Introducción
Algunos puntos de acceso (AP) de Cisco pueden descargar una imagen dañada a través de CAPWAP (Control and Provisioning of Wireless Access Points) desde un controlador de la serie 9800. Dependiendo de la versión del software del AP, el AP puede intentar arrancar la imagen corrupta, dando como resultado un loop de arranque. Este artículo explica cómo recuperar los puntos de acceso que están atascados en un loop de inicio. Para obtener más información sobre qué productos e implementaciones son susceptibles a este problema y para aprender cómo actualizar de manera segura sin encontrar el problema del loop de inicio, consulte el artículo Puntos de acceso de actualización segura, evitar la corrupción de la imagen que causa el loop de inicio.
Condiciones problemáticas
Productos no afectados
- Controladores de LAN inalámbrica (WLC): los AP que se descargan de los controladores de LAN inalámbrica de AireOS no se ven afectados
- Mobility Express, controlador inalámbrico integrado
- AP: los AP Aironet 1800/1540/1100AC Series Wave 2 11ac y los puntos de acceso Wave1 11ac (1700/2700/3700/1570/IW3700) no se ven afectados (aunque estos AP se registren en WLC 9800, no se verán afectados)
- AP Wi-Fi 6E introducidos desde 2023: IW9167, IW9165, C9163
Productos afectados
- WLC: La descarga de AP de los controladores de LAN inalámbrica de Cisco Catalyst serie 9800 puede verse afectada
- AP: Los siguientes modelos de AP que se registran en Cisco Catalyst 9800 Series Wireless LAN Controllers se ven afectados :
- Puntos de acceso Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
- Puntos de acceso Catalyst serie 9100 Wi-Fi6 (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
- Puntos de acceso Catalyst serie 9100 Wi-FI6E (9136/9162/9164/9166)
Versiones afectadas: el Síndrome de Arrancar una Imagen Mala
Este problema, donde el AP intenta arrancar una imagen que sabe que está dañada, se resuelve con los siguientes ID de bug de Cisco: CSCvx32806 , CSCwc72021 , CSCwd90081 , que se corrigen en las versiones siguientes:
- 8.10.185.0 y superior
- 17.3.7 y superior
- 17.6.6 y superior
- 17.9.3 y superior
- 17.11.1 y superiores
Una vez que el AP se actualiza al software con las correcciones anteriores, todavía puede descargar una imagen corrupta; sin embargo, no intentará arrancar esa imagen, sino que continuará intentando la descarga hasta que tenga éxito.
Síntomas
Consola de AP:
Un AP que ya ha descargado la imagen corrupta y ahora está en un loop de inicio, mostrará un mensaje de consola similar al siguiente:
error en la firma de verificación para /bootpart/part1/ramfs_data_cisco.cpio.lzma
or
error en la firma de verificación para /bootpart/part2/ramfs_data_cisco.squashfs
Anote si el mensaje indica "part1" o "part2"; esto indicará qué partición de arranque está dañada.
Registro del sistema o Mostrar registro:
Si el punto de acceso se configuró para registrar en un servidor syslog externo, antes del intento de descarga de la imagen, registrará el siguiente error:
Error de verificación de firma de imagen: -3
Este mensaje de error también se puede ver desde la CLI del AP (consola o SSH), en la salida "show logging". Si el buffer de registro se ha sobrescrito desde el intento de actualización de la imagen, el mensaje de error puede verse en los archivos syslog almacenados en la flash AP. Si no ve mensajes de éxito ni de error en el show logging, utilice uno de los métodos de recuperación en el AP para reinstalar la imagen deseada a través de TFTP o SFTP.
Puerto de switch de Cisco:
Los AP en un estado de loop de inicio mostrarán IEEE PD como se muestra a continuación en la salida Show del puerto de switch de link ascendente del AP. (Los AP que funcionan correctamente mostrarán su modelo en la columna Device, si utilizan CDP o LLDP):
switch#show power inline
Available:195.0(w) Used:159.9(w) Remaining:35.1(w)
Interface Admin Oper Power Device Class Max
(Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1 auto on 15.4 Ieee PD 4 30.0
Gi0/2 auto on 24.1 C9115AXI-B 4 30.0
Cómo recuperar los AP que están en un bucle de arranque
Determine si los AP tienen la mejora Alt-boot
Si un AP ha descargado una imagen corrupta, y está intentando arrancarla, exhibirá uno de dos comportamientos, dependiendo de si su u-boot (cargador de arranque AP) tiene la mejora Alt-boot (arranque alternativo)
- Sin Alt-boot: el AP intentará indefinidamente arrancar la imagen corrupta, y necesitará ser recuperado a través de su puerto de consola
- Con Alt-boot: el AP intentará arrancar la imagen corrupta cinco veces, luego arrancará la imagen desde su partición de respaldo. En este caso, el AP se puede recuperar sin acceso a la consola, usando uno de los métodos de recuperación Alt-boot documentados a continuación.
La mejora de arranque en U de Alt-boot se incluye en las siguientes versiones de software:
- 9117/9130/9124: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.1+
- 9136: 17.9.1+
- 916x: todas las unidades tienen la mejora Alt-boot
- 9105/9115/9120/2800/3800/4800/1560/6300: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.4
Tenga en cuenta que, si un AP ha descargado una imagen que tiene la mejora de Alt-boot, su u-boot será actualizado, incluso si la imagen de tiempo de ejecución está dañada. Por ejemplo, considere este escenario:
- un AP 9130 tiene 17.3.4c instalado (sin la mejora de Alt-boot).
- A continuación, descarga una imagen 17.9.5, pero esa imagen se daña durante la descarga.
- Debido a que 17.3.4c no tiene la corrección para el Síndrome de Arrancar una Imagen Mala, el AP continúa e intenta arrancar la imagen corrupta.
- El arranque de la nueva partición de la imagen hará que el AP actualice al u-boot 17.9.5, antes de que intente arrancar la imagen de tiempo de ejecución defectuosa.
- El AP intentará entonces cinco veces arrancar la imagen corrupta del tiempo de ejecución 17.9.5.
- Entonces, debido a que el AP ahora está ejecutando el u-boot 17.9.5, la lógica Alt-boot cambiará el AP para iniciar la imagen del tiempo de ejecución en su partición de respaldo.
- El AP ahora se puede recuperar sin acceso a la consola.
Recuperación de AP que están en un loop de inicio - Con la mejora de Alt-boot
Si sus AP están en un loop de arranque, y si su U-boot tiene el Alt-boot Enhancement, entonces utilice uno de los siguientes procedimientos para recuperarlos:
Si SSH está habilitado en los AP
- Almacene las imágenes de AP deseadas en un servidor TFTP o SFTP al que puedan acceder los AP afectados. Consulte la Tabla 4 en la Matriz de compatibilidad para la versión 15.3(3)J* AP que corresponde a la versión deseada de IOS-XE, luego descargue las imágenes apropiadas del software Lightweight AP para los modelos de AP afectados de software.cisco.com.
- Por ejemplo, la imagen de AP 17.9.5 para un CW9162 es ap1g6b-k9w8-tar.153-3.JPN4.tar.
- Evite que los AP afectados se unan a un controlador que está ejecutando la misma versión de software que está en su partición dañada. Por lo tanto, agregue una ACL CAPWAP en el puerto de switch AP, para evitar que el AP se una de nuevo al controlador. Por ejemplo, una ACL similar a la siguiente se puede aplicar en la interfaz del gateway predeterminado de la subred del AP:
Router#show running-config | section access-list 133
access-list 133 deny ip host <wlc_ip> any log
access-list 133 deny ip any host <wlc_ip> log
access-list 133 permit ip any any
Router#show running-config interface Vlan6
[ ... ]
interface Vlan6
ip address 192.168.6.1 255.255.255.0
ip access-group 133 in
- Deje que el AP reinicie con la imagen dañada cinco veces, después de lo cual debe cambiar a la imagen de trabajo en la partición de respaldo.
- Puede utilizar el comando show cdp neighbor <interface> detail en el switch del AP para ver qué versión de código está en la partición de respaldo del AP. (Si el AP está arrancando la imagen corrupta, el CDP no se activará en su puerto.)
- Una vez que el AP aparezca con la imagen de respaldo en funcionamiento, intentará unirse al controlador, pero no podrá hacerlo debido a la ACL agregada en el paso 2.
- SSH en cada AP afectado (si un gran número de AP se ven afectados, este paso se puede automatizar a través de WLAN Poller.)
- Ahora descargue la imagen deseada en la partición de respaldo del AP usando el comando archive download:
archive download-sw /no-reload tftp://<ip-address>/<apimage>
or
archive download-sw /no-reload sftp://<ip-address>/<apimage>
Esto sobrescribirá la imagen dañada con la imagen válida. Una vez completada la descarga de la imagen, ejecute:
test capwap restart
Esto reiniciará el proceso CAPWAP, de modo que el AP reconozca la imagen recién instalada.
- Ahora quite la ACL y haga que el AP se una al controlador. No volverá a descargar la imagen.
Si SSH no está habilitado en los AP, pero los AP tienen la mejora Alt-boot
- Asegúrese de que los AP no intenten unirse a un controlador que está ejecutando la misma versión de software que está en su partición dañada. Por lo tanto, agregue una ACL CAPWAP en el puerto de switch AP, para evitar que el AP se una de nuevo al controlador.
- Abra un controlador que ejecute una versión de software diferente de la versión corrupta del AP.
- Puede utilizar el comando show cdp neighbor <interface> detail en el switch del AP para ver qué versión de código está en la partición de respaldo del AP. (Mientras que el AP está arrancando la imagen corrupta, el CDP no aparecerá en su puerto.)
- Si no es factible montar un controlador que ejecuta la versión de respaldo del AP, entonces (si 9800), al menos coloque en escena una versión con correcciones para el Síndrome de Arrancar una Imagen Mala y con Alt-boot.
- Otra opción sería tener un controlador de AireOS que ejecute 8.10.190.0 o superior, ya que las descargas CAPWAP de AireOS no son susceptibles a la corrupción de imágenes.
- Configure las cosas de modo que los AP puedan detectar el controlador alternativo - por ejemplo, a través de la opción DHCP 43, una dirección de ayudante IP, o DNS.
- Tenga en cuenta que, si el controlador alternativo está ejecutando una versión de IOS-XE que difiere de la copia de seguridad del AP, el AP será susceptible de descargar una imagen corrupta, así que repita este proceso para cualquier AP que pueda resultar dañado recientemente.
- Una vez que los AP se unan al controlador alternativo, descargue la imagen deseada en los AP:
- Almacene las imágenes de AP deseadas en un servidor TFTP o SFTP al que puedan acceder los AP afectados. Consulte la Tabla 4 en la Matriz de compatibilidad para la versión 15.3(3)J* AP que corresponde a la versión deseada de IOS-XE, luego descargue las imágenes apropiadas del software Lightweight AP para los modelos de AP afectados de software.cisco.com.
- Por ejemplo, la imagen de AP 17.9.5 para un CW9162 es ap1g6b-k9w8-tar.153-3.JPN4.tar.
- Habilite ssh en los AP afectados y ssh en cada AP afectado (si un gran número de AP se ven afectados, este paso se puede automatizar a través de WLAN Poller.)
- Ahora descargue la imagen deseada en la partición de respaldo del AP usando el comando archive download:
archive download-sw /no-reload tftp://<ip-address>/<apimage>
or
archive download-sw /no-reload sftp://<ip-address>/<apimage>
Esto sobrescribirá la imagen dañada con la imagen válida.
- Una vez completada la descarga de la imagen, ejecute:
test capwap restart
Esto reiniciará el proceso CAPWAP, de modo que el AP reconozca la imagen recién instalada.
- Como alternativa a ejecutar archive download-sw en los AP, puede utilizar los siguientes comandos del controlador para que los AP descarguen la imagen deseada de un servidor TFTP:
- En IOS-XE: ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
- En AireOS: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
- Supervise los registros del servidor TFTP para verificar que cada AP haya descargado correctamente la imagen. Una vez que se complete la descarga, cada AP se recargará, ejecutando la imagen recién descargada.
- Quite la ACL que se instaló en el paso 1 y haga que los AP se unan al controlador deseado.
Recuperación mediante consola
Si el AP está en un loop de arranque, y si el AP no tiene la mejora de Alt-boot, entonces el AP debe ser recuperado vía la consola.
Para todos los modelos AP: Determine qué partición de inicio está dañada
En primer lugar, compruebe qué partición de arranque está dañada.
- Conéctese a la consola AP.
- Observe el intento de inicio del AP, hasta que vea el mensaje
error en la firma de verificación para /bootpart/part1/ramfs_data_cisco.cpio.lzma
or
error en la firma de verificación para /bootpart/part2/ramfs_data_cisco.cpio.lzma
(el mensaje puede decir "ramfs_data_cisco.squashfs" en lugar de "ramfs_data_cisco.cpio.lzma"
- Tome nota de qué partición, part1 o part2, está dañada
Para los modelos AP 9117, 9124, 9130, 9136
- Mientras está conectado a la consola, apague y encienda el AP.
-
Durante el arranque, cuando vea Pulsar la tecla ESC para detener el arranque automático, pulse la tecla Escape
-
Debería ver uno de estos mensajes:
(BTLDR) Nº
or
(arranque en U)>
- Ejecute estos comandos
(u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
(u-boot)> or (BTLDR)# ubi remove part1 (or part2 if corrupted image is in part2)
(u-boot)> or (BTLDR)# ubi create part1 (or part2 if corrupted image is in part2)
(u-boot)> or (BTLDR)# reset
Para los modelos AP 2802, 3802, 4800, 9105, 9115, 9120
- Mientras está conectado a la consola, apague y encienda el AP.
-
Durante el arranque, cuando vea Pulsar la tecla ESC para detener el arranque automático, pulse la tecla Escape
-
Esto debería llevarle a (u-boot)> prompt.
-
Ejecute estos comandos
(u-boot)> ubi part fs
(u-boot)> ubi remove part1 (or part2 if corrupted image is in part2)
(u-boot)> ubi create part1 (or part2 if corrupted image is in part2)
(u-boot)> boot
Preguntas Frecuentes
P1) Todos mis AP están conectados a su 9800 a través de una conexión LAN de alta velocidad, baja latencia y baja pérdida. ¿Tengo que seguir ejecutando lo anterior?
Este problema sólo se ha notificado al actualizar los AP a través de una conexión WAN.
P2) Tengo nuevos AP listos para usar. ¿Cómo puedo implementarlos sin que se produzca este problema?
Los nuevos AP listos para usar que descargan código a través de un link WAN con pérdida también serán susceptibles al problema, si fueron fabricados antes de diciembre de 2023. Se recomienda montar estos AP primero con un WLC local.