액세스 포인트를 안전하게 업그레이드하여 부팅 루프가 발생하는 이미지 손상 방지

소개

일부 Cisco AP(Access Point)는 9800 Series 컨트롤러에서 CAPWAP를 통해 손상된 이미지를 다운로드할 수 있습니다.  AP의 소프트웨어 버전에 따라 AP가 손상된 이미지의 부팅을 시도하여 부팅 루프가 발생할 수 있습니다.  이 문서에서는 어떤 AP 모델 및 어떤 네트워크 경로가 이미지 손상에 취약한지, 그리고 안전하게 업그레이드하는 방법에 대해 설명합니다.

이 문제로 인해 AP가 현재 부팅 루프에 있는 경우 복구 단계에 대한 지침은 Wave 2 및 11ax 액세스 포인트(CSCvx32806 )의 이미지 손상으로 인한 부팅 루프에서 복구 문서를 참조하십시오.

이 문제는 Field Notice(필드 알림): FN74109 - CAPWAP 업그레이드 중 액세스 포인트 이미지가 손상되어 부팅이 실패할 수 있음 - Software Upgrade Recommended(소프트웨어 업그레이드 권장)로 문서화되었습니다.

업그레이드가 이미지 손상에 취약한지 확인하는 방법

다음과 같은 조건이 구축과 관련된 경우 AP에서 손상된 소프트웨어를 다운로드한 다음 해당 소프트웨어를 부팅하려고 시도할 수 있습니다.

영향 받지 않는 제품

• WLC(Wireless LAN Controller): AireOS Wireless LAN Controller에서 다운로드하는 AP는 영향을 받지 않습니다
• Mobility Express, 내장 무선 컨트롤러

• AP - Aironet 1800/1540/1100AC series Wave 2 11ac AP 및 Wave 1 11ac Access Point(1700/2700/3700/1570/IW3700)는 영향을 받지 않습니다(이러한 AP가 9800 WLC에 등록하더라도 영향을 받지 않음)
• 2023년부터 도입된 Wi-Fi 6E AP: IW9167, IW9165, C9163

영향을 받는 제품

• WLC: Cisco Catalyst 9800 Series Wireless LAN Controller에서 다운로드되는 AP에 영향을 미칠 수 있습니다.
  
• AP: Cisco Catalyst 9800 Series Wireless LAN Controller에 등록하는 다음 AP 모델이 영향을 받습니다.
  • Aironet Wave2 11ac Access Point(2800/3800/4800/1560/IW6330/ESW6300)
  • Catalyst 9100 Series Wi-Fi6 Access Point(9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Catalyst 9100 Series Wi-FI6E Access Point(9136/9162/9164/9166)

영향을 받는 버전: Boot a Bad Image Syndrome

AP가 손상된 것으로 알고 있는 이미지를 부팅하려고 시도하는 경우 이 문제는 CSCvx32806, CSCwc72021, CSCwd90081의 Cisco 버그 ID로 해결됩니다. 이 ID는 다음 릴리스에서 수정됩니다.

• 8.10.185.0 이상
• 17.3.7 이상
• 17.6.6 이상
• 17.9.3 이상
• 17.11.1 이상

액세스 포인트가 위 수정 사항이 있는 소프트웨어로 업그레이드된 후에도 손상된 이미지가 다운로드될 수 있습니다. 그러나 해당 이미지의 부팅을 시도하지 않고 성공할 때까지 다운로드를 계속 재시도합니다.

영향을 받는 네트워크 경로

9800과 AP 사이의 LAN 경로에서는 AP 이미지 손상 문제가 발견되지 않았습니다. 즉, 1500바이트 IP MTU가 꽉 찬 경로이며 레이턴시가 낮고 패킷 손실이 매우 낮은 경로는 영향을 받지 않습니다.  이 문제는 다음과 같은 경로 특성을 가진 WAN의 CAPWAP 터널을 통해 발생할 가능성이 높습니다.

• 높은 패킷 손실
• 낮은 CAPWAP MTU(1485바이트 미만) - MTU가 낮을수록 위험도가 높습니다.
  
  • 낮은 CAPWAP MTU는 패킷 손실의 증상일 수 있습니다
    

네트워크 경로의 위험 여부를 확인하는 방법

• 9800에서는 CAPWAP 경로 MTU를
  

  9800-L#show capwap detailed
  Name         APMAC          SourceIP        SrcPort DestIP          DestPort MTU   Mode      McastIf
  ----------------------------------------------------------------------------------------------------
  Capwap1      D4AD.BDA2.8240 192.168.203.203 5247    192.168.6.100   5248     1485  multicast Mc1
  Capwap2      084F.F983.4A40 192.168.203.203 5247    192.168.6.103   5253     1005  multicast Mc1

  • 특정 AP의 MTU가 변동하는 경우 이는 강력한 위험 지표입니다
• 또는 show ap config general | capwap\ Path\ MTU 포함(show tech-support wireless)
  
  • 9800의 "show tech-support wireless" 출력에서 WCAE(Wireless Config Analyzer Express)를 사용하여 Access Points(액세스 포인트) > Configuration(컨피그레이션)에서 AP의 MTU를 확인합니다.
    
• 9800에서는 "show ap uptime"을 사용하고 "AP Up Time"이 길고 "Association Up Time"이 짧은 AP를 찾습니다
  • AP가 짧은 연결 가동 시간을 가질 이유가 없는 경우(즉, 재구성이 없는 경우), 이는 위험 네트워크 경로를 나타낼 수 있습니다

고정되지 않은 AP 소프트웨어 버전에서 안전하게 업그레이드하는 방법

참고: 구축에서 이미지 손상(예: 영향을 받는 AP 모델, Boot a Bad Image Syndrome을 수정하지 않고 소프트웨어를 실행, 위험성이 높은 WAN 특성)이 발생할 수 있는 경우, 9800 소프트웨어를 업그레이드하고 AP가 다시 참가하여 새 소프트웨어를 다운로드하도록 하여 업그레이드하지 마십시오. 이러한 경우 이미지가 손상되어 부팅 루프가 발생할 수 있습니다.  대신 다음 방법 중 하나를 사용합니다.

WLC를 사용하여 AP로 업그레이드

가능한 경우 AP의 LAN에 스테이징 컨트롤러(9800-CL 또는 EWC 모드의 AP(Wave 2/Wi-Fi 6 AP의 경우)를 배치하고 AP를 대상 버전으로 업그레이드합니다.  그러면 프로덕션 컨트롤러에 안전하게 연결할 수 있습니다.

AireOS 컨트롤러를 통한 업그레이드

8.10.190.0 이상을 실행하는 AireOS 컨트롤러가 있는 경우, 그리고 AireOS에서 AP 모델을 지원하는 경우 해당 컨트롤러에 AP를 조인합니다.  이렇게 하면 AP가 고정 소프트웨어로 안전하게 업그레이드되고 프로덕션 컨트롤러에 안전하게 조인할 수 있습니다.

아카이브 download-sw를 사용하여 업그레이드

업그레이드된 AP에서 액세스할 수 있는 TFTP/SFTP 서버에 대상 AP 이미지를 준비합니다.  TFTP 또는 SFTP를 통한 AP 이미지 업그레이드는 이미지 손상 문제의 영향을 받지 않습니다.  AP는 AP CLI에서 또는 AP가 컨트롤러 CLI에서 이미지 다운로드 요청을 시작할 수 있습니다(AP가 컨트롤러에 조인된 경우).

1. AP가 액세스할 수 있는 위치에 TFTP 또는 SFTP 서버를 설정합니다.  TFTP 성능은 대기 시간에 의해 제어되므로 TFTP 서버가 AP로부터 원격인 경우 다운로드가 느려집니다.  SFTP는 TCP를 사용하므로 레이턴시가 높은 경로를 사용할 경우 처리량이 훨씬 더 우수합니다.  그러나 SFTP는 사용자 이름과 비밀번호를 입력하는 대화식 대화 상자가 필요하므로 WLC에서 트리거할 수 없습니다.
2. TFTP 또는 SFTP 서버에 원하는 AP 이미지를 준비합니다.  원하는 IOS-XE 버전에 매핑되는 15.3(3)J* AP 버전에 대한 호환성 매트릭스의 표 4를 참조한 다음, software.cisco.com에서 영향을 받는 AP 모델에 대한 적절한 경량 AP 소프트웨어 이미지를 다운로드합니다.
   
   1. 예를 들어 CW9162의 17.9.5 AP 이미지는 ap1g6b-k9w8-tar.153-3.JPN4.tar입니다.
3. AP CLI를 통해 업그레이드하려면: 콘솔 또는 SSH를 통해 AP의 CLI에 액세스할 수 있는 경우
   1. TFTP 또는 SFTP 명령을 입력합니다.
      archive download-sw /no-reload tftp://<ip-address>/<apimage>
      또는
      archive download-sw /no-reload sftp://<ip-address>/<apimage>
      사용자 이름:USER
      비밀번호:XXX
      이렇게 하면 손상된 이미지를 유효한 이미지로 덮어씁니다.
   2. 이미지 다운로드가 완료되면 다음을 실행합니다.
      capwap 재시작 테스트
      그러면 AP가 새로 설치된 이미지를 인식할 수 있도록 CAPWAP 프로세스가 다시 시작됩니다.
   3. 각 AP에 개별적으로 명령을 입력하지 않고 "archive download-sw"를 통해 다수의 AP를 업그레이드하려면 스크립팅 방법을 사용할 수 있습니다.  아래 WLAN 폴러를 통한 AP 업그레이드를 참조하십시오.
      
4. AP가 컨트롤러에 조인된 경우 컨트롤러 CLI에서 AP를 업그레이드할 수 있습니다(TFTP만 해당).
   1. IOS-XE에서 AP 이름 APNAME tftp-downgrade ip.addr.of.sever imagename.tar
   2. AireOS에서: config ap tftp-downgrade ip.addr.of.sever imagename.tar APNAME
      
      1. AireOS에서 CAPWAP 다운로드는 이미지 손상의 영향을 받지 않지만, AP를 AireOS에서 9800으로 마이그레이션할 계획인 경우, AP를 9800에 결합하기 전에 먼저 Alt-boot 및 Boot a Bad Image syndrome(8.10.190.0 이상)에 대한 수정 사항이 포함된 AP 이미지를 다운로드해야 합니다.
         
   3. TFTP 또는 SFTP 서버 로그를 모니터링하여 각 AP가 이미지를 성공적으로 다운로드했는지 확인합니다.  다운로드가 완료되면 각 AP가 다시 로드되어 새로 다운로드된 이미지가 실행됩니다.

사전 다운로드, 오류 모니터링을 통해 AP 업그레이드

9800에 대상 이미지를 로드하고 AP 사전 다운로드를 사용하여 AP에 새 이미지를 푸시하는 한편 AP 이미지 손상 인스턴스를 모니터링합니다.

1단계. C9800 WLC의 AP 조인 프로파일에서 SSH가 활성화되어 있는지 확인합니다. 네트워크에서 syslog 서버를 설정합니다. 모든 사이트에 대해 AP Join Profile(AP 조인 프로파일)에서 syslog 서버의 IP 주소를 구성하고 로그 트랩 값을 Debug(디버그)로 설정합니다. syslog 서버가 AP로부터 syslog를 수신하는지 확인합니다.

2단계. CLI를 통해 사전 다운로드를 준비하려면 C9800 WLC에 소프트웨어 이미지를 다운로드합니다.

C9800# copy tftp://x.x.x.x/C9800-80-universalk9_wlc.17.03.07.SPA.bin bootflash:
C9800# install add file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin

3단계. Cisco C9800 WLC에서 AP 이미지 사전 다운로드를 실행합니다.

C9800# ap image predownload

참고: 구축의 규모와 유형에 따라 몇 분에서 몇 시간 정도 걸릴 수 있습니다.  컨트롤러 또는 AP의 이미지가 유효한지 검증할 때까지 재부팅하지 마십시오!

4단계. 모든 AP에 대한 사전 다운로드가 완료되면 syslog 서버에서 다음 두 로그 메시지 중 하나를 확인합니다.

• 이미지 서명 성공 확인

• 이미지 서명 확인 실패: -3

또한 명령 show ap image summary의 출력을 확인하여 Failed to Download(다운로드 실패)의 인스턴스를 확인합니다.  카운터가 0이 아니면 show ap image(ap 이미지 표시)를 통해 실패한 AP를 찾습니다 | 포함 실패.

주의: AP가 이미지 서명 확인에 실패하거나 AP를 다운로드하지 못한 경우 업그레이드 프로세스를 더 진행하지 마십시오. 모든 AP에 "Image signing verify success" 메시지가 표시되면 모든 AP가 이미지를 올바르게 다운로드한 것이므로 9800 업그레이드를 안전하게 진행할 수 있습니다.

5단계. AP에서 확인 실패 또는 다운로드에 실패한 경우 부팅 루프를 방지하려면 다음 프로세스를 사용하여 AP의 백업 파티션에 있는 이미지를 별도의 AP 이미지의 아카이브 다운로드로 덮어써야 합니다. 

장애가 발생한 AP 수가 적을 경우 각 AP에 SSH를 수행하고 다음 단계를 시작할 수 있습니다.

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart

참고: AP의 CAPWAP 프로세스에서 백업 파티션의 이미지가 업데이트되었음을 인식할 수 있도록 "test capwap restart"가 필요합니다.  이로 인해 9800과의 CAPWAP 연결이 재시작되므로 짧은 서비스 중단이 발생합니다.  운영상의 문제인 경우 이 단계를 유지 관리 창으로 연기할 수 있습니다.

WLAN 폴러를 사용하여 AP 업그레이드

아카이브 download-sw를 통해 업그레이드할 AP 수가 많은 경우 WLAN Poller를 사용하여 자동화된 프로세스를 사용할 수 있습니다.

1a단계. Mac 또는 Windows 시스템에 WLAN 폴러를 설치합니다.

1b단계. 실패한 관련 AP로 applist csv 파일을 채웁니다.

1c단계. 아래의 명령으로 cmdlist 파일을 채우십시오(언제든지 원하는 대로 추가 가능).

COS_AP#term mon 
COS_AP#show clock 
COS_AP#archive download-sw /no-reload tftp://<ip-address>/%apimage% 
COS_AP#show version
COS_AP#test capwap restart
 

1d단계. WLAN 폴러를 실행합니다.

1e단계. 실행이 완료되면 모든 AP의 로그 파일을 확인하여 성공적으로 완료되었는지 확인하십시오.

2단계. C9800 WLC에서 이미지를 즉시 활성화하고 다시 로드합니다.

C9800#install activate file bootflash:C9800-80-universalk9_wlc.17.03.07.SPA.bin
- Confirm reload when prompted

3단계. C9800 WLC에서 이미지를 커밋합니다. 이 단계를 건너뛰면 WLC가 이전 소프트웨어 이미지로 롤백됩니다

C9800#install commit

자주 묻는 질문(FAQ)

Q. 며칠 전에 사전 다운로드를 실행했지만 아직 Cisco C9800 WLC 및 AP를 재부팅하지 않았습니다. 이미지가 손상되었는지 확인할 syslog가 없습니다. 이미지가 손상되었는지 확인하려면 어떻게 해야 합니까?

A. AP/syslog에서 show logging(로깅 표시)을 선택합니다. show logging 출력에 성공 또는 실패 메시지가 표시되지 않으면 "show flash syslogs" 명령을 사용하여 사전 다운로드를 수행한 시점의 syslog 출력을 기록할 수 있습니다.  "이미지 서명 확인 성공" 메시지가 표시되면 이 AP가 이미지를 성공적으로 다운로드했음을 알 수 있습니다.

Q: 로컬 모드의 AP가 있는 중앙 집중식 구축이 있습니다. 해결 방법/솔루션 섹션에 나열된 단계를 계속 수행해야 합니까?

A: 이 문제는 WAN 연결을 통해 AP를 업그레이드할 때만 보고되었습니다. 로컬 모드 및 로컬 네트워크를 통한 AP에서는 이 문제가 발생할 가능성이 매우 낮으므로, 컨트롤러와 AP 간에 패킷 손실이 거의 없다고 확신할 경우 업그레이드를 위해 이 절차를 따를 필요가 없습니다.

Q: 새로운 기본 AP가 있습니다. 이 문제를 겪지 않고 어떻게 구축할 수 있습니까? 

A: WAN을 통해 코드를 다운로드하는 새로운 기본 AP도 2023년 12월 이후에 제조되지 않는 한 이 문제의 영향을 받기 쉽습니다.

Q: Cisco는 9800에서 다운로드한 CAPWAP 이미지가 손상되었을 때 이 문제를 해결하기 위해 장기적으로 무엇을 하고 있습니까?

A: AP가 이미 17.11 이상을 실행 중이면 HTTPS를 사용하여 컨트롤러에서 이미지를 가져오기 위해 대역 외 이미지 다운로드 기능을 사용할 수 있습니다. TCP는 슬라이딩 윈도우를 사용하여 데이터를 안정적으로 전송하므로 WAN을 통해 CAPWAP(또는 TFTP)보다 훨씬 빠릅니다.

Q. 현재 부팅 루프에 있는 AP가 있습니다.  어떻게 복구합니까?

A: Wave 2 및 11ax Access Points(CSCvx32806 )에서 이미지 손상으로 인한 부팅 루프에서 복구 문서를 참조하십시오.

Q. 열차에 탑승할 수 있나요?  어느 분에게 지시하면 될까요?

A: fn74109-questions@cisco.com으로 이메일을 전송합니다.