إستردت من جزمة أنشوطة بسبب صورة فساد على موجة 2 و 11ax نقاط الوصول (CSCvx32806)

المقدمة

قد تقوم بعض نقاط الوصول من Cisco (APs) بتنزيل صورة فاسدة عبر CAPWAP (التحكم في نقاط الوصول اللاسلكية وإمدادها) من وحدة تحكم من السلسلة 9800.  بناء على إصدار برنامج نقطة الوصول، قد تحاول نقطة الوصول تمهيد الصورة الفاسدة، مما يؤدي إلى حدوث تكرار حلقي.  يشرح هذا المقال كيفية إستعادة نقاط الوصول العالقة في حلقة التمهيد. لمعرفة المزيد حول المنتجات وعمليات النشر المعرضة لهذه المشكلة ولمعرفة كيفية الترقية بأمان دون مواجهة مشكلة حلقة التمهيد، يرجى الرجوع إلى المقالة نقاط الوصول للترقية الآمنة، وتجنب تلف الصورة الذي يسبب تكرار التمهيد.

وثقت هذا إصدار إشعار ميداني: FN74109 - تلف صورة نقطة الوصول أثناء ترقية CAPWAP قد يؤدي إلى فشل التمهيد....

شروط المشكلة

المنتجات غير المتأثرة

• وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs): لا تتأثر نقاط الوصول التي يتم تنزيلها من وحدات التحكم في الشبكة المحلية اللاسلكية AireOS
• Mobility Express، وحدة تحكم لاسلكية مدمجة

• نقاط الوصول - Aironet 1800/1540/1100AC Series Wave 2 11ac APs و Wave1 11ac نقاط الوصول (1700/2700/3700/1570/IW3700) لا تتأثر (حتى إذا كانت نقاط الوصول هذه تسجل في 9800 WLCs، فإنها لا تتأثر)
• نقاط الوصول Wi-Fi 6e APs المقدمة منذ عام 2023: IW9167، IW9165، C9163

المنتجات المتأثرة

• WLC: قد تتأثر وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series
  
• نقاط الوصول (APs): تتأثر نماذج نقاط الوصول التالية التي تسجل إلى وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series :
  • نقاط وصول Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6 (9105/9115/9117/9120/9124/9130/WP-WiFi6/ISR-AP1101AX)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6E (9136/9162/9164/9166)

الإصدارات المتأثرة: متلازمة التمهيد صورة سيئة

هذه مشكلة، حيث ال ap يحاول أن يمهد صورة أن هو يعرف فاسد، عولجت ب cisco التالي بق id: CSCvx32806 ، CSCwc72021 ، CSCwd90081 ، أي يكون ثابت في الإصدار التالي:

• 8-10-185-0 وما فوق
• 17-3-7 وما فوق
• 17-6-6 وما فوق
• 17-9-3 وما فوق
• 17-11-1 وما فوق

بمجرد ترقية نقطة الوصول إلى البرنامج باستخدام الإصلاحات الواردة أعلاه، قد تستمر في تنزيل صورة فاسدة؛ ومع ذلك، لن تحاول تمهيد تلك الصورة، ولكنها ستواصل بدلا من ذلك إعادة محاولة التنزيل حتى تنجح.

الأعراض

وحدة تحكم AP :

ستظهر نقطة الوصول التي قامت بالفعل بتنزيل الصورة الفاسدة وهي الآن في حلقة تحميل، رسالة وحدة تحكم مماثلة لما يلي:

فشل التحقق من صحة التوقيع ل /bootpart/part1/ramfs_data_cisco.cpio.lzma

 أو

فشل التحقق من صحة التوقيع ل /bootpart/part2/ramfs_data_cisco.squashfs

اكتب ملاحظة حول ما إذا كانت الرسالة تقول "part1" أو "part2" - سيشير ذلك إلى قسم التمهيد الذي تالف.

Syslog أو show logging :

إذا كانت نقطة الوصول قد تم تكوينها لتسجيل الدخول إلى خادم syslog خارجي، قبل محاولة تنزيل الصورة، فستقوم بتسجيل الخطأ التالي:

فشل التحقق من توقيع الصورة: -3

يمكن أيضا رؤية رسالة الخطأ هذه من واجهة سطر الأوامر (CLI) لنقطة الوصول (وحدة التحكم أو SSH)، في الإخراج "show logging".  إذا تمت الكتابة فوق المخزن المؤقت للتسجيل منذ محاولة تحديث الصورة، فقد يتم رؤية رسالة الخطأ في ملفات syslog المخزنة في ذاكرة Flash (الذاكرة المؤقتة) ل AP. إن يرى أنت لا نجاح ولا إخفاق رسالة في العرض تسجيل، بعد ذلك استعملت واحد من الإستعادة طريقة على ال ap أن يعيد ال مرغوب صورة عن طريق TFTP أو SFTP.

Cisco Switchport :

ستظهر نقاط الوصول الموجودة في حالة حلقة التمهيد IEEE PD كما هو موضح أدناه في إخراج العرض الخاص بمنفذ تحويل وصلة نقطة الوصول.  (ستظهر نقاط الوصول التي تعمل بشكل صحيح الطراز الخاص بها في عمود الجهاز، في حالة إستخدام بروتوكول CDP أو بروتوكول LLDP):

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

كيفية إستعادة نقاط الوصول الموجودة في حلقة التمهيد

تحديد ما إذا كانت نقاط الوصول تتضمن تحسين التمهيد ل Alt

إذا قامت نقطة وصول بتنزيل صورة فاسدة، وتحاول تحميلها، فإنها ستعرض أحد سلوكين، اعتمادا على ما إذا كان التمهيد u-boot (bootloader لنقطة الوصول) يتضمن تحسين Alt-boot (تمهيد بديل)

• بدون Alt-boot: ستحاول نقطة الوصول إلى أجل غير مسمى تمهيد الصورة الفاسدة، وستحتاج إلى إستردادها عبر منفذ وحدة التحكم الخاصة بها
• باستخدام Alt-boot: ستحاول نقطة الوصول تمهيد الصورة الفاسدة خمس مرات، ثم قم بتمهيد الصورة من قسم النسخ الاحتياطي الخاص بها.  في هذه الحالة، ال ap يستطيع كنت إستردت دون وحدة طرفية للتحكم منفذ، يستعمل واحد من ال alt-boot إستعادة وثقت أدناه.

يتم تجميع تحسين التمهيد-Alt في إصدارات البرامج التالية:

• 9117/9130/9124: 8.10.190.0 و 17.3.8+ و 17.6.6+ و 17.9.1+
• 9136: 17.9.1+
• الطراز 916x: تشتمل جميع الوحدات على ميزة تحسين التمهيد ل Alt
• 9105/9115/9120/2800/3800/4800/1560/6300: 8.10.190.0 و 17.3.8+ و 17.6.6+ و 17.9.4

لاحظ أن، إن جلبت ap صورة أن يتلقى ال Alt-boot تعزيز، هو يتلقى يكون u-boot حسنت، even if the runtime صورة فاسد.  على سبيل المثال، تأملوا في هذا السيناريو:

• نقطة الوصول 9130 تم تثبيت 17.3.4c (بدون تحسين Alt-boot.)
• ثم تقوم بتنزيل صورة 17.9.5، ولكن هذه الصورة تالفة أثناء التنزيل. 
• لأن 17.3.4c لا يتلقى الإصلاح لتمهيد متلازمة صورة سيئة، فإن نقطة الوصول تمضي قدما وتحاول تمهيد الصورة الفاسدة. 
• سيؤدي تمهيد قسم الصورة الجديد إلى ترقية نقطة الوصول إلى التمهيد 17.9.5 u، قبل أن تحاول تمهيد صورة وقت التشغيل غير صحيحة.
• ستقوم نقطة الوصول بعد ذلك بمحاولة خمس مرات لتمهيد صورة وقت تشغيل 17.9.5 الفاسدة.
• بعد ذلك، نظرا لأن نقطة الوصول (AP) تقوم الآن بتشغيل التمهيد 17.9.5 u، فإن منطق التمهيد من Alt سوف يحول نقطة الوصول إلى تمهيد صورة وقت التشغيل في قسم النسخ الاحتياطي الخاص بها.
• يمكن إسترداد نقطة الوصول الآن دون الوصول إلى وحدة التحكم.

يسترد APs أن يكون في جزمة أنشوطة - مع Alt-boot تحسين

إن يكون APs ك في جزمة أنشوطة، وإن هم u-boot يتلقى ال Alt-boot تحسين، بعد ذلك استعملت أحد الإجراءات التالية أن يستردهم:

إذا تم تمكين بروتوكول SSH على نقاط الوصول

1. تنظيم صورة (صور) نقطة الوصول المطلوبة على خادم TFTP أو SFTP يمكن الوصول إليه لنقاط الوصول (APs) المتأثرة.  راجع الجدول 4 في مصفوفة التوافق لإصدار نقطة الوصول 15.3(3)J* AP الذي يتم تعيينه إلى إصدار Cisco IOS® XE المطلوب، ثم قم بتنزيل صورة (صور) برامج نقاط الوصول المناسبة في الوضع Lightweight لنموذج (نماذج) AP المتأثرة من software.cisco.com.
   
   1. على سبيل المثال، صورة نقطة الوصول 17.9.5 ل CW9162 هي ap1g6b-k9w8-tar.153-3.JPN4.tar.
2. منع نقاط الوصول (AP) المتأثرة من الانضمام إلى وحدة تحكم تقوم بتشغيل إصدار البرنامج نفسه الموجود في القسم الفاسد الخاص بها.  لذلك، أضف قائمة تحكم في الوصول (ACL) ل CAPWAP على محول AP، لمنع نقطة الوصول من الانضمام مرة أخرى إلى وحدة التحكم. على سبيل المثال، يمكن تطبيق قائمة تحكم في الوصول (ACL) مماثلة للأسفل على واجهة العبارة الافتراضية لشبكة AP الفرعية:
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. اسمح لنقطة الوصول بإعادة التشغيل مع الصورة التالفة خمس مرات، وبعد ذلك يجب أن تنتقل إلى الصورة العاملة في قسم النسخ الاحتياطي.
   1. يمكنك إستخدام الأمر show cdp neighbor <interface> detail على محول نقطة الوصول للاطلاع على إصدار الرمز الموجود في قسم النسخ الاحتياطي لنقطة الوصول.  (إذا كانت نقطة الوصول تقوم بتحميل الصورة الفاسدة، فإن CDP لن يظهر على المنفذ الخاص بها.)
4. بمجرد أن تظهر نقطة الوصول على صورة النسخ الاحتياطي العاملة، فإنها ستحاول الانضمام إلى وحدة التحكم، ولكن لن تتمكن من ذلك بسبب قائمة التحكم في الوصول (ACL) التي تمت إضافتها في الخطوة 2.
5. SSH في كل نقطة وصول تتأثر (إذا تأثر عدد كبير من نقاط الوصول، يمكن أتمتة هذه الخطوة عبر أداة توزيع الشبكة المحلية اللاسلكية (WLAN).)
6. قم الآن بتنزيل الصورة المطلوبة على قسم النسخ الاحتياطي لنقطة الوصول باستخدام أمر تنزيل الأرشيف:
   archive download-sw /no-reload tftp://<ip-address>/<apimage>
    أو
   archive download-sw /no-reload sftp://<ip-address>/<apimage>
   سيؤدي ذلك إلى الكتابة فوق الصورة التالفة باستخدام الصورة الصحيحة.  بمجرد اكتمال تنزيل الصورة، قم بإصدار:
   إعادة تشغيل إختبار Capwap
   سيؤدي ذلك إلى إعادة تشغيل عملية CAPWAP، بحيث يتعرف نقطة الوصول على الصورة المثبتة حديثا.
   
7. قم الآن بإزالة قائمة التحكم في الوصول (ACL)، وتمتع بوصول نقطة الوصول إلى وحدة التحكم. لن يقوم بتنزيل الصورة مرة أخرى.

إذا لم يتم تمكين SSH على نقاط الوصول، ولكن نقاط الوصول تحتوي على تحسين Alt-boot

1. تأكد من أن نقاط الوصول لا تحاول الانضمام إلى وحدة تحكم تشغل نفس إصدار البرنامج الموجود في القسم الفاسد الخاص بها.  لذلك، أضف قائمة تحكم في الوصول (ACL) ل CAPWAP على محول AP، لمنع نقطة الوصول من الانضمام مرة أخرى إلى وحدة التحكم.
2. إحضار وحدة تحكم تشغل إصدار برنامج مختلف عن إصدار نقطة الوصول التالف.
   
   1. يمكنك إستخدام الأمر show cdp neighbor <interface> detail على محول نقطة الوصول للاطلاع على إصدار الرمز الموجود في قسم النسخ الاحتياطي لنقطة الوصول.  (بينما ال ap يمهد ال فاسد صورة، cdp لن يأتي على ميناءه.)
   2. وإذا لم يكن من الممكن تنفيذ تنفيذ عملية إدارة وحدة تحكم تشغل إصدار النسخ الاحتياطي لنقطة الوصول، حينئذ (إذا كانت السلسلة 9800)، على الأقل قم بإعداد إصدار يحتوي على عمليات إصلاح لمتلازمة التمهيد صورة سيئة والتمهيد ل Alt.
   3. وثمة خيار آخر هو وجود وحدة تحكم AireOS تشغل الإصدار 8.10.190.0 أو إصدارا أعلى، نظرا لأن تنزيلات CAPWAP من AireOS ليست عرضة لفساد الصورة.
3. قم بإعداد الأشياء بحيث يمكن لنقاط الوصول اكتشاف وحدة التحكم البديلة - على سبيل المثال، عبر خيار DHCP رقم 43، أو عنوان مساعد IP، أو DNS.
   1. لاحظ أن، إن يركض الجهاز تحكم بديل cisco ios XE صيغة أن يختلف من ال ap نسخة إحتياطية، ال ap سيكون عرضة أن يجلب صورة فاسد، لذلك أتمت هذا عملية ل أي من هذا APs أن يكون حديثا فاسدا.
4. بمجرد أن تنضم نقاط الوصول إلى وحدة التحكم البديلة، قم بتنزيل الصورة المطلوبة إلى نقاط الوصول:
   1. تنظيم صورة (صور) نقطة الوصول المطلوبة على خادم TFTP أو SFTP يمكن الوصول إليه لنقاط الوصول (APs) المتأثرة.  راجع الجدول 4 في مصفوفة التوافق لإصدار نقطة الوصول 15.3(3)J* AP الذي يتم تعيينه إلى إصدار Cisco IOS XE المطلوب، ثم قم بتنزيل صورة (صور) برامج نقاط الوصول (AP) المناسبة في الوضع Lightweight لنموذج (نماذج) AP المتأثرة من software.cisco.com.
      
      1. على سبيل المثال، صورة نقطة الوصول 17.9.5 ل CW9162 هي ap1g6b-k9w8-tar.153-3.JPN4.tar.
   2. قم بتمكين SSH على نقاط الوصول المتأثرة، و SSH في كل نقطة وصول متأثرة (في حال تأثر عدد كبير من نقاط الوصول، يمكن أتمتة هذه الخطوة عبر أداة توزيع الشبكة المحلية اللاسلكية (WLAN).)
      1. قم الآن بتنزيل الصورة المطلوبة على قسم النسخ الاحتياطي لنقطة الوصول باستخدام أمر تنزيل الأرشيف:
         archive download-sw /no-reload tftp://<ip-address>/<apimage>
          أو
         archive download-sw /no-reload sftp://<ip-address>/<apimage>
         سيؤدي ذلك إلى الكتابة فوق الصورة التالفة باستخدام الصورة الصحيحة. 
      2. بمجرد اكتمال تنزيل الصورة، قم بإصدار:
         إعادة تشغيل إختبار Capwap
         سيؤدي ذلك إلى إعادة تشغيل عملية CAPWAP، بحيث يتعرف نقطة الوصول على الصورة المثبتة حديثا.
   3. كبديل لتنفيذ الأمر archive download-sw على نقاط الوصول، يمكنك إستخدام أوامر وحدة التحكم التالية للحصول على نقاط الوصول لتنزيل الصورة المطلوبة من خادم TFTP:
      1. في Cisco IOS XE: اسم نقطة الوصول APNAME tftp-downgrade ip.addr.of.server ImageName.tar
      2. في AireOS: config ap tftp-downgrade ip.addr.of.server imageName.tar APNAME
         
      3. راقبت خادم TFTP يدون للتحقق من أن كل نقطة وصول قامت بتنزيل الصورة بنجاح.  بمجرد اكتمال التنزيل، سيقوم كل نقطة وصول بإعادة التحميل، مع تشغيل الصورة التي تم تنزيلها حديثا.
         
5. قم بإزالة قائمة التحكم في الوصول (ACL) التي تم تثبيتها في الخطوة 1، وتجعل نقاط الوصول (APs) تضم وحدة التحكم المطلوبة.

الاسترداد عبر وحدة التحكم

إن يكون ال ap في جزمة أنشوطة، وإن ال ap لا يتلقى ال Alt جزمة تحسين، بعد ذلك ال ap ينبغي كنت إستردت عن طريق وحدة طرفية للتحكم.

لجميع نماذج AP: حدد قسم التمهيد التالف

أولا، تأكد من قسم التمهيد التالف.

1. الاتصال بوحدة تحكم AP.
   
2. شاهد محاولة نقطة الوصول للتمهيد، حتى ترى الرسالة
   فشل التحقق من صحة التوقيع ل /bootpart/part1/ramfs_data_cisco.cpio.lzma
    أو
   فشل التحقق من صحة التوقيع ل /bootpart/part2/ramfs_data_cisco.cpio.lzma
   (قد تقول الرسالة ramfs_data_cisco.squashfs" بدلا من "ramfs_data_cisco.cpio.lzma"
   
3. اكتب ملاحظة عن القسم أو الجزء1 أو الجزء2، الذي يكون تالفا

بالنسبة لنماذج AP 9117 و 9124 و 9130 و 9136

1. أثناء الاتصال بوحدة التحكم، قم بتشغيل نقطة الوصول بشكل دوري.
   

2. أثناء بدء التشغيل، عندما ترى الضغط على مفتاح ESC لإيقاف التمهيد التلقائي، اضغط على مفتاح Escape
   

3. يجب أن ترى أحد هذه المطالبات:

   (BTLDR) #
    أو
   (u-boot)>

4. تشغيل هذه الأوامر
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

بالنسبة لنماذج AP 2802 و 3802 و 4800 و 9105 و 9115 و 9120

1. أثناء الاتصال بوحدة التحكم، قم بتشغيل نقطة الوصول بشكل دوري.
   

2. أثناء بدء التشغيل، عندما ترى الضغط على مفتاح ESC لإيقاف التمهيد التلقائي، اضغط على مفتاح Escape

3. يجب أن يأتيك هذا إلى موجه الأمر (u-boot)>.

4. تشغيل هذه الأوامر

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

الأسئلة المتكررة

Q1) يتم توصيل جميع نقاط الوصول (AP) الخاصة بي ب 9800 الخاصة بها عبر اتصال شبكة محلية (LAN) فائق السرعة وزمن وصول أقل وخسارة أقل.  هل ما زلت بحاجة إلى تنفيذ ما سبق؟

لم يتم الإبلاغ عن هذه المشكلة إلا عند ترقية نقاط الوصول عبر اتصال WAN.

س 2) لدي نقاط وصول جديدة لا يمكن تعبئتها. كيف يمكنني نشرها دون مواجهة هذه المشكلة؟

كما ستكون نقاط الوصول الجديدة التي يتم تنزيلها خارج المربع عبر إرتباط WAN المفقود عرضة للمشكلة، إذا تم تصنيعها قبل ديسمبر/كانون الأول 2023. يوصى بتقديم نقاط الوصول هذه أولا مع عنصر تحكم WLC محلي.

س 3) لدي المزيد من الأسئلة حول هذه المسألة.  إلى من يمكنني ان أرشدهم؟

أ: إرسال بريد إلكتروني إلى fn74109-questions@cisco.com.