Recuperação de um loop de inicialização causado por corrupção de imagem em access points Wave 2 e 11ax (CSCvx32806)

Introdução

Alguns access points (APs) da Cisco podem fazer download de uma imagem corrompida via CAPWAP (Control and Provisioning of Wireless Access Points) de um controlador da série 9800.  Dependendo da versão do software do AP, o AP pode tentar inicializar a imagem corrompida, resultando em um loop de inicialização.  Este artigo explica como recuperar pontos de acesso que estão presos em um loop de inicialização. Para saber mais sobre quais produtos e implantações são susceptíveis a esse problema e para saber como atualizar com segurança sem encontrar o problema de loop de inicialização, consulte o artigo Atualização segura de access points, Evitando a corrupção de imagem que causa o loop de inicialização.

Condições do problema

Produtos não afetados

• Wireless LAN Controllers (WLCs): APs que fazem download a partir do AireOS Wireless LAN Controllers não são afetados
• Mobility Express, controlador sem fio integrado

• APs - Access Points Aironet 1800/1540/1100AC Series Wave 2 11ac e Wave1 11ac (1700/2700/3700/1570/IW3700) não são afetados (mesmo que esses APs estejam se registrando em 9800 Ws, eles não são afetados pelo LC)
• APs Wi-Fi 6E introduzidos desde 2023: IW9167, IW9165, C9163

Produtos afetados

• WLC : o download de APs dos Cisco Catalyst 9800 Series Wireless LAN Controllers pode ser afetado
  
• APs : Os seguintes modelos de AP registrados nos Cisco Catalyst 9800 Series Wireless LAN Controllers são afetados :
  • Access points Aironet Wave2 11ac (2800/3800/4800/1560/IW6330/ESW6300)
  • Pontos de acesso Catalyst 9100 Series Wi-Fi6 (9105/9115/9117/9120/9124/9130/WP-WIFI6/ISR-AP1101AX)
  • Pontos de acesso Catalyst 9100 Series Wi-FI6E (9136/9162/9164/9166)

Versões Afetadas: a Síndrome de Inicialização de Imagem Incorreta

Esse problema, em que o AP tenta inicializar uma imagem que sabe que está corrompida, é tratado pelos seguintes IDs de bug da Cisco: CSCvx32806 , CSCwc72021 , CSCwd90081 , que são corrigidos nas seguintes versões:

• 8.10.185.0 e acima
• 17.3.7 e superior
• 17.6.6 e superior
• 17.9.3 e superior
• 17.11.1 e superior

Uma vez que o AP é atualizado para o software com as correções acima, ele ainda pode baixar uma imagem corrompida; no entanto, ele não tentará inicializar essa imagem, mas em vez disso continuará a tentar novamente o download até que ele seja bem-sucedido.

Sintomas

Console do AP:

Um AP que já tenha baixado a imagem corrompida e agora esteja em um loop de inicialização, mostrará uma mensagem de console semelhante à seguinte:

falha ao verificar assinatura para /bootpart/part1/ramfs_data_cisco.cpio.lzma

or

falha ao verificar assinatura para /bootpart/part2/ramfs_data_cisco.squashfs

Anote se a mensagem diz "part1" ou "part2" - isso indicará qual partição de inicialização está corrompida.

Syslog ou Show logging :

Se o ponto de acesso foi configurado para registrar em um servidor syslog externo, antes da tentativa de download da imagem, ele registrará o seguinte erro:

Falha na verificação da assinatura da imagem: -3

Essa mensagem de erro também pode ser vista na CLI do AP (console ou SSH), na saída "show logging".  Se o buffer de registro tiver sido substituído desde a tentativa de atualização da imagem, a mensagem de erro poderá ser vista nos arquivos syslog armazenados na flash do AP. Se você não vir mensagens de êxito ou falha no show logging, então use um dos métodos de recuperação no AP para reinstalar a imagem desejada via TFTP ou SFTP.

Porta de switch da Cisco:

Os APs em um estado de loop de inicialização exibirão o IEEE PD, conforme mostrado abaixo na saída Show da porta de switch de uplink do AP.  (APs que operam corretamente mostrarão seu modelo na coluna Dispositivo, se estiverem usando CDP ou LLDP):

switch#show power inline
Available:195.0(w)  Used:159.9(w)  Remaining:35.1(w)

Interface Admin  Oper       Power   Device              Class Max
                            (Watts)
--------- ------ ---------- ------- ------------------- ----- ----
Gi0/1     auto   on         15.4    Ieee PD             4     30.0
Gi0/2     auto   on         24.1    C9115AXI-B          4     30.0

Como recuperar APs que estão em um loop de inicialização

Determine se os APs têm o aprimoramento Alt-boot

Se um AP tiver baixado uma imagem corrompida e estiver tentando inicializá-la, ele exibirá um de dois comportamentos, dependendo se sua inicialização u (carregador de inicialização do AP) tem o aprimoramento Alt-boot (inicialização alternativa)

• Sem Alt-boot: o AP tentará inicializar indefinidamente a imagem corrompida e precisará ser recuperado por meio de sua porta de console
• Com Alt-boot: o AP tentará inicializar a imagem corrompida cinco vezes e, em seguida, inicializar a imagem a partir de sua partição de backup.  Nesse caso, o AP pode ser recuperado sem acesso ao console, usando um dos métodos de recuperação Alt-boot documentados abaixo.

O aprimoramento Alt-boot u-boot está incluído nas seguintes versões de software:

• 9117/9130/9124: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.1+
• 9136: 17.9.1+
• 916x: todas as unidades têm o aprimoramento Alt-boot
• 9105/9115/9120/2800/3800/4800/1560/6300: 8.10.190.0, 17.3.8+, 17.6.6+, 17.9.4

Observe que, se um AP tiver baixado uma imagem que tenha o aprimoramento Alt-boot, sua inicialização u será atualizada, mesmo que a imagem de tempo de execução esteja corrompida.  Por exemplo, considere este cenário:

• um AP 9130 tem 17.3.4c instalado (sem o aprimoramento Alt-boot).
• Em seguida, ele baixa uma imagem 17.9.5, mas essa imagem é corrompida durante o download. 
• Como 17.3.4c não tem a correção para a Inicialização de uma Síndrome de Imagem Incorreta, o AP vai em frente e tenta inicializar a imagem corrompida. 
• A inicialização da partição da nova imagem fará com que o AP atualize para a inicialização de u 17.9.5, antes de tentar inicializar a imagem de tempo de execução inválida.
• O AP então tentará cinco vezes inicializar a imagem corrompida do tempo de execução 17.9.5.
• Em seguida, como o AP agora está executando a inicialização de u 17.9.5, a lógica Alt-boot alternará o AP para inicializar a imagem de tempo de execução em sua partição de backup.
• O AP agora pode ser recuperado sem acesso ao console.

Recuperação de APs que estão em um Loop de Inicialização - Com Aprimoramento Alt-boot

Se seus APs estiverem em um loop de inicialização e se sua inicialização U tiver o aprimoramento Alt-boot, use um dos seguintes procedimentos para recuperá-los:

Se o SSH estiver habilitado nos APs

1. Prepare as imagens de AP desejadas em um servidor TFTP ou SFTP que seja acessível aos APs afetados.  Consulte a Tabela 4 na Matriz de Compatibilidade para obter informações sobre a versão 15.3(3)J* do AP que mapeia para a versão IOS-XE desejada e, em seguida, faça o download das imagens apropriadas do Lightweight AP Software para os modelos de AP afetados em software.cisco.com.
   
   1. Por exemplo, a imagem do AP 17.9.5 para um CW9162 é ap1g6b-k9w8-tar.153-3.JPN4.tar.
2. Evite que os APs afetados se unam a uma controladora que está executando a mesma versão de software que está na partição corrompida.  Assim, adicione uma ACL CAPWAP na porta de switch do AP, para evitar que o AP entre novamente no controlador. Por exemplo, uma ACL semelhante à abaixo pode ser aplicada na interface do gateway padrão da sub-rede do AP:
   

   Router#show running-config | section access-list 133
   access-list 133 deny ip host <wlc_ip> any log
   access-list 133 deny ip any host <wlc_ip> log
   access-list 133 permit ip any any
   
   Router#show running-config interface Vlan6
   [ ... ]
   interface Vlan6
   ip address 192.168.6.1 255.255.255.0
   ip access-group 133 in

3. Deixe o AP reinicializar com a imagem corrompida cinco vezes, depois disso ele deve alternar para a imagem em funcionamento na partição de backup.
   1. Você pode usar o comando show cdp neighbor <interface> detail no switch do AP para ver qual versão do código está na partição de backup do AP.  (Se o AP estiver inicializando a imagem corrompida, o CDP não será ativado em sua porta.)
4. Quando o AP aparecer com a imagem de backup em funcionamento, ele tentará se unir ao controlador, mas não poderá devido à ACL adicionada na etapa 2.
5. SSH em cada AP afetado (se um grande número de APs for afetado, esta etapa pode ser automatizada através da WLAN Poller.)
6. Agora faça o download da imagem desejada na partição de backup do AP usando o comando archive download:
   archive download-sw /no-reload tftp://<ip-address>/<apimage>
   or
   archive download-sw /no-reload sftp://<ip-address>/<apimage>
   Isso substituirá a imagem corrompida pela imagem válida.  Quando o download da imagem for concluído, emita:
   test capwap restart
   Isso reiniciará o processo CAPWAP, de modo que o AP reconheça a imagem recém-instalada.
   
7. Agora remova a ACL e faça com que o AP se una à controladora. Ele não baixará a imagem novamente.

Se o SSH não estiver habilitado nos APs, mas os APs tiverem o aprimoramento Alt-boot

1. Certifique-se de que os APs não tentem juntar-se a um controlador que esteja executando a mesma versão de software que está em sua partição corrompida.  Assim, adicione uma ACL CAPWAP na porta de switch do AP, para evitar que o AP entre novamente no controlador.
2. Ative um controlador executando uma versão de software diferente da versão corrompida do AP.
   
   1. Você pode usar o comando show cdp neighbor <interface> detail no switch do AP para ver qual versão do código está na partição de backup do AP.  (Enquanto o AP estiver inicializando a imagem corrompida, o CDP não será ativado em sua porta.)
   2. Se não for viável preparar uma controladora executando a versão de backup do AP, então (se for 9800), pelo menos prepare uma versão com correções para o Boot a Bad Image Syndrome e com Alt-boot.
   3. Outra opção seria ter um controlador AireOS executando 8.10.190.0 ou superior, já que os downloads do CAPWAP do AireOS não são susceptíveis à corrupção de imagem.
3. Configure as coisas de modo que os APs possam descobrir o controlador alternativo - por exemplo, através da Opção de DHCP 43, um endereço IP auxiliar ou DNS.
   1. Observe que, se o controlador alternativo estiver executando uma versão do IOS-XE diferente do backup do AP, o AP será susceptível ao download de uma imagem corrompida, portanto, repita esse processo para todos os APs que possam estar recém-corrompidos.
4. Quando os APs se juntarem à controladora alternativa, faça o download da imagem desejada nos APs:
   1. Prepare as imagens de AP desejadas em um servidor TFTP ou SFTP que seja acessível aos APs afetados.  Consulte a Tabela 4 na Matriz de Compatibilidade para obter informações sobre a versão 15.3(3)J* do AP que mapeia para a versão IOS-XE desejada e, em seguida, faça o download das imagens apropriadas do Lightweight AP Software para os modelos de AP afetados em software.cisco.com.
      
      1. Por exemplo, a imagem do AP 17.9.5 para um CW9162 é ap1g6b-k9w8-tar.153-3.JPN4.tar.
   2. Ative o ssh nos APs afetados e o ssh em cada AP afetado (se um grande número de APs for afetado, esta etapa pode ser automatizada através da WLAN Poller.)
      1. Agora faça o download da imagem desejada na partição de backup do AP usando o comando archive download:
         archive download-sw /no-reload tftp://<ip-address>/<apimage>
         or
         archive download-sw /no-reload sftp://<ip-address>/<apimage>
         Isso substituirá a imagem corrompida pela imagem válida. 
      2. Quando o download da imagem for concluído, emita:
         test capwap restart
         Isso reiniciará o processo CAPWAP, de modo que o AP reconheça a imagem recém-instalada.
   3. Como uma alternativa para executar archive download-sw nos APs, você pode usar os seguintes comandos do controlador para fazer com que os APs façam download da imagem desejada de um servidor TFTP:
      1. No IOS-XE: ap name APNAME tftp-downgrade ip.addr.of.server imagename.tar
      2. No AireOS: config ap tftp-downgrade ip.addr.of.server imagename.tar APNAME
         
      3. Monitore os registros do servidor TFTP para verificar se cada AP fez o download da imagem com êxito.  Quando o download for concluído, cada AP será recarregado, executando a imagem recém-baixada.
         
5. Remova a ACL que foi instalada na etapa 1 e faça com que os APs se unam ao controlador desejado.

Recuperação via console

Se o AP estiver em um loop de inicialização, e se o AP não tiver o aprimoramento Alt-boot, o AP deverá ser recuperado através do console.

Para todos os modelos de AP: determine qual partição de inicialização está corrompida

Primeiro, verifique qual partição de inicialização está corrompida.

1. Conecte-se ao console do AP.
   
2. Observe a tentativa de inicialização do AP, até que a mensagem seja exibida
   falha ao verificar assinatura para /bootpart/part1/ramfs_data_cisco.cpio.lzma
   or
   falha ao verificar assinatura para /bootpart/part2/ramfs_data_cisco.cpio.lzma
   (a mensagem pode dizer "ramfs_data_cisco.squashfs" em vez de "ramfs_data_cisco.cpio.lzma"
   
3. Anote qual partição, parte1 ou parte2, está corrompida

Para modelos AP 9117, 9124, 9130, 9136

1. Enquanto estiver conectado ao console, desligue e religue o AP.
   

2. Durante a inicialização, quando você vir Pressione a tecla ESC para parar a inicialização automática, pressione a tecla Escape
   

3. Você verá um destes prompts:

   (BTLDR) #
   or
   (u-boot)>

4. Executar estes comandos
   

   (u-boot)> or (BTLDR)# setenv mtdids nand0=nand0 && setenv mtdparts mtdparts=nand0:0x40000000@0x0(fs) && ubi part fs
   (u-boot)> or (BTLDR)# ubi remove part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# ubi create part1   (or part2 if corrupted image is in part2)
   (u-boot)> or (BTLDR)# reset

Para modelos AP 2802, 3802, 4800, 9105, 9115, 9120

1. Enquanto estiver conectado ao console, desligue e religue o AP.
   

2. Durante a inicialização, quando você vir Pressione a tecla ESC para parar a inicialização automática, pressione a tecla Escape

3. Isso o levará ao prompt (u-boot)>.

4. Executar estes comandos

(u-boot)> ubi part fs 
(u-boot)> ubi remove part1  (or part2 if corrupted image is in part2) 
(u-boot)> ubi create part1  (or part2 if corrupted image is in part2) 
(u-boot)> boot

Perguntas mais freqüentes

Q1) Todos os meus APs estão conectados ao seu 9800 através de uma conexão LAN de baixa perda, latência e alta velocidade.  Ainda preciso executar o procedimento acima?

Esse problema foi relatado apenas durante a atualização de APs em uma conexão WAN.

P2) Tenho novos APs prontos para uso. Como posso implantá-los sem encontrar esse problema?

Novos APs prontos para fazer download do código em um link de WAN com perdas também estarão susceptíveis ao problema, se tiverem sido fabricados antes de dezembro de 2023. Recomenda-se que esses APs sejam preparados primeiro com uma WLC local.