升级到最新的 15.x 固件后,Cisco 1260 AP 不再响应 ping、ssh

网络工程 思科 无线的 cisco-ios-15 IEEE-802.11
2021-07-31 23:08:50

我今天早上升级了一个 1260 AP。在升级之前,系统允许 ssh 并且会响应网络上的 ping,但是现在它没有响应。

我连接了串行电缆并浏览了配置我似乎找不到任何问题,并且打开 ssh 调试不会产生任何输出。

我尝试在可能导致 ssh 无法联机的情况下重新生成 RSA 密钥,但这并没有影响无法通过网络联系该设备。

我还尝试打开“ip routing”和“ip cef”,认为它们可能是问题所在,但没有效果。我还向我们的管理网关添加了一个静态默认路由,希望这可能是一个默认路由问题,但它也没有帮助

这是设备上的当前 IOS 版本:

Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Mon 10-Dec-12 23:42 by prod_rel_team

ROM: Bootstrap program is C1260 boot loader
BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 125]

这是当前的运行配置:

DEN-AP01#sh run full
Building configuration...

Current configuration : 3535 bytes
!
! Last configuration change at 00:22:30 UTC Mon Mar 1 1993 by gbeech
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DEN-AP01
!
!
logging rate-limit console 9
logging console warnings
enable secret 5 redacted
!
no aaa new-model
ip cef
ip domain name ds.stackexchange.com
!
!
!
dot11 syslog
dot11 vlan-name DEN-CLIENTS vlan 20
dot11 vlan-name DEN-MGMT vlan 10
dot11 vlan-name DEN-WIRELESS vlan 50
!
dot11 ssid StackGuest
   vlan 50
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 redacted
!
!
dot11 network-map
crypto pki token default removal timeout 0
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers tkip
 !
 encryption vlan 50 mode ciphers aes-ccm tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
 channel 2427
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 50 mode ciphers tkip
 !
 encryption mode ciphers tkip
 !
 ssid StackGuest
 !
 antenna gain 0
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 subscriber-loop-control
 bridge-group 50 spanning-disabled
 bridge-group 50 block-unknown-source
 no bridge-group 50 source-learning
 no bridge-group 50 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 no keepalive
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.50
 encapsulation dot1Q 50
 no ip route-cache
 bridge-group 50
 bridge-group 50 spanning-disabled
 no bridge-group 50 source-learning
!
interface BVI1
 ip address 10.15.0.6 255.255.255.0
 no ip route-cache
!
interface BVI50
 no ip address
 no ip route-cache
!
ip default-gateway 10.15.0.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.15.0.1
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
end

任何建议将不胜感激,我很困惑为什么这会突然出错。

编辑:这是加密密钥输出的重新创建。

DEN-AP01(config)#crypto key generate rsa modulus 1024
% You already have RSA keys defined named DEN-AP01.ds.stackexchange.com.
% They will be replaced.

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

DEN-AP01(config)#
*Mar  1 01:02:01.411: %SSH-5-DISABLED: SSH 1.99 has been disabled
*Mar  1 01:02:02.515: %SSH-5-ENABLED: SSH 1.99 has been enabled
4个回答

他们只支持 BVI1。这不是由错误或 12.X 中的任何原因强制执行的,但在 15.X 中任何额外的 BVI 都会破坏管理访问。在这个问题上与 TAC 合作了一个星期。可以在任何具有 15.X 的 AP 上重现该问题。

所以一个简单的no int BVI50应该修复原始配置。加上更改后重新加载。

现在我不在 iPad 上进行了一些编辑。无论如何,我在我当地办公室更新的 2 1262 和远程工厂的 1 1252(幸亏有 20 分钟路程)上遇到了这个问题。一旦通过删除我在所有 AP 上的额外 BVI(在升级之前)解决了问题,我就能够顺利地在全球范围内远程更新 25 个。

您上面的配置未显示加密密钥配置。应该有类似的东西:

crypto pki certificate chain TP-self-signed-1306837737  
  certificate self-signed 01  
  3082022B 30820194  
  ((snip snip :))  
  quit

我会尝试重新运行该crypto key generate rsa命令。

将设备恢复为出厂默认设置并重新编程后,AP 再次开始正常运行。我将其归结为“尝试升级出错”。

不同的野兽,因为它是一个带有集成 AP 模块的路由器,但在将我的 897VAW 路由器的 AP 从 12.x 升级到 15.3 后,我无法 ping / http / ssh 到 BVI。查看@petergrace 的配置,我注意到我遗漏了ip route命令。不确定这是否被升级删除了,或者我以前不需要它。

在 AP 配置中,我添加了:

ip route 0.0.0.0 0.0.0.0 10.10.40.1

其中 10.10.40.1 是interface VLAN40. 897是带有AP模块的路由器。在路由器方面,我还必须添加switchport trunk native vlan 40interface Wlan-GigabitEthernet8

interface Wlan-GigabitEthernet8
 description Internal switch interface connecting to the embedded AP
 switchport trunk native vlan 40
 switchport mode trunk
 no ip address
!

我相信这就是思科发行说明的含义,记录在此处

自治 AP 会将绑定到 Bridge-group1 的子接口视为本地 Vlan 在未定义本地 VLAN 的自治 AP 上使用配置时,每个接口都被 dot1q 标记,升级到版本 15.3(3) 后通信将失败)JC5 或更高版本。看来升级后配置仍然正确,但 AP 发送了桥组 1 的未标记帧,即使封装未定义为本地。自治 AP 会将绑定到网桥组 1 的子接口视为本地 VLAN,即使它没有使用 native 关键字定义:“encapsulation dot1 native”。与网桥组 1 关联的 VLAN 必须在连接的交换机端口配置上设置为本地

解决方法是将 VLAN 100 配置为连接的交换机端口中继上的本地 VLAN,即使封装未在 AP 上指定为本地。

然而,这里讨论了类似的问题,我不需要添加switchport trunk native vlan 40Dot11RadioX.40GigabitEthernet0.40接口,但我确实必须添加encapsulation dot1Q 40 nativeDot11RadioX.40GigabitEthernet0.40

其它你可能感兴趣的问题
上一篇CISCO无线局域网控制器和AP的设计问题 下一篇第 2 层和第 3 层广播有什么区别?请举例说明