Eu tenho um AP 1260 que atualizei esta manhã. Antes da atualização, o sistema permitia o ssh e respondia a pings na rede, mas agora não responde.
Liguei um cabo serial e navegando pela configuração não consigo encontrar nada errado, e ativar a depuração ssh não está produzindo nenhuma saída.
Tentei regenerar a chave RSA com a chance de causar ssh não ficar online, no entanto, isso não afetou a incapacidade de entrar em contato com a unidade pela rede.
Também tentei ativar o "roteamento IP" e o "ip cef", pensando que poderiam ser o problema, mas sem efeito. Também adicionei uma rota estática padrão ao nosso gateway de gerenciamento, na esperança de que talvez fosse um problema de rota padrão, mas também não ajudou.
Aqui está a versão atual do IOS na unidade:
Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team
ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]
Aqui está a configuração atual em execução:
DEN-AP01#sh run full
Building configuration...
Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
vlan 50
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 50 mode ciphers aes-ccm tkip
!
ssid StackGuest
!
antenna gain 0
mbssid
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel 2427
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
!
encryption vlan 50 mode ciphers tkip
!
encryption mode ciphers tkip
!
ssid StackGuest
!
antenna gain 0
dfs band 3 block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 subscriber-loop-control
bridge-group 50 spanning-disabled
bridge-group 50 block-unknown-source
no bridge-group 50 source-learning
no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
encapsulation dot1Q 10
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
encapsulation dot1Q 50
no ip route-cache
bridge-group 50
bridge-group 50 spanning-disabled
no bridge-group 50 source-learning
!
interface BVI1
ip address 10.15.0.6 255.255.255.0
no ip route-cache
!
interface BVI50
no ip address
no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
access-class 111 in
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end
Todas as sugestões seriam apreciadas, estou bastante perplexo sobre o motivo de isso de repente dar errado.
EDIT : Aqui está a recriação da saída de chaves de criptografia.
DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)
DEN-AP01(config)#
*Mar 1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar 1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled
fonte
Respostas:
Eles suportam apenas BVI1. Isso não foi imposto nem por nenhum bug no 12.X, mas no 15.X, qualquer BVI extra interrompe o acesso ao gerenciamento. Trabalhou com o TAC nesta questão durante um período de uma semana. Pode reproduzir o problema em qualquer um dos pontos de acesso com 15.X.
Portanto, um simples
no int BVI50
deve corrigir a configuração original. Mais uma recarga depois de fazer a alteração.Fiz algumas edições agora que não estou no meu iPad. De qualquer forma, eu tive esse problema em 2 1262 que atualizei no escritório local e 1 1252 em uma fábrica remota (felizmente a 20 minutos). Depois que o problema foi resolvido removendo as BVIs extras que eu possuía em todos os APs (antes de atualizar mais), consegui atualizar 25 remotamente em todo o mundo, sem problemas.
fonte
Sua configuração acima não mostra uma configuração de chave de criptografia. Deve haver algo como:
Eu tentaria executar novamente o
crypto key generate rsa
comando.fonte
Após restaurar a unidade aos padrões de fábrica e reprogramar, o AP começou a funcionar corretamente mais uma vez. Estou atribuindo isso a "tentativa de atualização que deu errado".
fonte
Diferente porque é um roteador com um módulo AP integrado, mas depois de atualizar o AP do meu roteador 897VAW para 15.3 do 12.x, não consegui executar ping / http / ssh no BVI. Revendo a configuração do @ petergrace, percebo que estava faltando o
ip route
comando. Não tenho certeza se isso foi removido pela atualização ou se eu não precisava dela antes.Na configuração do AP, adicionei:
Onde 10.10.40.1 é o gateway padrão de
interface VLAN40
. O 897 é um roteador com um módulo AP. No lado do roteador, eu também tive que adicionarswitchport trunk native vlan 40
ainterface Wlan-GigabitEthernet8
como em:O que acredito ser o significado da nota de lançamento da Cisco, documentada aqui :
Problema semelhante discutido aqui , no entanto, eu não precisei adicionar
switchport trunk native vlan 40
às interfacesDot11RadioX.40
eGigabitEthernet0.40
, mas precisei adicionarencapsulation dot1Q 40 native
àsDot11RadioX.40
eGigabitEthernet0.40
.fonte