，因此，如果TFTP伺服器與AP處於遠端狀態，下載速度會較慢。  由於SFTP使用TCP，因此若使用高延遲路徑，其吞吐量會更佳。  但是，無法從WLC觸發SFTP，因為它需要互動式對話來輸入使用者名稱和密碼。
2. 在TFTP或SFTP伺服器上暫存所需的AP映像。  有關對映到所需IOS-XE版本的15.3(3)J* AP版本，請參閱相容性矩陣中的表4，然後從software.cisco.com為受影響的AP型號下載相應的輕量AP軟體映像.
   
   1. 例如，CW9162的17.9.5 AP映像是ap1g6b-k9w8-tar.153-3.JPN4.tar。
3. 要通過AP CLI進行升級，請執行以下操作：如果可以通過控制檯或SSH訪問AP的CLI:
   1. 輸入TFTP或SFTP命令：
      archive download-sw /no-reload tftp://<ip-address>/<apimage>
      或
      archive download-sw /no-reload sftp://<ip-address>/<apimage>
      使用者名稱：使用者
      密碼：XXX
      這將用有效映像覆蓋損壞的映像。
   2. 映像下載完成後，發出：
      test capwap restart
      這將重新啟動CAPWAP進程，以便AP能夠識別新安裝的映像。
   3. 要通過「archive download-sw」升級大量AP，而不是在每個AP中單獨輸入命令，您可以使用指令碼編寫方法。  請參閱下面的通過WLAN輪詢器升級AP。
      
4. 如果AP已加入控制器，您可以從控制器CLI升級AP（僅限TFTP）：
   1. 在IOS-XE中：ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
   2. 在AireOS中： config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
      
      1. 雖然從AireOS下載的CAPWAP不易損壞映像，但如果您計畫將AP從AireOS遷移到9800，則應在將AP加入9800之前，先下載包含Alt-boot和Boot a Bad Image綜合症（8.10.190.0或更高版本）修復的AP映像。
         
   3. 監控TFTP或SFTP伺服器日誌，驗證每個AP是否已成功下載映像。  下載完成後，每個AP將重新載入，運行新下載的映像。

通過預下載、監控升級接入點以發現錯誤

在9800上載入目標映像，然後使用AP預下載將新映像推到AP上， 監視AP映像損壞的例項時。

步驟1.驗證C9800 WLC上的AP加入配置檔案下是否已啟用SSH。在網路中設定系統日誌伺服器。在AP Join Profile下為所有站點配置syslog伺服器的IP地址，並將日誌陷阱值設定為Debug。驗證系統日誌伺服器是否正在從AP接收系統日誌。

步驟2.將軟體映像下載到C9800 WLC，準備通過CLI進行預先下載：

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

步驟3.在Cisco C9800 WLC上運行預先下載的AP映像：

C9800# ap image predownload

附註：根據部署的規模和型別，這可能需要幾分鐘到幾小時不等。  在驗證控制器或AP的映像有效之前，請勿重新啟動它們！

步驟4.完成所有AP的預下載後，檢查系統日誌伺服器上的以下兩個日誌消息之一：

• 映像簽名驗證成功。

• 映像簽名驗證失敗：-3

此外，請檢查show ap image summary命令的輸出，並檢查「Failed to Download」的任何例項。  如果計數器不為零，則通過show ap image找到失敗的AP | Include Failed。

注意：如果任何AP記錄映像簽名驗證失敗，或者任何AP下載失敗，則 不要繼續升級過程。如果所有AP顯示 「Image signing verify success」消息，然後所有 AP已正確下載映像，您可以安全地繼續9800升級。

步驟 5.  如果任何AP顯示驗證失敗或下載失敗，則為避免啟動循環，您將需要 使用以下過程用單獨的AP映像的歸檔檔案下載覆蓋AP的備份分割槽中的映像。 

如果失敗的AP數量很小，則只需通過SSH連線到每個AP並啟動以下步驟。

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart

附註：需要「測試capwap重新啟動」，以便AP的CAPWAP進程能夠識別備份分割槽中的映像已更新。  當與9800的CAPWAP連線重新啟動時，這將導致短暫的服務中斷。  如果這是操作問題，此步驟可以延遲到維護視窗。

使用WLAN輪詢器升級AP

如果要通過archive download-sw升級的AP數量很大，可以使用WLAN Poller使用自動進程。

步驟1a.在Mac或Windows電腦上安裝WLAN輪詢器。

步驟1b.使用相關失敗的AP填充aplist csv檔案。

步驟1c.使用以下命令填充cmdlist檔案（您可以隨時自行決定新增更多內容）：

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp:///%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

步驟1d。執行WLAN輪詢器。

步驟1e.執行完成後，請檢查每個AP的日誌檔案以驗證是否成功完成。

步驟2.立即啟用C9800 WLC上的映像並重新載入。

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

步驟3.在C9800 WLC上提交映像。跳過此步驟將導致WLC回滾到以前的軟體映像

C9800#install commit

常見問題

問：幾天前我運行了預下載，但尚未重新啟動我的Cisco C9800 WLC和AP。我沒有系統日誌來驗證映像是否已損壞。如何驗證映像是否損壞？

A.檢查AP/syslog上的show logging。如果在show logging輸出中看不到成功或失敗消息，則可以在執行預下載時使用「show flash syslogs」命令來歸檔從中的syslog輸出。  如果您看到「Image signing verify success」消息，則表明此AP已成功下載映像。

Q:我擁有本地模式下無線接入點的集中部署。我是否仍需要執行「解決方法/解決方案」部分中列出的步驟？

A:僅當通過WAN連線升級AP時才會報告此問題。本地模式和本地網路上的AP極不可能遇到此問題，因此，如果您確信控制器和AP之間的資料包丟失非常少，則不需要執行此升級過程。

Q:我有新的開箱即用的AP。如何在不遇到此問題的情況下部署它們？ 

A:除非在2023年12月之後生產，否則通過廣域網下載的新開箱即用AP代碼也容易受到此問題的影響。

Q:從長遠來看，思科如何解決從9800下載CAPWAP映像損壞的問題？

A:一旦AP已運行17.11或更高版本，它就可以使用「帶外映像下載」功能使用HTTPS從控制器提取映像。TCP使用滑動視窗可靠地傳輸資料，因此在WAN上傳輸資料的速度也比CAPWAP（或TFTP）快得多

問：我現在有處於引導環路中的AP。  如何恢復它們？

A:請參閱文章Recover from a boot loop caused by image corruption on Wave 2 and 11ax Access Points(CSCvx32806 ）。

關於這個問題，我有更多問題。  我可以指引他們給誰？

A:傳送電子郵件至fn74109-questions@cisco.com。