Herstellen van een Boot Loop veroorzaakt door Image Corruption op Wave 2 en 11ax access points (CSCvx32806)

Inleiding

Sommige Cisco access points (AP’s) kunnen een beschadigd beeld downloaden via CAPWAP (Control and Provisioning of Wireless Access points) van een controller uit de 9800-reeks.  Afhankelijk van de softwareversie van het toegangspunt, kan het toegangspunt proberen om het beschadigde image op te starten, wat resulteert in een opstartlus.  In dit artikel wordt uitgelegd hoe u toegangspunten die in een bootlus vastzitten, kunt herstellen. Als u meer wilt weten over welke producten en implementaties gevoelig zijn voor dit probleem en wilt u leren hoe u veilig kunt upgraden zonder dat u te maken krijgt met het probleem van de opstartlus, raadpleegt u het artikel Safely Upgrade Access points, ter voorkoming van beeldcorruptie die opstartlus veroorzaakt.

Problemen oplossen

Niet getroffen producten

• Draadloze LAN-controllers (WLC’s): het downloaden van AP’s van AireOS draadloze LAN-controllers wordt niet beïnvloed
• Mobility Express, ingesloten draadloze controller

• AP's - Aironet 1800/1540/1100AC Series Wave 2 11ac AP's en Wave1 11ac access points (1700/2700/3700/1570/IW3700) worden niet beïnvloed (zelfs als deze AP's zich registreren bij 9800 WLC's, worden ze niet beïnvloed)
• Wi-Fi 6E AP's geïntroduceerd sinds 2023: IW9167, IW9165, C9163

Betrokken producten

• WLC: De mogelijkheid dat de AP's worden gedownload van Cisco Catalyst 9800 Series draadloze LAN-controllers
  
• APs: De volgende AP-modellen die zich registreren voor Cisco Catalyst 9800 Series draadloze LAN-controllers worden beïnvloed:
  • Aironet Wave2 11ac access points (2800/3800/4800/1560/IW6330/ESW6300)
  • Catalyst 9100 Series Wi-Fi6 access points (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP101AX)
  • Catalyst 9100 Series Wi-Fi6E access points (9136/9162/9164/9166)

Gerelateerde versies: the Boot a Bad Image Syndrome

Dit probleem, waar AP probeert om een beeld te initialiseren waarvan het weet dat het corrupt is, wordt aangepakt door de volgende insecten-ID's van Cisco: CSCvx32806 , CSCwc72021 , CSCwd90081 , die in de volgende releases worden bevestigd:

• 8.10.185.0 en hoger
• 17.3.7 en hoger
• 17.6.6 en hoger
• 17.9.3 en hoger
• 17.11.1 en hoger

Zodra het toegangspunt is opgewaardeerd naar software met de bovengenoemde oplossingen, kan het nog steeds een beschadigde afbeelding downloaden; het zal echter niet proberen om die afbeelding op te starten, maar zal in plaats daarvan de download blijven proberen totdat deze slaagt.

Symptomen

AP-console:

Een AP die reeds het corrupte beeld heeft gedownload en nu in een laarslijn is, zal een consolebericht tonen gelijkend op het volgende:

verify-handtekening mislukt voor /bootpart/part1/ramfs_data_cisco.cpio.lzma

of

verify-handtekening mislukt voor /bootpart/part2/ramfs_data_cisco.squashfs

Noteer of het bericht "part1" of "part2" zegt - dit geeft aan welke boot partitie corrupt is.

Logboekregistratie tonen :

Als het toegangspunt is geconfigureerd om te loggen op een externe syslog-server, voorafgaand aan de poging om de afbeelding te downloaden, logt het de volgende fout in:

Afbeelding handtekening verificatie fout: -3

Deze foutmelding kan ook worden gezien vanaf de AP CLI (console of SSH), in de "show logging" uitvoer.  Als de logboekbuffer sinds de poging van de beeldupdate is overschreven, kan de foutmelding in de syslogbestanden worden gezien die in AP-flitser zijn opgeslagen. Als u noch succes noch mislukking berichten in de show vastlegging ziet, dan gebruik één van de herstel methodes op de AP om het gewenste beeld via TFTP of SFTP opnieuw te installeren.

Cisco-switchpoort :

De AP's in een bootlusstaat tonen IEEE PD zoals hieronder getoond in de Show output van de uplink switchport van de AP.  (AP's die correct werken, tonen hun model in de kolom Apparaat als ze CDP of LLDP gebruiken):

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

Hoe te om APs terug te krijgen die in een Laarslusje zijn

Bepaal of de AP's de Alt-boot Verbetering hebben

Als een AP een corrupte afbeelding heeft gedownload, en probeert op te starten, zal het een van twee gedragingen vertonen, afhankelijk van of zijn u-boot (AP bootloader) de Alt-boot (Alternate boot) verbetering heeft

• Zonder Alt-boot: de AP zal oneindig proberen om het corrupte beeld te initialiseren, en zal moeten worden hersteld via zijn consolepoort
• Met Alt-boot: AP zal proberen om het corrupte beeld vijf keer te initialiseren, dan initialiseer het beeld van zijn reserveverdeling.  In dit geval kan het toegangspunt worden hersteld zonder toegang tot de console, met behulp van een van de onderstaande Alt-boot herstelmethoden.

De Alt-boot u-boot verbetering wordt gebundeld in de volgende softwarereleases:

• 917/1930/1924: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.1+
• 9136: 17,9,1+
• 916x: alle eenheden hebben de Alt-boot verbetering
• 9105/1915/1920/2800/3800/4800/1560/3600: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.4

Merk op dat, als een AP een afbeelding heeft gedownload die de Alt-boot-verbetering heeft, zijn u-boot zal worden opgewaardeerd, zelfs als het runtime beeld corrupt is.  Neem bijvoorbeeld dit scenario:

• een 9130 AP heeft 17.3.4c geïnstalleerd (zonder de Alt-boot verbetering.)
• Het downloadt vervolgens een 17.9.5 afbeelding, maar dat beeld is beschadigd tijdens het downloaden. 
• Omdat 17.3.4c niet de oplossing voor Boot a Bad Image Syndrome heeft, gaat de AP door en probeert de corrupte afbeelding op te starten. 
• Het opstarten van de nieuwe image partitie zal ervoor zorgen dat het AP te upgraden naar de 17.9.5 u-boot, voordat het probeert om de slechte runtime image op te starten.
• De AP zal dan vijf keer proberen om de corrupte 17.9.5 runtime afbeelding op te starten.
• Omdat de AP nu de 17.9.5 u-boot uitvoert, zal de Alt-boot logica de AP switches om de runtime afbeelding in zijn back-uppartitie op te starten.
• Het toegangspunt kan nu worden hersteld zonder consoletoegang.

AP's herstellen die zich in een bootloop bevinden - met Alt-boot verbetering

Als uw AP's in een bootlus staan en als hun U-boot de Alt-boot Verbetering heeft, gebruik dan een van de volgende procedures om ze te herstellen:

Als SSH is ingeschakeld op de toegangspunten

1. De gewenste AP-afbeelding(en) op een TFTP- of SFTP-server die toegankelijk is voor de betreffende AP's gefaseerd uitvoeren.  Zie tabel 4 in de Compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die overeenkomt met de gewenste IOS-XE-versie, en download vervolgens de juiste Lichtgewicht AP-softwareafbeelding(en) voor de betreffende AP-model(en) van software.cisco.com.
   
   1. De 17.9.5 AP afbeelding voor een CW9162 is bijvoorbeeld ap1g6b-k9w8-tar.153-3.JPN4.tar.
2. Beletten dat de betreffende AP's zich aansluiten bij een controller die dezelfde softwareversie uitvoert als in hun corrupte partitie.  Voeg dus een CAPWAP ACL toe op de AP-switchpoort om te voorkomen dat het AP zich opnieuw bij de controller aansluit. Zo kan een ACL die vergelijkbaar is met onderstaande worden toegepast op de interface van de standaardgateway van het AP-netwerk:
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. Laat het toegangspunt vijf keer herstarten met het beschadigde beeld, waarna het naar het werkbeeld in de back-uppartitie moet switches.
   1. U kunt de opdracht tonen cdp-buur <interface> detail op de switch van de AP gebruiken om te zien welke versie van code in de back-uppartitie van de AP is.  (Als het toegangspunt de beschadigde afbeelding opstart, komt CDP niet op de poort.)
4. Zodra het toegangspunt met de back-upafbeelding komt, zal het proberen zich aan te sluiten bij de controller, maar zal het niet in staat zijn om dit te doen vanwege de ACL die in stap 2 is toegevoegd.
5. SSH in elke beïnvloede AP (als een groot aantal APs wordt beïnvloed, kan deze stap via WLAN Poller worden geautomatiseerd.)
6. Download nu het gewenste beeld op de reserveverdeling van AP met behulp van het bevel van de archiefdownload:
   archiefdownload-sw/no-reload tftp://<ip-adres>/<image>
   of
   archiefdownload-sw/no-reload sftp://<ip-adres>/<image>
   Dit overschrijft de beschadigde afbeelding met de geldige afbeelding.  Nadat het image is gedownload, verschijnt dit probleem:
   herstart van testcapwap
   Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde beeld kan herkennen.
   
7. Verwijder nu de ACL en laat de AP zich aansluiten bij de controller. Het zal de afbeelding niet opnieuw downloaden.

Als SSH niet ingeschakeld is op de AP's, maar de AP's hebben de Alt-boot Verbetering

1. Zorg ervoor dat de AP's niet proberen om zich aan te sluiten bij een controller die dezelfde softwareversie draait als is in hun corrupte partitie.  Voeg dus een CAPWAP ACL toe op de AP-switchpoort om te voorkomen dat het AP zich opnieuw bij de controller aansluit.
2. Breng een controller aan die een andere softwareversie uitvoert dan de corrupte versie van de AP.
   
   1. U kunt de opdracht tonen cdp-buur <interface> detail op de switch van de AP gebruiken om te zien welke versie van code in de back-uppartitie van de AP is.  (Terwijl de AP het corrupte beeld initialiseert, zal CDP niet op zijn haven komen.)
   2. Als het niet haalbaar is om een controller op te zetten die de back-upversie van de AP uitvoert, dan (als 9800), dan moet u ten minste een versie met oplossingen voor de Boot a Bad Image Syndrome en met Alt-boot.
   3. Een andere optie zou zijn om een AireOS controller uit te voeren van 8.10.190.0 of hoger, aangezien CAPWAP downloads van AireOS niet gevoelig zijn voor beeldcorruptie.
3. Stel dingen in zodat de AP's de alternatieve controller kunnen ontdekken - bijvoorbeeld via DHCP-optie 43, een IP-helperadres of DNS.
   1. Houd er rekening mee dat, als de alternatieve controller een IOS-XE versie draait die verschilt van de back-up van het toegangspunt, het toegangspunt vatbaar is voor het downloaden van een beschadigde afbeelding, dus herhaal dit proces voor alle toegangspunten die mogelijk nieuw beschadigd zijn.
4. Zodra de AP's zich bij de alternatieve controller aansluiten, download dan het gewenste beeld naar de AP's:
   1. De gewenste AP-afbeelding(en) op een TFTP- of SFTP-server die toegankelijk is voor de betreffende AP's gefaseerd uitvoeren.  Zie tabel 4 in de Compatibiliteitsmatrix voor de 15.3(3)J* AP-versie die overeenkomt met de gewenste IOS-XE-versie, en download vervolgens de juiste Lichtgewicht AP-softwareafbeelding(en) voor de betreffende AP-model(en) van software.cisco.com.
      
      1. De 17.9.5 AP afbeelding voor een CW9162 is bijvoorbeeld ap1g6b-k9w8-tar.153-3.JPN4.tar.
   2. Schakel ssh op de betreffende AP's in en ssh in elke betreffende AP (als een groot aantal AP's wordt beïnvloed, kan deze stap worden geautomatiseerd via WLAN Poller).
      1. Download nu het gewenste beeld op de reserveverdeling van AP met behulp van het bevel van de archiefdownload:
         archiefdownload-sw/no-reload tftp://<ip-adres>/<image>
         of
         archiefdownload-sw/no-reload sftp://<ip-adres>/<image>
         Dit overschrijft de beschadigde afbeelding met de geldige afbeelding. 
      2. Nadat het image is gedownload, verschijnt dit probleem:
         herstart van testcapwap
         Hierdoor wordt het CAPWAP-proces opnieuw gestart, zodat het toegangspunt het nieuw geïnstalleerde beeld kan herkennen.
   3. Als alternatief voor het uitvoeren van archiefdownload-sw op de AP's, kunt u de volgende controller commando's gebruiken om de AP's het gewenste beeld van een TFTP-server te laten downloaden:
      1. In IOS-XE: ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
      2. In AireOS: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
         
      3. Controleer de TFTP-serverlogbestanden om te verifiëren dat elke AP met succes de afbeelding heeft gedownload.  Zodra de download voltooid is, zal elke AP opnieuw laden, waarbij de nieuw gedownloade afbeelding wordt uitgevoerd.
         
5. Verwijder de ACL die in stap 1 is geïnstalleerd en laat de AP's zich bij de gewenste controller aansluiten.

Herstel via console

Als het toegangspunt zich in een opstartlus bevindt en als het toegangspunt geen Alt-boot-verbetering heeft, moet het toegangspunt worden hersteld via de console.

Voor alle AP-modellen: bepalen welke bootpartitie corrupt is

Controleer eerst welke opstartpartitie corrupt is.

1. Verbinding maken met de AP-console.
   
2. Bekijk hoe de AP probeert op te starten, tot je het bericht ziet
   verify-handtekening mislukt voor /bootpart/part1/ramfs_data_cisco.cpio.lzma
   of
   verify-handtekening mislukt voor /bootpart/part2/ramfs_data_cisco.cpio.lzma
   (in het bericht staat "ramfs_data_cisco.squashfs" in plaats van "ramfs_data_cisco.cpio.lzma"
   
3. Noteer welke partitie, deel1 of deel2, beschadigd is

Voor AP-modellen 9117, 9124, 9130, 9136

1. Schakel het toegangspunt uit terwijl u bent verbonden met de console.
   

2. Wanneer u tijdens het opstarten de Hit ESC-toets ziet stoppen met automatisch opstarten, drukt u op de Escape-toets
   

3. U dient een van deze aanwijzingen te zien:

   (BTLDR) #
   of
   (u-boot)>

4. Deze opdrachten uitvoeren
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

Voor AP-modellen 2802, 3802, 4800, 9105, 9115, 9120

1. Schakel het toegangspunt uit terwijl u bent verbonden met de console.
   

2. Wanneer u tijdens het opstarten de Hit ESC-toets ziet stoppen met automatisch opstarten, drukt u op de Escape-toets

3. U wordt hierdoor gevraagd naar (u-boot)> prompt.

4. Deze opdrachten uitvoeren

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

Veelgestelde vragen

Q1) Mijn AP's zijn allemaal verbonden met hun 9800 via een snelle, latente, low-loss LAN verbinding.  Moet ik het bovenstaande nog steeds uitvoeren?

Dit probleem is alleen gemeld bij het upgraden van AP's via een WAN-verbinding.

Q2) Ik heb nieuwe out-of-box AP's. Hoe kan ik ze inzetten zonder dit probleem aan te pakken?

Nieuwe out-of-box AP's downloaden code via een lossy WAN link zal ook gevoelig zijn voor het probleem, als ze zijn geproduceerd vóór december, 2023. Het wordt aanbevolen om deze AP's eerst op te stellen met een lokale WLC.