قم بترقية نقاط الوصول بأمان، مع تجنب تلف الصورة الذي يسبب تكرار التمهيد

المقدمة

قد تقوم بعض نقاط الوصول (APs) من Cisco بتنزيل صورة فاسدة عبر CAPWAP من وحدة تحكم من السلسلة 9800.  بناء على إصدار برنامج نقطة الوصول، قد تحاول نقطة الوصول تمهيد الصورة الفاسدة، مما يؤدي إلى حدوث تكرار حلقي.  يشرح هذا المقال نماذج AP وأي مسارات الشبكة عرضة لتلف الصورة وكيفية الترقية بأمان.

إن يكون APs أنت الآن في جزمة أنشوطة بسبب هذا مشكلة، رأيت المقالة إستعادة من جزمة أنشوطة بسبب صورة فساد على موجة 2 و 11ax منفذ نقطة (CSCvx32806 ) لإرشاد على إستعادة steps.

وثقت هذا إصدار إشعار ميداني: FN74109 - تلف صورة نقطة الوصول أثناء ترقية CAPWAP قد يؤدي إلى فشل التمهيد - يوصي بترقية البرنامج.

كيفية تحديد ما إذا كانت الترقية عرضة لتلف الصور أم لا

قد تكون نقاط الوصول (AP) لديك عرضة لتنزيل البرامج التالفة، ثم محاولة تمهيد هذا البرنامج، إذا كانت الشروط التالية تتعلق بعملية النشر لديك:

المنتجات غير المتأثرة

• وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs): لا تتأثر نقاط الوصول التي يتم تنزيلها من وحدات التحكم في الشبكة المحلية اللاسلكية AireOS
• Mobility Express، وحدة تحكم لاسلكية مدمجة

• نقاط الوصول - Aironet 1800/1540/1100AC Series Wave 2 11ac APs و Wave1 11ac نقاط الوصول (1700/2700/3700/1570/IW3700) لا تتأثر (حتى إذا كانت نقاط الوصول هذه تسجل في 9800 WLCs، فإنها لا تتأثر)
• نقاط الوصول Wi-Fi 6e APs المقدمة منذ عام 2023: IW9167، IW9165، C9163

المنتجات المتأثرة

• WLC: قد تتأثر وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series
  
• نقاط الوصول (APs): تتأثر نماذج نقاط الوصول التالية التي تسجل إلى وحدات التحكم في الشبكة المحلية اللاسلكية من Cisco Catalyst 9800 Series :
  • نقاط وصول Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6 (9105/9115/9117/9120/9124/9130/WP-WiFi6/ISR-AP1101AX)
  • نقاط وصول Catalyst 9100 Series Wi-Fi6E (9136/9162/9164/9166)

الإصدارات المتأثرة: متلازمة التمهيد صورة سيئة

هذه المشكلة، حيث ال ap يحاول أن يمهد صورة أن هو يعرف فاسد، عالج ب التالي cisco بق id: CSCvx32806، CSCwc72021، CSCwd90081، أي يكون ثابت في الإصدارات التالية:

• 8-10-185-0 وما فوق
• 17-3-7 وما فوق
• 17-6-6 وما فوق
• 17-9-3 وما فوق
• 17-11-1 وما فوق

بمجرد ترقية نقطة الوصول إلى برنامج بالإصلاحات الواردة أعلاه، فإنها قد تستمر في تنزيل صورة فاسدة، ومع ذلك، فهي لن تحاول تمهيد هذه الصورة، بل ستستمر في إعادة محاولة التنزيل إلى أن تنجح.

مسارات الشبكة المتأثرة

لم يتم ملاحظة مشكلة تلف صورة نقطة الوصول مع مسار الشبكة المحلية (LAN) بين نقاط الوصول (APs) - أي المسارات التي تحتوي على وحدة الحد الأقصى للنقل (MTU) ل IP سعة 1500 بايت، مع زمن وصول منخفض وفقدان منخفض جدا للحزم لا تتأثر.  يحتمل أكثر أن تحدث المشكلة عبر أنفاق CAPWAP عبر شبكة WAN، مع خصائص المسار التالية:

• فقدان عال للحزم
• وحدات الحد الأدنى من CAPWAP MTU (أقل من 1485 بايت) - كلما قلت وحدة الحد الأقصى للنقل (MTU)، زادت المخاطر
  
  • قد يكون انخفاض CAPWAP MTU أحد أعراض فقد الحزم
    

كيفية تحديد ما إذا كان مسار الشبكة لديك في خطر

• في 9800، تحقق من CAPWAP ممر MTU مع
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • إذا كانت نقطة وصول معينة MTU متذبذبة، فإن ذلك مؤشر قوي للخطر
• أو show ap config عام | تضمين CAPWAP\ PATH\ MTU (في show tech-support wireless)
  
  • أستخدم Wireless Config Analyzer Express (WCAE) في خرج "show tech-support wireless" الخاص ب 9800 لرؤية وحدة الحد الأقصى للنقل (MTU) لنقاط الوصول تحت نقاط الوصول > التكوين
    
• في الطراز 9800، أستخدم "إظهار وقت تشغيل نقطة الوصول" وابحث عن نقاط وصول (AP) تتميز "بوقت تشغيل طويل" و"وقت اقتران" قصير
  • إذا لم يكن هناك سبب لأن يكون لنقاط الوصول وقت اقتران قصير (أي بدون إعادة تكوين)، فقد يشير ذلك إلى مسار شبكة في خطر

كيفية الترقية بأمان من إصدار برنامج AP غير ثابت

ملاحظة: إذا كان النشر لديك عرضة لتلف صورة (أي نماذج AP المتأثرة، التي تشغل برامج دون إصلاح متلازمة صورة سيئة للتمهيد، مع خصائص شبكة WAN المعرضة للخطر)، فلا تقم بالترقية ببساطة عن طريق ترقية برنامج 9800، ثم إعادة ربط نقاط الوصول بالبرامج الجديدة وتنزيلها - فقد تكون عرضة لتلف صورة ودخول حلقة تمهيد.  بدلا من ذلك، أستخدم إحدى الطريقتين التاليتين:

الترقية باستخدام عنصر محلي من WLC إلى نقاط الوصول

إن أمكن، ضع وحدة تحكم مرحلية على شبكة APs'LAN - قد يكون هذا 9800-CL، أو (لنقاط الوصول من السلسلة Wave 2 / Wi-Fi 6) في وضع EWC، وقم بترقية نقاط الوصول إلى الإصدار الهدف.  وعندئذ سيتمكنون من الانضمام بأمان إلى وحدة التحكم في الإنتاج.

الترقية عبر وحدة تحكم AireOS

إذا كان لديك وحدة تحكم AireOS تشغل الإصدار 8.10.190.0 أو إصدارا أعلى، وإذا كانت نماذج AP الخاصة بك مدعومة من قبل AireOS، فانضم إلى نقاط الوصول إلى وحدة التحكم هذه.  سيؤدي هذا إلى ترقية نقاط الوصول (AP) بأمان إلى برنامج ثابت، ومن ثم ستكون قادرة على الانضمام بأمان إلى وحدة التحكم في الإنتاج.

الترقية باستخدام برنامج download-sw للأرشفة

تنظيم صورة (صور) نقطة الوصول الهدف على خادم TFTP / SFTP يمكن الوصول إليه من قبل نقاط الوصول (APs) التي تتم ترقيتها.  لا تخضع ترقيات صورة نقطة الوصول عبر TFTP أو SFTP لمشكلة تلف الصورة.  يمكن أن تبدأ نقاط الوصول طلب تنزيل صورة من واجهة سطر الأوامر (AP) أو (إذا كانت نقاط الوصول متصلة بوحدة التحكم) من واجهة سطر الأوامر (CLI) لوحدة التحكم.

1. قم بإعداد خادم TFTP أو SFTP في موقع يمكن الوصول إليه من قبل نقاط الوصول (APs).  لاحظ أنه يتم التحكم في أداء بروتوكول TFTP بواسطة زمن الوصول، لذلك ستكون التنزيلات بطيئة إذا كان خادم TFTP بعيدا عن نقاط الوصول.  مع إستخدام SFTP لبروتوكول التحكم في الإرسال (TCP)، سيكون سعة المعالجة الخاصة به أفضل بكثير إذا كان إستخدام مسار يتميز بزمن وصول مرتفع.  مهما، SFTP يستطيع لا يكون أطلقت من ال WLC، بما أن هو يتطلب حوار تفاعلي أن يدخل ال username وكلمة.
2. عرض صورة (صور) نقطة الوصول المطلوبة على خادم TFTP أو SFTP.  راجع الجدول 4 في مصفوفة التوافق لإصدار نقطة الوصول 15.3(3)J* AP الذي يتم تعيينه إلى إصدار IOS-XE المطلوب، ثم قم بتنزيل صورة (صور) برامج نقاط الوصول (AP) المناسبة في الوضع Lightweight لنموذج (نماذج) AP المتأثرة من software.cisco.com.
   
   1. على سبيل المثال، صورة نقطة الوصول 17.9.5 ل CW9162 هي ap1g6b-k9w8-tar.153-3.JPN4.tar.
3. للترقية عبر واجهة سطر أوامر (CLI) نقطة الوصول: إذا كان يمكن الوصول إلى واجهة سطر الأوامر الخاصة بنقطة الوصول عبر وحدة التحكم أو بروتوكول طبقة الأمان (SSH):
   1. دخلت ال TFTP أو SFTP أمر:
      archive download-sw /no-reload tftp://<ip-address>/<apimage>
       أو
      archive download-sw /no-reload sftp://<ip-address>/<apimage>
      اسم المستخدم:المستخدم
      كلمة المرور:XXX
      سيؤدي ذلك إلى الكتابة فوق الصورة التالفة باستخدام الصورة الصحيحة.
   2. بمجرد اكتمال تنزيل الصورة، قم بإصدار:
      إعادة تشغيل إختبار Capwap
      سيؤدي ذلك إلى إعادة تشغيل عملية CAPWAP، بحيث يتعرف نقطة الوصول على الصورة المثبتة حديثا.
   3. لترقية عدد كبير من نقاط الوصول عبر "archive download-sw"، بدلا من إدخال الأمر في كل نقطة وصول على حدة، يمكنك إستخدام طريقة برمجة نصية.  راجع نقاط الوصول (AP) للترقية من خلال بولر WLAN أدناه.
      
4. إذا كانت نقاط الوصول متصلة بوحدة تحكم، فيمكنك ترقية نقاط الوصول من واجهة سطر الأوامر (CLI) لوحدة التحكم (TFTP فقط):
   1. في IOS-XE: اسم نقطة الوصول APNAME tftp-downgrade ip.addr.of.server imageName.tar
   2. في AireOS: تكوين ap tftp-downgrade ip.addr.of.server imageName.tar APNAME
      
      1. على الرغم من أن تنزيلات CAPWAP من AireOS غير معرضة لفساد الصورة، إذا كنت تخطط لترحيل نقاط الوصول الخاصة بك من AireOS إلى 9800، يجب عليك أولا تنزيل صورة AP مع الإصلاحات الخاصة ب Alt-boot ومتلازمة التمهيد صورة سيئة (8.10.190.0 أو أعلى)، قبل الانضمام إلى نقاط الوصول إلى 9800.
         
   3. راقبت ال TFTP أو SFTP نادل سجل مقياس سرعة للتحقق من أن كل ap قد جلبت الصورة بنجاح.  بمجرد اكتمال التنزيل، سيقوم كل نقطة وصول بإعادة التحميل، مع تشغيل الصورة التي تم تنزيلها حديثا.

ترقية نقاط الوصول (APs) عبر التنزيل المسبق والمراقبة بحثا عن الأخطاء

قم بتحميل الصورة المستهدفة على ال 9800، واستخدم تنزيل AP المسبق لدفع الصورة الجديدة إلى AP، أثناء المراقبة لمثيلات تلف صورة AP.

الخطوة 1. تحقق من تمكين بروتوكول SSH ضمن ملف تعريف (ملفات) انضمام نقطة الوصول (AP) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) C9800. قم بإعداد خادم syslog في الشبكة. قم بتكوين عنوان IPaddress الخاص بخادم syslog ضمن ملف تعريف إرتباط AP للإعتمادتعيين قيمة مصيدة السجل على تصحيح الأخطاء. دققت أن ال syslog يستلم نادل syslog من ap.

الخطوة 2. تنزيل صورة البرنامج إلى C9800 WLC للتحضير للتنزيل المسبق عبر CLI (واجهة سطر الأوامر):

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

الخطوة 3. قم بتشغيل التنزيل المسبق لصورة نقطة الوصول على وحدات التحكم في الشبكة المحلية اللاسلكية (WLC) طراز Cisco C9800:

C9800# ap image predownload

ملاحظة: قد يستغرق هذا الأمر عدة دقائق إلى بضع ساعات، وذلك وفقا لمدى ونوع النشر.  لا تقم بإعادة تشغيل وحدة التحكم أو نقاط الوصول (APs)، حتى يتم التحقق من صحة الصور الخاصة بهم!

الخطوة 4. ما إن يتم التنزيل المسبق لكل APs يكون، فحصت ل any of this سجل رسالة على ال syslog نادل:

• تحقق توقيع الصورة من النجاح.

• فشل التحقق من توقيع الصورة: -3

تحقق أيضا من مخرجات الأمر show ap image summary، تحقق من أي مثيلات فشل التنزيل.  إذا كان العداد غير صفري، اعثر على نقاط الوصول الفاشلة من خلال عرض صورة نقطة الوصول | فشل التضمين.

تحذير: في حالة فشل التحقق من صحة توقيع صورة نقاط الوصول، أو في حالة فشل تنزيل أي نقاط وصول، لا تقم بالمتابعة أكثر لعملية الترقية. إذا أظهرت جميع نقاط الوصول رسالة التحقق من نجاح توقيع الصورة"، عندئذ تكون جميع نقاط الوصول قد قامت بتنزيل الصورة بشكل صحيح، ويمكنك المتابعة بأمان لترقية 9800.

الخطوة 5. إذا أظهرت أي نقاط وصول فشلا في التحقق من الصحة أو فشل في التنزيل، فلتجنب حدوث تكرار حلقي، ستحتاج إلى الكتابة فوق الصورة في قسم النسخ الاحتياطي لنقطة الوصول بتنزيل أرشيف لصورة نقطة وصول منفصلة باستخدام العملية التالية. 

إذا كان عدد نقاط الوصول الفاشلة صغيرا، فيمكنك ببساطة تغليف SSH إلى كل نقطة وصول وبدء الخطوات التالية.

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart

ملاحظة: يلزم إجراء "إختبار إعادة تشغيل نقطة الوصول" بحيث تتعرف عملية CAPWAP لنقطة الوصول على أنه قد تم تحديث الصورة الموجودة في قسم النسخ الاحتياطي.  سيؤدي ذلك إلى مقاطعة خدمة قصيرة، عند إعادة تشغيل اتصال CAPWAP ب 9800.  إذا كانت هذه المشكلة تتعلق بالتشغيل، فيمكن تأجيل هذه الخطوة إلى نافذة صيانة.

ترقية نقاط الوصول باستخدام بولر WLAN

إذا كان عدد نقاط الوصول التي سيتم ترقيتها عبر مساحة تنزيل الأرشيف كبيرا، فيمكنك إستخدام عملية مؤتمتة باستخدام وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN).

الخطوة 1 أ. قم بتثبيت بولر WLAN على جهاز Mac أو جهاز Windows.

الخطوة 1 ب. قم بملء ملف CSV الخاص بالموجه باستخدام نقاط الوصول الفاشلة ذات الصلة.

الخطوة 1 ج. قم بملء ملف cmdlist باستخدام الأوامر التالية (يمكنك دائما إضافة المزيد وفقا لتقديرك):

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

الخطوة 1d. تنفيذ بولر WLAN.

الخطوة 1 ه. وبمجرد اكتمال تنفيذها، يرجى التحقق من كل ملف سجل لنقطة الوصول للتحقق من صحة الإكمال الناجح.

الخطوة 2. قم بتنشيط الصورة على C9800 WLC فورا وأعد التحميل.

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

الخطوة 3. تأكيد الصورة على C9800 WLC. سيؤدي تخطي هذه الخطوة إلى عودة عنصر التحكم في الشبكة المحلية اللاسلكية إلى صورة البرنامج السابقة

C9800#install commit

الأسئلة المتكررة

Q. لقد قمت بتشغيل تنزيل مسبق منذ بضعة أيام، ولكن لم يتم إعادة تمهيد Cisco C9800 WLC و APs بعد. ليس لدي syslogs للتحقق مما إذا كانت الصورة تالفة. كيف يمكنني التحقق مما إذا كانت الصورة تالفة؟

أ. تحقق من عرض التسجيل على APs/syslog. إذا لم يظهر لديك أي رسائل نجاح أو فشل في إخراج show logging، فيمكنك إستخدام الأمر "show flash syslogs" لتسجيل إخراج syslog من عند إجراء التنزيل المسبق.  إذا رأيت رسالة توقيع الصورة تحقق من النجاح"، فأنت تعلم أن نقطة الوصول هذه قامت بتنزيل الصورة بنجاح.

س: لدي عملية نشر مركزية مع نقاط الوصول في الوضع المحلي. هل ما زلت بحاجة إلى تنفيذ الخطوات المدرجة في قسم الحلول/الحلول؟

أ: تم الإبلاغ عن هذه المشكلة فقط عند ترقية نقاط الوصول عبر اتصال WAN. من غير المرجح إلى حد كبير أن تواجه نقاط الوصول في الوضع المحلي وعبر الشبكات المحلية هذه المشكلة، لذلك ليس من المطلوب اتباع هذا الإجراء للترقيات، إذا كنت واثقا من وجود فقد قليل جدا للحزم بين وحدة التحكم ونقاط الوصول.

س: لدي نقاط وصول جديدة لا يمكن تعبئتها. كيف يمكنني نشرها دون مواجهة هذه المشكلة؟ 

أ: ستكون نقاط الوصول الجديدة التي سيتم تنزيلها من الأسواق خارج العبوة عبر شبكة الاتصال واسعة النطاق (WAN) عرضة أيضا لهذه المشكلة، ما لم يتم تصنيعها بعد ديسمبر 2023.

Q: ماذا تفعل Cisco على المدى البعيد لمعالجة هذه المشكلة مع تنزيلات صورة CAPWAP من ال 9800 التي أصبحت تالفة؟

أ: بمجرد أن تعمل نقطة الوصول بالفعل من الإصدار 17.11 أو إصدارا أعلى، يمكنها إستخدام ميزة تنزيل الصور خارج النطاق الترددي لسحب الصورة من وحدة التحكم باستخدام HTTPS. يرسل TCP البيانات بشكل موثوق، باستخدام نافذة منزلقة - لذلك هو أيضا أسرع بكثير عبر شبكة WAN، من CAPWAP (أو TFTP)

س. لدي نقاط وصول التي هي الآن في حلقة تحميل.  كيف يمكنني إستردادها؟

أ: راجع المقالة إسترداد من حلقة تحميل ناجمة عن تلف صورة على نقاط وصول الموجة 2 و 11ax (CSCvx32806 ).

س. لدي المزيد من الأسئلة حول هذه المسألة.  إلى من يمكنني ان أرشدهم؟

أ: إرسال بريد إلكتروني إلى fn74109-questions@cisco.com.