المقدمة
يقدم هذا المستند تفاصيل حول حالات فشل الانضمام إلى نقطة وصول IOS (AP)، التي تمت رؤيتها مع كل من وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs) بنظام التشغيل AireOS و C9800، بعد 4 ديسمبر 2022. يتم تعقب هذه المشكلة بواسطة CSCwd80290 من Cisco والإشعار الميداني FN72524 وينتج عن فشل التحقق من صحة شهادة توقيع صورة AP.
المنتجات المتأثرة
تؤثر هذه المشكلة على جميع نقاط الوصول في الوضع Lightweight التي تشغل IOS - والتي تتضمن: نقاط الوصول من السلسلة 802.11ac Wave 1 (IW3702/3700/2700/1700/1570) ونقاط الوصول السابقة التي تتضمن 700/1530/1550/3600/2600/1600/3500/AP802/AP803 Series. تم إنشاء صور IOS خفيفة الوزن المتأثرة من ديسمبر 2012 إلى نوفمبر 2022. وتأثرت كل من AireOS و Catalyst 9800 series ووحدات التحكم في الوصول المجمع. لا تتأثر نقاط الوصول التي تشغل نقاط الوصول (AP-CoS) (802.11ac Wave 2 و Wi-Fi 6 و Wi-Fi 6e APs)، ولا نقاط الوصول IOS في الوضع الذاتي.
المشكلة
عندما تتم ترقية نقاط الوصول IOS أو تخفيضها عبر CAPWAP، بعد 4 ديسمبر/كانون الأول 2022، قد تصبح عالقة في حلقة تنزيل صورة، وبالتالي تفشل في الانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، بسبب فشل في التحقق من صحة شهادة التوقيع في الصورة التي تم تنزيلها.
سبب جذري
تم إصدار شهادات توقيع الصور المضمنة في صور AP IOS في 4 ديسمبر/كانون الأول 2012، وانتهى صلاحيتها في 4 ديسمبر/كانون الأول 2022. تستخدم نقاط الوصول IOS هذه الشهادة للتحقق من الصورة التي تم تنزيلها من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، قبل تثبيت البرنامج على نقطة الوصول. لذلك، بعد 4 ديسمبر 2022، عندما تقوم نقطة الوصول بتنزيل رمز بسبب ترقية/خفض البرنامج أو بسبب الانتقال بين قوائم التحكم في الشبكة المحلية اللاسلكية (WLCs) التي تشغل إصدارات مختلفة، يفشل نقطة الوصول في التحقق من الصورة وسيظل في حلقة صورة التنزيل إلى أجل غير مسمى. تظهر المشكلة لجميع إصدارات AireOS و IOS-XE.
الأعراض
للتحقق مما إذا كنت تواجه هذه المشكلة أم لا، تحقق أولا من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لنقاط الوصول المعلقة في حالة التنزيل. بعد ذلك، لتحديد المشكلة بشكل إيجابي، يدخل SSH أو telnet أو وحدة التحكم في نقاط الوصول المتأثرة وعرض سجلاتها (أو ابحث عن سجلات نقطة الوصول على خادم syslog.)
على AireOS WLC
على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، ستظهر حالة صورة نقطة الوصول (AireOS 8.10) نقاط الوصول المتأثرة في حالة "التنزيل".
في 8.5، أستخدم عرض صورة ap all الذي سيظهر عددا غير صفر من نقاط الوصول في "التنزيل".
(AireOS WLC-8.5) >show ap image all
Total number of APs.............................. 1
Number of APs
Initiated....................................... 0
Downloading..................................... 1
Predownloading.................................. 0
Completed predownloading........................ 0
Not Supported................................... 0
Failed to Predownload........................... 0
Predownload Predownload Flexconnect
AP Name Primary Image Backup Image Status Version Next Retry Time Retry Count Predownload
------------------ -------------- -------------- --------------- -------------- ---------------- ------------ --------------
AP1700 8.5.182.0 0.0.0.0 None None NA NA
(AireOS WLC-8.10) >show ap image status
Total number of APs.............................. X
Total AP's Downloading........................... 1
AP Name Primary Image Download Status
------------------ -------------- ----------------
CAP3702E.4CD4 17.3.6.76 Downloading
على IOS-XE C9800 WLC
ملخص نقطة الوصول C9800#show
9800-L#show ap summary
AP Name Slots AP Model Ethernet MAC Radio MAC Location Country IP Address State
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
AP2702E 2 2702E 0081.c4fb.2e74 843d.c673.10d0 default location 192.168.202.105 Downloading
ستظهر سجلات نقطة الوصول أخطاء مماثلة لما يلي عند مواجهة هذه المشكلة:
في نقطة وصول من نوع SHA-1 (تم تصنيعها قبل منتصف عام 2014):
*Dec 6 21:35:24.259: Using SHA-1 signed certificate for image signing validation.
*Dec 6 21:35:24.327: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:37:36 UTC Dec 4 2022
*Dec 6 21:35:24.327: Image signing certificate validation failed (1A).
*Dec 6 21:35:24.327: Failed to validate signature
*Dec 6 21:35:24.327: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ9/final_hash)
*Dec 6 21:35:24.327: AP image integrity check FAILED
في نقطة وصول من نوع SHA-2 (تم تصنيعها بعد منتصف عام 2014):
*Dec 6 08:47:20.159: Using SHA-2 signed certificate for image signing validation.
*Dec 6 08:47:20.223: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_record.c:169 Pkt too old last_seq_num : 11116,Received sequence num: 1 distance: -11115
*Dec 6 08:47:20.227: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022
*Dec 6 08:47:20.227: Image signing certificate validation failed (1A).
*Dec 6 08:47:20.231: Failed to validate signature
*Dec 6 08:47:20.231: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ7c/final_hash)
*Dec 6 08:47:20.231: AP image integrity check FAILED
الحل
إذا لم تكن تقوم بتشغيل برنامج ثابت، فاتبع الخطوات التالية للسماح لنقاط الوصول إلى IOS بالانضمام.
- قم بتعطيل بروتوكول وقت الشبكة (NTP)، لمنع وحدة التحكم من تعيين وقتها تلقائيا إلى الأمام.
AireOS:
(AireOS WLC)>show time
make a note of all configured NTP servers, and delete each one:
(AireOS WLC)>config time ntp delete
IOS-XE: C9800#show run | i ntp ntp server ip
C9800#config terminal (config)#no ntp server ip
! for each configured NTP server
2. قم بتغيير التاريخ الموجود في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى شيء ما قبل 4 ديسمبر/كانون الأول 2022 ولكن ليس قبل 1 نوفمبر/تشرين الثاني 2022، حيث إنه قد يبطل الشهادة الموجودة في وحدة التحكم أو في نقاط الوصول الأحدث.
(AireOS WLC)> config time manual 12/02/22 00:00:00
C9800#clock set 00:00:00 2 Dec 2022
3. تأكد من تغيير الوقت على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)
(AireOS WLC)> show time
Time............................................. Fri Dec 2 00:00:02 2022
C9800#show clock
00:00:02.573
Fri Dec 2 2022
4. انتظر حتى تظهر كل نقاط الوصول في الحالة المسجلة مع الصورة الجديدة.
ملاحظة: في بعض الحالات، قد يلزم إعادة تشغيل نقطة الوصول بعد تغيير التاريخ للانضمام إلى نقطة الوصول. ولكن يرجى التأكد من الانتظار لمدة 30 دقيقة على الأقل للسماح لنقطة الوصول بالإنضمام مرة أخرى قبل إعادة تشغيل نقاط الوصول
5. تمكين NTP مرة أخرى
(AireOS WLC)>config time ntp server 1
C9800#configure terminal (config)#ntp server ip
6. حفظ التكوين
(AireOS WLC)>save config
Are you sure you want to save? (y/n) y
C9800#write memory
7. إعادة التحقق من الساعة على WLC
(AireOS WLC)>show time
C9800# show clock
الترقية إلى برامج ثابتة
على AireOS WLC
- إذا كانت لديك أي نقاط وصول (AP) عالقة في التنزيل، فعليك تعيين وقت إعادة تنزيل وحدة التحكم حتى تتمكن نقاط الوصول من إكمال التنزيل والوصول إلى حالة التسجيل قبل الترقية إلى البرنامج.
- راجع قسم الحل أعلاه للحصول على تفاصيل حول إعادة الوقت إلى الوراء
-
إذا لم تتمكن، لأسباب تتعلق بالتشغيل، من تعيين الوقت إلى الوراء، فقم بحظر نقاط الوصول (APs) IOS المتأثرة من محاولة الانضمام إلى وحدة التحكم، على سبيل المثال من خلال إيقاف تشغيل منافذ المحولات الخاصة بها أو تثبيت قائمة التحكم في الوصول (ACL) لحظر CAPWAP.
- الآن حيث لا توجد نقاط وصول في حالة التنزيل، تأكد من تعيين وقت عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على الوقت الحالي (قم بإعادة تمكين بروتوكول وقت الشبكة (NTP).
- قم بتثبيت البرنامج الثابت على AireOS WLC (8.10.183.0 أو إصدارا أعلى، أو، إذا تعذر الترقية من 8.5، أستخدم 8.5.182.7، إذا كان إستخدام 8.5 مآخذ رئيسية أو 8.5.182.105، ل 8.5 IRCM). ارجع إلى الروابط أدناه لتنزيل البرنامج الثابت.
8540: https://software.cisco.com/download/home/286284728/type/280926587/release/8.10.183.0
5520: https://software.cisco.com/download/home/286284738/type/280926587/release/8.10.183.0
3504: https://software.cisco.com/download/home/286312601/type/280926587/release/8.10.183.0
vWLC: https://software.cisco.com/download/home/284464214/type/280926587/release/8.10.183.0
8-5-182-7 (8-5 خط الاتصال الرئيسي): https://software.cisco.com/download/specialrelease/8f166c6d88b9f77aabb63f78affa9749.
8-5-182-105 (8.5 IRCM): https://software.cisco.com/download/specialrelease/bc334964055fbd9440834f008e5aca34.
- (إختياري) قبل إعادة التمهيد، قم بتنزيل البرنامج الثابت مسبقا إلى نقاط الوصول المتصلة.
- أعد تمهيد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
- إذا قمت بإيقاف تشغيل محولات AP أو CAPWAP المحظورة، فقم بإزالة الكتل للسماح لنقاط الوصول IOS بإعادة الانضمام والترقية.
على IOS-XE 9800 WLC
1. قم بتنزيل برامج 17.3.6 و 17.6.4 و 17.9.2 IOS-XE إلى ذاكرة 9800 Flash. ارجع إلى إصدارات IOS-XE الموصى بها لقوائم التحكم في الشبكة المحلية اللاسلكية (WLC) من C9800 لاختيار الإصدار الأكثر ملاءمة لبيئة عملك استنادا إلى نماذج AP في بيئتك والميزات المستخدمة.
2. قم بتنزيل الملف 17.3.6 APSP7 أو 17.6.4 APSP1 أو 17.9.2 APSP1 (مع إصلاح نقطة الوصول من IOS) إلى الذاكرة المؤقتة 9800.
- 17-3-6: 17-3-6 APSP7 عبر CSCwd83653/CSCwe10047 (الإصلاح مدرج أيضا في APSP2 و APSP5)
9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.3.6
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.3.6
الطراز 9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.3.6
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.3.6
9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.6.4
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.6.4
الطراز 9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.6.4
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.6.4
9800-40: https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2
9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.9.2
الطراز 9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2
9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.9.2
ملاحظة:
1) 17.3.6 APSP7 يتضمن إصلاحات للأخطاء المتعددة (CSCvx32806، CSCwc32182، CSCvz99036، CSCwd37092، CSCwc78435، CSCwc88148) بالإضافة إلى CSCwd02099
2) 17.6.4 APSP1 يتضمن إصلاحات للأخطاء المتعددة (CSCwc73090، CSCwc71198، CSCwc78435، CSCwd40731، CSCvx32806) بالإضافة إلى CSCwd80290(ل IW3700).
3. ما لم يكن 17.3.6 مثبتا بالفعل، قم بتثبيت 17.3.6 IOS-XE الآن وأعد تحميله.
C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.SPA.bin activate commit
4. بعد عمليات إعادة التشغيل لعام 9800 - إذا كان قد تم تعيين وقت وحدة التحكم في الوقت السابق، فعليك الآن تعيين وقته على الحالي (إعادة تمكين بروتوكول وقت الشبكة (NTP).)
5 تثبيت APSP7 لاسترداد نقاط الوصول IOS:
C9800#install add file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install activate file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install commit
الأسئلة المتداولة (FAQ)
- هل ستقوم نقاط الوصول المسجلة حاليا الخاصة بي بقطع الاتصال أو تفشل في الانضمام بسبب هذه المشكلة؟
ستستمر نقاط الوصول التي تشغل الإصدار نفسه الخاص بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في العمل دون حدوث مشاكل وسيتم التمهيد والانضمام بشكل طبيعي. تؤثر هذه المشكلة فقط على عملية التحقق من صحة الصورة التي تمت كجزء من ترقية الصورة.
- هل تأثرت عملية التنزيل المسبق لنقطة الوصول؟
نعم. بما أن التنزيل المسبق لنقطة الوصول يتضمن تنزيل صورة إلى نقطة الوصول والتحقق من صحة الصورة بواسطة نقطة الوصول، تتم مصادفة نفس الشهادة منتهية الصلاحية وفشل التحقق من صحة الصورة.
- ما هو تأثير الخدمة الذي يحدثه تغير الوقت؟ هل يستطيع العميل القيام بذلك في فترة الظهيرة، أم يتعين عليه جدولة إطار صيانة مع بعض التوقف عن العمل والتأثير على الخدمات؟
لا يؤثر تغيير وقت وحدة التحكم على عمليات ربط AP واتصال العميل اللاسلكي. ومع ذلك، قد تتأثر مساحات ضمان مركز بنية الشبكة الرقمية (DNA) و CMX و Cisco (DNA). بمجرد الانضمام إلى نقاط الوصول وإرجاع الوقت إلى الوقت الحالي، من المتوقع أن تتم إسترداد هذه الخدمات.
- ماذا لو لم أستطع إعادة الوقت إلى وحدة التحكم في الإنتاج؟
إعداد WLC مرحلي (يعمل أيضا vWLC أو 9800-CL) بنفس إصدار الرمز مثل WLC الإنتاج. قم بتحويل الوقت إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المرحلي والانضمام إلى نقاط الوصول (APs) إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المرحلي. بمجرد أن تقوم نقاط الوصول بتنزيل الرمز والتنقل إلى الحالة المسجلة على وضع WLC المرحلي، قم بنقل نقاط الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للإنتاج.
- هل أحتاج إلى تغيير الوقت لتثبيت الإصدار الثابت؟
فقط مع AireOS، إذا كانت نقاط الوصول عالقة في حالة التنزيل.. راجع القسم المتعلق بالترقية إلى البرامج الثابتة للحصول على مزيد من التفاصيل.
- ماذا يحدث إذا قمت بإضافة نقطة وصول جديدة ؟
إذا كانت نقطة الوصول الجديدة قد ركبت عليها نفس إصدار وحدة التحكم، فيجب أن تنضم نقطة الوصول دون مشاكل.
من جهة أخرى، إذا لم يتطابق الإصدار، ستحاول نقطة الوصول تنزيل الصورة المقابلة. إذا لم يكن للرمز الموجود على وحدة التحكم صور نقطة الوصول (AP) المضمنة الثابتة، فسيتسبب ذلك في فشل ترقية نقطة الوصول كما هو موضح، وسيلزم الحل البديل.
إذا تمت ترقية وحدة التحكم إلى أحد الإصدارات الثابتة، يمكن إضافة نقاط وصول جديدة بشكل طبيعي، وإكمال عملية الترقية.
- ما الذي سيحدث للوحدات التي تم إستلامها من RMA؟
وهذا يعادل إضافة نقطة وصول جديدة: إذا كنت تشغل إصدار وحدة التحكم مع إصلاح صورة نقطة الوصول، فإنها ستنضم إليها وترقيتها بشكل طبيعي.
وإلا، فعليك تطبيق حل الوقت البديل.
- هل أحتاج إلى إبقاء الوقت المعدل للعملية؟
لا، ما إن ال APs أتمت التحسين عملية، أنت يستطيع ثبتت الجهاز تحكم إلى الوقت الحالي، ويعيد تمكين NTP.
- أرى هذا الخطأ في سجل نقطة الوصول ٪PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: فشل التحقق من صحة سلسلة الشهادات. الشهادة (SN: xx) ليست صالحة بعد تبدأ فترة الصلاحية في UTC 1 مارس 2022 HH:MM:SS. هل هذا نفس العرض أم عرض جديد؟
يشير هذا الخطأ إلى أن الساعة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تم تعيينها خلف 1 مارس 2022 وهو تاريخ بدء الشهادة (في هذه الحالة). سيختلف هذا التاريخ حسب متى تم تصنيع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو متى تم إنشاء شهادة موقعة ذاتيا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الظاهرية.
قم بتعديل الساعة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لجعل الشهادة صالحة.
- ماذا تفعل Cisco لمنع تكرار هذه المشكلة؟
نقوم الآن باستكمال عملية تدقيق كاملة عبر جميع منتجات المؤسسة، لتحديد أي مشكلة مماثلة قد لا يتم اكتشافها، وتنفيذ الإجراءات التصحيحية
وبالإضافة إلى ذلك، تم تطبيق تغييرات على عملية مجموعة صور IOS AP، لتصحيح هذه المشكلة.