Récupérer d'une boucle de démarrage causée par la corruption d'image sur les points d'accès Wave 2 et 11ax (CSCvx32806)

Introduction

Certains points d'accès Cisco peuvent télécharger une image corrompue via CAPWAP (Control and Provisioning of Wireless Access Points) à partir d'un contrôleur de la gamme 9800.  Selon la version du logiciel de l'AP, l'AP peut essayer de démarrer l'image corrompue, résultant en une boucle de démarrage.  Cet article explique comment récupérer des points d'accès bloqués dans une boucle de démarrage. Pour en savoir plus sur les produits et les déploiements susceptibles de rencontrer ce problème et pour savoir comment effectuer une mise à niveau en toute sécurité sans rencontrer de problème de boucle de démarrage, consultez l'article Mise à niveau sécurisée des points d'accès, Éviter la corruption d'image qui provoque une boucle de démarrage.

Conditions du problème

Produits non affectés

• Contrôleurs LAN sans fil (WLC) : les points d'accès qui téléchargent depuis les contrôleurs LAN sans fil AireOS ne sont pas affectés
• Mobility Express, contrôleur sans fil intégré

• Points d'accès : les points d'accès Aironet 1800/1540/1100AC Wave 2 11ac et Wave1 11ac (1700/2700/3700/1570/IW3700) ne sont pas affectés (même si ces points d'accès s'enregistrent auprès de 9800 WLC, ils ne le sont pas)
• Points d'accès Wi-Fi 6E introduits depuis 2023 : IW9167, IW9165, C9163

Produits concernés

• WLC : le téléchargement des points d'accès à partir des contrôleurs LAN sans fil Cisco Catalyst 9800 peut être affecté
  
• Points d'accès : Les modèles de points d'accès suivants enregistrés sur les contrôleurs LAN sans fil de la gamme Cisco Catalyst 9800 sont affectés :
  • Points d'accès Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
  • Points d'accès Wi-Fi6 de la gamme Catalyst 9100 (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Points d'accès Wi-Fi6E de la gamme Catalyst 9100 (9136/9162/9164/9166)

Versions touchées : le syndrome d'amorçage d'une mauvaise image

Ce problème, où l'AP tente de démarrer une image qu'il sait corrompue, est résolu par les ID de bogue Cisco suivants : CSCvx32806 , CSCwc72021 , CSCwd90081 , qui sont corrigés dans les versions suivantes :

• 8.10.185.0 et versions ultérieures
• 17.3.7 et versions ultérieures
• 17.6.6 et versions ultérieures
• 17.9.3 et versions ultérieures
• 17.11.1 et versions ultérieures

Une fois que le point d'accès est mis à niveau vers le logiciel avec les correctifs ci-dessus, il peut toujours télécharger une image corrompue ; cependant, il ne tentera pas de démarrer cette image, mais au lieu de cela continuera à retenter le téléchargement jusqu'à ce qu'il réussisse.

Symptômes

Console AP :

Un AP qui a déjà téléchargé l'image corrompue et qui est maintenant dans une boucle de démarrage, affichera un message de console semblable à ce qui suit :

échec de la vérification de la signature pour /bootpart/part1/ramfs_data_cisco.cpio.lzma

ou

échec de la vérification de la signature pour /bootpart/part2/ramfs_data_cisco.squashfs

Notez si le message indique « part1 » ou « part2 » - cela indiquera quelle partition de démarrage est corrompue.

Syslog ou Show logging :

Si le point d'accès a été configuré pour enregistrer sur un serveur syslog externe, avant la tentative de téléchargement de l'image, il enregistre l'erreur suivante :

Échec de la vérification de la signature d'image : -3

Ce message d'erreur peut également être vu à partir de l'interface de ligne de commande AP (console ou SSH), dans la sortie "show logging".  Si la mémoire tampon de journalisation a été écrasée depuis la tentative de mise à jour de l'image, le message d'erreur peut être vu dans les fichiers syslog stockés dans la mémoire flash AP. Si vous ne voyez aucun message de réussite ou d'échec dans la commande show logging, alors utilisez l'une des méthodes de récupération sur l'AP pour réinstaller l'image désirée via TFTP ou SFTP.

Port de commutation Cisco :

Les AP dans un état de boucle d'amorçage afficheront IEEE PD comme indiqué ci-dessous dans la sortie Show du port de commutation de liaison ascendante de l'AP.  (Les points d'accès qui fonctionnent correctement afficheront leur modèle dans la colonne Device, s'ils utilisent CDP ou LLDP) :

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

Comment récupérer des points d'accès qui sont dans une boucle de démarrage

Déterminez si les points d'accès ont l'amélioration Alt-boot

Si un point d'accès a téléchargé une image corrompue et tente de la démarrer, il présente l'un des deux comportements, selon que son u-boot (AP bootloader) a l'amélioration Alt-boot (Alternate boot)

• Sans Alt-boot : l'AP tentera indéfiniment de démarrer l'image corrompue, et devra être récupéré via son port de console
• Avec Alt-boot : le point d'accès tentera de démarrer l'image corrompue cinq fois, puis démarrera l'image à partir de sa partition de sauvegarde.  Dans ce cas, l'AP peut être récupéré sans accès à la console, en utilisant l'une des méthodes de récupération Alt-boot documentées ci-dessous.

L'amélioration Alt-boot u-boot est fournie dans les versions logicielles suivantes :

• 9117/9130/9124 : 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.1+
• 9136 : 17.9.1+
• 916x : toutes les unités disposent de l'amélioration Alt-boot
• 9105/9115/9120/2800/3800/4800/1560/6300 : 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.4

Notez que, si un AP a téléchargé une image qui a l'amélioration Alt-boot, son u-boot sera mis à niveau, même si l'image d'exécution est corrompue.  Par exemple, considérez ce scénario :

• 17.3.4c est installé sur un point d'accès 9130 (sans l'amélioration Alt-boot).
• Il télécharge ensuite une image 17.9.5, mais cette image est endommagée pendant le téléchargement. 
• Puisque 17.3.4c n'a pas le correctif pour le syndrome d'amorçage d'une mauvaise image, l'AP va de l'avant et essaie d'amorcer l'image corrompue. 
• L'amorçage de la nouvelle partition d'image entraînera la mise à niveau de l'AP vers l'u-boot 17.9.5, avant qu'il essaie d'amorcer l'image d'exécution incorrecte.
• Le point d'accès tentera ensuite cinq fois de démarrer l'image d'exécution 17.9.5 corrompue.
• Ensuite, parce que l'AP exécute maintenant le u-boot 17.9.5, la logique Alt-boot commute l'AP pour démarrer l'image runtime dans sa partition de sauvegarde.
• Le point d'accès peut maintenant être restauré sans accès à la console.

Récupération des AP qui sont dans une boucle de démarrage - avec l'amélioration Alt-boot

Si vos AP sont dans une boucle de démarrage, et si leur U-boot a l'amélioration Alt-boot, alors utilisez l'une des procédures suivantes pour les récupérer :

Si SSH est activé sur les AP

1. Préparez la ou les images d'AP souhaitées sur un serveur TFTP ou SFTP qui est accessible aux AP concernés.  Reportez-vous au Tableau 4 de la Matrice de compatibilité pour connaître la version 15.3(3)J* du point d'accès qui correspond à la version IOS-XE souhaitée, puis téléchargez la ou les images logicielles Lightweight AP appropriées pour le ou les modèles de point d'accès affectés à partir de software.cisco.com.
   
   1. Par exemple, l'image AP 17.9.5 pour un CW9162 est ap1g6b-k9w8-tar.153-3.JPN4.tar.
2. Empêchez les AP affectés de rejoindre un contrôleur qui exécute la même version de logiciel que celle de leur partition corrompue.  Par conséquent, ajoutez une ACL CAPWAP sur le port de commutation AP, pour empêcher le point d'accès de rejoindre à nouveau le contrôleur. Par exemple, une liste de contrôle d'accès similaire à celle ci-dessous peut être appliquée à l'interface de la passerelle par défaut du sous-réseau de l'AP :
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. Laissez l'AP redémarrer avec l'image corrompue cinq fois, après quoi il devrait passer à l'image de travail dans la partition de sauvegarde.
   1. Vous pouvez utiliser la commande show cdp neighbor <interface> detail sur le commutateur de l'AP pour voir quelle version de code est dans la partition de sauvegarde de l'AP.  (Si le point d'accès amorce l'image corrompue, le protocole CDP ne s'affiche pas sur son port.)
4. Une fois que le point d'accès aura l'image de sauvegarde opérationnelle, il essaiera de joindre le contrôleur, mais ne pourra pas le faire à cause de la liste de contrôle d'accès ajoutée à l'étape 2.
5. SSH dans chaque AP affecté (si un grand nombre d'AP sont affectés, cette étape peut être automatisée via WLAN Poller.)
6. Maintenant, téléchargez l'image désirée sur la partition de sauvegarde de l'AP en utilisant la commande archive download :
   archive download-sw /no-reload tftp://<adresse-ip>/<image-app>
   ou
   archive download-sw /no-reload sftp://<adresse-ip>/<image-app>
   L'image endommagée sera remplacée par l'image valide.  Une fois le téléchargement de l'image terminé, émettez :
   redémarrage du capwap de test
   Cela redémarrera le processus CAPWAP, afin que le point d'accès reconnaisse l'image nouvellement installée.
   
7. Supprimez maintenant la liste de contrôle d'accès et demandez au point d'accès de joindre le contrôleur. Il ne téléchargera plus l'image.

Si SSH n'est pas activé sur les AP, mais les AP ont l'amélioration Alt-boot

1. Assurez-vous que les AP n'essaient pas de joindre un contrôleur qui exécute la même version de logiciel que celle de leur partition corrompue.  Par conséquent, ajoutez une ACL CAPWAP sur le port de commutation AP, pour empêcher le point d'accès de rejoindre à nouveau le contrôleur.
2. Activez un contrôleur exécutant une version logicielle différente de la version corrompue de l'AP.
   
   1. Vous pouvez utiliser la commande show cdp neighbor <interface> detail sur le commutateur de l'AP pour voir quelle version de code est dans la partition de sauvegarde de l'AP.  (Pendant que le point d'accès amorce l'image corrompue, le protocole CDP ne s'affiche pas sur son port.)
   2. S'il n'est pas possible de mettre en place un contrôleur exécutant la version de sauvegarde de l'AP, alors (si 9800), au moins mettre en place une version avec des correctifs pour le syndrome d'amorçage d'une mauvaise image et avec Alt-boot.
   3. Une autre option serait d'avoir un contrôleur AireOS exécutant 8.10.190.0 ou plus, comme CAPWAP téléchargements à partir d'AireOS ne sont pas susceptibles de corruption d'image.
3. Configurez les choses de sorte que les AP puissent découvrir le contrôleur alternatif - par exemple, via DHCP Option 43, une adresse IP helper, ou DNS.
   1. Notez que, si le contrôleur alternatif exécute une version d'IOS-XE qui diffère de la sauvegarde de l'AP, l'AP sera susceptible de télécharger une image corrompue, donc itérez ce processus pour tous les AP qui peuvent être nouvellement corrompus.
4. Une fois que les AP joignent le contrôleur alternatif, puis téléchargez l'image désirée sur les AP :
   1. Préparez la ou les images d'AP souhaitées sur un serveur TFTP ou SFTP qui est accessible aux AP concernés.  Reportez-vous au Tableau 4 de la Matrice de compatibilité pour connaître la version 15.3(3)J* du point d'accès qui correspond à la version IOS-XE souhaitée, puis téléchargez la ou les images logicielles Lightweight AP appropriées pour le ou les modèles de point d'accès affectés à partir de software.cisco.com.
      
      1. Par exemple, l'image AP 17.9.5 pour un CW9162 est ap1g6b-k9w8-tar.153-3.JPN4.tar.
   2. Activez ssh sur les AP affectés et ssh dans chaque AP affecté (si un grand nombre d'AP sont affectés, cette étape peut être automatisée via WLAN Poller.)
      1. Maintenant, téléchargez l'image désirée sur la partition de sauvegarde de l'AP en utilisant la commande archive download :
         archive download-sw /no-reload tftp://<adresse-ip>/<image-app>
         ou
         archive download-sw /no-reload sftp://<adresse-ip>/<image-app>
         L'image endommagée sera remplacée par l'image valide. 
      2. Une fois le téléchargement de l'image terminé, émettez :
         redémarrage du capwap de test
         Cela redémarrera le processus CAPWAP, afin que le point d'accès reconnaisse l'image nouvellement installée.
   3. Au lieu d'exécuter archive download-sw sur les AP, vous pouvez utiliser les commandes de contrôleur suivantes pour obtenir des AP qu'ils téléchargent l'image souhaitée à partir d'un serveur TFTP :
      1. Dans IOS-XE : ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
      2. Dans AireOS : config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
         
      3. Surveillez les journaux du serveur TFTP pour vérifier que chaque point d’accès a téléchargé correctement l’image.  Une fois le téléchargement terminé, chaque point d'accès se recharge, exécutant l'image nouvellement téléchargée.
         
5. Supprimez la liste de contrôle d'accès qui a été installée à l'étape 1 et demandez aux points d'accès de joindre le contrôleur souhaité.

Récupération via la console

Si l'AP est dans une boucle de démarrage, et si l'AP n'a pas l'amélioration Alt-boot, alors l'AP doit être récupéré via la console.

Pour tous les modèles AP : Déterminez quelle partition de démarrage est corrompue

Vérifiez d'abord quelle partition de démarrage est corrompue.

1. Connectez-vous à la console AP.
   
2. Observez la tentative d'amorçage du point d'accès jusqu'à ce que vous voyiez le message
   échec de la vérification de la signature pour /bootpart/part1/ramfs_data_cisco.cpio.lzma
   ou
   échec de la vérification de la signature pour /bootpart/part2/ramfs_data_cisco.cpio.lzma
   (le message peut indiquer "ramfs_data_cisco.squashfs" au lieu de "ramfs_data_cisco.cpio.lzma"
   
3. Notez quelle partition, part1 ou part2, est endommagée

Pour les modèles AP 9117, 9124, 9130, 9136

1. Une fois connecté à la console, mettez le point d'accès hors tension puis hors tension.
   

2. Au démarrage, lorsque vous voyez Appuyer sur la touche ESC pour arrêter le démarrage automatique, appuyez sur la touche Escape
   

3. Vous devriez voir l'une de ces invites :

   (BTLDR) #
   ou
   (u-boot)>

4. Exécuter ces commandes
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

Pour les modèles AP 2802, 3802, 4800, 9105, 9115, 9120

1. Une fois connecté à la console, mettez le point d'accès hors tension puis hors tension.
   

2. Au démarrage, lorsque vous voyez Appuyer sur la touche ESC pour arrêter le démarrage automatique, appuyez sur la touche Escape

3. Cela devrait vous amener à l'invite (u-boot)>.

4. Exécuter ces commandes

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

Forum aux questions

Q1) Mes points d’accès sont tous connectés à leur 9800 via une connexion LAN à haut débit, à faible latence et à faible perte.  Dois-je encore exécuter les commandes ci-dessus ?

Ce problème n'a été signalé que lors de la mise à niveau des AP sur une connexion WAN.

Q2) Je dispose de nouveaux points d'accès prêts à l'emploi. Comment puis-je les déployer sans rencontrer ce problème ?

Les nouveaux points d’accès prêts à l’emploi téléchargeant du code sur une liaison WAN avec perte seront également susceptibles de rencontrer le problème s’ils ont été fabriqués avant décembre 2023. Il est recommandé de préparer d’abord ces points d’accès avec un WLC local.