O Cisco 1260 AP não responde mais ao ping, ssh após a atualização para o firmware 15.x mais recente

8

Eu tenho um AP 1260 que atualizei esta manhã. Antes da atualização, o sistema permitia o ssh e respondia a pings na rede, mas agora não responde.

Liguei um cabo serial e navegando pela configuração não consigo encontrar nada errado, e ativar a depuração ssh não está produzindo nenhuma saída.

Tentei regenerar a chave RSA com a chance de causar ssh não ficar online, no entanto, isso não afetou a incapacidade de entrar em contato com a unidade pela rede.

Também tentei ativar o "roteamento IP" e o "ip cef", pensando que poderiam ser o problema, mas sem efeito. Também adicionei uma rota estática padrão ao nosso gateway de gerenciamento, na esperança de que talvez fosse um problema de rota padrão, mas também não ajudou.

Aqui está a versão atual do IOS na unidade:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

Aqui está a configuração atual em execução:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

Todas as sugestões seriam apreciadas, estou bastante perplexo sobre o motivo de isso de repente dar errado.

EDIT : Aqui está a recriação da saída de chaves de criptografia.

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled

Peter Grace
fonte
Gostaria de ativar "nenhum roteamento IP" novamente. Você pode executar ping do AP no seu gateway? Para algo além do seu gateway?
31513 Peter
Não percebo nenhuma configuração de porta Ethernet com fio. Como você está tentando alcançar esse host IOS? Sobre os fios? Sem fio? Se você tiver acesso ao console (semelhante a ele), poderá ver quais rotas são conhecidas com "show ip route" ou interfaces com "show ip interface brief"? "Show interface" mostra os contadores de pacotes aumentando?
jof
Tivemos problemas semelhantes depois de atualizar nossas Aironets para a família 15.0. Fui informado de que o suporte ao dot1q é bastante problemático e, se você precisar de VLANs no seu AP, a única solução é fazer o downgrade para 12.4.
Marco Marzetti 16/05

Respostas:

4

Eles suportam apenas BVI1. Isso não foi imposto nem por nenhum bug no 12.X, mas no 15.X, qualquer BVI extra interrompe o acesso ao gerenciamento. Trabalhou com o TAC nesta questão durante um período de uma semana. Pode reproduzir o problema em qualquer um dos pontos de acesso com 15.X.

Portanto, um simples no int BVI50deve corrigir a configuração original. Mais uma recarga depois de fazer a alteração.

Fiz algumas edições agora que não estou no meu iPad. De qualquer forma, eu tive esse problema em 2 1262 que atualizei no escritório local e 1 1252 em uma fábrica remota (felizmente a 20 minutos). Depois que o problema foi resolvido removendo as BVIs extras que eu possuía em todos os APs (antes de atualizar mais), consegui atualizar 25 remotamente em todo o mundo, sem problemas.

some_guy_long_gone
fonte
1

Sua configuração acima não mostra uma configuração de chave de criptografia. Deve haver algo como:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

Eu tentaria executar novamente o crypto key generate rsacomando.

Craig Constantine
fonte
1
depois de recriar a chave rsa, decidi fazer um "sh run all" e fui recebido com 4500 linhas de "sem interface de origem de log" - não sei se isso é esperado ou não, mas agora estou pensando que é hora de tirar a unidade da órbita e começar de novo.
Peter Grace
Eu acho que isso está relacionado ao IOS 15 tentando fazer logon em um servidor de remoção ... mas, sim, não tenho certeza do que mais posso sugerir. Eu trabalhei com ssh / IOS15, mas não com os APs.
Craig Constantine
1

Após restaurar a unidade aos padrões de fábrica e reprogramar, o AP começou a funcionar corretamente mais uma vez. Estou atribuindo isso a "tentativa de atualização que deu errado".

Peter Grace
fonte
0

Diferente porque é um roteador com um módulo AP integrado, mas depois de atualizar o AP do meu roteador 897VAW para 15.3 do 12.x, não consegui executar ping / http / ssh no BVI. Revendo a configuração do @ petergrace, percebo que estava faltando o ip routecomando. Não tenho certeza se isso foi removido pela atualização ou se eu não precisava dela antes.

Na configuração do AP, adicionei:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

Onde 10.10.40.1 é o gateway padrão de interface VLAN40. O 897 é um roteador com um módulo AP. No lado do roteador, eu também tive que adicionar switchport trunk native vlan 40a interface Wlan-GigabitEthernet8como em:

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

O que acredito ser o significado da nota de lançamento da Cisco, documentada aqui :

O AP autônomo tratará a sub-interface vinculada ao bridge-group1 como a Vlan nativa Ao usar uma configuração em um AP autônomo onde não há VLAN nativa definida, cada interface está sendo marcada com dot1q, a comunicação falhará após a atualização para as versões 15.3 (3 ) JC5 ou posterior. Parece que a configuração ainda está correta após a atualização, mas o AP envia os quadros não marcados para o grupo de pontes 1, mesmo que o encapsulamento não esteja definido como nativo. O AP autônomo tratará a sub-interface vinculada ao grupo de pontes 1 como a VLAN nativa, mesmo que não esteja definida com a palavra-chave nativa: "encapsulation dot1 native". A VLAN associada ao grupo de pontes 1 deve ser definida como nativa na configuração de conexão do switchport

A solução alternativa para isso é configurar a VLAN 100 como a VLAN nativa no tronco da porta de switch conectada, mesmo que o encapsulamento não seja especificado como nativo no AP.

Problema semelhante discutido aqui , no entanto, eu não precisei adicionar switchport trunk native vlan 40às interfaces Dot11RadioX.40e GigabitEthernet0.40, mas precisei adicionar encapsulation dot1Q 40 nativeàs Dot11RadioX.40e GigabitEthernet0.40.

woter324
fonte